Анализ основных моделей контроля и управления доступом

Для выполнения большинства операций над объектом недостаточно иметь разрешение на соответствующий вид доступа. Например, для того, чтобы прочитать информацию из некоторого файла, необходимо иметь разрешения на чтение, чтение атрибутов, чтение расширенных атрибутов, чтение разрешении. Для разрешения некоторых операций немалую роль играют права доступа субъекта к родительской для объекта директории или разделу реестра. Владелец объекта Windows 2000 всегда имеет разрешение на чтение и изменение разрешений на доступ к нему. Каждый член группы Administrators всегда имеет разрешение на взятие по владение любого объекта.

2.3 Методы моделирования политик безопасности

Графовые методы моделирования и анализа безопасности основаны на представлении системы и отношений в ней в виде графа. Вершины графы моделируют сущности системы (субъекты и объекты), а дуги показывают отношения между ними. Каждая дуга помечается некоторой меткой- атрибутом, показывающей набор прав, типов доступа, операций одной сущности системы над другой и т д. Для обозначения отношений между сущностями могут быть задействованы вершины графа: они помечаются как типы или роли сущностей.

Анализ безопасных переходов системы производится посредством задания перехода графа в новое состояние после выполнения операций над сущностями. При этом под состоянием графа понимается совокупность вершин, дуг и ил атрибутов. Оценка выполнения правил ПБ в некотором состоянии системы проводится как сопоставление графа, соответствующего текущему состоянию, с графом, Соответствующим небезопасному состоянию (сопоставление с шаблоном).

Показательным примером графового метода является визуальный язык объектных ограничений LaSCO (Language for Security Constraints on Objects).

Политика безопасности моделируется с помощью задания объектов -- сущностей системы, имеющих определенные состояния, и событий -- доступов или взаимодействий (сигналов) между двумя объектами в определенные моменты времени. Состояние системы представляется как снимок системы в некоторый момент времени и описывается множеством объектов и множеством предстоящих событий. События имеют неизменяемые ассоциированные параметры. Каждый объект имеет фиксированный набор меток, описывающих состояние объекта с помощью пар "атрибут - значение". Значения атрибутов могут меняться во времени (за исключением уникального параметра идентификации объекта). События и изменения атрибутов объектов происходят в дискретные моменты времени.

Момент состояния системы отражается в событиях параметром time.

Рассмотрим пример применения ГМ для представления ПБ в случае применения в ИС дискреционной модели КУД, Допустим, что ПБ задана в виде матрицы доступа М (табл. 1.3.), где r -- право чтения, v -- право записи, с -- право создания, са -- право модификации атрибутов, d -- право удаления сущности.

Таблица 1.3 Пример матрицы доступа М

Начальное состояние Q₀ системы задается в виде графа G_o = {V_o,A₀}, где множество V₀ -- это множество вершин графа G_o, множество А₀ -- множество направленных дуг в начальном состоянии. Множество вершин V₀ совпадает с декартовым произведением наборов субъектов и объектов системы.SxO, в состоянии Q₀. Дуги А₀ отображают отношения между множествами S и О и соответствуют матрице доступа М. Начальное состояние графа Go, написанного на языке LaSCO, приведено на рис. 1.1.

Рис. 1.1. Пример представления на языке LaSCO политики безопасности системы, основанной на дискреционной модели безопасности. Сущности системы имеют два атрибута: тип (type) и имя (пате). Тип сущности определяет, является ли она активной (субъектом) или пассивной (объектом). Имя уникально для каждой сущности и позволяет однозначно ее идентифицировать в системе. Двойной символ '&&' обозначает операцию "логическое И" между параметрами, показывая необходимость выполнения обоих условий (пар "атрибут-значение") для осуществлена события. События, обозначенные дугами графа, имеют параметр "имя операции" (пате) с соответствующим значением вида доступа.

Язык LaSCO позволяет вводить переменные (обозначаются символом $ перед именем переменной), что позволяет сокращать число вершин (рис.1.2).

