 |
7.3. аксиомы политики безопасности
|
|
|
|
Анализ опыта защиты информации, а также основных по- ложений субъектно-объектной модели позволяет сформулиро- вать несколько аксиом, касающихся построения политик без- опасности [10].
Аксиома 1. В защищенной информационной системе в любой момент времени любой субъект и объект должны быть иденти- фицированы и аутентифицированы.
Данная аксиома определяется самой природой и содержа- нием процессов коллективного доступа пользователей к ресур- сам. Иначе субъекты имеют возможность выдать себя за дру- гих субъектов или подменить одни объекты доступа на другие. Аксиома 2. В защищенной системе должна присутствовать активная компонента (субъект, процесс и т. д. ) с соответству- ющим объектом-источником, которая осуществляет управле- ние доступом и контроль доступа субъектов к объектам, — мо-
нитор или ядро безопасности.
Монитор безопасности — механизм реализации политики безопасности в информационной системе, совокупность ап- паратных, программных и специальных компонентов систе-
мы, реализующих функции защиты и обеспечения безопасно- сти (общепринятое сокращение — ТСВ — Trusted Computing Base).
В большинстве информационных систем можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь раз- деляемое на компоненту представления информации (фай- ловая система ОС, модель данных СУБД), компоненту досту- па к данным (система ввода–вывода ОС, процессор запросов СУБД) и надстройку (утилиты, сервис, интерфейсные компо- ненты) (рис. 7. 1).
| Субъекты |
| Ядро системы |
| Процессы |
| Объекты |
Рис. 7. 1. Незащищенная система
В защищенной системе появляется дополнительный ком- понент, обеспечивающий процессы защиты информации, пре- жде всего процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безо- пасности (разграничения доступа) (рис. 7. 2).
|
|
|
Субъекты
Ядро системы
Монитор безопасности
Процессы
Объекты
Рис. 7. 2. Защищенная система
С учетом нормативных требований по сертификации защи- щенных систем к реализации монитора безопасности предъяв- ляются следующие обязательные требования:
1. Полнота. Монитор безопасности должен вызываться при каждом обращении за доступом любого субъекта к любому объ- екту, и не должно быть никаких способов его обхода.
2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата работы.
3. Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешнетестируемым) на предмет вы- полнения своих функций.
4. Непрерывность. Монитор безопасности должен функ- ционировать при любых, в том числе и аварийных ситуациях. Монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие мо-
дели безопасности.
Аксиома 3. Для реализации принятой политики безопасно- сти, управления и контроля доступа субъектов к объектам необ- ходима информация и объект, ее содержащий.
Следствие 3. 1. В защищенной системе существует особая категория активных сущностей, которые не инициализиру- ют и которыми не управляют пользователи системы, — си- стемные процессы (субъекты), присутствующие в системе изначально.
Следствие 3. 2. Ассоциированный с монитором безопасно- сти объект, содержащий информацию о системе разграниче- ния доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной ин- формационной системе.
Следствие 3. 3. В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором без- опасности объекту — данным для управления политикой раз- граничения доступа.
|
|
|
Принципы, способы представления и реализация ассоци- ированных с монитором безопасности объектов определяют-
ся типом политики безопасности и особенностями конкрет- ной системы.
К настоящему времени разработано большое количество различных моделей безопасности, все они выражают несколь- ко исходных политик безопасности. При этом имеет значение критерий безопасности доступов субъектов к объектам, т. е. пра- вило разделения информационных потоков, порождаемых до- ступом субъектов к объектам, на безопасные и небезопасные. Система безопасна тогда и только тогда, когда субъекты не имеют возможностей нарушать (обходить) установленную
в системе политику безопасности.
Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре системы соот- ветственно является необходимым условием безопасности. Что касается условий достаточности, то они заключены в безопас- ности самого монитора безопасности.
|
|
|
