Останнім часом зріс інтерес до питань захисту інформації. Це пов'язують з тим, що стали більш широко використовуватися обчислювальні мережі, що призводить до того, що з'являються великі можливості для несанкціонованого доступу до переданої інформації. У літературі виділяють різні способи захисту інформації. Найбільш ефективними є криптографічні способи захисту інформації.

Питанню запобігання витоку інформації криптографічним шляхом приділяється велика увага. У всьому світі розробляються математичні методи, які дозволять кодувати повідомлення в умовах експлуатації у відкритих мережах. У теперішній час розвиток глобальної мережі Інтернет і супутніх технологій досяг такого високого і всеосяжного рівня, що нинішня діяльність будь-якого підприємства або установи в цілому і кожного користувача Інтернету в окремо, вже не мислима без електронної пошти, Web-реклами та Web-представництва, спілкування в режимі "он-лайн".

Розвиток засобів, методів і форм автоматизації процесів обробки інфopмaції масового використання ЕОМ різко підвищують вразливість інфopмaціі. B цих умовах виникає можливість несанкціонованого використання або модифікації інформації. Це викликає особливу занепокоєність користувачів, в зв'язку з чим захисту інформації від несанкціонованого доступу (читання) приділяється підвищена увага.

Цілком очевидна вразливість незахищених систем зв'язку, у тому числі обчислювальних мереж. Інформація, що циркулює в них, може бути незаконно змінена, викрадена, знищена. Останнім часом у засобах масової інформації з'явилася велика кількість сенсаційних повідомлень про факти несанкціонованих злочинних впливів на апаратуру обробки, зберігання і передачі інформації з нанесенням великої матеріальної шкоди. Небезпека несанкціонованих зловмисних дій в обчислювальних засобах і системах є досить реальною і з подальшим розвитком обчислювальної тexніки погроза пошкодження інфopмaціі, незважаючи на всі зусилля по її захисту, незмінно зростає. Bce це обумовлює необхідність поглибленого aнaлізу досвіду захисту інфopмaціі і комплексної організації методів і механізмів захисту.

1. Опис предметної галузі

1.1 Огляд існуючих технологій

Таблиця 1 - Матриця доступу

Кожна колонка в матриці може бути реалізована як список доступу для одного об'єкта. Очевидно, що порожні клітини можуть не враховуватися. В результаті для кожного об'єкта маємо список впорядкованих пар (суб'єкт, набір повноважень), який визначає всі суб'єкти з непорожніми наборами прав для даного об'єкта.

Якщо матрицю доступу зберігати по рядках, тобто кожен суб'єкт зберігає список об'єктів та для кожного об'єкта список допустимих операцій, то такий спосіб зберігання називається список можливостей.

Більшість операційних систем (Windows, Linux) і систем управління базами даних реалізує саме дискреційне управління доступом. Головна його перевага - гнучкість. Головні недоліки - розосередженість управління та складність централізованого контролю, а також відірваність прав доступу від даних, що дозволяє копіювати секретну інформацію в загальнодоступні файли.

1.2.3 Мандатне управління доступом

Мандатне управління доступом грунтується на зіставленні міток безпеки суб'єкта та об'єкта. Мітка суб'єкта визначає рівень його повноважень. Мітка об'єкта - ступінь його конфіденційності.

Мітки безпеки складаються з двох частин: рівня секретності і списку категорій. Рівні секретності, підтримувані системою, утворюють упорядковану безліч, яка може виглядати, наприклад, так:

– особливої важливості;

– цілком таємно;

– таємно;

– нетаємно.

Категорії утворюють неврегульований набір. Їх призначення полягає в описі наочної області, до якої відносяться дані. У військовій області кожна категорія може відповідати, наприклад, певного виду озброєнь. Механізм категорій дозволяє розділити інформацію "по відсіках", що сприяє кращій захищеності. Суб'єкт не може отримати доступ до "чужих категорій, навіть якщо його рівень повноважень - "цілком таємно". Головна проблема, яку необхідно вирішувати у зв'язку з мітками, - це забезпечення їх цілісності. По-перше, не повинно бути непомічених суб'єктів і об'єктів інакше в такій безпеки з'являться проломи, що легко використовуються. По-друге, при будь-яких операціях з даними мітки повинні залишатися правильними. Особливо це відноситься до експорту та імпорту даних. Наприклад, друкований документ повинен відкриватися заголовком, яке містить текстове або графічне представлення мітки безпеки. Аналогічно, при передачі файлу по каналу зв'язку повинна передаватися і асоціюють з ним мітка, причому в такому вигляді, щоб віддалена система могла її проінтерпретувати, незважаючи на можливі відмінності в рівнях секретності і наборі категорій.

