Необходимые условия нарушения безопасности информационных потоков по времени в рамках МРОСЛ ДП-модели | ПДМ. Приложение. 2015. № 8.

Необходимые условия нарушения безопасности информационных потоков по времени в рамках МРОСЛ ДП-модели

В рамках мандатной сущностно-ролевой ДП-модели, ориентированной на реализацию в отечественной защищённой операционной системе специального назначения (ОССН) Astra Linux Special Edition, формулируется теорема о необходимых условиях нарушения безопасности информационных потоков по времени (создания таких потоков «сверху вниз»), из которой следует, что эти условия легко устранить на практике, после чего для безопасности управления доступом ОССН в целом достаточно обеспечить в ней безопасность информационных потоков по памяти в смысле Белла - ЛаПадулы и мандатный контроль целостности.

Security violation necessary conditions for time information flows in MROSL DP-model.pdf Анализ условий безопасности информационных потоков по времени (или, наоборот, её нарушения) при построении формальных моделей механизмов управления доступом часто является наиболее сложной задачей, решение которой начинается после того, как исследованы условия безопасности информационных потоков по памяти. Этим традиционным путём разрабатывалась мандатная сущностно-ролевая ДП-мо-дель (сокращённо МРОСЛ ДП-модель) [1-3], большая часть элементов которой уже реализована в отечественной защищённой ОССН Astra Linux Special Edition [4]. После задания в модели элементов состояния системы, описания порядка функционирования мандатного и ролевого управления доступом и мандатного контроля целостности, де-юре и де-факто правил преобразования состояний системы и обоснования их корректности была сформулирована и доказана базовая теорема безопасности (БТБ-ДП) о достаточных условиях безопасности в смысле Белла - ЛаПадулы (предотвращения возможности реализации информационных потоков по памяти «сверху вниз») и мандатного контроля целостности (предотвращения возможности захвата контроля недоверенными субъект-сессиями над доверенными субъект-сессиями) [5], которые определяются следующим образом (с использованием обозначений из [1] даётся определение трёх смыслов нарушения безопасности, под безопасностью в каждом из этих смыслов понимается отсутствие соответствующего её нарушения). Определение 1. Пусть G0 - безопасное начальное состояние системы E(G*, OP, G0) и существует траектория без кооперации доверенных и недоверенных субъект-сессий G0 hopi G1 hop2 ... hopN Gn, где N ^ 1. Будем говорить, что в состоянии GN произошло нарушение безопасности системы, когда в нём выполняется одно из следующих условий, при этом они не выполняются в состояниях Gj траектории для 0 ^ i < N: - существуют недоверенная субъект-сессия x Е Nsn и доверенная субъект-сессия y Е de_facto_ownN(x) П , такие, что iSN (y) = i_high (нарушение безопасности в смысле мандатного контроля целостности); - существует информационный поток по памяти (x, y, writem) Е Fn, такой, что x,y Е Е и неверно неравенство feN (x) ^ feN (y) (нарушение безопасности в смысле Белла - ЛаПадулы); - существует информационный поток по времени (x, y, writet) G Fn, такой, что x, y G G EN и неверно неравенство feN (x) ^ feN (y) (нарушение безопасности в смысле контроля информационных потоков по времени). Для формулирования теоремы о необходимых условиях нарушения безопасности в смысле контроля информационных потоков по времени потребовалось уточнить заданные в модели условия использования имеющихся в реальной защищённой ОССН некоторых «особенных» сущностей. Изначально сущности - специальные объекты-«дыр-ки», не позволяющие хранить данные или быть использованными для создания информационных потоков по памяти (например, сущности, соответствующие портам вывода на графические устройства, «слушающие» сокеты), в модели были включены в множество E_HOLE. Однако практическая реализация модели потребовала разделения этого множества на объекты-«дырки» первого вида (например, файлы dev/null или dev/zero), которые полностью не сохраняют данных, их нельзя использовать для создания любых информационных потоков (сущности из множества MT_HOLE), и объ-екты-«дырки» второго вида (сущности из множества M_HOLE), которые изначально входили в множество E_HOLE (таким образом, стало E_HOLE = MT_HOLE U U M_HOLE, MT_HOLE П M_HOLE = 0). Теорема 1. Пусть G0 - безопасное начальное состояние системы S(G*,OP, G0). Пусть на всех траекториях системы без кооперации доверенных или недоверенных субъект-сессий G0 hopi G1 b^ ... b^^ GN, где N ^ 1, каждое состояние Gj безопасно в смыслах условия 1 и 2 определения 1, где 1 ^ i ^ N, и безопасно в смысле условия 3 определения 1, где 1 ^ i < N. Пусть также в состоянии Gn происходит нарушение безопасности в смысле условия 3 определения 1. Тогда выполняется одно из условий: - существуют субъект-сессия x G Nsn U NFsn и сущность y G M_HOLE, такие, что (x,y, writea) G AN и верно неравенство fSN (x) < feN (y) (найдётся недоверенная или некорректная относительно информационных потоков по времени доверенная субъект-сессия с низким уровнем доступа, имеющая доступ на запись к объекту-«дырке» второго вида с высоким уровнем доступа, через который возможно создание информационных потоков по времени); - существуют сущность-контейнер c G CN и сущность e G EN, такие, что GGRN(c) = = GGRIn(c) = true, e < c и feN(e) < feN(c) (найдётся сущность-контейнер с мандатными атрибутами конфиденциальности GGR и целостности GGRI, равными true, в состав которого входит сущность с меньшим уровнем конфиденциальности, что может позволить недоверенной субъект-сессии, изменяя параметры этой сущности-контейнера, через входящую в него сущность создавать информационные потоки по времени). Из теоремы следует, что для предотвращения запрещённых информационных потоков по времени «сверху вниз» в реальной ОССН достаточно обеспечения её безопасности в смыслах условия 1 и 2 определения 1, исключения создания (особенно при установке или администрировании ОССН) сущностей-контейнеров с мандатными атрибутами конфиденциальности и целостности, равными true, в состав которых входят сущности с меньшим уровнем конфиденциальности, а также либо полный запрет на использование сущностей из множества M_HOLE (задание M_HOLE = 0), либо такую реализацию этих сущностей, когда их нельзя будет применять для создания информационных потоков по времени. Таким образом, закончен очередной этап разработки комплексного научно-обоснованного технического решения [6], направленный на создание отечественной защи-щённой ОССН Astra Linux Special Edition и заключающийся в теоретическом обосновании алгоритмически проверяемых и реализуемых на практике условий безопасности в ОССН информационных потоков по памяти и по времени.

