Модели политик безопасности в автоматизированных системах

Примером применения логического метода служит достаточно простой язык авторизации (ЯА) для описания субъектов, объектов, типов объектов, а также групповой иерархии субъектов и взаимодействий сущностей.

Моделирование ПБ проводится в терминах логики предикатов. Вводятся множества S, О и А -- множества субъектов-- множество субъектов (U -- множество пользователей, О -- множество групп пользователей), объектов и действий субъектов, соответственно. Система DS представляется как кортеж множеств (О, Т, S А), где Т -- множество типов объектов. Термом авторизации называется совокупность (s, о, а), где ее элементы -- константы или переменные, определенные на множествах S, О и А. Политика безопасности -- набор термов авторизации. Термы (s, о, а) в политике Р устанавливают доступ, разрешенный политикой. В ПБ формулируются условия выполнения термов и правила логического вывода новых термов.

Язык авторизации состоит из ограничений, которые задаются как факты с аргументами из множеств S, О, А, и логических правил, построенных на основе термов авторизации видагде -- терм авторизации. Основу ЯА составляет фиксированный набор предикатов (табл. 1.4.) вместе с их отрицаниями.

Таблица 1.4Предикаты языка авторизаций

Посредством ЯА возможно создать логическую программу авторизации, которая проводит сопоставление состояния системы с требованиями ПК.

Однако известные решения на базе JIM, к том числе и ЯА, не обладают универсальностью, необходимой для моделирования и анализа ПБ в реальных ИС поскольку имеют ряд ограничений:

1. Сложности при моделировании некоторых дискреционных моделей. Так, например, модель, основанная на ролевом управлении доступом, требует допущения вида "группа = роль", что не соответствует действительности и вносит затруднения в процесс анализа ролевой политики.

2, Отсутствие математических операций сравнения (например, >,<, =, <, ?) применительно к описанию отношений "субъект-объект", что усложняет процесс моделирования политик мандатного управления доступом. Так, например, правило "нет чтения вверх", или простое свойство безопасности модели Белла-ЛаПадулы, содержит сравнение уровней безопасности. Отсутствие сравнений делает невозможным описание такого рода правил. Характеристика субъекта посредством одного атрибута 'группа", а объекта - при помощи атрибута "тип". На практике сущность может ассоциироваться с несколькими атрибутами. Так, необходимость применения меток в мандатных моделях требует введения атрибута "уровень безопасности" и соответствующего расширения языкового аппарата. Каждая сущность должна содержать список атрибутов, характеризующих ее в терминах безопасности.

3. Отсутствие средств отладки и протоколирования, что ставит под сомнение возможность детального анализа ПБ и отслеживания процесса выполнения правил авторизации.

Ограничения известных решений, основанных на базе логического подхода, приводят к отсутствию их наглядности и полноты, но нисколько не умаляют достоинства самого логического метода

2.4 Общая характеристика методов моделирования безопасности

Аналитические методы имеют в своей основе хорошо проработанный аппарат представления в виде математических: функций и элементов матлогики. ЛМ наиболее точны и строги с точки зрения теории, по они лишены наглядности и требуют специальной подготовки специалистов.

Графовые методы обладают свойствами гибкости при моделировании произвольной ПБ и наилучшей наглядности при моделировании состояния системы. ГМ являются очень выразительными и простыми для понимания и анализа ПБ системы. Методы базируются на хорошо разработанных математических теориях: теории графов и топологии. К недостаткам ГМ следует отнести статичность моделирования, т.е демонстрации определенных состояний системы без указания взаимосвязи следующих состояний с предыдущим, и то. что в графе операции определены над сущностями системы, а не над правилами, которые задают ПБ. По этой причине метод графов становится трудно применимым при оценке комбинированных ПБ.

Объектные методы позволяют моделировать защищенность крупных систем, поскольку правила применяются к группам сущностей (т.е. к объектам указанного типа). Принципы инкапсуляция и наследовать известные из объектно-ориентированного проектирования, способствуют универсальности и расширяемости представления. OM обобщают методы графов с учетом того, что взаимосвязи моделируются не между вершинами-сущностями, а между объектами заданных классов. Метод объектов можно рассматривать, как модификацию метода графов, дополненного понятиями класса, объекта, методов и инкапсуляции. ОМ приспособлены к моделированию сложных иерархических систем. К недостаткам метода следует отнести сложность объектной декомпозиции ИС. Неподготовленный человек, будучи не в состоянии полностью воссоздать сложный объект, абстрагируется и просто игнорирует не слишком важные с его точки зрения детали и, таким образом, имеет дело с неоправданно идеализированной моделью, отвлеченной от реальной функции защиты. Поэтому при применении ОП всегда необходимы поиск должного уровня абстрагирования.

