Интеллектуальные компьютерные технологии защиты информации
Согласно лабиринтной модели задача перед решением представляется в виде лабиринта возможных путей поиска решения, ведущих от начальной площадки, характеризующей условия задачи, к конечной, характеризующей условия завершения решения задачи. Предполагается, что благодаря своим
природным механизмам мышления человек способен очень быстро произвести отсекание всех неперспективных вариантов движения по лабиринту и оставить то поле возможных вариантов, которое с большой вероятностью содержит путь, ведущий к конечной площадке.
Основным механизмом поиска решения в концептуальных эвристиках считается генерирование множества таких путей решения задачи, среди которых с большой вероятностью содержится и результативный путь. Концептуальная теория рассматривает механизм получения решения в следующем виде. При анализе исходной ситуации и соотнесении ее с результирующей человек не просто собирает информацию, необходимую для решения задачи, а строит (даже не осознавая этого) структурированную модель проблемной ситуации, вычленяя в исходной информации важные элементы и формируя на их основе обобщенные элементы и отношения между ними. Такие обобщенные элементы и отношения названы концептами, откуда получила название и сама рассматриваемая теория. Концепты играют основную роль в осмысливании исходной ситуации, создании ее модели и мысленной работе с моделью. Согласно концептуальной теории набор концептов универсален, и ему соответствуют имеющиеся у человека механизмы вычисления, трансформации и формирования отношений. В результате мысленного эксперимента со структурированной моделью ситуации человек получает возможность породить тот небольшой участок лабиринта, в котором уже нетрудно найти необходимое решение.
Эволюционное моделирование представляет собою расширенную модификацию статистического моделирования, причем расширение заключается в том, что в процессе моделирования статистически совершенствуется (прогрессивно эволюционирует) сам алгоритм, в соответствии с которым имитируются процессы функционирования моделируемых систем. Иными словами, как бы моделируются процессы естественной эволюции. Общая схема процесса эволюционного моделирования представлена на рис. 2.3.
Рис. 2.3. Общая схема эволюционного моделирования
Из неформальных методов непосредственного поиска оптимальных решений, как показано на рис. 2.2., к настоящему времени разработаны и могут быть рекомендованы для практического применения методы простых экспертных оценок, неформально-эвристического программирования и методы, основанные на управлении продуктивным мышлением человека непосредственно в процессе решения задачи.
Методы простых экспертных оценок были рассмотрены выше. Использование их естественным образом распространяется и на задачи поиска оптимальных решений, если только процесс поиска может быть ограничен простой оценкой.
Под неформально-эвристическим понимается такая разновидность эвристического программирования, когда человек принимает непосредственное участие не только в процессах составления моделей для поиска решений, но также в их обучении (т.е. подготовке к решению задач в конкретных условиях) и в процессах непосредственного решения конкретных задач. Одной из разновидностей неформально-эвристического программирования являются так называемые неформальные аналоги, т.е. поиск решения человеком на основе тех прецедентов решения аналогичных задач, которые имели место в предшествующей личной практике или практике других специалистов.
Последнюю группу выделенных на рис. 2.2 неформально-эвристических методов непосредственного поиска оптимальных решений составляют методы, основанные на управлении продуктивным мышлением человека непосредственно в процессе самого поиска.
К настоящему времени наибольшее развитие получили две разновидности методологии управления интеллектуальной деятельностью: метод так называемого мозгового штурма и метод психоинтеллектуальной генерации.
"Мозговой штурм» представляет собой метод получения новых идей, решений в процессе коллективного творчества группы экспертов, проводимого по определенным правилам. Метод «мозгового штурма» называют также «мозговой атакой», методом коллективной генерации идей и методом группового рассмотрения с отнесенной оценкой.
Принципиальной особенностью метода является абсолютное исключение в ходе самого сеанса критики и вообще какой-либо оценки высказываемых идей. Сама сущность метода состоит в разделении во времени решения двух задач: генерирования новых идей и анализа (оценки) этих идей, для чего даже создаются две разные группы экспертов: генераторов идей и аналитиков.
