Information threats and security services
The classification of information threats in accordance with the national standard of information security are considered. The its formal description and corresponding services of information security are discussed. The unnecessary conditions of guarantee execution of discretionary security policy a...
Збережено в:
| Дата: | 2015 |
|---|---|
| Автори: | , , |
| Формат: | Стаття |
| Мова: | Ukrainian |
| Опубліковано: |
PROBLEMS IN PROGRAMMING
2015
|
| Теми: | |
| Онлайн доступ: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/28 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Problems in programming |
| Завантажити файл: |  |
Репозитарії
Problems in programming| id |
pp_isofts_kiev_ua-article-28 |
|---|---|
| record_format |
ojs |
| resource_txt_mv |
ppisoftskievua/5d/bcb6f792a6749453931fbfdcd8216d5d.pdf |
| spelling |
pp_isofts_kiev_ua-article-282018-10-09T12:54:37Z Information threats and security services Угрозы информации и услуги безопасности Загрози інформації та послуги безпеки Antonyuk, A.A. Zhora, V.V. Mostovoy, V.N. UDC 681.3:519.872 УДК 681.3:519.872 УДК 681.3:519.872 The classification of information threats in accordance with the national standard of information security are considered. The its formal description and corresponding services of information security are discussed. The unnecessary conditions of guarantee execution of discretionary security policy are studied. Рассматривается классификация угроз информации в соответствии с требованиями национального стандарта по защите информации. Дается их формальное описание, а также формальное описание некоторых услуг по обеспечению безопасности информации. Изучаются необходимые условия гарантированного выполнения дискреционной политики безопасности. Розглядається класифікація загроз інформації відповідно до вимог національного стандарту із захисту інформації. Подається формальний їх опис, а також формальний опис деяких послуг щодо забезпечення безпеки інформації. Вивчаються необхідні умови гарантованого виконання дискреційної політики безпеки. PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2015-07-01 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/28 PROBLEMS IN PROGRAMMING; No 4 (2003) ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 4 (2003) ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 4 (2003) 1727-4907 uk https://pp.isofts.kiev.ua/index.php/ojs1/article/view/28/32 Copyright (c) 2015 ПРОБЛЕМИ ПРОГРАМУВАННЯ |
| institution |
Problems in programming |
| baseUrl_str |
https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| datestamp_date |
2018-10-09T12:54:37Z |
| collection |
OJS |
| language |
Ukrainian |
| topic |
UDC 681.3:519.872 |
| spellingShingle |
UDC 681.3:519.872 Antonyuk, A.A. Zhora, V.V. Mostovoy, V.N. Information threats and security services |
| topic_facet |
UDC 681.3:519.872 УДК 681.3:519.872 УДК 681.3:519.872 |
| format |
Article |
| author |
Antonyuk, A.A. Zhora, V.V. Mostovoy, V.N. |
| author_facet |
Antonyuk, A.A. Zhora, V.V. Mostovoy, V.N. |
| author_sort |
Antonyuk, A.A. |
| title |
Information threats and security services |
| title_short |
Information threats and security services |
| title_full |
Information threats and security services |
| title_fullStr |
Information threats and security services |
| title_full_unstemmed |
Information threats and security services |
| title_sort |
information threats and security services |
| title_alt |
Угрозы информации и услуги безопасности Загрози інформації та послуги безпеки |
| description |
The classification of information threats in accordance with the national standard of information security are considered. The its formal description and corresponding services of information security are discussed. The unnecessary conditions of guarantee execution of discretionary security policy are studied. |
