Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи
Розглянуто питання моделювання захищеної інформаційно-телекомунікаційної системи (ІТС). Наведено приклади використання доказового методу для проектування та оцінки рівня захищеності ІТС залежно від політики безпеки, що застосовується....
Saved in:
| Date: | 2007 |
|---|---|
| Main Authors: | , |
| Format: | Article |
| Language: | Ukrainian |
| Published: |
Інститут програмних систем, журнал "Проблеми програмування"
2007
|
| Subjects: | |
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/303 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи / А.О. Антонюк, В.В. Жора // Пробл. програмув. — 2007. — N 3. — С. 88-96. — Бібліогр.: 14 назв. — укp. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859906905651019776 |
|---|---|
| author | Антонюк, А.О. Жора, В.В. |
| author_facet | Антонюк, А.О. Жора, В.В. |
| citation_txt | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи / А.О. Антонюк, В.В. Жора // Пробл. програмув. — 2007. — N 3. — С. 88-96. — Бібліогр.: 14 назв. — укp. |
| collection | DSpace DC |
| description | Розглянуто питання моделювання захищеної інформаційно-телекомунікаційної системи (ІТС). Наведено приклади використання доказового методу для проектування та оцінки рівня захищеності ІТС залежно від політики безпеки, що застосовується.
|
| first_indexed | 2025-12-07T16:00:14Z |
| format | Article |
| fulltext |
Захист інформації
© А.О. Антонюк, В.В. Жора, 2007
88 ISSN 1727-4907. Проблеми програмування. 2007. № 3
УДК 681.3.06
А.О. Антонюк, В.В. Жора
ВИКОРИСТАННЯ ДОКАЗОВОГО МЕТОДУ ДЛЯ
ПРОЕКТУВАННЯ ТА ОЦІНКИ РІВНЯ ЗАХИЩЕНОСТІ
ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНОЇ СИСТЕМИ
Розглядаються питання моделювання захищеної інформаційно-телекомунікаційної системи. Наводять-
ся приклади використання доказового методу для проектування та оцінки рівня захищеності інформа-
ційно-телекомунікаційної системи в залежності від політики безпеки, що застосовується.
Вступ
Практичній роботі з впровадження
комплексної системи захисту інформації
(КСЗІ) в інформаційно-телекомунікаційній
системі (ІТС) або побудови ІТС з інтегро-
ваними засобами захисту передує аналіз
поточного стану безпеки інформації шля-
хом проведення комплексного обстеження
ІТС, висунення вимог до рівнів і техноло-
гій захисту, що зазвичай знаходять своє
відображення у технічному завданні. Од-
ним з найважливіших елементів цієї діяль-
ності є побудова імітаційної моделі ІТС,
що включає в себе виділення і класифіка-
цію об’єктів системи, а також моделюван-
ня інформаційних потоків між ними.
Ефективним апаратом, що дозволяє
спростити і покращити проектування сис-
теми захисту інформації, є доказовий ме-
тод. Суть його полягає в комбінуванні апа-
рата формальної логіки і об’єктного моде-
лювання для оцінки несуперечливості
сформованої моделі ІТС і додаткових умов
її функціонування, формалізованих у ви-
гляді тверджень політики безпеки. Схема-
тично алгоритм застосування даного мето-
ду можна зобразити у вигляді таких етапів:
• виділення в ІТС об’єктів-
користувачів, об’єктів-процесів і пасивних
об‘єктів [1, 2], їх наступна класифікація і
структурування;
• моделювання інформаційних потоків
між об‘єктами ІТС із зазначенням типу до-
ступу для кожного потоку;
• формулювання умов функціонування
ІТС і функціональних послуг захисту за
допомогою формалізму, що використову-
ється для моделювання ІТС;
• формулювання у вигляді правил по-
ложень політики безпеки;
• доведення тверджень про виконання
політики безпеки в даній системі за умов
гарантованого виконання функціональних
послуг.
1. Загальні положення
Нехай Х – деякий скінченний алфа-
віт, Х – множина слів скінченної довжини
в алфавіті Х. Вважаємо, що в Х певним чи-
ном виділено підмножину слів, яку назве-
мо мовою L. Також вважаємо, що будь-яка
інформація в ІТС представлена у вигляді
слова чи послідовності слів з L [3].
Об’єктом в моделі ІТС будемо на-
зивати довільну скінченну множину слів
мови L. Для різних компонентів ІТС
об’єкти можуть відрізнятися логічним
(зміст, семантика, значення) та фізичним
(форма, синтаксис) представленнями. Під
об’єктом ІТС будемо розуміти елемент ре-
сурсу ІТС, що характеризується певними
атрибутами і поводженням. Для кожного
об’єкта визначимо множину слів, що його
описують. Під станом об’єкта будемо
розуміти виділене слово з цієї мно-
жини. Множину станів об’єкта буде
визначено далі.