Рис. 1.2. Пример представления на языке LaSCO политики безопасности системы, основанной на мандатной модели безопасности

Субъекты и объекты помечены меткой "тип" однако, для представления ПБ в случае применения мандатной модели важны не их имена (атрибут пате), а уровни безопасности сущностей (атрибут sec level), В параметры событий включены названия операций (атрибут пате) и условие выполнения события (например, $S > $0), в котором задействованы переменные (рис. 1 2).

Таким образом, ГМ -- это удобный и наглядный инструментарий для моделирования ПБ.

2.3.2 Логические методы

Способ моделирования и анализа ПБ посредством логических методов основан на описании системы и правил ее поведения в виде логических структур (фактов) и задания на их основе правил логического вывода. Правила логического вывода могут порождать новые правила и факты. Фактами описывают сущности системы и их характеристики. Текущее состояние базы знаний (набор фактов) моделирует состояние системы, а правила вывода представляют собой механизм перехода системы из одного состояния в другое под действием запросов. Ограничения, позволяющие судить о невыполнении правил ПБ задаются либо в виде правил, описывающих критическое состояние, либо в виде фактов.

Примером применения логического метода служит достаточно простой язык авторизации (ЯА) для описания субъектов, объектов, типов объектов, а также групповой иерархии субъектов и взаимодействий сущностей.

Моделирование ПБ проводится в терминах логики предикатов. Вводятся множества S, О и А -- множества субъектов-- множество субъектов (U -- множество пользователей, О -- множество групп пользователей), объектов и действий субъектов, соответственно. Система DS представляется как кортеж множеств (О, Т, S А), где Т -- множество типов объектов. Термом авторизации называется совокупность (s, о, а), где ее элементы -- константы или переменные, определенные на множествах S, О и А. Политика безопасности -- набор термов авторизации. Термы (s, о, а) в политике Р устанавливают доступ, разрешенный политикой. В ПБ формулируются условия выполнения термов и правила логического вывода новых термов.

Язык авторизации состоит из ограничений, которые задаются как факты с аргументами из множеств S, О, А, и логических правил, построенных на основе термов авторизации видагде -- терм авторизации. Основу ЯА составляет фиксированный набор предикатов (табл. 1.4.) вместе с их отрицаниями.

Таблица 1.4. Предикаты языка авторизаций

Посредством ЯА возможно создать логическую программу авторизации, которая проводит сопоставление состояния системы с требованиями ПК.

Однако известные решения на базе JIM, к том числе и ЯА, не обладают универсальностью, необходимой для моделирования и анализа ПБ в реальных ИС поскольку имеют ряд ограничений:

1. Сложности при моделировании некоторых дискреционных моделей. Так, например, модель, основанная на ролевом управлении доступом, требует допущения вида "группа = роль", что не соответствует действительности и вносит затруднения в процесс анализа ролевой политики.

2, Отсутствие математических операций сравнения (например, >,<, =, <, ?) применительно к описанию отношений "субъект-объект", что усложняет процесс моделирования политик мандатного управления доступом. Так, например, правило "нет чтения вверх", или простое свойство безопасности модели Белла-ЛаПадулы, содержит сравнение уровней безопасности. Отсутствие сравнений делает невозможным описание такого рода правил. Характеристика субъекта посредством одного атрибута 'группа", а объекта - при помощи атрибута "тип". На практике сущность может ассоциироваться с несколькими атрибутами. Так, необходимость применения меток в мандатных моделях требует введения атрибута "уровень безопасности" и соответствующего расширения языкового аппарата. Каждая сущность должна содержать список атрибутов, характеризующих ее в терминах безопасности.

3. Отсутствие средств отладки и протоколирования, что ставит под сомнение возможность детального анализа ПБ и отслеживания процесса выполнения правил авторизации.

Ограничения известных решений, основанных на базе логического подхода, приводят к отсутствию их наглядности и полноты, но нисколько не умаляют достоинства самого логического метода.

контроль управление доступ безопасность

2.4 Общая характеристика методов моделирования безопасности

Аналитические методы имеют в своей основе хорошо проработанный аппарат представления в виде математических: функций и элементов матлогики. ЛМ наиболее точны и строги с точки зрения теории, по они лишены наглядности и требуют специальной подготовки специалистов.