| publisher |
PROBLEMS IN PROGRAMMING |
| publishDate |
2015 |
| url |
https://pp.isofts.kiev.ua/index.php/ojs1/article/view/28 |
| work_keys_str_mv |
AT antonyukaa informationthreatsandsecurityservices AT zhoravv informationthreatsandsecurityservices AT mostovoyvn informationthreatsandsecurityservices AT antonyukaa ugrozyinformaciiiuslugibezopasnosti AT zhoravv ugrozyinformaciiiuslugibezopasnosti AT mostovoyvn ugrozyinformaciiiuslugibezopasnosti AT antonyukaa zagroziínformacíítaposlugibezpeki AT zhoravv zagroziínformacíítaposlugibezpeki AT mostovoyvn zagroziínformacíítaposlugibezpeki |
| first_indexed |
2025-07-17T09:59:55Z |
| last_indexed |
2025-07-17T09:59:55Z |
| _version_ |
1850411613635477504 |
| fulltext |
Программные системы защиты информации в компьютерных системах
© А.А.Антонюк, В.В.Жора, В.Н.Мостовой, 2003
ISSN 1727-4907. Проблемы программирования. 2003. № 4 65
УДК 681.3:519.872
А.А. Антонюк, В.В. Жора, В.Н. Мостовой
УГРОЗЫ ИНФОРМАЦИИ И УСЛУГИ БЕЗОПАСНОСТИ
Рассматривается классификация угроз информации в соответствии с требова-
ниями национального стандарта по защите информации. Дается их формальное опи-
сание, а также формальное описание некоторых услуг по обеспечению безопасности
информации. Изучаются необходимые условия гарантированного выполнения дис-
креционной политики безопасности.
Введение
Понятие угрозы информации яв-
ляется основным в теории и практике
защиты информации (ЗИ). Анализ уг-
роз является начальным и одним из
основных этапов при разработке сис-
темы защиты информации (СЗИ) и
проводится на основе модели угроз.
Согласно [1—4], модель угроз – это
абстрактное формализованное или не-
формализованное описание методов и
способов осуществления угроз.
В официальных нормативных
документах, регламентирующих основ-
ные аспекты, связанные с безопасно-
стью компьютерных систем (КС) и за-
щитой информации в них от несанк-
ционированного доступа (НСД) [1—4],
даются определения таких фундамен-
тальных свойств защищенной инфор-
мации (ФСЗИ), как конфиденциаль-
ность, целостность, доступность и на-
блюдаемость. Каждое из указанных
свойств обеспечивается КС с помощью
набора конкретных функциональных
услуг, описание и ранжирование по
уровням которых приводится в [2, 5].
Однако формального их описания пока
нет, что существенно затрудняет воз-
можности использования математиче-
ских моделей СЗИ.
Ниже рассмотрено формальное
описание основных классов угроз ин-
формации и услуг, реализация которых
позволяет им противостоять. В отличие
от [6], где рассмотрены только простей-
шие случаи угроз конфиденциальности
и целостности, а услуги вообще не опи-
сываются, здесь изучаются все классы
угроз и услуги в соответствии с [2], где
определены 22 функциональные услуги
безопасности и 67 их модификаций.
1. Конфиденциальность информации
Анализ развития теории и прак-
тики ЗИ показывает, что можно выде-
лить основные пути нарушения кон-
фиденциальности [6, 7]:
• потеря контроля над СЗИ;
• каналы утечки информации.
Другие пути нарушения конфи-
денциальности так или иначе сводятся
к ним.
Если СЗИ перестает адекватно
функционировать, то может быть реа-
лизован НСД к информации. Это
также может стать причиной появле-
ния скрытых каналов утечки инфор-
мации. Под скрытым каналом утечки
информации или просто каналом
утечки понимается способ получения
информации за счет использования
путей передачи информации, которые
присутствуют в КС, но не управляют-
ся и не наблюдаются СЗИ [2]. Каналы
утечки характеризуют ситуацию, ко-
гда либо проектировщики не смогли
предотвратить НСД, либо СЗИ не мо-
жет рассматривать этот доступ как
запрещенный.
Среди каналов утечки выделяют
каналы по памяти и времени. Канал
по памяти реализуется путем прямой
или непрямой записи информации в
определенную область памяти одним
процессом и прямым или непрямым
чтением этой области другим процес-
сом.