Вважаємо, що ІТС являє собою су-
купність об’єктів. Функціонально узго-
джену групу об’єктів назвемо компонен-
том ІТС. Приймемо також основні поло-
ження, на яких базується модель ІТС:
• в захищеній ІТС завжди присутній
активний компонент чи декілька компоне-
нтів, що виконує функцію контролю за
операціями між об’єктами і фактично від-
Захист інформації
89
повідає за реалізацію певної політики
безпеки;
• для здійснення операцій з об’єктами
в захищеній ІТС необхідна додаткова ін-
формація (і наявність відповідного об’єкта,
що її містить) про дозволені та заборонені
операції;
• функціонування ІТС і питання ІБ
описуються послідовностями доступів од-
них об’єктів до інших;
• об’єкти в ІТС можуть бути породже-
ні тільки активним компонентом (актив-
ним об’єктом) з інших (пасивних) об’єктів;
• властивість деякого компонента ІТС
бути активним реалізується у можли-
вості здійснення певних операцій об’єк-
тів, що входять до складу компонента,
над іншими.
Визначимо модель ІТС наступним
чином. Нехай час є дискретним та приймає
значення з множини N0 = {0,1,2,…}. Оскі-
льки зміна станів об’єктів відбувається
дискретно, то можна вести мову про від-
повідність зміни стану системи ряду нату-
ральних чисел (для зручності починаємо
відлік з нульового моменту часу). Очевид-
но, що в сенсі реального часу проміжки
між подіями в ІТС можуть бути різної
протяжності.
Нехай всю інформацію про ІТС в
будь-який момент часу можна представити
у вигляді набору станів скінченної множи-
ни об’єктів, тобто стан ІТС – це набір ста-
нів об’єктів. Під час роботи системи
об’єкти як видозмінюються, так створю-
ються і знищуються, тому слід розглядати
множину об’єктів в конкретний момент
часу t. Позначимо її Mt, | Mt |<∞ (t∈N0).
Зауважимо також, що в довільний момент
часу ця множина не є порожньою.
Структура множини об’єктів визна-
чається таким чином. Нехай U – множина
об’єктів-користувачів, P – множина
об’єктів-процесів, O – множина пасивних
об’єктів. Надалі будемо називати їх відпо-
відно множинами користувачів, процесів
та пасивних об’єктів. Зрозуміло, що пере-
лічені множини теж мають сенс в конкрет-
ний момент часу. Отже,
Mt = Ut ∪ Pt ∪ Ot , ∀ t∈ N0. (1)
Окремі об’єкти будемо позначати
так: Ui∈U, i=1,…,nU; Pj∈P, j=1,…,nP;
Ok∈O, k=1,…,nO. Будемо вважати, що де-
композиція ІТС є фіксованою. Іншими
словами, існує деякий критерій, що дозво-
ляє в будь-який момент часу безпомилково
відносити об’єкт до однієї з трьох наведе-
них множин. Основною ознакою, що кла-
сифікує об’єкти в системі, є властивість їх
активності. Ця властивість, а також і самі
множини об’єктів, описані в [1].
Як було відмічено раніше, актив-
ність означає можливість виконання опе-
рацій над об’єктами. Серед трьох типів
об’єктів активними можуть бути лише ко-
ристувачі та процеси. Таким чином, понят-
тя суб’єкта, що використовується в
суб’єктно-об’єктній моделі [3], замінюєть-
ся поняттями користувача та процесу.
Під користувачем розуміємо
об’єкт, що містить або має доступ до інфо-
рмації про фізичну особу, яка, в свою чер-
гу здійснює вплив на ІТС. Об’єкт-
користувач активізується у процесі вхо-
дження фізичного користувача в систему.
Інакше кажучи, фізичному користувачеві в
ІТС відповідає деякий активний об’єкт, що
діє від його імені та володіє його повнова-
женнями. Фізичний користувач сприймає
об’єкти та отримує інформацію через
об’єкти, якими керує і/або які відобража-
ють інформацію у зручному для нього ви-
гляді. В момент проходження процедур
ідентифікації, автентифікації, авторизації
та реєстрації об’єкт-користувач активізує
компонент, що містить дані про ідентифі-
катори і повноваження в ІТС фізичного
користувача. Таким чином, користувач
може існувати лише в активному стані. Він
створюється під час активізації цього ком-
понента (в даному випадку ряду процесів),
тобто на початку сеансу, а наприкінці сеа-
нсу знищується. Крім цього, протягом сеа-
нсу користувач може активізовувати інші
процеси. В початковий момент часу має
існувати принаймні один активний об’єкт
(користувач). Для зручності назвемо його
системою.
Процеси – це об’єкти, які реалізу-
ють певні перетворення інформації в КС.
Для реалізації цього перетворення необ-
хідно виділити певні ресурси і організува-
Захист інформації
90
ти їх взаємодію, що призводить до пере-
творення інформації. Це означає, що
об’єкт-процес може знаходитися в двох
станах: пасивному (у формі опису пере-
творення інформації) і активному. Як при-
клад можна навести виконуваний файл,
що в пасивному стані являє собою набір
символів, а в активному – здійснює пере-
творення інформації. Зазначимо, що
об’єкт-процес в пасивному стані володіє
всіма властивостями пасивного об’єкта,
але до цієї множини не включається, оскі-
льки на відміну від пасивного об’єкта мо-
же бути активізований.
Під пасивним об’єктом, або просто
об’єктом, в загальному випадку будемо
розуміти певні структуровані дані. Об’єкт
може знаходитися лише в пасивному стані.