Графовые методы обладают свойствами гибкости при моделировании произвольной ПБ и наилучшей наглядности при моделировании состояния системы. ГМ являются очень выразительными и простыми для понимания и анализа ПБ системы. Методы базируются на хорошо разработанных математических теориях: теории графов и топологии. К недостаткам ГМ следует отнести статичность моделирования, т.е демонстрации определенных состояний системы без указания взаимосвязи следующих состояний с предыдущим, и то. что в графе операции определены над сущностями системы, а не над правилами, которые задают ПБ. По этой причине метод графов становится трудно применимым при оценке комбинированных ПБ.

Объектные методы позволяют моделировать защищенность крупных систем, поскольку правила применяются к группам сущностей (т.е. к объектам указанного типа). Принципы инкапсуляция и наследовать известные из объектно-ориентированного проектирования, способствуют универсальности и расширяемости представления. OM обобщают методы графов с учетом того, что взаимосвязи моделируются не между вершинами-сущностями, а между объектами заданных классов. Метод объектов можно рассматривать, как модификацию метода графов, дополненного понятиями класса, объекта, методов и инкапсуляции. ОМ приспособлены к моделированию сложных иерархических систем. К недостаткам метода следует отнести сложность объектной декомпозиции ИС. Неподготовленный человек, будучи не в состоянии полностью воссоздать сложный объект, абстрагируется и просто игнорирует не слишком важные с его точки зрения детали и, таким образом, имеет дело с неоправданно идеализированной моделью, отвлеченной от реальной функции защиты. Поэтому при применении ОП всегда необходимы поиск должного уровня абстрагирования.

Метод логического программирования позволяет добиться простоты реализации и проведения автоматического анализа ПБ, поскольку сама программа оценки защищенности может быть задана в терминах логики предикатов. Формальная база такого метода, а именно математическая логика, позволяет получать спецификацию системы и применять аппарат логического вывода при моделировании и анализе ПБ.

С целью определения метода, независимого от объекта изучения, простое и удобного в применении, проведено сравнение рассмотренных методов по таким характеристикам, как выразительная способность, моделирование иерархических структур, объяснение результатов вывода, наличие программной реализации, удобство применения и близость к естественному языку (табл. 1.5).

Таблица 1.5. Сравнение методов моделирования политик безопасности

Анализ теории моделей КУД показывает, что широкий класс моделей КУД основан на представлении системы в виде автомата: элементами таких моделей являются состояния и переходы между нами. Основу средств защиты современных ОС составляют вариации дискреционного контроля и управления доступом, базирующиеся также на представлении системы с помощью машины и состоянии.

Несмотря на количество предложенных моделей безопасности, а также их реализаций в современных ИС, не существует общепринятого метода построения их представления, позволяющего унифицировать средства моделирования и исследования. Проведенный анализ моделей КУД, их структур и особенностей направлен на определение общих характеристик и компонентов моделей.

Современные направления по выработке методов моделирования ПБ не предлагают решения удобного, практичного и полностью независимого по отношению к объектам оценки. Рассмотрение методов, существующих сегодня для описания ПБ, позволяет утверждать, что наибольшие перспективы открываются для применения логического подхода.

Будет использован способ, основанный на анализе и использовании системы (набора) логических предикатов для представления системных, состояний и переходов между ними, а также правил ПБ.

3. ИССЛЕДОВАНИЕ ПРОЦЕССА РАЗРАБОТКИ СРЕДСТВ АВТОМАТИЗИРОВАННОГО АНАЛИЗА ВЫПОЛНЕНИЯ ПРАВИЛ ПОЛИТИК БЕЗОПАСНОСТИ

При решении задачи моделирования и анализа ПБ для ИС необходим инструментарий, который был бы универсален по отношению к моделям широкого класса, т.е. аппарат, независимый от ПБ, реализованных в исследуемых ИС.

Проведенный анализ моделей и их реализаций в современных ОС, а также методов, используемых при моделировании защищенных ИС, позволяет решить указанную задачу путем выработки логического подхода к анализу выполнения правил ПБ посредством представления объектов исследования с помощью логических предикатов и создания на его основе механизма автоматизированного анализа подсистем безопасности.