В [8] определена структура мно-
жества А (в частности, описаны его
подмножества А1, А2, и А3) возможных
доступов к информации. Если ограни-
читься только доступами read (r) и
write (w), то канал по памяти схемати-
Программные системы защиты информации в компьютерных системах
66
чески изображается так:
21 UOPU wract ←→→ .
Здесь пользователь U1 (злоумышлен-
ник) активизирует (act) процесс Р, ко-
торый может получить доступ на чте-
ние к объекту, содержащему конфи-
денциальную информацию, получен-
ную от пользователя U2. Защита против
утечки информации по этому каналу
базируется на выборе правильной по-
литики безопасности (ПБ) [1], а также
на возможности контроля информаци-
онных потоков и вывода информации.
Канал утечки по времени — это
канал, позволяющий передавать ин-
формацию от одного процесса к дру-
гому путем модуляции первым процес-
сом определенных временных характе-
ристик КС, которые могут наблюдаться
другим процессом. Схема канала по
времени выглядит следующим образом:
22mod11 UPPPU actactract ←←→→ .
В данном случае пользователь U2
активизирует процесс Р2, информация о
котором является конфиденциальной.
Далее эта информация модулирует
процесс Рmod, к которому имеет доступ
на чтение процесс 1P , активизирован-
ный злоумышленником U1. Отличие
данного канала утечки от канала по па-
мяти состоит в том, что злоумышленник
получает не саму конфиденциальную
информацию, а данные о выполнении
над ней тех или иных операций. Как
правило, он используется с целью даль-
нейшего получения информации уже с
помощью канала по памяти.
В общем случае каналами утечки
в КС можно считать неблагоприятные
доступы аk ∈ А, k = 1, …, K следующего
вида [6—8]:
lkjiOUOU lk a
j
a
i ≠≠→→ ,,*,* .
Будем также считать, что если
О∈Rt, где U
i
itt UD )(=R , а =)( it UD
{ }0,,*| NA ∈∈→= taOUO j
a
ij , то при
∀а ∈ А никакие доступы не могут соз-
дать канал утечки информации.
Согласно структуре множества
доступов в КС, определенной в [6],
можно записать выражение для канала
утечки или, другими словами, угрозы
конфиденциальности:
∃t ∈ N0, ∃а ∈ А1, ∃Ui ∈ Ut, ∃O ∈ Ot,
OU a
i *→ , О ∈ Ot(Uj), i ≠ j; і, j = 1, …, nU.
Содержательный смысл его со-
стоит в том, что в определенный мо-
мент времени существует некоторый
неблагоприятный вид доступа одного
пользователя к объекту, созданному
другим пользователем, что, очевидно,
является каналом утечки информации.
С целью противодействия угро-
зам конфиденциальности в КС вводит-
ся ряд услуг [2]:
• доверительная конфиденци-
альность – такое управление досту-
пом, при котором средства защиты по-
зволяют обычным пользователям
управлять (передают управление) по-
токами информации между другими
пользователями и объектами своего
домена (например, на основании права
собственности объекта), т.е. назначе-
ние и передача полномочий не требу-
ют административного вмешательства;
в рамках рассматриваемого формализ-
ма доверительная конфиденциальность
может быть выражена следующим об-
разом:
⇔∈→ 12 ,* AaOU a
∈∈⇒∈
∈→∈
∈
⇔ −
;022
11
2
,),()
,*(),(
),(
NA ktUDO
aOUUOO
UOO
t
a
kt
t
(1.1)
• административная конфиден-
циальность — управление, при кото-
ром средства защиты позволяют
управлять потоками информации меж-
ду пользователями и объектами только
специально авторизованным пользова-
телям; формально это запишется так:
),,(,, aUDOPU t∈∀∈∃ U
02 , NA ∈∀∈ ta ; (1.2)
Программные системы защиты информации в компьютерных системах
67
• повторное использование объ-
ектов осуществляется в том случае,
если перед предоставлением объекта
пользователю или процессу в нем не
остается информации, которую он со-
держал, и отменяются предыдущие
права доступа к этому объекту, или,
иначе, ∃О∈О: если OU a
i *→ в момент
t ∈ N0, а ∈ А, то OU a
j *→ в момент t + k,
i ≠ j, если O(t) = O(t + k);
• анализ скрытых каналов про-
водится с целью обнаружения и пере-
крытия существующих потоков ин-
формации, которые не контролируют-
ся другими услугами; он реализуется с
помощью диспетчера доступа (ДД, см.