Процесс поиска решения по методу психоинтеллектуальной генерации осуществляется в виде целенаправленно управляемой беседы-дискуссии двух непременных участников - ведущего и решающего. Ведущий ставит решающему вопросы (проблемы), по которым последний высказывает свои суждения. Вокруг этих суждений и завязывается дискуссия, направляемая ведущим на возможно более полное и глубокое рассмотрение проблемы. В помощь ведущему могут выделяться оппонент и эксперты. Задача оппонента заключается в поиске слабых мест в суждениях решающего и формировании возражений и критических замечаний с тем, чтобы как можно энергичнее побудить его к дискуссии (преднамеренное вовлечение в дискуссию). Эксперты помогают ведущему оценивать высказываемые суждения и намечать последовательность и содержание дальнейшего обсуждения проблемы. Среди всех высказываний решающего отыскиваются наилучшие решения обсуждаемой проблемы.
2.4 Угрозы безопасности автоматизированной системы обработки информации
К настоящему времени известно большое количество разноплановых угроз различного происхождения, таящих в себе различную опасность для информации. Системная их классификация приведена в табл.2.2.
Ниже приводится краткий комментарий к приведенным в табл.2.2 параметрам классификации, их значениям и содержанию.
Виды угроз. Данный параметр является основополагающим, определяющим целевую направленность защиты информации.
Происхождение угроз. В табл. 2.2 выделено два значения данного параметра: случайное и преднамеренное. При этом под случайным понимается такое происхождение угроз, которое обусловливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в системе обработки данных в процессе ее функционирования. Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния. Сущность перечисленных событий определяется следующим образом:
а)отказ - нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций;
б)сбой - временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;
в)ошибка - неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния;
г)побочное влияние - негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.
Преднамеренное происхождение угрозы обусловливается злоумышленными действиями людей, осуществляемыми в целях реализации одного или нескольких видов угроз.
3.Предпосылки появления угроз. В табл. 2.2 названы две разновидности предпосылок: объективные (количественная или качественная недостаточность элементов системы) и субъективные (деятельность разведывательных органов иностранных государств, промышленный шпионаж, деятельность уголовных элементов, злоумышленные действия недобросовестных сотрудников системы). Перечисленные разновидности предпосылок интерпретируются следующим образом:
а)количественная недостаточность - физическая нехватка одного или несколько элементов системы обработки данных, вызывающая нарушения технологического процесса обработки или/и перегрузку имеющихся элементов;
б)качественная недостаточность - несовершенство конструкции (организации) элементов системы, в силу чего могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию;
в)деятельность разведывательных органов иностранных государств - специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами. К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых доброжелателей) и техническая, включающая радиоразведку (перехват радиосредствами информации, циркулирующей в радиоканалах систем связи), радиотехническую (регистрацию спецсредствами сигналов, излучаемых техническими системами) и космическую (использование космических кораблей и искусственных спутников для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации другими доступными способами;
г)промышленный шпионаж - негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или похищения, а также по созданию для себя благоприятных условий в целях получения максимальных выгод;
д)злоумышленные действия уголовных элементов - хищение информации или компьютерных программ в целях наживы или их разрушение в интересах конкурентов;
е)злоумышленные действия недобросовестных сотрудников - хищение (копирование) или уничтожение информационных массивов или/и программ по эгоистическим или корыстным мотивам.
4.Источники угроз. Под источником угроз понимается непосредственный исполнитель угрозы в плане негативного воздействия ее на информацию. Перечень и содержание источников приведены в табл.2.2 и в дополнительных комментариях не нуждаются.
Таблица 2.2
Системная классификация угроз информации
Параметры классификации
|
Значения параметров
|
Содержание значения критерия
|
|
1. Виды
|
1.1.Физической целостности.
|
Уничтожение (искажение).
|
|
|
1.2. Логической структуры.
|
Искажение структуры.
|
|
|
1.3. Содержания.
|
Несанкционированная модификация.
|
|
|
1.4. Конфиденциальности. 1.5. Права собственности.
|
Несанкционированное получение; утечка информации
Присвоение чужого права.
|
|
2. Природа происхождения
|
2.1. Случайная.
|
Отказы, сбои, ошибки.
|
|
|
|
Стихийные бедствия.
|
|
|
|
Побочные влияния.
|
|
|
2.2. Преднамеренная.
|
Злоумышленные действия людей.
|
|
3.Предпосылки появления
|
3.1. Объективные.
|
Количественная недостаточность элементов системы.
|
|
|
|
Качественная недостаточность элементов системы.
|
|
|
3.2. Субъективные.
|
Разведывательные органы иностранных государств.
|
|
|
|
Промышленный шпионаж.
|
|
|
|
Уголовные элементы.
|
|
|
|
Недобросовестные сотрудники.
|
|
4. Источники угроз
|
4.1. Люди. 4.2. Технические устройства.