Метод логического программирования позволяет добиться простоты реализации и проведения автоматического анализа ПБ, поскольку сама программа оценки защищенности может быть задана в терминах логики предикатов. Формальная база такого метода, а именно математическая логика, позволяет получать спецификацию системы и применять аппарат логического вывода при моделировании и анализе ПБ.

С целью определения метода, независимого от объекта изучения, простое и удобного в применении, проведено сравнение рассмотренных методов по таким характеристикам, как выразительная способность, моделирование иерархических структур, объяснение результатов вывода, наличие программной реализации, удобство применения и близость к естественному языку (табл. 1.5).

Таблица 1.5 Сравнение методов моделирования политик безопасности

Под выразительной способностью понимается готовность метода к представлению Произвольных объектов. Моделирование иерархических структур используется при задании сложных систем, что необходимо при представлении ПБ в реальных ОС, например, для описания структуры объектов файловой системы Объяснение результатов вывода состоит в возможности пошагового отслеживания процесса анализа ПБ, т.е. трассировки. Наличие программной реализации свидетельствует о готовности программной поддержки метода, что позволяет использовать уже готовые решения. Под удобством применения подразумевается наглядность результатов для пользователя. Близость к естественному языку означает, что метод предоставляет возможность задать ПБ с помощью лаконичных и попятных человеку конструкций.

Сравнительный анализ методов показывает, что наиболее перспективным в рамках моделирования правил ПБ и автоматизации анализа проверки их выполнении является логический подход, поскольку только этот способ обладает необходимыми характеристиками.

2.5 Выводы к главе 2

Анализ теории моделей КУД показывает, что широкий класс моделей КУД основан на представлении системы в виде автомата: элементами таких моделей являются состояния и переходы между нами. Основу средств защиты современных ОС составляют вариации дискреционного контроля и управления доступом, базирующиеся также на представлении системы с помощью машины и состоянии.

Несмотря на количество предложенных моделей безопасности, а также их реализаций в современных ИС, не существует общепринятого метода построения их представления, позволяющего унифицировать средства моделирования и исследования. Проведенный анализ моделей КУД, их структур и особенностей направлен на определение общих характеристик и компонентов моделей.

Современные направления по выработке методов моделирования ПБ не предлагают решения удобного, практичного и полностью независимого по отношению к объектам оценки. Рассмотрение методов, существующих сегодня для описания ПБ, позволяет утверждать, что наибольшие перспективы открываются для применения логического подхода.

Будет использован способ, основанный на анализе и использовании системы (набора) логических предикатов для представления системных, состояний и переходов между ними, а также правил ПБ.

3. ИССЛЕДОВАНИЕ ПРОЦЕССА РАЗРАБОТКИ СРЕДСТВ АВТОМАТИЗИРОВАННОГО АНАЛИЗА ВЫПОЛНЕНИЯ ПРАВИЛ ПОЛИТИК БЕЗОПАСНОСТИ

При решении задачи моделирования и анализа ПБ для ИС необходим инструментарий, который был бы универсален по отношению к моделям широкого класса, т.е. аппарат, независимый от ПБ, реализованных в исследуемых ИС.

Проведенный анализ моделей и их реализаций в современных ОС, а также методов, используемых при моделировании защищенных ИС, позволяет решить указанную задачу путем выработки логического подхода к анализу выполнения правил ПБ посредством представления объектов исследования с помощью логических предикатов и создания на его основе механизма автоматизированного анализа подсистем безопасности.

3.1 Обобщенное представление моделей контроля и управления доступом

Анализ теории моделей КУД показывает, что машина состояний -- распространенный инструмент моделирования различных аспектов ИС. В частности он используется при создании моделей КУД, так называемых моделей безопасности состоянии. Базовыми элементами таких моделей являются состояния и переходы между ними. В общем случае под состоянием понимается образ ИС в некоторый момент времени, включающий все аспекты системы, связанные с безопасностью, а переход описывается функцией, которая определяет следующее состояние в зависимости от текущего состояния и поступившего запроса (функция перехода).