ниже);
• конфиденциальность при об-
мене позволяет обеспечить безопас-
ность обмена информацией между за-
щищенными объектами в незащищен-
ной среде; данная услуга обеспечива-
ется закрытием информации (с помо-
щью средств криптографии).
2. Целостность информации
Язык описания угроз целостно-
сти информации в основном аналоги-
чен языку описания угроз конфиден-
циальности. Однако между угрозами
этим свойствам существует принципи-
альное различие. Так, для конфиденци-
альности основная угроза – это неза-
конное ознакомление с информацией,
т.е. нет активного влияния на инфор-
мацию и для описания такой угрозы
достаточно понятия канала утечки. Для
целостности же основная угроза – это
несанкционированная модификация
информации, т.е. наличие активного
влияния на информацию со стороны
нарушителя. Для описания угроз тако-
го типа удобно вместо канала утечки
ввести понятие канала действия на це-
лостность, который формально пред-
ставим следующим образом:
∃t ∈ N0, ∃а ∈ А2, ∃Ui ∈ Ut, ∃O ∈ Ot,
OU a
i *→ , О ∈ Ot(Uj), i ≠ j; і, j = 1, …, nU.
Примером возникновения канала
действия на целостность может слу-
жить использование программы “тро-
янский конь”. Такая программа, кроме
документированных функций, может
выполнять скрытые действия в интере-
сах ее разработчика (злоумышленни-
ка). Как правило, “троянский конь”
используется для модификации защи-
щенной информации.
Среди механизмов защиты от
нарушения целостности выделяют сле-
дующие: своевременное резервное ко-
пирование ценной информации; вве-
дение избыточности в саму информа-
цию, т.е. использование помехоустой-
чивого кодирования информации, что
позволяет контролировать ее целост-
ность; введение избыточности в про-
цесс обработки информации, т.е. при-
менение аутентификации, которая по-
зволяет контролировать целостность
объектов; введение системной избы-
точности, т.е. повышение “живучести”
системы.
Услуги, с помощью которых
обеспечивается целостность, следую-
щие:
• доверительная целостность
аналогична доверительной конфиден-
циальности:
⇔∈→ 22 ,* AaOU a
∈∈⇒∈
∈→∈
∈
⇔ −
;022
11
2
,),()
,*(),(
),(
NA ktUDO
aOUUOO
UOO
t
a
kt
t
(2.1)
• административная целост-
ность аналогична административной
конфиденциальности, записывается так
же, как (1.2);
• откат позволяет восстанавли-
ваться после ошибок пользователя,
сбоев программного обеспечения и ап-
паратуры, поддерживать целостность
баз данных, приложений, построенных
на транзакциях, и т.д.; обеспечивает
возможность отмены операции или
последовательности операций и по-
зволяет вернуть защищенный объект в
предыдущее состояние: если в момент
t ∈ N0 OP a
i → 1 , а1 ∈ А2, то ∃Рj ∈ P, i ≠ j,
OP a
j → 2 , а2 ∈ А2, в момент t + 1 та-
кой, что О(t + 1) = О(t);
Программные системы защиты информации в компьютерных системах
68
• целостность при обмене по-
зволяет защитить объекты от несанк-
ционированной модификации инфор-
мации, содержащейся в них, во время
их экспорта/импорта в незащищенной
среде, обеспечивается закрытием ин-
формации.
