ОПРЕДЕЛЕНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ
ЛЕКЦИЯ 7
ПОЛИТИКА БЕЗОПАСНОСТИ
Иногда удается достичь общепринятого понимания оптимальности принимаемого решения и доказать его существование. Например, в математической статистике для проверки простой гипотезы против простой альтернативы всеми признано понятие оптимального решения, которое минимизирует ошибку второго рода, а также доказано существование такого критерия (лемма Неймана-Пирсона). Однако, когда решение многоальтернативное, то общепринятого понимания оптимальности не получается, а в тех случаях, когда рассматривается вопрос об оптимальном в каком-то смысле решении, то его существование, чаще всего, удается доказать лишь в частных задачах.
Подобная ситуация существует в задачах защиты информации, поскольку неоднозначно решение о том, что информация защищена. Кроме того, система защиты - не самоцель и должна нести подчиненную функцию по сравнению с главной целью вычислительного процесса. Приведем примеры, поясняющие эти утверждения.
Пример 1. Пусть два инженера ведут разработки двух приборов, которые требуют решения задач x1, ..., xn1 - первым и задач x’1, ..., x’n2 - вторым инженером. Предположим, что информация о решении каждой задачи собирается в отдельном файле О1,...,Оn1 и О'1,...,0'n2 соответственно. Предположим, что среди множеств задач первого и второго инженеров есть одинаковые. К сожалению, обычный офицер службы безопасности, разрешающий или запрещающий доступ к файлам, не в состоянии решить, что в двух файлах накапливается информация по решению одной задачи. Рассмотрим различные решения офицера по обеспечению безопасности информации.
1. Если он разрешит доступ инженеров к файлам друг друга, то один из них, взяв информацию другого или свою, анонимно и поэтому безнаказанно, продаст эту информацию, так как нет персональной ответственности (невозможно установить, кто продал информацию из данного файла). При этом безнаказанность может стимулировать преступление.
2. Если он не разрешит доступ инженеров к файлам друг друга, то возникает опасность ущерба из-за недоступности информации (один нашел, а второй не нашел решение одной задачи; тогда вся задача второго инженера оказалась нерешенной, из-за чего возможен большой ущерб для фирмы, т.к. соответствующий прибор сделали конкуренты).
Очевидно, что в обоих случаях достигается снижение одной опасности за счет возрастания другой.
Пример 2. Пример посвящен проблеме компромисса задачи защиты и других задач вычислительной системы. Пусть в базе данных собирается информация о здоровье частных лиц, которая в большинстве стран считается конфиденциальной. База данных нужна, т.к. эта информация позволяет эффективно производить диагностику. Если доступ к этой базе из соображений защиты информации сильно ограничен, то в такой базе не будет пользы для врачей, ставящих диагнозы, и не будет пользы от самой базы. Если доступ открыть, то возможна утечка конфиденциальной информации, за которую по суду может быть предъявлен большой иск. Каким должно быть оптимальное решение?
Результатом решения в приведенных примерах и других аналогичных задачах является выбор правил распределения и хранения информации, а также обращения с информацией, что и называется политикой безопасности. Соблюдение политики безопасности должно обеспечить выполнение того компромисса между альтернативами, который выбрали владельцы ценной информации для ее защиты. Ясно, что, являясь результатом компромисса, политика безопасности никогда не удовлетворит все стороны, участвующие во взаимодействии с защищаемой информацией. В тоже время выбор политики безопасности - это окончательное решение проблемы: что - хорошо и что -плохо в обращении с ценной информацией. После принятия такого решения можно строить защиту, то есть систему поддержки выполнения правил политики безопасности. Таким образом, построенная система защиты информации хорошая, если она надежно поддерживает выполнение правил политики безопасности. Наоборот, система защиты информации - плохая, если она ненадежно поддерживает политику безопасности.
Такое решение проблемы защищенности информации и проблемы построения системы защиты позволяет привлечь в теорию защиты точные математические методы. То есть доказывать, что данная система в заданных условиях поддерживает политику безопасности. В этом суть доказательного подхода к защите информации, позволяющего говорить о "гарантированно защищенной системе". Смысл "гарантированной защиты" в том, что при соблюдении исходных условий заведомо выполняются все правила политики безопасности. Термин "гарантированная защита" впервые встречается в стандарте министерства обороны США на требования к защищенным системам ("Оранжевая книга").