Зауважимо, що загрози інформації
ми розглядаємо як такі, що спричиняються
дією активного компонента (активних
об’єктів). В активному режимі компоненти
ІТС можуть створювати об’єкти і/або ста-
ни системи, що являють загрозу інформа-
ції і/або працездатності системи.
Доступ одного об’єкта до іншого
завжди реалізується шляхом обміну інфо-
рмацією, тобто породженням потоку інфо-
рмації між об’єктами і/або зміною стану
системи. Потоком інформації між
об’єктами Oi та Oj називається [4] довільна
операція над Oj, що реалізується деяким
активним об’єктом (користувачем або
процесом) і залежить від Oi. Однак, в реа-
лізації потоку безпосередньо приймають
участь два об’єкти: активний об’єкт-
ініціатор та інший активний об’єкт, або
активний об’єкт-ініціатор і пасивний
об’єкт (процес). Виходячи з цього, досту-
пом одного об’єкта до іншого назвемо по-
родження потоку інформації між ними. В
процесі доступу беруть участь теж два
об’єкти: один – який звертається за досту-
пом, другий – до якого надається дозвіл на
доступ. При породженні потоку інформації
процесом останній спочатку отримує до-
звіл, наприклад, на читання з одного паси-
вного об’єкта, а потім отримує дозвіл на
запис до другого пасивного об’єкта. Оче-
видно, з точки зору системного часу, ці
події не є одночасними.
Нехай А – множина всіх видів до-
ступів, що дозволені в системі, | А |<∞.
Процес доступу виду a об’єкта Pi до
об’єкта Oj позначається j
a
i OP → , а∈А
[3]. Серед різноманітних видів доступу
доцільно виділити декілька: читання,
яке будемо позначати r; запис – w;
активізацію – act.
В роботі [5] запропоновано наступ-
ну структуру множини доступів. Множина
всіх інформаційних потоків поділяється на
декілька підмножин: підмножина, яка по-
в'язана з доступом для ознайомлення з ін-
формацією; підмножина, що пов’язана з
можливістю модифікації інформації; під-
множина потоків спостереження за проце-
сами обробки інформації. На основі такого
поділу можна визначити аналогічний поділ
множини всіх можливих доступів до інфо-
рмації. Отже,
А = А1 ∪ А2 ∪ А3, (2)
де А1 – множина доступів, за якими мож-
ливе ознайомлення з інформацією; А2 –
множина доступів, за якими можлива мо-
дифікація інформації; А3 – множина
доступів, за якими можливе спостере-
ження за обробкою інформації. До цієї
множини ми включаємо також доступ на
активізацію.
Визначимо, які саме об’єкти мо-
жуть отримувати доступи в ІТС. Як вище-
зазначено, у доступі беруть участь лише
два об’єкти.
• PUj
a
i njniPU ,...,1 ;,...,1 , ==→ ,
а∈А – доступ користувача до процесу;
• PPj
a
i njniPP ,...,1 ;,...,1 , ==→ ,
а∈А – доступ процесу до процесу;
• OPj
a
i njniOP ,...,1 ;,...,1 , ==→ ,
а∈А – доступ процесу до об’єкта.
Зауважимо, що протягом певного
інтервалу часу [t, t+n], n ≥ k може бути
реалізована ціла послідовність доступів,
наприклад:
,...
1
m
r
kj
act
act
j
act
j
act
i
OP
PPU
→→
→→→
+
+ K
Захист інформації
91
або скорочено m
r
i OU *→ , де зірочка
вказує на те, що мав місце ланцюжок до-
ступів. Згідно з наведеними міркуваннями,
до типових доступів також можна віднести
такі ланцюжки:
• PUj
a
i njniPU ,...,1 ;,...,1 ,* ==→ , а∈А;
• OUj
a
i njniOU ,...,1 ;,...,1 ,* ==→ , а∈А;
• PPj
a
i njniPP ,...,1 ;,...,1 ,* ==→ , а∈А;
• OPj
a
i njniOP ,...,1 ;,...,1 ,* ==→ , а∈А.
Якщо об’єкт-процес Рі вже активі-
зований в деякий момент часу t, то зрозу-
міло, що в один з попередніх моментів ча-
су t-k (t, k∈N0, t ≥ k) мав існувати об’єкт
(користувач або процес), що його активі-
зував. Припустимо, що цей об’єкт єдиний.
На практиці, єдиність активізуючого
об’єкта забезпечується унікальністю його
ідентифікатора. Будемо вважати, що в мо-
мент t = 0 активізований виділений корис-
тувач U0 , якому умовно дамо назву
система.
З вищенаведених міркувань випли-
ває твердження.
Твердження 1. Якщо в даний момент t
активізовано об’єкт-процес Рі , то існує
єдиний користувач Uj , від імені якого він
активізований, тобто існує ланцюжок
.,... 1
1
kiPP
PPU
i
act
i
act
act
ki
act
ki
act
j
≥→→
→→→
−
+−− K
Згідно з припущенням, існує чи іс-
нував єдиний об’єкт Рі-1, що активізував Рі.
Якщо Uj = Pi-1, то твердження доведено.