3. Доступность информации
В большинстве случаев доступ-
ность информации в КС определяется
работоспособностью самой КС, т.е. от-
сутствие таковой следует считать ос-
новной угрозой. Можно выделить сле-
дующие направления повседневной
деятельности в КС для поддержки ее
работоспособности: поддержка пользо-
вателей; поддержка программного обе-
спечения; конфигурационное управле-
ние; резервное копирование; управле-
ние носителями, обеспечивающее фи-
зическую их защиту; документирова-
ние; регламентные работы.
Поскольку результатом действия
любой угрозы доступности является
отсутствие доступности или каналов
доступа, то формально это представля-
ется следующим образом:
∃t ∈ N0, ∃аk ∈ А1 ∪ А2, ∃Ui ∈ Ut, ∃O ∈ Ot,
OU ka
i *→ , О∈Ot(Uі),
а также
∃t ∈ N0, (∃а ∈ А1) ∨ (∃а ∈ А2), ∃Ui ∈ Ut,
∃O ∈ Ot, OU a
i *→ , О ∉ Ot(Uі).
Услуги доступности следующие [2]:
• использование ресурсов позво-
ляет пользователям управлять услугами
и ресурсами:
,|)(|,|)(|:, 2121 nUOnUDnn tt <<∈∃ N
0N∈∀t , N – множество ресурсов; (3.1)
• устойчивость к отказам при-
звана гарантировать доступность КС
(возможность использования инфор-
мации, отдельных функций или КС в
целом) после отказа ее компонента;
должна обеспечиваться на аппаратном
уровне при построении КС и СЗИ;
• горячая замена позволяет га-
рантировать доступность КС в процес-
се замены отдельных компонентов:
)()(~:~,, 0 tOtOOtO =∈∃∈∀∈∃ ONO ; (3.2)
• восстановление после сбоев
обеспечивает возвращение КС к из-
вестному защищенному состоянию по-
сле отказа в обслуживании; услуга
должна быть реализована в КС на всех
уровнях.
4. Наблюдаемость информации
В отличие от конфиденциально-
сти или целостности, где наличие ка-
налов утечки является негативным об-
стоятельством, наблюдаемость должна
иметь каналы наблюдения, с помощью
которых можно контролировать про-
цесс обработки информации. Фор-
мально это можно представить в таком
виде:
},{,
lk
ractr OPPU → → ,
k = 1, …, K; l = 1, …, L,
где пользователь U активизирует про-
цесс P, который может получить дос-
туп, например на чтение (r), к опреде-
ленному множеству процессов и объ-
ектов },{ lk OP .
Таким образом, угроза наблю-
даемости состоит в том, что пользова-
тель, у которого есть соответствующие
полномочия, не может получить доступ
из А3 к информации. Запишем матема-
тическое выражение:
∃t ∈ N0, ∃а ∈ А3, ∃Ui ∈ Ut, ∃O ∈ Ot,
OU a
i *→ , О ∈ Ot(Uj), ∀j.
Очевидно, что угрозы наблюдае-
мости сводятся к повреждению кана-
лов наблюдения, а главная задача на-
блюдаемости в КС – их поддерживать.