В качестве примера можно привести рассмотренные модели Харрисона- Руззо-Ульмана и Белла-ЛаПадулы. Так, в модели Харрисона-Руззо-Ульмана пространство состояний системы образуется декартовым произведением множеств составляющих ее субъектов, объектов и прав -- SxOxR а текущее состояние системы в этом пространстве определяется тройкой (S, О, М), где М-- матрица прав доступа М.

К этому же классу относятся модели КУД большинства ОС. В реальных системах (в том числе, и в ОС) алгоритм работы подсистемы КУД воплощен в виде правил работы монитора обращений -- системного компонента, который выполняет функции перехвата системных запросов и сопоставления их с требованиями реализованной модели КУД. Средства защиты известных и широко распространенных ИС базируются на дискреционных, редко -- мандатных, моделях состояний. При соблюдении требований модели система переходит в новое состояние.

Предлагается рассматривать отдельно переходы системы из состояния в состояние и условия выполнения правил модели КУД, Тогда поведение системы моделируется на основе теории конечных: автоматов, а безопасность системы -- в виде набора условий, логических функций, заданных на множествах субъектов, объектов и атрибутов безопасности. Политика безопасности реализуется в системе посредством задания правил доступа средствами ИС, например, с помощью прав доступа к объектам, группированием субъектов и т.п. Политика безопасности рассматривается как ограничения, накладываемые на функционирование ИС. По причине ошибок администрирования, некорректной реализации модели КУД в системе или использования конфигурации безопасности по умолчанию системное состояние может оказаться не соответствующим ПБ, т.е. система может находиться в состоянии, в котором не выполняются правила политики.

Обозначим через St множество системных состояний с точки зрения безопасности. Состояние есть перечисление элементов ИС, определяющих ее безопасность (например, в ОС: учетные записи пользователей, права доступа, ключи реестра и т.д.) (рис 2.1). Произведем разграничение системных сущностей, С одной стороны, сущности могут быть активными, т.е. инициировать операции, выполняемые с информацией. С другой стороны сущности могут быть пассивными, т.е. являться контейнерами информации. Активные сущности назовем субъектами, пассивные -- объектами Объекты являются предметом операций, которые могут выполняться субъектами. В случае, когда субъект сам является предметом операции (например, при изменении членства в группе), над субъектом могут производиться действия, как над объектом. Субъекты и объекты обладают определенными атрибутами, которые содержат информацию, позволяющую ИС функционировать правильно. Некоторые атрибуты, например, параметры управления доступом, предназначены исключительно для осуществления ПБ. Последние назовем атрибутами безопасности. Обозначим через S-- множество субъектов, О -- множество объектов, SA -- множество атрибутов безопасности. Тогда множество St есть декартово произведение Sx OxSA.

Переход из состояния в состояние возможен как результат действий над сущностями ИС и их атрибутами. С точки зрения безопасности разрешения эта операции выдаются в соответствии с требованиями, указанными в модели КУД. В ИС компонент, выполняющий разрешительные функции, называется монитором обращений, он выполняет проверку соответствия между запросом на доступ и требованиями модели. Обозначим через и требования модели КУД. При выполнении требований ИС переходит из состояния st н состояние st' где st,(например, успешное создание субъекта приводит к смене состояния).

Обозначим переход из состояния в состояние посредством функции переходов S, а запрос на доступ через q, тогда последующее состояние В общем случае, существует последовательность пар "запрос- состояние", которая моделирует изменения системы от начального состояния до некоторого состояния называемого достижимым.

Приведенное деление позволяет построить обобщенное представление моделей состояний (ОПМ) М = {St,R} (рис. 2.2).

Рис. 2.2 Обобщенное представление моделей состояний

3.2 Правила политики безопасности

Потребитель вынужден осуществить защиту информации путем введения своей ПБ и использования для этого предлагаемых производителями продуктов. ПБ задается в виде запретительных правил, например, "секретарям запрещено читать файлы менеджеров и директора", которые должны выполняться в каждом состоянии системы. Правила преобразуются в простые высказывания (ограничения С) путем применения аппарата исчисления высказываний. Например, приведенное правило преобразуется в совокупность двух ограничений: "секретарям запрещено читать файлы менеджеров" и "секретарям запрещено читать файлы директора". Тогда выполнение правил ПБ в системе, находящейся в некотором состоянии, заключается в контроле выполнения всех ограничений из множества С для этого состояния.