Основой для организации процесса защиты информации является политика безопасности. Политику безопасности вычислительной системы организации необходимо сформулировать для того, чтобы определить, от каких именно угроз и каким образом защищается информация в вычислительной системе.
Под политикой безопасности понимается набор правовых, организационных и технических мер по защите информации, принятый в конкретной организации. Таким образом, политика безопасности организации описывает множество условий, при которых пользователи системы могут получить доступ к ресурсам вычислительной системы без потери свойства информационной безопасности этой системы.
Политика безопасности должна быть оформлена в виде специального документа (или комплекта документов), с которым должны быть ознакомлены все пользователи системы.
С одной стороны, политика безопасности информирует пользователей о том, как правильно эксплуатировать систему, с другой — определяет множество механизмов безопасности, которые должны существовать в вычислительной системе.
Некоторые политики безопасности применяются ко всем пользователям системы (например, нормативная политика безопасности, основанная на степени доверия пользователя и классификации данных, см. главу 5), тогда как другие принимают во внимание только особые приложения или тип информации (например, политика безопасности, основанная на модели Кларка—Вилсона, см. главу 6).
Кроме политик безопасности, направленных непосредственно на отражение угроз безопасности, существуют политики безопасности, обладающие особыми характеристиками, связанными со сферой деятельности организации (например, используемые в бизнес-секторе). Примерами данных политик безопасности являются политика «пресс-релиза» (информация считается секретной до определенной даты), политики безопасности, основанные на модели китайской стены (см. главу 5) и т. д.
Политика безопасности вычислительной системы может состоять из множества частных политик, направленных на конкретные аспекты защиты информации. Политику безопасности вычислительной системы могут составлять как политики, направленные непосредственно на защиту от угроз информации — политики разграничения доступа, так и вспомогательные политики безопасности, соответствующие таким функциям защиты, как идентификация/аутентификация, аудит, резервное копирование и т. д.
ОПРЕДЕЛЕНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ
Будем следовать общепринятому определению политики безопасности (ПБ), приведенному в стандарте "Оранжевая книга" (1985 г.). В рассмотрении вопросов защиты информации мы примем аксиому, которая положена в основу американского стандарта по защите ("Оранжевая книга") и будет обсуждаться далее. Здесь мы сформулируем ее в следующей форме.
Аксиома.Все вопросы безопасности информации описываются доступами субъектов к объектам.
Определение. Политика безопасности это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации .
Полное описание ПБ достаточно объемно даже в простых случаях, поэтому далее будем пользоваться сокращенными описаниями.
Если вспомнить модель защиты, построенную в параграфе 1.1, то смысл политики безопасности очень прост - это набор правил управления доступом. Заметим отличие ПБ от употребляемого понятия несанкционированный доступ (НСД). Первое отличие состоит в том, что политика определяет как разрешенные, так и неразрешенные доступы. Второе отличие - ПБ по своему определению конструктивна, может быть основой определения некоторого автомата или аппарата для своей реализации.
Пример 1. Сформулируем простую политику безопасности в некотором учреждении. Цель, стоящая перед защитой, - обеспечение секретности информации. ПБ состоит в следующем: каждый пользователь пользуется своими и только своими данными, не обмениваясь с другими пользователями. Легко построить систему, поддерживающую эту политику. Каждый пользователь имеет свой персональный компьютер в персональной охраняемой комнате, куда не допускаются кроме него посторонние лица. Легко видеть, что сформулированная выше политика реализуется в этой системе. Будем называть эту политику тривиальной разграничительной (дискреционной) политикой.
ПБ определяется неоднозначно и, естественно, всегда связана с практической реализацией системы и механизмов защиты. Например, ПБ в примере 1 может полностью измениться, если в организации нет достаточного числа компьютеров и помещений для поддержки этой политики.
Выбор ПБ определяется фазовым пространством, допустимыми природой вычислительных процессов, траекториями в нем и заданием неблагоприятного множества N. Корректность ПБ в данных конкретных условиях должна быть, вообще говоря, доказана.
Построение политики безопасности обычно соответствует следующим шагам:
1 шаг. В информацию вносится структура ценностей и проводится анализ риска.
2 шаг. Определяются правила для любого процесса пользования данным видом доступа к элементам информации, имеющим данную оценку ценностей.
Однако реализация этих шагов является сложной задачей. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики. Таким образом, даже хорошая система защиты может быть "прозрачной" для злоумышленника при плохой ПБ.
Рассмотрим следующие примеры.