Она реализуется с помощью таких ус-
луг:
• регистрация (аудит) позво-
ляет контролировать неблагоприят-
ные для КС действия; услуга должна
быть функционально реализована в
составе ДД;
Программные системы защиты информации в компьютерных системах
69
• идентификация и аутентифи-
кация позволяют СЗИ определить и
проверить личность пользователя, ко-
торый пытается получить доступ к КС;
механизмы аутентификации должны
быть реализованы на аппаратном, ап-
паратно-программном или программ-
ном уровнях и входить во множество
процессов КС;
• достоверный канал позволяет
гарантировать, что пользователь взаи-
модействует непосредственно с СЗИ и
никакой другой пользователь или про-
цесс не могут включиться во взаимо-
действие; должен реализоваться ком-
плексом средств защиты (КСЗ) с целью
адекватного управления безопасно-
стью;
• разграничение обязанностей
позволяет снизить вероятность умыш-
ленных или ошибочных действий поль-
зователя и величину потенциальных
убытков от таких действий:
),,(,, aUDOPU t∈∀∈∃ U
0, NA ∈∀∈∀ ta ; (4.1)
• целостность КСЗ определяет
меру готовности КСЗ защищать себя и
гарантировать бесперебойность управ-
ления защищенными объектами: оче-
видно, что целостность КСЗ должна
контролироваться ДД;
• самотестирование позволяет
проверить и на основании этого гаран-
тировать правильность функциониро-
вания и целостность определенного
множества функций КС; тестовые
процедуры должны входить во множе-
ство процессов КС;
• идентификация и аутентифи-
кация при обмене позволяют одному
объекту идентифицировать другой и
обеспечить другому идентифицировать
первый, прежде чем начать взаимодей-
ствие;
• аутентификация отправителя
защищает от отказа от авторства и од-
нозначно устанавливает принадлеж-
ность объекта определенному пользо-
вателю;
• аутентификация получателя
предотвращает отказ от получения и
однозначно устанавливает факт полу-
чения объекта определенным пользо-
вателем.
Последние три услуги зависят от
полноты реализации КСЗ и, в частно-
сти, могут выполняться ДД.
5. Условия защищенности информации
Обсудим условия, которым дол-
жна удовлетворять КС, чтобы в ней
могла быть реализована какая-либо ПБ.
Обозначим S множество инфор-
мационных потоков между всеми объ-
ектами КС в любой момент времени
t ∈ N0. Разобьем его на два непересе-
кающихся подмножества SF и SL так,
что S = SF ∪ SL, SF ∩ SL = ∅, где SF, SL –
соответственно подмножества потоков,
характеризующих НСД, и легальный
доступ [9].
Необходимым условием реализа-
ции любой ПБ является существование
в КС активного компонента, который
осуществлял бы разрешение на поро-
ждение информационных потоков,
принадлежащих только множеству SL.
Таким компонентом является диспет-
чер доступа (ДД) [1, 9]. Разрешение на
порождение потока в данном случае
следует понимать как осуществление
некоторой операции над объектом-
получателем, а запрет – как неосуще-
ствление или неизменность объекта-
получателя.
Таким образом, ДД полностью
принимает участие в процессе доступа
и, следовательно, должен принадле-
жать множеству ресурсов общего дос-
тупа Rt. Очевидно также, что ДД дол-
жен контролировать все потоки, т.е.
обходные пути ПБ должны отсутство-
вать (невозможность доступа к объек-
там без участия ДД), что формально
записывается так: ∀t ∈ N0, ∀а ∈ А, если
один объект в момент времени t полу-
чил доступ к другому, то это означает,
что в момент времени t – k, k ∈ N0 про-
изошел запрос на доступ. Кроме того,
при реализации ПБ любого типа необ-
ходимым условием является иденти-
фикация всех объектов КС, причем их
имена должны быть уникальными. Ес-
ли множеству объектов КС свойствен-
на какая-либо структура, то ДД факти-
Программные системы защиты информации в компьютерных системах
70
чески реализует распределение объек-
тов в соответствии с нею. Наконец,
заметим, что кроме наличия ДД реали-
зация ПБ требует также внедрения в
КС целого ряда перечисленных выше
услуг, которые могут быть реализова-
ны как программно, так и аппаратно.
Итак, в дальнейшем считается,
что в КС всегда имеется активный
компонент (ДД), который в любой мо-
мент времени однозначно определяет
множество Dt(U) для каждого пользо-
вателя.