4.3.Модели, алгоритмы, программы.
4,4.Технологические схемы обработки.
4.5. Внешняя среда.
|
Посторонние лица, пользователи, персонал.
Регистрации, передачи, хранения, переработки, выдачи.
Общего назначения, прикладные, вспомогательные.
Ручные, интерактивные, внутрима-шинные, сетевые.
|
|
|
|
Состояние атмосферы, побочные шумы, побочные сигналы
|
|
|
2.5 Причины, виды и каналы утечки информации
Основными причинами утечки информации являются:
несоблюдение персоналом норм, требований, правил эксплуатации КИС;
ошибки в проектировании КИС и систем защиты КИС;
ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации.
В соответствии с ГОСТ Р 50922-96 рассматриваются три вида утечки формации:
разглашение;
несанкционированный доступ к информации;
получение защищаемой информации разведками (как отечественными, так и иностранными).
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
Канал утечки информации -- совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей КИС, или вне ее. Применительно к КИС выделяют следующие каналы утечки:
1.Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах КИС. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:
радиоканал (высокочастотное излучение);
низкочастотный канал;
сетевой канал (наводки на сеть электропитания);
канал заземления (наводки на провода заземления);
линейный канал (наводки на линии связи между компьютерными системами).
Акустический (виброакустический) канал. Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации КИС.
Визуальный канал. Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации КИС без проникновения в помещения, где расположены компоненты системы. В качестве средства выделения информации в данном случае могут рассматриваться фото-, видеокамеры и т.п.
Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам КИС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключением к лини ям связи. Информационный канал может быть разделен на следующие каналы:
канал коммутируемых линий связи,
канал выделенных линий связи,
канал локальной сети,
канал машинных носителей информации,
канал терминальных и периферийных устройств.
2.6 Модели разграничения доступа к информации
Для проведения желаемой политики безопасности в системе должны присутствовать соответствующие механизмы. В большинстве случаев эти механизмы содержат некоторые автоматизированные компоненты, зачастую являющиеся частью базового программного обеспечения (операционной системы) с соответствующим множеством процедур пользователя и администратора.
В то время как политика безопасности представляет собой множество правил для конкретной системы, модель безопасности - абстрактное описание поведения целого класса систем, без рассмотрения конкретных деталей их реализации. Модель безопасности является инструментом разработки политики безопасности.
Политика безопасности компьютерной системы может быть выражена формальным и неформальным образом. Для неформального описания политики безопасности широкое распространение получило описание правил доступа субъектов к объектам в виде таблиц, наглядно представляющих правила доступа. Обычно под этим подразумевается, что субъекты, объекты и типы доступа в данной системе определены, а множество субъектов и объектов конечно и определено. Основным преимуществом такого способа представления политики безопасности является доступность для понимания малоквалифицированным пользователем.
2.6.1 Модели безопасности
Модель дискреционного доступа. В рамках модели контролируется доступ субъектов к объектам. Для каждой пары субъект-объект устанавливается тип операции доступа (READ, WRITE и т.п.). Контроль доступа осуществляется посредством механизмов, которые предусматривают возможность санкционированного изменения правил разграничения доступа.
Модель дискретного доступа. В рамках модели рассматриваются механизмы распространения доступа субъектов к объектам.
Модель мандатного управления доступом (Белла-Лападула). Формально записана в терминах теории отношений. Описывает механизм доступа к ресурсам системы, при этом для управления доступом используется матрица контроля доступа. В рамках модели рассматриваются простейшие операции Read\Write, на которые накладываются ограничения. Множество субъектов и объектов упорядочены в соответствии с их уровнем полномочий и уровнем безопасности. Состояния системы изменяются по правилам трансформации состояний. Во множестве субъектов могут присутствовать доверенные субъекты, которые не подчиняются ограничениям на операции чтение-запись.