Якщо Uj ≠ Pi-1, i=1,…,nP, то існує чи існу-
вав єдиний об’єкт Рі-2, що активізував Pi-1 і
т.д. За індукцією прийдемо до того, що
процес Pi-k був активізований або певним
користувачем, або “системою”. Єдиність
активізуючого користувача забезпечується
дискретністю системного часу. Припусти-
мо, що процес Pi-k був активізований одно-
часно двома користувачами U1 та U2. Це
означає, що обидва ці користувачі в один і
той же момент часу здійснили доступ до
процесу Pi-k, що неможливо, оскільки дис-
кретизація часу обумовлюється зміною
станів об’єктів системи.
З твердження випливає, що для ко-
жного t∈N0 в ІТС для кожного користува-
ча Ui існує і визначена множина Dt(Ui) –
об’єкти, до яких користувач Ui може отри-
мати доступ в момент t+k, k∈N0. Позначи-
мо її таким чином:
{ }
{ } ,*
*)(
k
a
ik
j
a
ijit
OUO
PUPUD
→
→=
U
U
а∈А, i=1,…,nU ; j=1,…,nP ; k=1,…,nO.
Dt(Ui) назвемо множиною об’єктів, асоці-
йованих з Ui, I
i
)( itt UD=X – множиною
ресурсів спільного доступу, а множину
U
i
itt UD )(* =X – загальними ресурсами
ІТС.
Нехай процедура породження
об’єкта є такою, що створений об’єкт
отримує ім’я, що дозволяє унікальним чи-
ном ідентифікувати його в системі. З мно-
жини Xt
* загальних ресурсів системи виді-
лимо множину об’єктів, які породив кори-
стувач Ui і позначимо її Wt(Ui).
2. Застосування в умовах дискреційної
політики безпеки
Особливість дискреційної політики
полягає в тому, що керування доступом
користувачів до інших об’єктів здійсню-
ється на підставі атрибутів асоційованості
(приналежності). Для більш точного ви-
значення дискреційної політики зробимо
припущення про єдиність породжуючого
користувача: нехай для кожного Оj∈Xt
*,
такого, що Оj∉Xt, для кожного t∈N0, існує
єдиний користувач Ui такий, що Оj∈Wt(Ui).
Вважаємо, що Wt(Ui)∩Xt = ∅, тобто якщо
користувач створює об’єкт у множині ре-
сурсів спільного доступу, то ідентифіка-
тор, що свідчить про породження цього
об’єкта певним користувачем, відсутній.
Припустимо, що в ІТС присутній
деякий активний компонент, що в кожний
момент часу однозначно визначає множи-
ну Dt(U) для кожного користувача, – дис-
петчер доступу (ДД) [1, 2]. Фактично цей
компонент відповідає за реалізацію деякої
політики безпеки [1, 3]. Детально власти-
Захист інформації
92
вості диспетчера доступу описані в [6, 7].
Вважаємо головною властивістю ДД таку:
він має контролювати всі потоки, тобто
обхідні шляхи політики безпеки мають бу-
ти відсутніми (неможливість доступу до
об’єктів без участі ДД). В даному випадку
ДД надає доступ до об’єктів згідно насту-
пної політики безпеки.
Політика безпеки 1. Нехай мав мі-
сце ланцюжок доступів PU act *→ . До-
ступ OP a→ , а∈А в деякий момент часу
t∈N0 може відбутися лише за умов
O∈Wt(U) або О∈Xt.
Визначимо канали реалізації загроз
[6, 8]:
∃t∈N0, ∃а∈А, ∃Ui∈Ut, ∃O∈Ot, OU a
i *→ ,
О∈Wt(Uj), i≠j; і, j =1,…,nU. (3)
Вважаємо також, що жодний до-
ступ до об’єктів з множини Xt не створює
канал реалізації загрози. Зауважимо, що в
даному випадку йдеться про загрози кон-
фіденційності та цілісності, визначення
яких наведено в [6].
Теорема 1. Якщо всі доступи здійс-
нюються у відповідності до політики без-
пеки, то канали реалізації загроз є пере-
критими.
Припустимо, що має місце канал
реалізації загрози (3). Це означає, що в t-й
момент часу відбувається несанкціонова-
ний доступ (НСД) а∈А деякого процесу Р
до об’єкта О: OP a→ . Тоді, можливі три
варіанти:
1. P∈Xt ;
це фактично означає, що P∈ Dt(Uk),
∀k. Доступ (3) вказує на те, що
PU act
i *→ . Тоді, згідно з політикою без-
пеки, або О∈Xt, а це не створює каналу
реалізації загрози, або O∈Wt(Ui), тобто до-
ходимо до протиріччя в силу припущення
про єдиність породжуючого користувача
та твердження 1.
2. P∈ Dt(Uj), j =1,…,nU ; P∉Xt ;
тоді, { }PUPP a
j *→∈ . Умова ак-
тивності процесу означає, що PU act
i *→ .
Тобто, { }PUPP a
i *→∈ . Оскільки P∉Xt
та в силу твердження 1 про єдиність акти-
візуючого користувача отримуємо, що Ui
= Uj, тобто i=j.
3. P∈ Dt(Ui), i≠j; і, j =1,…,nU ;
P∉Xt ;
в силу твердження 1 про єдиність
активізуючого користувача, PU act
i *→ .
У відповідності до політики безпеки,
O∈Wt(Ui). Проте, згідно припущення, існує
єдиний користувач Uj такий, що О∈Wt(Uj).
Отримані протиріччя доводять теорему.