Проверка выполнения правил ПБ гарантирует, что модель КУД, реализованная в ИС в виде средств зашиты, обеспечивает безопасность информации. В реальных системах часто встречаются проблемы некорректной реализации модели КУД или ошибки администрирования, что приводит к возникновению так называемых изъянов защиты, вызывающих невыполнение ПБ. Например, известны следующие ситуации.

Пользователь alice работает на ПЭВМ, на которой установлена, некоторая ОС. Он готовит секретный документ. Второй пользователь bob в это же время работает на другой машине, он обрабатывает данные, поступающие по электронной почте. Допустим, bob получил письмо, предназначенное для alice, и попросил alice разрешить доступ к одному из каталогов в системе пользователя alice. Предположим, что пользователь alice спешит, и доступ разрешается к текущему рабочему каталогу. Система, в которой работает alice, предоставляет возможности по ограничению доступа, но alice специально не назначает права доступа, их значения по умолчанию проставляются самой системой. Права по умолчанию, например, могут быть вида "всем -- все виды доступа". Пользователь alice читает письмо, но и bob имеет все права на чтение всех документов в рабочем каталоге alice. Более того, пользователь bob может изменить права доступа alice к ее собственному каталогу.

В другом случае, пользователь alice запрещает доступ пользователя bob к файлам и директориям, но не ограничивает доступ к системным файлам и каталогам. Таким образом, bob, запустив системные утилиты или отредактировав конфигурационный файл, может установить произвольные права доступа. Например, bob может, используя FTP-сервис, получить контроль над корневой файловой системой, над системными библиотеками, над реестром.

В первом случае изъян защиты вызван реализованной в системе возможностью простановки прав доступа по умолчанию вида "всем -- все виды доступа". Второй случай показывает пример ошибки администрирования, когда пользователь забыл о контроле доступа к системным файлам и каталогам.

Подобные примеры характерны для таких распространенных ОС, как NT/2000/XP и Linux. Если смоделировать систему и правила ПБ, затем проверить выполнение ПБ то становится возможным обнаружение небезопасных состояний, поскольку решение проблемы проверки выполнения правил ПБ связано с проверкой соответствия состояний системы ограничениям

3.3 Подход к проверке выполнения правил политик безопасности

Широкий класс моделей КУД базируется на представлении ИС в виде состояний и функций переходов между ними. В описании модели Белла- ЛаПадулы предложена теорема, формально доказывающая безопасность ИС и получившая название основной теоремы безопасности. Теорема утверждает, что ИС с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

На основе принципа доказательства безопасности ИС указанным способом, т.е. на основе рассмотрения безопасности системы в начальном состоянии и в достижимых состояниях (по индукции относительно состояний), предлагается подход к проверке выполнения ограничений путем анализа достижимых состояний ИС. Для проверки выполнения правил политики предлагается оценивать выполнение ограничений в начальном состоянии и в последующих, достижимых, состояниях системы. Для реальной системы при проверке ограничений С пространство перебора ограничивается областью определения.

Подход состоит в использовании для решения задачи анализа выполнения правил ПБ следующей последовательности действий (рис. 2.3):

• моделирование начального состояния (рис 2.3,1);

• моделирование требований модели КУД (рис. 2.3,1);

• формирование ограничений и их моделирование (рис. 2.3,1);

• генерация достижимых cостояний системы (рис. 2.3,3),

• проверка выполнения ограничений в полученных состояниях (рис. 2.3,2 и рис. 2.3,4).

Данный подход закладывает основы для разработки средств автоматизированного анализа выполнения правил ПБ. В соответствии с предложенным подходом решение проблемы автоматизированной проверки ПБ требует создания инструментария моделирования для описания состояний ИС, требований моделей КУД и правил ПБ. Он должен быть универсальным по отношению к применяемым моделям безопасности и независим от исследуемой ИС и ПБ.