Модели распределённых систем (синхронная и асинхронная). В рамках моделей субъекты выполняют операции с объектами на нескольких устройствах обработки. Рассматриваются операции доступа субъектов к объектам, которые могут быть удалёнными, что может вызвать противоречия в модели. В рамках асинхронной модели в один момент времени несколько субъектов могут получить доступ к нескольким объектам. Переход системы из одного состояния в другое в один момент времени может осуществляться под воздействием более чем одного субъекта.
Модель безопасности военной системы передачи данных (MMS) -- формально записана в терминах теории множеств. Субъекты могут выполнять специальные операции над объектами сложной структуры. В модели присутствует администратор безопасности для управления доступом к данным и устройствам к глобальной сети передачи данных. При этом для управления доступом используются матрицы контроля доступа. В рамках модели используются операции READ, WRITE, CREATE,DELETE, операции над объектами специфической структуры, а также могут появляться операции направленные на специфическую обработку информации. Состояние системы изменяется с помощью функции трансформации.
Модель трансформации прав доступа. Формально записана в терминах теории множеств. В рамках модели субъекту в данный момент времени предоставляется только одно право доступа. Для управления доступом применяются функции трансформации прав доступа. Механизм изменения состояния системы основывается на применении функции трансформации состояний системы.
Схематическая модель -- формально записана в терминах теории множеств и теории предикатов. Для управления доступом используется матрица доступа со строгой типизацией ресурсов. Для изменения прав доступа применяется аппарат копирования меток доступа.
Иерархическая модель - формально записана в терминах теории предикатов. Описывает управление доступом для параллельных вычислений, при этом управление доступом основывается на вычислении предикатов.
Модель безопасных спецификаций - формально описана в аксиоматике Хоара. Определяет количество информации, необходимое для раскрытия системы защиты в целом. Управление доступом на основании классификации пользователей. Понятие механизма изменения состояний не применяется.
Модель информационных потоков -- формально записана в терминах теории множеств. В модели присутствуют объекты и атрибуты, что позволяет определить информационные потоки. Управление доступом осуществляется на основе атрибутов объектов. Изменения состояния является изменением соотношения между объектами и атрибутами.
Вероятностные модели -- в модели присутствуют субъекты, объекты и их вероятностные характеристики. Рассматриваются операции доступа субъектов к объектам READ и WRITE. Операции доступа также имеют вероятностные характеристики.
Модель элементарной защиты. Предмет защиты помещён в замкнутую и однородную защищённую оболочку, называемую преградой. Информация со временем стареет и цена её уменьшается. За условие достаточности защиты принимается превышение затрат времени на преодоление нарушителем преграды над временем жизни информации. Вводится вероятность не преодоления преграды нарушителем (РСЗИ ), вероятность обхода преграды нарушителем (Робх), вероятность преодоления защиты нарушителем за время меньшее времени жизни информации (Рнр). Для введенной модели нарушителя показано, что Рсзи = min [(1-Рнр)(1-РОбх)], что является иллюстрацией принципа слабейшего звена. Развитие модели учитывает вероятность отказа системы и вероятность обнаружения блокировки действий нарушителя.
Модель системы безопасности с полным перекрытием. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описывается в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, а также набор барьеров.
Модель гарантированно защищённой системы обработки информации. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступ к которым не может привести к утечке информации. Все остальные объекты системы являются порождёнными пользователями, каждый пользователь принадлежит множеству порождённых им объектов. При условиях, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя, что субъекты имеют доступ только к общим ресурсам системы и к объектам, порождённым ими и при отсутствии обходных путей политики безопасности модель гарантирует невозможность утечки информации и выполнение политики безопасности.
Субъектно-объектная модель. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделены множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект или объекты, т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект - монитор безопасности субъектов, который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды.
2.6.2 Модель пятимерного пространства безопасности Хардстона
Модель использует пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании.
Модель имеет 5 наборов:
A- набор установленных полномочий; U - набор установленных пользователей; Е - набор установленных операций; R - набор установленных ресурсов; S - набор установленных состояний.
Доступ рассматривается как ряд запросов, осуществляющих пользование и для осуществления операций Е над ресурсами R , в то время когда система находится в состоянии R.