3.1 Обобщенное представление моделей контроля и управления доступом

Анализ теории моделей КУД показывает, что машина состояний -- распространенный инструмент моделирования различных аспектов ИС. В частности он используется при создании моделей КУД, так называемых моделей безопасности состоянии. Базовыми элементами таких моделей являются состояния и переходы между ними. В общем случае под состоянием понимается образ ИС в некоторый момент времени, включающий все аспекты системы, связанные с безопасностью, а переход описывается функцией, которая определяет следующее состояние в зависимости от текущего состояния и поступившего запроса (функция перехода).

В качестве примера можно привести рассмотренные модели Харрисона- Руззо-Ульмана и Белла-ЛаПадулы. Так, в модели Харрисона-Руззо-Ульмана пространство состояний системы образуется декартовым произведением множеств составляющих ее субъектов, объектов и прав -- SxOxR а текущее состояние системы в этом пространстве определяется тройкой (S, О, М), где М-- матрица прав доступа М.

К этому же классу относятся модели КУД большинства ОС. В реальных системах (в том числе, и в ОС) алгоритм работы подсистемы КУД воплощен в виде правил работы монитора обращений -- системного компонента, который выполняет функции перехвата системных запросов и сопоставления их с требованиями реализованной модели КУД. Средства защиты известных и широко распространенных ИС базируются на дискреционных, редко -- мандатных, моделях состояний. При соблюдении требований модели система переходит в новое состояние.

Предлагается рассматривать отдельно переходы системы из состояния в состояние и условия выполнения правил модели КУД, Тогда поведение системы моделируется на основе теории конечных: автоматов, а безопасность системы -- в виде набора условий, логических функций, заданных на множествах субъектов, объектов и атрибутов безопасности. Политика безопасности реализуется в системе посредством задания правил доступа средствами ИС, например, с помощью прав доступа к объектам, группированием субъектов и т.п. Политика безопасности рассматривается как ограничения, накладываемые на функционирование ИС. По причине ошибок администрирования, некорректной реализации модели КУД в системе или использования конфигурации безопасности по умолчанию системное состояние может оказаться не соответствующим ПБ, т.е. система может находиться в состоянии, в котором не выполняются правила политики.

Обозначим через St множество системных состояний с точки зрения безопасности. Состояние есть перечисление элементов ИС, определяющих ее безопасность (например, в ОС: учетные записи пользователей, права доступа, ключи реестра и т.д.) (рис 2.1). Произведем разграничение системных сущностей, С одной стороны, сущности могут быть активными, т.е. инициировать операции, выполняемые с информацией. С другой стороны сущности могут быть пассивными, т.е. являться контейнерами информации. Активные сущности назовем субъектами, пассивные -- объектами Объекты являются предметом операций, которые могут выполняться субъектами. В случае, когда субъект сам является предметом операции (например, при изменении членства в группе), над субъектом могут производиться действия, как над объектом. Субъекты и объекты обладают определенными атрибутами, которые содержат информацию, позволяющую ИС функционировать правильно. Некоторые атрибуты, например, параметры управления доступом, предназначены исключительно для осуществления ПБ. Последние назовем атрибутами безопасности. Обозначим через S-- множество субъектов, О -- множество объектов, SA -- множество атрибутов безопасности. Тогда множество St есть декартово произведение Sx OxSA.

Переход из состояния в состояние возможен как результат действий над сущностями ИС и их атрибутами. С точки зрения безопасности разрешения эта операции выдаются в соответствии с требованиями, указанными в модели КУД. В ИС компонент, выполняющий разрешительные функции, называется монитором обращений, он выполняет проверку соответствия между запросом на доступ и требованиями модели. Обозначим через и требования модели КУД. При выполнении требований ИС переходит из состояния st н состояние st' где st,(например,успешноесозданиесубъектаприводитк смене состояния).

Обозначим переход из состояния в состояние посредством функции переходов S, а запрос на доступ через q, тогда последующее состояние В общем случае, существует последовательность пар "запрос- состояние", которая моделирует изменения системы от начального состояния до некоторого состояния называемогодостижимым.

Приведенное деление позволяет построить обобщенное представление моделей состояний (ОПМ) М = {St,R} (рис. 2.2).