В рамках рассматриваемого фор-
мализма изучим наиболее простую ПБ
– дискреционную (ДПБ) [6, 9]. Сущ-
ность ДПБ заключается в том, что
большинство прав, в том числе и право
разрешать доступ другим пользовате-
лям, принадлежит пользователю, поро-
дившему объект. Атрибуты доступа,
определяющие как множество актив-
ных объектов, которые могут получить
доступ к пассивным объектам, так и
сами виды возможных доступов, со-
держатся в матрице доступов [6, 9].
Одним из формальных способов
выражения ДПБ может быть следую-
щий: пусть имеет место цепочка досту-
пов PU act *→ ; доступ OP a→ , а ∈ А,
в некоторый момент времени t ∈ N0
может произойти только при условии
O∈Dt(U). Тогда справедливо следующее
Утверждение 1. Если все доступы
осуществляются в соответствии с дан-
ной ДПБ, то каналы реализации угроз
конфиденциальности и целостности
будут перекрыты.
Доказательство. Сначала рас-
смотрим угрозу конфиденциальности.
Предположим противное, т.е. пусть
имеет место утечка информации или
формально ∃t ∈ N0, ∃а ∈ А1, ∃Ui ∈ Ut, ∃O ∈
∈ Ot, OU a
i *→ , О ∈ Ot(Uj), i ≠ j; і, j = 1,
…, nU. Это означает, что в t-й момент
времени произошел НСД а∈А1 некото-
рого процесса Р к объекту О. Согласно
же ДПБ { ,*|)( j
a
ijit OUOUDO →=∈
}0, NA ∈∈ ta , причем множество Dt(Ui)
определено однозначно. Следовательно,
доступ вида а ∈ А1 ⊂ А в момент t ∈ N0 к
объекту О для данного пользователя
возможен только с разрешения ДД. Но
это означает, что предположение о
возможной утечке приводит к проти-
воречию.
Пусть имеет место канал дейст-
вия на целостность, т.е. в t-й момент
времени произошел НСД а ∈ А2 неко-
торого процесса Р к объекту О. Рас-
суждая аналогично случаю с конфи-
денциальностью, снова получим про-
тиворечие. Утверждение полностью
доказано.
Поставим следующий вопрос:
можно ли гарантировать в КС доступ-
ность и наблюдаемость информации,
ведь по определению ДПБ решает
лишь вопрос — давать или не давать
доступ. Гарантировать же предоставле-
ние доступа пользователю U к объекту
О при условии O ∈ Dt(U) сформулиро-
ванная ДПБ не может. Выходом из
данной ситуации может стать реализа-
ция в КС ряда определенных услуг.
Заметим, что в [2] услуги наблю-
даемости включены в каждый про-
филь, поскольку общеизвестно [1—9],
что наблюдаемость является необходи-
мым условием функционирования как
СЗИ, так и КС вообще. Кроме того, на
этих услугах базируется и ряд других.
Таким образом, путь реализации угроз
наблюдаемости может быть исчерпы-
вающе перекрыт с помощью введения
в КС услуг наблюдаемости. Доступ-
ность информации в КС, как ранее
было отмечено, определяется работо-
способностью самой КС.
Утверждение 2. Если в КС имеет
место уникальная идентификация объ-
ектов, реализован ДД и действуют ус-
луги наблюдаемости и доступности, то
выполняется ДПБ.
Доказательство. Нужно дока-
зать, что при условии реализации це-
почки доступов PU act *→ доступ
OP a→ , а ∈ А, в некоторый момент
времени t ∈ N0 может произойти только
при условии O ∈ Dt(U). Пусть осущест-
вился некоторый доступ. Тогда из фак-
та его реализации вследствие уникаль-
ности идентификации объектов следу-
Программные системы защиты информации в компьютерных системах
71
ет, что пользователь U единственный.
Поскольку в КС реализованы услуги
наблюдаемости, т.е. регистрация, иден-
тификация/аутентификация и досто-
верный канал, то ДД однозначно все-
гда может определить принадлежность
объекта тому или иному множеству.