Запрос на доступ - это кортеж: q = {u, e, R, s}.
Величины U и S задаются системой, таким образом запрос на доступ есть подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае когда они полностью заключены в соответствующее под пространство. Процесс организации доступа можно описать следующим алгоритмом.
Для запроса q = {U, R, A} - набора U' вполне определенных групп пользователей, набора R' вполне определенных ресурсов и набора А' - правильно установленных полномочий процесс организации доступа состоит из следующих процедур:
Вызвать все вспомогательные программы, необходимые для предварительного принятия решений.
Определить из U те группы пользователей, которые принадлежат группе U. Затем выбрать из Р спецификации полномочий, которые соответствует выделенной группе пользователей. Этот набор полномочий F(U) определяет полномочия пользователя U.
Определить из Р набор F(Е) полномочий, которые устанавливают Е как основную операцию. Этот набор называется привилегией операции Е.
Определить из Р набор F(R) (привилегия единичного ресурса R) полномочий, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R. Полномочия, которые являются общими для 3-х привилегий в шагах 2, 3, 4 образуют D(q) - домен полномочий для запроса q:
D(q) = F(U)^F(E)*F(R).
Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. любой элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).
Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы 2 полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для любого такого класса логическая операция ИЛИ или И выполняется с условием доступа элементов любого класса. Новый набор полномочий:
А. Один на единицу ресурса, указанную в D(q) есть F(u, q)
Б. Фактическая привилегия пользователя и по отношению к запросу q.
7.Вычислить ЕАС, условие фактического доступа соответствующую запросу q, осуществляя логическое И (ИЛИ) над условиями доступа членов F(u, q). Операция И (ИЛИ) выполнение над которой перекрывает единицу запрашиваемого ресурса.
Оценить ЕАС и принять решение о доступе: А. Разрешить доступ к R, если R перекрывается. Б. Отказать в доступе в противном случае.
Произвести запись необходимых событий.
Вызвать все программы необходимые для организации доступа после принятия решений.
Выполнить все программы, вытекающие для любого случая из условия 8.
12. Если решение о доступе было положительным, завершить физическую обработку. Достоинства модели: простота реализации. Пример - матрица доступа.
Недостаток модели: ее статичность, т.е. модель не учитывает динамику изменений состояний ВС, не накладывает ограничений.
2.6.3 Модель Белла-Лападула
В предыдущих моделях существовала проблема «Троянских коней».
Троянская программа - любая программа, от которой ожидают выполнение желаемых действий, а она выполняет и нежелательные действия. В модели Белла-Лападула такой проблемы не существует.
Классическая модель Белла-Лападула (БЛ) построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа. Возможность ее использования в качестве формальной модели таких систем непосредственно отмечена в критерии TCSEC «Оранжевая книга». Модель БЛ была предложена в 1975 г.
Пусть определены конечные множества: S - множество субъектов системы (например, пользователи системы и программы); О - множество объектов системы (например, все системные файлы); R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О, где read - доступ на чтение, write -- на запись, append-- на запись в конец объекта, execute -- на выполнение.
Обозначим:
В ={ b? S Ч O Ч R} - множество текущих доступов в системе;
М - матрица разрешенных доступов, где M SO ?R- разрешенный доступ субъекта s к объекту о; L - множество уровней секретности, например
L = {U, C, S, TS},
где U<C<S<TS; (fs, fo , fc ) ? F = LS Ч LO Ч LS - тройка функций (fs ,fo,fc), определяющих:
fs = S >> L - уровень допуска объекта; fO =O >> L - уровень секретности объекта;
fs = S --> L - текущий уровень допуска субъекта, при этом Vs ? SfC (s) ? fS (s); H -- текущий уровень иерархии объектов (далее не рассматривается);
V= BЧMЧFЧH - множество состояний системы; Q -- множество запросов системе;
D -- множество решений системы D = {yes, no, error} ;
W ?QЧDЧVЧV - множество действий системы, где четверка (q, d,v1,v2)?W означает, что система по запросу q с ответом d перешла из состояния v1 в состояние v2 ;
N0 -- множество значений времени N0 = (0,1, 2, ...) ;
X -- множество функций хx: N 0 > Q, задающих все возможные последовательности запросов к системе;
Y- множество функций y : N 0 > D , задающих все возможные последовательности ответов системы по запросам;
Z - множество функций z : N 0 > V, задающих все возможные последовательности состояний системы.
