Approaches to security of computer systems with functionally or parametrically associated entities.pdf В настоящее время одной из актуальных задач теории компьютерной безопасностиявляется разработка математических моделей безопасности современных компьютерныхсистем (КС), реализующих управление доступом и информационными потоками.Данная задача возникает как при теоретическом анализе безопасности КС с применениемих формальных моделей, так и при тестировании механизмов защиты КС с использованиемпроцедур, методов и средств автоматизации и компьютерного моделирования.На необходимость формализации процедур оценки безопасности, разработкиобщих методологий и моделей угроз безопасности КС указывается в «Концепцииоценки соответствия автоматизированных систем требованиям безопасности информации» [1]. Более того, в соответствии с «Критериями оценки безопасности информационныхтехнологий» [2] для КС с высоким уровнем доверия обязательным являетсяразработка формальной модели их политики безопасности управления доступом и информационнымипотоками.Как правило, для теоретического анализа и обоснования безопасности КС используетсяподход, основанный на применении классических моделей Take-Grant, Белла- ЛаПадулы, систем военных сообщений, ролевого управления доступом, а такжесубъектно-ориентированной модели изолированной программной среды и семействаДП-моделей [3]. С их использованием анализируется безопасность управления доступоми информационными потоками в КС с дискреционным, мандатным или ролевымуправлением доступом. Последние две модели адекватно описывают безопасность КСс функционально ассоциированными с субъектами сущностями. При этом ни в однойиз известных автору моделей не рассматриваются параметрически ассоциированные ссубъектами сущности и не учитывается возможность нарушения безопасности КС приреализации запрещенных информационных потоков по памяти от таких сущностей,что не позволяет моделировать политики управления доступом и информационнымипотоками в реальных КС.Другой подход, используемый для анализа безопасности КС, ориентирован на построениепотенциально возможных путей нарушения безопасности КС с применениемкомпьютерного моделирования, включающего тестирование безопасности и автоматизированноевыявление возможности проникновения. Как правило, данный подходоснован на моделях формального описания и верификации политик безопасности илимоделях анализа графов атак. В этих моделях используются оригинальные определенияэлементов и механизмов защиты КС, а применяемый математический аппаратчасто недостаточен для анализа условий нарушения безопасности КС и формальногообоснования методов и механизмов их защиты. В то же время известны модели,сочетающие теоретический подход к обоснованию безопасности КС с практическиммоделированием условий ее нарушения.Таким образом, можно сказать, что известные теоретические модели безопасности,как правило, не позволяют учесть существенные особенности функционированиясуществующих КС, в том числе заключающиеся в наличии у субъектов КС параметрическиассоциированных сущностей, а имеющийся математический аппарат, используемыйпри компьютерном моделировании безопасности современных КС, недостаточендля ее теоретического анализа.С целью обеспечения безопасности КС с функционально или параметрическиассоциированными с субъектами сущностями с дискреционным управлением доступоми информационными потоками разработана математическая модель (ФПАС ДП-модель), развивающая семейство дискреционных ДП-моделей и, в отличие от них, позволяющаяанализировать безопасность данных КС. В модели рассматривается новыйвид сущностей - параметрически ассоциированных с субъектами КС, реализация информационныхпотоков по памяти от которых позволяет нарушителю получать правадоступа различных субъектов КС, в том числе и доверенных.В рамках разработанной ФПАС ДП-модели предложены и теоретическиобоснованы:- необходимые и достаточные условия возможности получения недоверенным субъектомправа доступа владения к доверенному субъекту;- метод предотвращения возможности получения права доступа владения недовереннымсубъектом к доверенному субъекту;- алгоритм поиска всех возможных путей утечки права доступа или реализации запрещенногоинформационного потока;- метод предотвращения утечки права доступа или реализации запрещенного информационногопотока без изменения реализации субъектов.На базе предложенной ФПАС ДП-модели КС также построена ДП-модель сетевыхдискреционных КС с уязвимостями (СДУ ДП-модель). В ней предполагается, чтонарушители могут использовать различные уязвимости (ошибки в системных и прикладныхпроцессах, доверие, доступ к паролям, раскрытие параметров КС), позволяющиеполучать контроль над субъектами КС, в том числе и доверенными. В рамкахпостроенной СДУ ДП-модели формализованы основные требования по тестированиювозможности проникновения семейства к доверию «Анализ уязвимостей» руководящегодокумента ФСТЭК «Критерии оценки безопасности информационных технологий»,а именно: формально описаны модели нарушителя (нарушителя с низким, умеренными высоким потенциалом нападения) и дано математическое определение стойкостиКС к проникновению. Рассмотрены также существующие подходы к построению потенциальновозможных путей нарушения безопасности сетевых КС с дискреционнымуправлением доступом при компьютерном моделировании их безопасности и показано,каким образом в этих подходах может быть применена СДУ ДП-модель.Таким образом, для теоретического анализа безопасности современных КС с дискреционнымуправлением доступом с функционально или параметрически ассоциированнымисущностями разработана математическая модель, которая может быть использованаи уже используется другими учёными [4] в дальнейших исследованиях потеории компьютерной безопасности, а также для формального анализа уязвимостей имоделирования политик управления доступом и информационными потоками в КС сдискреционным управлением доступом с высоким уровнем доверия к их безопасностии для разработки методов управления, администрирования и настройки параметровКС, позволяющих обеспечить защиту от нарушения их безопасности.

Скачать электронную версию публикации