Рис. 2.2 Обобщенное представление моделей состояний

3.2 Правила политики безопасности

Потребитель вынужден осуществить защиту информации путем введения своей ПБ и использования для этого предлагаемых производителями продуктов. ПБ задается в виде запретительных правил, например, "секретарям запрещено читать файлы менеджеров и директора", которые должны выполняться в каждом состоянии системы. Правила преобразуются в простые высказывания (ограничения С) путем применения аппарата исчисления высказываний. Например, приведенное правило преобразуется в совокупность двух ограничений: "секретарям запрещено читать файлы менеджеров" и "секретарям запрещено читать файлы директора". Тогда выполнение правил ПБ в системе, находящейся в некотором состоянии, заключается в контроле выполнения всех ограничений из множества С для этого состояния.

Проверка выполнения правил ПБ гарантирует, что модель КУД, реализованная в ИС в виде средств зашиты, обеспечивает безопасность информации. В реальных системах часто встречаются проблемы некорректной реализации модели КУД или ошибки администрирования, что приводит к возникновению так называемых изъянов защиты, вызывающих невыполнение ПБ. Например, известны следующие ситуации.

Пользователь alice работает на ПЭВМ, на которой установлена, некоторая ОС. Он готовит секретный документ. Второй пользователь bob в это же время работает на другой машине, он обрабатывает данные, поступающие по электронной почте. Допустим, bob получил письмо, предназначенное для alice, и попросил alice разрешить доступ к одному из каталогов в системе пользователя alice. Предположим, что пользователь alice спешит, и доступ разрешается к текущему рабочему каталогу. Система, в которой работает alice, предоставляет возможности по ограничению доступа, но alice специально не назначает права доступа, их значения по умолчанию проставляются самой системой. Права по умолчанию, например, могут быть вида "всем -- все виды доступа". Пользователь alice читает письмо, но и bob имеет все права на чтение всех документов в рабочем каталоге alice. Более того, пользователь bob может изменить права доступа alice к ее собственному каталогу.

В другом случае, пользователь alice запрещает доступ пользователя bob к файлам и директориям, но не ограничивает доступ к системным файлам и каталогам. Таким образом, bob, запустив системные утилиты или отредактировав конфигурационный файл, может установить произвольные права доступа. Например, bob может, используя FTP-сервис, получить контроль над корневой файловой системой, над системными библиотеками, над реестром.

В первом случае изъян защиты вызван реализованной в системе возможностью простановки прав доступа по умолчанию вида "всем -- все виды доступа". Второй случай показывает пример ошибки администрирования, когда пользователь забыл о контроле доступа к системным файлам и каталогам.

Подобные примеры характерны для таких распространенных ОС, как NT/2000/XP и Linux. Если смоделировать систему и правила ПБ, затем проверить выполнение ПБ то становится возможным обнаружение небезопасных состояний, поскольку решение проблемы проверки выполнения правил ПБ связано с проверкой соответствия состояний системы ограничениям.

3.3 Подход к проверке выполнения правил политик безопасности

Широкий класс моделей КУД базируется на представлении ИС в виде состояний и функций переходов между ними. В описании модели Белла- ЛаПадулы предложена теорема, формально доказывающая безопасность ИС и получившая название основной теоремы безопасности. Теорема утверждает, что ИС с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

На основе принципа доказательства безопасности ИС указанным способом, т.е. на основе рассмотрения безопасности системы в начальном состоянии и в достижимых состояниях (по индукции относительно состояний), предлагается подход к проверке выполнения ограничений путем анализа достижимых состояний ИС. Для проверки выполнения правил политики предлагается оценивать выполнение ограничений в начальном состоянии и в последующих, достижимых, состояниях системы. Для реальной системы при проверке ограничений С пространство перебора ограничивается областью определения.

Подход состоит в использовании для решения задачи анализа выполнения правил ПБ следующей последовательности действий (рис. 2.3):

• моделирование начального состояния (рис 2.3,1);

• моделирование требований модели КУД (рис. 2.3,1);

• формирование ограничений и их моделирование (рис. 2.3,1);

• генерация достижимых cостояний системы (рис. 2.3,3),

• проверка выполнения ограничений в полученных состояниях (рис. 2.3,2 и рис. 2.3,4).