Розглянемо стандартні функціона-
льні послуги захисту, що можуть надавати-
ся в ІТС, згідно [9]. Серед наявних і визна-
чених у [6] послуг захисту доцільно навес-
ти властиві для ІТС класу 1 (за класифіка-
цією [10]).
1. Довірча конфіденційність:
2. Повторне використання об’єктів:
!∃О∈О: якщо OU a
i *→ в момент
t∈N0, а∈А, то OU a
j *→ в момент t+k,
i≠j, якщо O(t) = O(t+k) та за умови О∉Xt.
3. Довірча цілісність:
4. Реєстрація.
5. Ідентифікація та автентифікація.
6. Достовірний канал.
7. Цілісність комплексу засобів
захисту.
Проаналізувавши наведені послуги,
помітимо, що 1 – 3 виконуються за умови
виконання політики безпеки. Решта послуг
є внутрішніми властивостями системи ДД і
покликані забезпечити виконання політики
безпеки.
Теорема 2. Якщо в системі справе-
дливе твердження 1, виконується припу-
щення про єдиність породжуючого корис-
∈∈⇒
⇒∈→∈
∈
⇔
⇔∈→
−
)4(.,),(
),*(),(
),(
,*
02
211
2
12
N
A
A
ktUDO
aOUUWO
UDO
aOU
t
a
kt
t
a
∈∈⇒
⇒∈→∈
∈
⇔
⇔∈→
−
)5(.,),(
),*(),(
),(
,*
02
211
2
22
N
A
A
ktUDO
aOUUWO
UDO
aOU
t
a
kt
t
a
Захист інформації
93
тувача, присутній ДД, що характеризуєть-
ся головною властивістю, та діють послуги
4–7, то виконується дискреційна політика.
Потрібно довести, що за умови реа-
лізації ланцюжка доступів PU act *→ до-
ступ OP a→ , а∈А в деякий момент часу
t∈N0 може відбутися лише за умов
O∈Wt(U) або О∈Xt. Згідно твердження 1,
якщо відбувся доступ PU act *→ , то ко-
ристувач U єдиний. Також, якщо об’єкт
О∉Xt, то існує єдиний користувач U*, що
O∈Wt(U*)⊂Dt(U*). Якщо ж О∈Xt, то за
визначенням множини Xt, О∈Dt(U), ∀U.
Якщо в ІТС реалізовані послуги 4 – 7, тоб-
то реєстрація, ідентифікація/автентифі-
кація, достовірний канал та цілісність ком-
плексу засобів захисту, то ДД однозначно
може визначити приналежність об’єкта до
тієї чи іншої множини. Якщо U=U*, то
природно O∈Dt(U). Якщо U≠U*, то ДД пе-
ревірить атрибути доступу, що містяться в
списку доступу. Тоді, якщо O∉Wt(U) та
О∉Xt, то доступ надано не буде, а якщо
O∈Dt(U) та О∈Xt, то OP a→ .
3. Застосування в умовах мандатної
політики безпеки
Зміст мандатної політики безпеки
полягає в тому, що контроль доступу до
об’єкта здійснюється окремо від користу-
вача-породжувача об’єкта. Керуюча ком-
понента визначає, до якої інформації і ко-
му може бути наданий доступ. Користу-
вач, що породив об’єкт, не може змінити
права доступу. Ця властивість, зокрема, є
характерною для систем обробки інформа-
ції з обмеженим доступом, де присутнє
поняття грифу секретності, що знаходить
відображення у введенні шкали цінності
об’єктів. У такій системі користувач не
може визначати ні гриф секретності
об’єкта, ні змінювати його.
Введемо в ІТС поняття категорії
доступу, що в [2] визначено як комбінацію
ієрархічних і неієрархічних атрибутів до-
ступу, що відображає рівень критичності
інформації або повноважень користувача
щодо доступу до такої інформації. Катего-
рію доступу активного об’єкта будемо на-
зивати рівнем допуску і позначати С(U) або
С(P). Категорію доступу пасивного об’єкта
будемо називати класом цінності і позна-
чати С(О) або С(Р). На множині категорій
доступу також визначено частковий поря-
док “≥”. Припустимо, що рівні допуску та
класи цінності присвоюються об’єктам під
час створення за однаковою шкалою та
можуть змінюватися протягом життєвого
циклу системи.
Канали реалізації загроз конфіден-
ційності визначимо наступним чином:
∃t∈N0, ∃а∈А1, ∃U∈Ut, ∃O∈Ot,
OU a *→ , С(О)>C(U). (6)
Користуючись вищенаведеними ви-
значеннями, сформулюємо мандатну полі-
тику безпеки.
Політика безпеки 2. Нехай мав мі-
сце ланцюжок доступів PU act *→ . До-
ступ OP a→ , а∈А у деякий момент ча-
су t∈N0 може відбутися лише за умови
С(Р) ≥ С(О).
Очевидно, що така політика є дуже
загальною, оскільки в цьому випадку не
враховано структуру множини доступів.
Існує декілька типових моделей мандатної
політики, які здатні ефективно протистоя-
ти певній множині загроз.
Політика безпеки 3 (Bell, La Padula
[11,12]). Нехай мав місце ланцюжок до-
ступів PU act *→ .