Ключевые слова

information flow, formal model, computer security, Linux, информационный поток, формальная модель, компьютерная безопасность

Авторы

ФИООрганизацияДополнительноE-mail
Девянин Петр НиколаевичУМС УМО по ИБ (г. Москва)доктор технических наук, доцент, председатель
Всего: 1

Ссылки

Девянин П. Н., Куликов Г. В., Хорошилов А. В. Комплексное научно-обоснованное решение по разработке отечественной защищенной ОССН Astra Linux Special Edition // Методы и технические средства обеспечения безопасности информации: Материалы 23-й науч.-технич. конф. 30 июня-03 июля 2014 г. СПб.: Изд-во Политехн. ун-та, 2014. С. 29-33.
Операционные системы Astra Linux. http://www. astra-linux.ru/
Девянин П. Н. Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели // Прикладная дискретная математика. Приложение. 2014. № 7. С. 82-85.
Девянин П. Н. Администрирование системы в рамках мандатной сущностно-ролевой ДП-модели управления доступом и информационными потоками в ОС семейства Linux // Прикладная дискретная математика. 2013. №4(22). С. 22-40.
Девянин П. Н. Адаптация мандатной сущностно-ролевой ДП-модели к условиям функционирования ОС семейства Linux // Системы высокой доступности. 2013. №3. С. 98-102.
Девянин П. Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учеб. пособие для вузов. 2-е изд., испр. и доп. М.: Горячая линия - Телеком, 2013. 338 с.
 Необходимые условия нарушения безопасности информационных потоков по времени в рамках МРОСЛ ДП-модели | ПДМ. Приложение. 2015. № 8.

Необходимые условия нарушения безопасности информационных потоков по времени в рамках МРОСЛ ДП-модели | ПДМ. Приложение. 2015. № 8.