Следовательно, при проверке ДД атри-
бутов доступа объекта, находящихся в
матрице доступа, однозначно будет ус-
тановлено, что O ∈ Dt(U). Утверждение
доказано.
Следует отметить, что без полу-
чения гарантий надежного функцио-
нирования услуг принципиально нель-
зя говорить о гарантированной защи-
щенности информации в КС, а лишь
об относительной ее защищенности и
пытаться оценить этот уровень.
Заключение
Рассмотренная формализация
позволяет детально описывать угрозы
информации и соответствующие им
услуги. Это дает возможность фор-
мально описать ДПБ и в дальнейшем
шире и эффективнее использовать до-
казательный метод [6] для описания,
исследования и создания современных
СЗИ. В частности, можно получить не-
обходимые (а иногда и достаточные)
условия выполнимости той или иной
ПБ. Следует отметить, что рассмотрен-
ная формализация является несколько
упрощенной и не учитывает целого ря-
да свойств СЗИ (например, разные
возможности по доступу для админи-
стратора и обычного пользователя и
др.). Тем не менее этот подход удобен
и полезен при разработке защищенных
КС, определении уровня их защищен-
ности, построении ПБ.
Перспективным направлением
представляется также исследование
других ПБ (мандатной, ролевой) при-
менительно к проблеме их приведения
к национальным стандартам. Важной
задачей остается моделирование за-
щищенных распределенных вычисли-
тельных систем и поиск достаточных
условий их защищенности.
1. Загальні положення щодо захисту інформа-
ції в комп'ютерних системах від несанкціо-
нованого доступу: НД ТЗІ 1.1—002—99. –
Київ: ДСТСЗІ СБ України, 1999. – 16 с.
2. Критерії оцінки захищеності інформації в
комп’ютерних системах від несанкціонова-
ного доступу: НД ТЗІ 2.2—004—99. – Київ:
ДСТСЗІ СБ України, 1999. – 55 с.
3. Класифікація автоматизованих систем і ста-
ндартні функціональні профілі захищеності
оброблюваної інформації від несанкціоно-
ваного доступу: НД ТЗІ 2.2—005—99. – Ки-
їв: ДСТСЗІ СБ України, 1999. – 23 с.
4. Термінологія в галузі захисту інформації в
комп’ютерних системах від несанкціонова-
ного доступу: НД ТЗІ 1.1—003—99. – Київ:
ДСТСЗІ СБ України, 1999. – 26 с.
5. Антонюк А.А., Боровская Е.Н., Суслов В.Ю.
Модель угроз информации в защищенных ав-
томатизированных системах // Безопасность
информации. – № 2. – 2001. – С. 17—22.
6. Грушо А.А., Тимонина Е.Е. Теоретические
основы защиты информации. – М.: Яхт-
смен, 1996. – 192 с.
7. Антонюк А.А., Жора В.В. Загрози інформа-
ції і канали витоку // Правове, нормативне
та метрологічне забезпечення системи захи-
сту інформації в Україні. – 2001. – №1. –
С. 35—37.
8. Антонюк А.А., Жора В.В. Моделювання до-
ступу та каналів витоку в інформаційних
системах // Там же. – № 3. – С. 48—50.
9. Щербаков А.Ю. Введение в теорию и прак-
тику компьютерной безопасности. – М.:
Изд. Молгачева С.В., 2001. – 352 с.
Получено 17.07.03
Об авторах
Антонюк Анатолий Александрович,
канд. физ.-мат. наук, старший научный
сотрудник
Жора Виктор Владимирович,
аспирант
Мостовой Виталий Николаевич,
аспирант
Место работы авторов:
Институт программных систем НАН Украины,
просп. Академика Глушкова, 40,
Киев-187, 03680, Украина
Тел. (044) 266 3397, 434 4997
|