Мітки безпеки суб'єктів більш рухливі, ніж мітки об'єктів. Суб'єкт може під час сеансу роботи з системою змінювати свою позначку, не виходячи за виділені для нього рамки. Іншими словами, він може свідомо занижувати свій рівень повноважень, щоб зменшити вірогідність ненавмисної помилки. Суб'єкт може читати інформацію з об'єкта, якщо рівень секретності суб'єкта не нижче, ніж в об'єкта, а всі категорії, перераховані в мітці безпеки об'єкта, присутні в мітці суб'єкта. У такому випадку говорять, що мітка суб'єкта домінує над міткою об'єкта.

Суб'єкт може записувати інформацію в об'єкт, якщо мітка безпеки об'єкта домінує над міткою суб'єкта. Зокрема, "конфіденційний суб'єкт" може писати в секретні файли, але не може - в несекретні (повинні також виконуватися обмеження на набір категорій). Ні за яких операціях рівень секретності інформації не повинен знижуватися, хоча зворотний процес цілком можливий. Описаний спосіб управління доступом називається примусовим, оскільки він не залежить від волі суб'єктів (навіть системних адміністраторів).

Примусове управління доступом реалізовано у багатьох варіантах операційних систем з підвищеними заходами безпеки. Незалежно від практичного використання принципи примусового управління є зручними методологічним базисом для початковій класифікації інформації та розподілу прав доступу.

Класична мандатна модель Белла-ЛаПадули

Класична модель Белла-Лападула побудована для аналізу систем захисту, що реалізують мандатну (повноважне) розмежування доступу.

Модель заснована на правилах секретного документообігу, прийнятих у державних та урядових установах багатьох країн. Основним положенням моделі є, призначення всім учасникам процесу обробки інформації, що захищається, в яких міститься спеціальні мітки (таємно, цілком таємно і т.д.) отримала назву - рівень безпеки. Рівень безпеки - певне доповнення до суб'єктів і об'єктів, що визначає можливість їх взаємодії. В об'єкта тільки один рівень безпеки. Рівень безпеки суб'єкта ділиться на 2 частини:

Рівень доступу визначає можливість доступу суб'єкта до певного класу інформації: Абсолютно секретно>секретно>конфіденційно>для загального користування. Суб'єкт з високим рівнем доступу має доступ до всіх наступних рівнів доступу.

Категорії доступу - можливі області доступу, на відміну від рівнів доступу суб'єкт може володіти кількома категоріями доступу з наявних і не має доступу до інших категорій.

В рамках моделі розглядаються найпростіші операції доступу суб'єктів до об'єктів READ і WRITE, на які накладаються обмеження. Безлічі суб'єктів і об'єктів впорядковані відповідно до їх рівнем безпеки. У безлічі суб'єктів можуть бути присутніми довірені суб'єкти, які не підпорядковуються обмеженням на операції READ і WRITE. У такому разі модель носить назву моделі довірених суб'єктів.

Довірений суб'єкт - це суб'єкт всі операції якого вважаються завідомо

безпечними.

Такому суб'єкту дозволено читати і записувати будь-який об'єкт незалежно від рівня його секретності. Суб'єкти, які не належать жодній з груп, мають право на повний доступ.

Всі рівні безпеки засновані на принципі домінування. Контроль доступу здійснюється в залежності від рівня безпеки взаємодіючих сторін на підставі 2 простих правил:

– уповноважена особа (суб'єкт) має право читати тільки ті документи, рівень безпеки яких не перевищує його власний рівень безпеки (допуск);

– уповноважена особа (суб'єкт) має право заносити інформацію, тільки в ті документи, рівень безпеки яких не нижче його власного рівня безпеки.

В цілому модель Белла-ЛаПадули стала першою значною моделлю політики безпеки, яка застосована для комп'ютерів, і до цих пір в зміненому вигляді застосовується у військовій галузі. Модель повністю формалізована математично. Основний наголос в моделі робиться на конфіденційність.

Модель Біба

Подальшим розширенням моделі Белла - ЛаПадули стала модель Біба, розроблена в 1977 році. Метою створення моделі стало додавання в модель Белла - ЛаПадули цілісності. Завдання було реалізовано шляхом додавання до суб'єктів і об'єктів рівня цілісності та заборони спілкування суб'єктів і об'єктів різних рівнів. Для додаткового управління цілісністю введені понижуючі водяні знаки (порушують заборону на спілкування):

Якщо суб'єкт читає об'єкт більш низького рівня, то його рівень цілісності знижується до рівня цілісності об'єкта.

Якщо суб'єкт доповнює об'єкт більш високого рівня, то рівень цілісності об'єкта знижується до рівня цілісності суб'єкта.