Пример 2. Пусть банковские счета хранятся в зашифрованном виде в файлах ЭВМ. Для зашифрования, естественно, используется блочная система шифра, которая для надежности реализована вне компьютера и оперируется с помощью доверенного лица. Прочитав в книгах о хороших механизмах защиты, служба безопасности банка убеждена, что если шифр стойкий, то указанным способом информация хорошо защищена. Действительно, прочитать ее при хорошем шифре невозможно, но служащий банка, знающий стандарты заполнения счетов и имеющий доступ к компьютеру, может заменить часть шифртекста в своем счете на шифртекст в счете богатого клиента. Если форматы совпали, то счет такого служащего с большой вероятностью возрастет. В этом примере игра идет на том, что в данной задаче опасность для целостности информации значительно выше опасности для нарушения секретности, а выбранная политика безопасности хорошо защищает от нарушений секретности, но не ориентирована на опасность для целостности.
Пример 3. Как было описано в примере в конце параграфа 1.4 для государственных структур традиционно принято определять гриф результирующего документа как верхнюю грань грифов и категорий составляющих этот документ частей. Формальное перенесение этого правила традиционной ПБ в ПБ для электронных документов может привести к возникновению канала утечки информации. В самом деле, рассмотрим многоуровневую реляционную базу данных как в параграфе 1.7 с решеткой ценностей {несекретно(Н), секретно (C)}. Пусть R - отношение, А1,..., Аm - атрибуты, причем А1- первичный ключ. По запросу строится "обзор" R', который состоит из элементов различной классификации. ПБ может включать одно из двух правил формализованного грифа отношения R':
1. (Привычный для госструктур) R' имеет гриф, равный наибольшему значению из грифов элементов, которые принимают входящие в него атрибуты.
2. (Как это было сделано в параграфе 1.7) R' имеет гриф, равный наименьшему значению из грифов элементов, которые принимают входящие в него атрибуты.
Покажем, что в случае 1 возможна утечка информации с грифом С пользователю, которому разрешен доступ только к информации с грифом Н. Для этого достаточно построить пример базы данных, где такая утечка очевидна.
Пусть реляционная база данных реализует геоинформационную систему. Например, она содержит географическую карту некоторого района пустыни. Базовое отношение РМ имеет три атрибута:
А1 - ключевой атрибут, содержащий координаты и размеры прямоугольного сектора в некоторой сетке координат;
А2 - изображение (карта) местности в секторе с координатами, задаваемыми атрибутом А1;
Аз - координаты колодцев с водой в рассматриваемом секторе.
Для простоты будем считать, что на запрос в базу данных мы получаем на экране изображение карты сектора, определяемого значением атрибута А1. Пусть значения атрибутов А1 и A2 имеют гриф Н, а значения атрибута А3 - С.
Если выбрать политику безопасности пункта 1, то мы покажем, как пользователь, не имеющий доступа к секретной информации, реализует канал утечки секретных данных о том, где в пустыне находится колодец с водой (пусть, для простоты, в рассматриваемой местности есть только один колодец). Для получения секретной информации пользователь делает последовательность запросов в базу данных, причем каждый следующий запрос (можно говорить о шагах алгоритма пользователя) определяется ответом на предыдущий.
1 шаг. Разбиваем район (для удобства - квадрат) на полосы и делаем запрос на эти участки в базу данных. Ответ возможен в двух формах:
* отказ от показа карты, если она секретная, так как пользователю, не имеющему допуска к секретной информации, база данных, естественно, не должна ее показывать;
* представление карты на экране, если она имеет гриф Н.
________________________
I I -------à отказ
________________________
I I -------à доступ разрешен
________________________
Если есть отказ в доступе, то в этом случае в прямоугольнике есть колодец.
2 шаг. Разбиваем полосу, где есть колодец (т.е. где есть отказ в доступе) пополам на две полосы и делаем два запроса в базу данных. Отказ означает, что в данной полосе есть колодец.
И так далее.
В результате вычисляется первая координата колодца с любой заданной точностью. Затем, в оставшейся полосе аналогично вычисляем вторую координату.
Таким образом, ПБ соблюдена, однако, произошла утечка секретной информации.
Если использовать ПБ пункта 2, то любой пользователь получает карту, но пользователь с допуском к секретной информации получает карту с нанесенным колодцем, а пользователь без такого доступа - без колодца. В этом случае канал, построенный выше, не работает и ПБ надежно защищает информацию.