Данный подход закладывает основы для разработки средств автоматизированного анализа выполнения правил ПБ. В соответствии с предложенным подходом решение проблемы автоматизированной проверки ПБ требует создания инструментария моделирования для описания состояний ИС, требований моделей КУД и правил ПБ. Он должен быть универсальным по отношению к применяемым моделям безопасности и независим от исследуемой ИС и ПБ.

Рис. 2.3. Подход к проверке выполнения правил политик безопасности

3.4 Инструментарий моделирования

При реализации подхода к проверке выполнения правил ПБ в соответствии с проведенным анализом методов моделирования ПБ предлагается использовать логическое представление, заключающееся в построении концептуальной модели субъектов, объектов и их атрибутов безопасности и ее задании в виде системы (набора) логических термов. Основные требования, предъявляемые к системе предикатов, следующие:

• поддержка описания контроля доступа и распространения прав,

• возможность описания политик в больших системах, состоящих из миллионов объектов. Подразумевается необходимость применения правил к группам объектов, нежели к каждому из них в отдельности;

• комбинирование правил, что позволяет группировать базовые правила управления и безопасности в отношении ролей, организационных единиц и специальных приложений. Комбинированные правила облегчают администрирование политики в крупных промышленных ИС;

• возможность анализа выполнения политики и ее проверки на наличие конфликтов и противоречий, в спецификации. Декларативное описание облегчает анализ;

• расширяемость, что должно обеспечить поддержку новых типов политик, которые могут появиться в будущем;

• понятность и простота в обращении;

• независимость от объекта моделирования.

Для того чтобы выработать обобщенную схему, применимую для различных ИС, следует на базе современных ОС построить концептуальные модели подсистем КУД и обобщить их.

3.5 Концептуальные модели подсистем контроля и управления доступом

Концептуальная модель подсистемы КУД для ОС Linux базируется на рассмотренной модели КУД (п. 1.2.1), реализованной в этой системе, и приводиться в виде концептуального графа на рис. 2.4.

В концептуальной модели можно выделить три части, отвечающие за представление состояний, требований КУД и ограничений. Первые две связаны непосредственно с ИС, третья явно с системой не связана (она выделена пунктирной линией), Пространство состояний системы есть декартово произведение множеств субъектов, объектов и их атрибуте безопасности. Субъектами ОС Linux являются пользователи и группы. Группирование пользователей оказывает влияние на безопасность, поэтому членство в группе отнесено к атрибутам безопасности. Объектами в ОС Linux являются элементы файловой системы, а их атрибутами безопасности будут биты доступа. На базе состояний формулируются требования модели КУД -- правила КУД, и ограничения -- правила ПБ.

С Windows 2000 частично напоминает модель для ОС Linux. Основные различия -- в части, касающейся системного состояния объектов. Поскольку в Windows 2000, в отличие от Linux, присутствует различие в природе объектов, то модель усложняется в объектной части. Пример для объектов типа «элемент файловой системы» и «элемент системного реестра» приведен на рис. 2.5. Тип объекта может быть вынесен в атрибуты объекта, за счет чего модель может быть упрошена.

3.6 Выводы к главе 3

Предложенное представление моделей КУД современных ОС, и исследование подхода к проверке выполнения правил ПБ позволили определить основные аспекты анализа безопасности для построения описания начальных состояний ИС. Основу таких средств должен составлять инструментарий моделирования произвольных состояний, требований КУД и правил ПБ.

ЗАКЛЮЧЕНИЕ

1) Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие

Горячая Линия - Телеком * 2004

2) Windows 98/МЕ/2000/ХР:Книга + видеокурс (CD).

Авторы: Комягин В.Б., ред.

Издательство: Лучшие книги Г од выпуска: 2005

3) Linux. Справочник, К. Рейчард, П. Фолькердинг http://www.megalib.com/books/756/index.htm

4) Р.Петерсен, "LINUX: Руководство по операционной системе", Пер. с англ. С.М.Тимачева, под ред. М.В.Коломыцева. Киев, BHV, 1997,

5) Модели безопасности компьютерных систем. Учебное пособие для вузов. Девянин П. Н. Academia * 2005

Размещено на Allbest.ru