• Доступ OP a→ , а∈А1 в деякий
момент часу t∈N0 може відбутися лише за
умови С(Р) ≥ С(О) (проста властивість
безпеки).
• Якщо в деякий момент часу t1∈N0
відбувся доступ 1OP a→ , а∈А1, то до-
ступ 2OP a→ , а∈А2 в деякий момент ча-
су t2∈N0 може відбутися лише за умови
С(О2) ≥ С(О1), О1, О2∈О (*-властивість).
Проста властивість безпеки означає,
що для здійснення доступу на читання рі-
вень допуску ініціатора потоку має бути не
нижчим за клас цінності об’єкта доступу.
*-властивість забороняє переміщення ін-
формації з об’єкта з вищим класом цін-
ності до об’єкта з більш низьким класом
цінності.
Зробимо також припущення про те,
що доступ на активізацію належить мно-
жині доступів А1.
Захист інформації
94
Таким чином, політика безпеки 3
перешкоджає загрозам конфіденційності,
оскільки користувач може читати інфор-
мацію класу цінності, що відповідає його
рівню допуску або нижче за нього. Крім
того, користувач не може записувати кри-
тичну інформацію в об’єкти з більш низь-
ким класом цінності, що дозволяло б озна-
йомлюватись з нею користувачам, які не
мають на це відповідних повноважень.
Проте, дана політика не здатна перешко-
дити загрозам цілісності інформації, оскі-
льки користувач, рівень допуску якого не
дозволяє ознайомлюватись з інформацією,
може вільно її модифікувати. Протистояти
загрозам цілісності може наступна політи-
ка, для якої поняття категорії доступу С
замінюється на категорію цілісності І.
Політика безпеки 4 (Biba [13]).
Нехай мав місце ланцюжок доступів
PU act *→ .
• Доступ OP a→ , а∈А2 в деякий мо-
мент часу t∈N0 може відбутися лише за
умови І(Р) ≥ І(О) (проста властивість цілі-
сності).
• Якщо в деякий момент часу t1∈N0 від-
бувся доступ 1OP a→ , а∈А2, то доступ
2OP a→ , а∈А1 в деякий момент часу
t2∈N0 може відбутися лише за умови
І(О2) ≥ І(О1), О1, О2∈О (*-властивість цілі-
сності).
Теорема 3. Якщо всі доступи здійс-
нюються у відповідності до політики без-
пеки 3, то канали реалізації загроз конфі-
денційності є перекритими.
Припустимо, що має місце канал
реалізації загрози (6). Це означає, що в t-й
момент часу відбувається НСД а∈А1 де-
якого процесу Р до об’єкта О: OP a→ .
Тоді, можливо два варіанти:
1) C(P) ≥ C(O). Водночас, процес P
в момент часу t–k (t, k∈N0, t ≥ k) був акти-
візований процесом Pk . Згідно з політикою
безпеки 3 C(Pk) ≥ C(P). Користуючись тве-
рдженням 1, за індукцією прийдемо до ла-
нцюжка доступів, з якого С(U) ≥ C(Pm) ≥
C(Pl) ≥ ≥…≥ C(Pk) ≥ C(O). За нашим при-
пущенням про існування каналу реалізації
загрози С(О)>C(U). З транзитивності част-
кового порядку “≥” отримуємо протиріччя.
2) C(P) < C(O), але в такому разі
згідно з політикою безпеки 3 доступ не
може бути наданий.
Також можна сформулювати насту-
пну теорему, доведення якої аналогічне
попередньому.
Теорема 4. Якщо всі доступи здійс-
нюються у відповідності до політики без-
пеки 4, то канали реалізації загроз цілісно-
сті є перекритими.
В термінах мандатної політики
множини асоційованих об’єктів мають
вигляд
{ }
{ },)()(
)()()(
kik
jijit
OCUCO
PCUCPUD
≥
≥=
U
U
i=1,…,nU ; j=1,…,nP ; k=1,…,nO? (7)
{ }
{ },)()(
)()()(*
kik
jijit
OIUIO
PIUIPUD
≥
≥=
U
U
i=1,…,nU ; j=1,…,nP ; k=1,…,nO. (8)
В ІТС класу 1 з мандатною політи-
кою безпеки замість послуг 1, 3 запрова-
димо наступну послугу:
8. Адміністративна конфіденцій-
ність і цілісність:
tUDOPU t ∀∈∀∈∃ ),(,, *U . (9)
Фактично дана послуга вимагає на-
явність адміністратора, який має ексклю-
зивні повноваження щодо зміни категорій
доступу та цілісності для об’єктів, що про-
являється у потребі введення ще однієї
послуги.
9. Розподіл обов’язків.
Самі об’єкти під час створення на-
бувають тієї ж самої категорії доступу або
цілісності, що є у породжуючого користу-
вача/процесу. Але, на відміну від дискре-
ційної політики, в даному випадку поро-
джуючий користувач не може змінювати
права доступу до об’єкта.
4. Застосування в умовах рольової полі-
тики безпеки
Основним поняттям рольової полі-
тики є роль – сукупність функцій щодо ке-
рування ІТС, комплексу засобів захисту та
обробки інформації, доступних користува-
Захист інформації
95
чеві. Також можна визначити її як багато-
значне відношення між множинами корис-
тувачів і повноважень, що регламентується
набором функціональних обов’язків фізи-
чних користувачів [14]. Множину всіх ро-
лей позначимо R.