Далее в модели БЛ дается ряд свойств, определений и теорем, позволяющих проверить систему -разрабатываемую или существующую - на предмет безопасности. Классическая модель БЛ предлагает общий подход к построению систем, реализующих мандатную (полномочную) политику безопасности. В модели БЛ определяется, какими свойствами должны обладать состояние и действия системы, чтобы она была безопасной согласно данному в модели определению. В то же время в модели не указывается конкретно, что должна делать система по запросам на доступ субъектов к объектам при переходе из состояния в состояние, как конкретно должны при этом изменяться значения элементов модели.
2.6.4 Средства разграничения доступа
Представленные здесь средства реализуют модели избирательного (дискреционного) доступа "Dallas Lock»
В комплексе «Dallas Lock» неявно используется атрибуты
R(d) = {Y, N},
Где Y- право полного доступа субъекта к объекту;N - отсутствие права.
В соответствии с этим любому субъекту ставится в соответствие либо список запрещенных объектов, либо список разрешенных объектов.
"Secret Net»
В системе «Secret Net» набор применяемых атрибутов шире:
R(s) = {R, W, X},
где
R - разрешение на чтение;
W - разрешение на модификацию;
X - разрешение на запуск задачи.
"Аккорд»
В СЗИ НДС «Аккорд» набор общих прав доступа:
R(a) = {R, W, C, D, N, V, O, M, E, G, X},
где
R- разрешение на открытие файлов только для чтения;
W - разрешение на открытие файлов только для записи;
С - разрешение на создание файлов на диске;
D - разрешение на удаление файлов;
N - разрешение на переименование файлов;
V- видимость файлов;
О - эмуляция разрешения на запись информации в файл; М - разрешение на создание каталогов на диске; Е - разрешение на удаление каталогов на диске; G - разрешения перехода в каталог; X- разрешение на запуск программ.
3. Управление защитой информации
3.1 Введение
В данном пособии под управлением будем понимать процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданным правилам.
Основная (опосредованная) цель управления защитой информации - обеспечение реализации потенциальных возможностей информационной системы.
Непосредственная цель управления защитой информации - выработка и реализация своевременных и обоснованных решений, наилучших (оптимальных) с точки зрения реализации потенциальных возможностей системы защиты КИС в конкретных условиях.
Основные свойства и показатели эффективности процессов управления защитой информации:
Устойчивость управления - определяется способностью управлять с заданной эффективностью при активном вмешательстве нарушителя.
Непрерывность управления - возможность постоянно воздействовать на процесс защиты информации.
Скрытность управления защитой информации - определяется способностью воспрепятствовать в выявлении организации управления.
Оперативность управления определяется способностью своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.
Обоснованность управления характеризуется всесторонним учетом условий решения поставленной задачи, применением различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других факторов, повышающих достоверность исходной информации и принимаемых решений.
Управление системой защиты и осуществление контроля за функционированием КИС - все это составляющие одной задачи - реализации политики безопасности.
Управление защитой информации представляет собой широкомасштабный и многогранный процесс начинающийся с формулирования положений политики безопасности организации и кончая регулярной оценкой защищенности КИС. Далее в настоящем разделе рассмотрены только некоторые составляющие процесса управления защитой информации в КИС.
3.2 Аудит
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации. Рекомендуется проводить внешний аудит регулярно. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании утвержденного плана и в соответствии с правилами изложенными, например в «Положении о внутреннем аудите», подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:
анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов КИС;
оценка текущего уровня защищенности КИС;
локализация узких мест в системе защиты КИС;
оценка соответствия КИС существующим стандартам в области информационной безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности КИС.
3.2.1 Определение и задачи аудита
Под термином «аудит» КИС понимается системный процесс получения и оценки объективных данных о текущем состоянии КИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и КИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена КИС, что влечет за собой большие капиталовложения, с другой - модернизация КИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов КИС.
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит КИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание КИС.
Страницы: 1, 2, 3, 4, 5, 6
|