Модель не тільки несе в собі переваги і недоліки моделі Белла - ЛаПадули, а й додає власні. Основний недолік моделі полягає в тому, що введення рівнів цілісності тільки обмежує можливості доступу суб'єктів до об'єктів, створюючи або значну ізоляцію між рівнями цілісності, або після визначення рівнів цілісності цей рівень може тільки знижуватися, що саме по собі позбавляє його керованості, і як наслідок функціональності. Область застосування моделі Біба так само не виходить за межі військових організацій.

Модель безпеки військової системи передачі даних

Суб'єкти можуть виконувати спеціалізовані операції над об'єктами складної структури. У моделі присутній адміністратор безпеки для управління доступом до даних і пристроєм глобальної мережі передачі даних. При цьому для управління доступом використовуються матриці контролю доступу. В рамках моделі використовуються операції доступу суб'єктів до об'єктів READ, WRITE, DELETE, операції над об'єктами специфічної структури, а також можуть з'являтися операції, спрямовані на специфічну обробку інформації. Стан системи змінюється за допомогою функції трансформації.

Модель Кларка-Вілсона

Десять років опісля була розроблена модель Кларка-Вілсона, що забезпечує вимогу цілісності більш практичним методом. У 1993 році модель була розширена і включила в себе поділ обов'язків. Основною областю застосування даної моделі є комерція, зокрема банківська справа.

В основі концепції моделі коштують 2 принципи:

– Внутрішня цілісність - властивості внутрішнього стану системи, що досягаються за допомогою "Правильних угод".

– Зовнішня цілісність - взаємодія внутрішнього стану системи з зовнішньому світом, реалізована за допомогою розділення обов'язків.

Модель реалізована за допомогою набору правил, і, на відміну від попередніх моделей, не є математично формалізованої моделлю. Також суб'єкти тепер не мають прямого доступу до об'єктів, між суб'єктом і об'єктом знаходиться "шар" програм, які має доступ до об'єктів. Контроль за доступом до системи є вільним.

Контроль за доступом до даних розділений на 2 групи:

– Визначаються операції доступу, які можна робити над кожним типом даних (тільки певний набір програм має доступ до певних об'єктів).

– Визначаються операції доступу, які можуть бути вироблені певним суб'єктом (суб'єкт має доступ тільки до певного набору програм).

Всі дані в моделі Кларка-Вілсона розділені на 2 класи:

– Необхідний елемент даних (CDI).

– Спонтанний елемент даних (UDI).

Далі встановлюється набір правил, що регулюють взаємодію з обома типами даних:

– Всі початкові процедури перевірки (IVP) повинні переконатися в тому, що всі CDI знаходяться в достовірному стані під час роботи IVP.

– Всі процедури зміни (TP) повинні бути сертифіковані, щоб бути достовірними, тобто всі достовірні CDI повинні переходити в достовірні CDI, причому кожна процедура зміни мають право на доступ тільки до певного набору CDI.

– Правила доступу повинні задовольняти всім вимогам розподілу обов'язків.

– Всі процедури зміни повинні бути записані в доступний тільки-на-додавання журнал.

– Будь-яка процедура зміни, що отримала на вхід UDI повинна або перетворити його в CDI, або скасувати операцію.

Цей набір правил дозволяє забезпечити роботу з даними в такому режимі, коли повністю забезпечена безпека та підзвітність переходів в системі. Головне досягнення цих правил в порівнянні з моделлю Біба - поділ процедур з перевірки цілісності та процедур зміни. Дозволяє запобігти або виправити більшість нелегальних дій, скоєних зсередини комерційної організації.

Для посилення захисту в модель Кларка-Вілсона був введений ще один набір правил:

– Система повинна підтримувати і захищати список (Tpi: CDIa, CDIb,.), сопоставляющий TP і CDI і сертифікуючий доступ до них.

– Система повинна підтримувати і захищати список (UserID, Tpi: CDIa, CDIb,.), визначає, які TP користувач може виконувати.

– Система повинна автентифікувати кожного користувача, що запитує виконання процедури зміни.

– Тільки допущений до сертифікації правил доступу для TP суб'єкт може змінювати відповідні записи в списку. Цей суб'єкт не повинен мати прав на виконання даного TP.

Це зведення правил забезпечує додатковий захист для процедур зміни.

Незважаючи на видиму відсутність недоліків модель Кларка-Вілсона часто не може бути реалізована в житті в повному обсязі через відсутність єдиної математичної моделі. Основна складність полягає в неможливості точного зіставлення реальної системи правил роботи банку значного розміру з моделлю, оскільки в моделі не закладені методи реалізації наборів правил.

Модель "Китайська стіна"

У 1989 році Бювером і Нешем була розроблена модель "Китайська стіна", спочатку замислювалася як протилежність Белла - ЛаПадули подібним моделям, але надалі це твердження було спростовано. Основна область застосування моделі - фінансові аналітичні організації, для яких важливо уникнути конфлікту інтересів.