ΑΟΡΤ ××= . (10)
Як часову характеристику ІТС можна роз-
глядати поняття сеансу, що фактично від-
повідає часу роботи користувача в системі.
Кожний сеанс S∈S – це відображення ко-
ристувача на набір ролей, що йому при-
своєні.
Відношення призначення користу-
вачів позначимо UA⊆U×R. Вибірка з цієї
множини для фіксованої ролі виводить
список користувачів, яким присвоєна дана
роль, тобто тих користувачів, які можуть
виконувати функціональні обов’язки згід-
но даної ролі в ІТС:
{ } .,),(|
)(_
ttt RRUU
Rusersassigned
RUAU ∈∈∈=
=
(11)
Відношення призначення повнова-
жень TA⊆R×T дає змогу визначити набір
всіх повноважень ролі в контексті її робо-
ти в системі як вибірку з цієї множини для
фіксованої ролі:
{ } .,),(|
)(_
ttt RRTT
Rprivilegesassigned
RTAT ∈∈∈=
=
(12)
Цілком природним буде вимагати,
щоб в залежності від сеансу роботи в сис-
темі користувач міг мати різні повнова-
ження. Це необхідно в тому разі, коли одна
і та ж людина виконує функціональні
обов’язки відповідно до різних посад. Під
час одного сеансу цьому користувачеві
може бути присвоєна одна роль, а протя-
гом наступного – зовсім інша. Взагалі, на
початку сеансу користувач може активізу-
вати певну підмножину ролей:
{ } ,,)),((|
)(_
ttt SRSUR
Srolessession
SUAR ∈∈∈⊆
⊆
(13)
де U(S) – користувач, що ініціював даний
сеанс. Він є єдиним, тому кожний сеанс
асоційований з одним користувачем, вод-
ночас як кожний користувач асоційований
з одним або більше сеансами.
Суть рольової політики полягає в
тому, що не користувач або процес асоці-
йований з об’єктами, як це спостерігалось
в дискреційній та мандатній політиках, а
роль асоційована з набором повноважень.
Отже, користувач може отримати певний
доступ до об’єкта тільки якщо набуде ролі,
якій призначено відповідні повноваження.
Політика безпеки 5. Нехай мав мі-
сце ланцюжок доступів PU act *→ . До-
ступ OP a→ , а∈А, О∈О в деякий
момент часу t∈N0 може відбутися лише
за умови:
,True))(_(
)),,((
)),(()),((
=∈∧
∧=∧
∧∈∧∈
SrolessessionR
aOPTT
TRRU tt TAUA
tt SR SR ∈∈ , .
Таким чином, канал реалізації за-
грози визначимо наступним чином:
∃t∈N0, ∃а∈А, ∃U∈Ut,
∃O∈Ot, ∃R∈Rt, ∃S∈St, OU a *→ , (14)
.False))(_(
)),),(((
)),(()),((
=∈∧
∧∈=∧
∧∈∧∈
SrolessessionR
aOUDPTT
TRRU
t
tt TAUA
.
Теорема 5. Якщо всі доступи здійс-
нюються у відповідності до політики без-
пеки 5, то канали реалізації загроз конфі-
денційності й цілісності є перекритими.
Зауважимо, що для реалізації довір-
чого і адміністративного керування досту-
пом в системі з рольовою політикою
безпеки мають бути запроваджені послуги
1 – 9.
Висновки
На даному етапі отримані результа-
ти використання доказового методу для
аналізу захищеності ІТС класу 1. Дослі-
дження можливості поширення результа-
тів на ІТС класів 2 і 3, зокрема, в частині
застосування рольової політики, тривають
з урахуванням вимог нормативних доку-
ментів у сфері захисту інформації.
Використання доказового методу
при побудові захищених ІТС дозволяє мі-
німізувати кількість і значимість можли-
вих помилок у проектуванні за рахунок
глибокого аналізу захищеності системи на
прикладі формальної моделі ІТС на ранніх
етапах її створення. Даний метод також
Захист інформації
96
може бути застосований для перевірки
адекватності вже побудованої системи за-
хисту інформації. Визначення об’єктів та
інформаційних потоків на першому та дру-
гому етапах алгоритму, поданому у вступі,
дозволяє на третьому етапі сформувати
функціональні послуги захисту застосовно
до конкретної системи. Формулювання
політик безпеки (четвертий етап) залежить
від умов функціонування системи, що роз-
глядається. На п’ятому етапі перевірка
справедливості відповідних теорем (за зра-
зком теорем 1, 3, 4, 5) дозволяє з’ясувати
рівень теоретичної захищеності ІТС.
Остання не означає абсолютної захищено-
сті, оскільки навряд чи можливо гаранту-
вати абсолютно правильну реалізацію фу-
нкціональних послуг та адекватне їх засто-
сування.
Доказовий метод є універсальним
інструментарієм для оцінки рівня захище-
ності ІТС. Схожі методи застосовувались
Беллом та Ла Падулою [11], іншими авто-
рами, проте вони в переважній більшості є
проблемно-орієнтованими та спрямовани-
ми на перевірку можливості реалізації
конкретних загроз інформації.