ДИСКРЕЦИОННАЯ ПОЛИТИКА.
Заглавие параграфа является дословным переводом Discretionary policy, еще одним вариантом перевода является следующий - разграничительная политика. Рассматриваемая политика - одна из самых распространенных в мире, в системах по умолчанию имеется ввиду именно эта политика.
Пусть О - множество объектов, S - множество субъектов, SÍO. Пусть U={U1,...,Um} - множество пользователей. Определим отображение: own: 0àU.
В соответствии с этим отображением каждый объект объявляется собственностью соответствующего пользователя. Пользователь, являющийся собственником объекта, имеет все права доступа к нему, а иногда и право передавать часть или все права другим пользователям. Кроме того, собственник объекта определяет права доступа других субъектов к этому объекту, то есть политику безопасности в отношении этого объекта. Указанные права доступа записываются в виде матрицы доступа, элементы которой - суть подмножества множества R, определяющие доступы субъекта S, к объекту 0i(i = 1, 2,...,; j = 1, 2,... ).
Существует несколько вариантов задания матрицы доступа.
1. Листы возможностей: Для каждого субъекта Si создается лист (файл) всех объектов, к которому имеет доступ данный объект.
2. Листы контроля доступа: для каждого объекта создается список всех субъектов, имеющих право доступа к этому объекту.
Дискреционная политика связана с исходной моделью таким образом, что траектории процессов в вычислительной системе ограничиваются в каждом доступе. Причем вершины каждого графа разбиваются на классы и доступ в каждом классе определяется своими правилами каждым собственником. Множество неблагоприятных траекторий Nдля рассматриваемого класса политик определяется наличием неблагоприятных состояний, которые в свою очередь определяются запретами на некоторые дуги. Дискреционная политика, как самая распространенная, больше всего подвергалась исследованиям. Существует множество разновидностей этой политики. Однако многих проблем защиты эта политика решить не может. Одна из самых существенных слабостей этого j класса политик - то, что они не выдерживают атак при помощи "Троянского коня". Это означает, в частности, что система защиты, реализующая дискреционную политику, плохо защищает от проникновения вирусов в систему и других средств скрытого разрушающего воздействия. Покажем на примере принцип атаки "Троянским конем" в случае дискреционной политики.
Пример 1. Пусть U1 - некоторый пользователь, а U2 - пользователь-злоумышленник, О1 - объект, содержащий ценную информацию, O2 - программа с "Троянским конем" Т, и М - матрица доступа, которая имеет вид:
Проникновение программы происходит следующим образом. Злоумышленник U2 создает программу О2 и, являясь ее собственником, дает U1 запускать ее и писать в объект О2 информацию. После этого он инициирует каким-то образом, чтобы U1 запустил эту программу (например, О2 - представляет интересную компьютерную игру, которую он предлагает U1 для развлечения). U1 запускает О2 и тем самым запускает скрытую программу Т, которая обладая правами U1 (т.к. была запущена пользователем U1), списывает в себя информацию, содержащуюся в О1. После этого хозяин U2 объекта О2, пользуясь всеми правами, имеет возможность считать из O2 ценную информацию объекта О1.
Далее проблема дискреционной политики - это автоматическое определение прав. Так как объектов много, то задать заранее вручную перечень прав каждого субъекта на доступ к объекту невозможно. Поэтому матрица доступа различными способами агрегируется, например, оставляются в качестве субъектов только пользователи, а в соответствующую ячейку матрицы вставляются формулы функций, вычисление которых определяет права доступа субъекта, порожденного пользователем, к объекту О. Разумеется, эти функции могут изменяться во времени. В частности, возможно изъятие прав после выполнения некоторого события. Возможны модификации, зависящие от других параметров.
Одна из важнейших проблем при использовании дискреционной политики - это проблема контроля распространения прав доступа. Чаще всего бывает, что владелец файла передает содержание файла другому пользователю и тот, тем самым, приобретает права собственника на информацию. Таким образом, права могут распространяться, и даже, если исходный владелец не хотел передавать доступ некоторому субъекту S к своей информации в О, то после нескольких шагов передача прав может состояться независимо от его воли. Возникает задача об условиях, при которых в такой системе некоторый субъект рано или поздно получит требуемый ему доступ. Эта задача исследовалась в модели "take-grant", когда форма передачи или взятия прав определяются в виде специального права доступа (вместо own). Некоторые результаты этих исследований будут приведены в главе "Математические методы анализа политики безопасности".