Модель складається з наступних компонентів:

– Суб'єкти - аналітики.

– Об'єкти - дані на одного клієнта.

– Набір даних компанії - ставить у відповідність кожному об'єкту його набір даних компанії.

– Класи конфлікту інтересів - компанії - суперники (приєднуються до кожного об'єкту конфліктуючих компаній).

– Теги - набір даних компанії і класи конфлікту інтересів.

– Оздоровляюча інформація - не має обмежень до доступу.

– Властивості:

– Властивість простої безпеки: доступ дозволяється, якщо тільки об'єкт вільний, тобто тільки якщо всі намагаються отримати доступ об'єкти належать до одного набору даних компанії або якщо не належать до одного класу конфлікту інтересів.

– '*'-властивість: суб'єкту буде заборонений доступ на запис до об'єкту тільки якщо у нього немає доступу на читання будь-якого іншого об'єкту, який знаходиться в іншому наборі даних компанії і нездоровий.

Ці властивості дозволяють уникнути прямої участі аналітичної організації в конфліктах компаній їх клієнтів, але допускають непряме участь: відомості про певний об'єкт можуть послідовно оновлювати (за рахунок своєї інформації) компанії - суперники, але в цьому вже не буде провини аналітичної компанії. Контроль за доступом до системи є посередником між класичними DAC і MAC.

В цілому модель орієнтована на реалізацію в дуже окремому випадку (забезпечення захисту від одночасного доступу до даних) і не претендує на значну спільність, але в достатньо повною мірою реалізує закладені в неї вимоги в життя.

Модель Гогена-Мезігера

Модель Гогена-Мезігера, представлена ними в 1982 році, заснована на теорії автоматів. Відповідно до неї система може при кожній дії переходити з одного стану дозволеного тільки в дещо інших. Суб'єкти і об'єкти в даній моделі захисту розбиваються на групи - домени, і перехід системи з одного стану в інший виконується тільки відповідно до так званої таблицею дозволів, в якій вказано які операції може виконувати суб'єкт, скажімо, з домену C над об'єктом з домену D. У даній моделі при переході системи з одного стану в інший дозволеного використовуються транзакції, що забезпечує загальну цілісність системи.

Сазерлендська модель захисту

Сазерлендська модель захисту, опублікована в 1986 році, робить акцент на взаємодії суб'єктів і потоків інформації. Так само як і в попередній моделі, тут використовується машина станів з безліччю дозволених комбінацій станів і деяким набором початкових позицій. У даній моделі досліджується поведінка множинних композицій функцій переходу з одного стану в інший.

Модель елементарного захисту

Предмет захисту поміщений в замкнуту і однорідну захищену оболонку, звану перешкодою. Інформація з часом починає застарівати, тобто ціна її зменшується. За умова достатності захисту приймається перевищення витрат часу на подолання перешкоди порушником над часом життя інформації. Вводяться ймовірність не подолання перешкоди порушником Pсзі, ймовірність обходу перешкоди порушником Pобх і ймовірність подолання перешкоди порушником за час, менший часу життя інформації Pхр.

Для введеної моделі порушника показано, що Pсзі = min [ (1 - Pобх), (1 - Pхр)], що є ілюстрацією принципу найслабшої гілки. Розвиток моделі враховує ймовірність відмови системи і ймовірність виявлення і блокування дій порушника.

Модель гарантовано захищеної системи обробки інформації

В рамках моделі функціонування системи описується послідовністю доступів суб'єктів до об'єктів. Безліч суб'єктів є підмножиною множини об'єктів. З безлічі об'єктів виділено безліч загальних ресурсів системи, доступи до яких не можуть привести до витоку інформації. Всі інші об'єкти системи є породженими користувачами, кожен користувач належить безлічі породжених їм об'єктів. За умови, що в системі існує механізм, який для кожного об'єкта встановлює його породив користувача; що суб'єкти мають доступ тільки загальних ресурсів системи і до об'єктів, породжених ними, і за відсутності обхідних шляхів політики безпеки, модель гарантує неможливість витоку інформації і виконання політики безпеки.

Суб'єктно-об'єктна модель

В рамках моделі всі питання безпеки описуються доступами суб'єктів до об'єктів. Виділено безліч об'єктів О = {Оi} і безліч суб'єктів S = {Si}. Суб'єкти породжуються тільки активними компонентами (суб'єктами) з об'єктів. З кожним суб'єктом пов'язаний (асоційований) деякий об'єкт (об'єкти), тобто стан об'єкта впливає на стан суб'єкта. У моделі присутня спеціалізований суб'єкт - монітор безпеки суб'єктів (МБС), який контролює породження суб'єктів. Показано необхідність створення і підтримки ізольованою програмного середовища.

1.3 Опис проблем захисту інформації