1. Загальні положення щодо захисту інфор-
мації в комп'ютерних системах від несан-
кціонованого доступу: НД ТЗІ 1.1–002–99.
– К.: ДСТСЗІ СБ України, 1999. – 16 с.
2. Термінологія в галузі захисту інформації в
комп’ютерних системах від несанкціоно-
ваного доступу: НД ТЗІ 1.1–003–99. – К.:
ДСТСЗІ СБ України, 1999. – 26 с.
3. Грушо А.А., Тимонина Е.Е. Теоретические
основы защиты информации. – М.: Яхт-
смен, 1996. – 192 с.
4. Щербаков А.Ю. Введение в теорию и
практику компьютерной безопасности. –
М.: Изд. С.В. Молгачева, 2001. – 352 с.
5. Антонюк А.А., Жора В.В. Моделювання
доступу та каналів витоку в інформацій-
них системах // Правове, нормативне та
метрологічне забезпечення системи захис-
ту інформації в Україні. – 2001. – № 3. –
С. 156–160.
6. Антонюк А.А., Жора В.В., Мостовой В.Н.
Угрозы информации и услуги безопаснос-
ти // Проблемы программирования. –
2003. – № 4. – С. 65–71.
7. Антонюк А.О. Про деякі важливі поняття
захисту інформації в автоматизованих си-
стемах // Наукові записки НаУКМА. –
2002. – № 2. – 8 с.
8. Антонюк А.А., Жора В.В. Загрози інфор-
мації і канали витоку // Правове, нормати-
вне та метрологічне забезпечення системи
захисту інформації в Україні. – 2001. –
№ 1. – С. 42–46.
9. Критерії оцінки захищеності інформації
в комп’ютерних системах від несанкціо-
нованого доступу: НД ТЗІ 2.5–004–99. –
К.: ДСТСЗІ СБ України, 1999. – 55 с.
10. Класифікація автоматизованих систем і
стандартні функціональні профілі захи-
щеності оброблюваної інформації від не-
санкціонованого доступу: НД ТЗІ 2.5–
005–99. – К.: ДСТСЗІ СБ України, 1999. –
23 с.
11. Bell D.E., La Padula L.J. Secure Computer
Systems: Mathematical foundations and
model // Report ESD-TR-73-278, Mitre
Corp., Bedford, MA, March 1976.
12. McLean J. A Comment on the ‘Basic
Security Theorem’ of Bell and La Padula //
Information Processing Letters. – Elsevier,
1985. – Vol. 20. – P. 67–70.
13. Biba K.J. Integrity Considerations for Secure
Computer Systems // ESD-TR-76-372,
NTlS# AD-A039324, Electronic Systems
Division, Air Force Systems Command,
April 1977.
14. Жора В.В. Підхід до моделювання рольо-
вої політики безпеки // Правове, нормати-
вне та метрологічне забезпечення системи
захисту інформації в Україні. – 2003. –
№ 7. – С. 45–49.
Отримано 06.04.2007
Про авторів:
Антонюк Анатолій Олександрович,
кандидат фізико-математичних наук,
доцент,
Жора Віктор Володимирович,
молодший науковий співробітник.
Місце роботи авторів:
Академія державної податкової
служби України,
м. Ірпінь, вул. Карла Маркса, 31,
Інститут програмних систем
НАН України, 03680, Київ 187,
проспект Академіка Глушкова, 40.
E-mail: victor.zhora@gmail.com
|
| id | nasplib_isofts_kiev_ua-123456789-303 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1727-4907 |
| language | Ukrainian |
| last_indexed | 2025-12-07T16:00:14Z |
| publishDate | 2007 |
| publisher | Інститут програмних систем, журнал "Проблеми програмування" |
| record_format | dspace |
| spelling | Антонюк, А.О. Жора, В.В. 2008-02-22T19:39:05Z 2008-02-22T19:39:05Z 2007 Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи / А.О. Антонюк, В.В. Жора // Пробл. програмув. — 2007. — N 3. — С. 88-96. — Бібліогр.: 14 назв. — укp. 1727-4907 https://nasplib.isofts.kiev.ua/handle/123456789/303 Розглянуто питання моделювання захищеної інформаційно-телекомунікаційної системи (ІТС). Наведено приклади використання доказового методу для проектування та оцінки рівня захищеності ІТС залежно від політики безпеки, що застосовується. uk Інститут програмних систем, журнал "Проблеми програмування" №3 С. 88-96 Захист інформації Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи Article published earlier |
| spellingShingle | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи Антонюк, А.О. Жора, В.В. Захист інформації |
| title | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи |
| title_full | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи |
| title_fullStr | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи |
| title_full_unstemmed | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи |
| title_short | Використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи |
| title_sort | використання доказового методу для проектування та оцінки рівня захищеності інформаційно-телекомунікаційної системи |
| topic | Захист інформації |
| topic_facet | Захист інформації |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/303 |
| work_keys_str_mv | AT antonûkao vikoristannâdokazovogometodudlâproektuvannâtaocínkirívnâzahiŝenostíínformacíinotelekomuníkacíinoísistemi AT žoravv vikoristannâdokazovogometodudlâproektuvannâtaocínkirívnâzahiŝenostíínformacíinotelekomuníkacíinoísistemi |