Рис. 2.3 Подход к проверке выполнения правил политик безопасности

3.4 Инструментарий моделирования

При реализации подхода к проверке выполнения правил ПБ в соответствии с проведенным анализом методов моделирования ПБ предлагается использовать логическое представление, заключающееся в построении концептуальной модели субъектов, объектов и их атрибутов безопасности и ее задании в виде системы (набора) логических термов. Основные требования, предъявляемые к системе предикатов, следующие:

• поддержка описания контроля доступа и распространения прав,

• возможность описания политик в больших системах, состоящих из миллионов объектов. Подразумевается необходимость применения правил к группам объектов, нежели к каждому из них в отдельности;

• комбинирование правил, что позволяет группировать базовые правила управления и безопасности в отношении ролей, организационных единиц и специальных приложений. Комбинированные правила облегчают администрирование политики в крупных промышленных ИС;

• возможность анализа выполнения политики и ее проверки на наличие конфликтов и противоречий, в спецификации. Декларативное описание облегчает анализ;

• расширяемость, что должно обеспечить поддержку новых типов политик, которые могут появиться в будущем;

• понятность и простота в обращении;

• независимость от объекта моделирования.

Для того чтобы выработать обобщенную схему, применимую для различных ИС, следует на базе современных ОС построить концептуальные модели подсистем КУД и обобщить их.

3.5 Концептуальные модели подсистем контроля и управления доступом

Концептуальная модель подсистемы КУД для ОС Linux базируется на рассмотренной модели КУД (п. 1.2.1), реализованной в этой системе, и приводиться в виде концептуального графа на рис. 2.4.

В концептуальной модели можно выделить три части, отвечающие за представление состояний, требований КУД и ограничений. Первые две связаны непосредственно с ИС, третья явно с системой не связана (она выделена пунктирной линией), Пространство состояний системы есть декартово произведение множеств субъектов, объектов и их атрибуте безопасности. Субъектами ОС Linux являются пользователи и группы. Группирование пользователей оказывает влияние на безопасность, поэтому членство в группе отнесено к атрибутам безопасности. Объектами в ОС Linux являются элементы файловой системы, а их атрибутами безопасности будут биты доступа. На базе состояний формулируются требования модели КУД -- правила КУД, и ограничения -- правила ПБ.

С Windows 2000 частично напоминает модель для ОС Linux. Основные различия -- в части, касающейся системного состояния объектов. Поскольку в Windows 2000, в отличие от Linux, присутствует различие в природе объектов, то модель усложняется в объектной части. Пример для объектов типа «элемент файловой системы» и «элемент системного реестра» приведен на рис. 2.5. Тип объекта может быть вынесен в атрибуты объекта, за счет чего модель может быть упрошена.

3.6 Выводы к главе 3

Предложенное представление моделей КУД современных ОС, и исследование подхода к проверке выполнения правил ПБ позволили определить основные аспекты анализа безопасности для построения описания начальных состояний ИС. Основу таких средств должен составлять инструментарий моделирования произвольных состояний, требований КУД и правил ПБ.

ЗАКЛЮЧЕНИЕ

Основной задачей работы были анализ и моделирование правил ПБ современных ИС, с целью постановки задачи автоматизированной проверки выполнения правил ПБ.

В работе получены следующие основные результаты:

1. Рассмотрены основные методы моделирования контроля и управления доступом и политик безопасности.

2. Рассмотрен подход к проверке выполнения правил политик безопасности путем логического моделирования и вычисления предикатов.

3. Исследованы концептуальные модели подсистем контроля и управления доступом современных операционных систем.

В дипломной работе была рассмотрена первая фаза автоматизированной диагностики, т.е. моделирование начального состояния, требований модели КУД и ограничений. Рассмотренный подход позволил поставить задачу автоматизированного анализа выполнения правил ПБ. Для этого необходим инструментарий для генерации и проверки достижимых состояний.

СПИСОК ЛИТЕРАТУРЫ

1. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие Горячая Линия - Телеком * 2004

2. Windows 98/МЕ/2000/ХР:Книга + видеокурс (CD). Авторы: Комягин В.Б., ред. Издательство: Лучшие книги Г од выпуска: 2005

3. Linux. Справочник, К. Рейчард, П. Фолькердинг

4. Р.Петерсен, "LINUX: Руководство по операционной системе", Пер. с англ. С.М.Тимачева, под ред. М.В.Коломыцева. Киев, BHV, 1997,

5. Модели безопасности компьютерных систем. Учебное пособие для вузов. Девянин П. Н. Academia * 2005

Размещено на Allbest.ru