У вас вопросы?
У нас ответы:) SamZan.net

Лекція 5 Архітектура підсистеми захисту інформації Для того чтобы корректно воплотить в жизнь разработа

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 28.12.2024

Лекція 5

Архітектура підсистеми захисту інформації

Для того, чтобы корректно воплотить в жизнь разработанную политику безопасности необходимо иметь надежные механизмы ее реализации.

Функції підсистеми захисту інформації

4.1.Достовірна обчислювальна база

Все средства, отвечающие за реализацию политики безопасности, сами должны быть защищены от любого вмешательства в их работу. Для цього все средства защиты и управления должны быть объединены в так называемую достоверную вычислительную базу.

Достоверная вычислительная база (ДВБ; Trusted Computing Base; TCB)  это абстрактное понятие, обозначающее полностью защищенный механизм вычислительной системы (включая аппаратные и программные средства), отвечающий за поддержку реализации политики безопасности. Средства защиты должны создавать ДВБ для обеспечения надежной защиты КС.

ДВБ выполняет двойную задачу – поддерживает реализацию политики безопасности и является гарантом целостности механизмов защиты, то есть самой себя. ДВБ совместно используется всеми пользователями КС, однако ее модификация разрешена только пользователям со специальными полномочиями. К ним относятся администраторы системы и другие привилегированные сотрудники организации.

Процесс, функционирующий от имени ДВБ, является достоверным. Это означает, что система защиты безоговорочно доверяет этому процессу и все его действия санкционированы политикой безопасности. Для поддержки политики безопасности и собственной защиты ДВБ должна обеспечить защиту субъектов (процессов) системы и защиту объектов системы в оперативной памяти и на внешних носителях.

Защита ДВБ строится на основе концепции иерархической декомпозиции системы. Сущность концепции заключается в том, что реальная система представляется как совокупность иерархически упорядоченных абстрактных уровней. Компоненты определенного уровня зависят только от компонентов более низких уровней и их внутренняя структура полагается недоступной с более высоких уровней. Связь уровней организуется через межуровневый интерфейс (см. рис. 1.1).

Структура компонентов системы и связи между ними являются жестко фиксированными; их изменение, дублирование, уничтожение невозможны. Компоненты более высоких уровней привязаны к компонентам более низких уровней, те, в свою очередь, к элементам физической реализации (устройствам ввода-вывода, процессору и др.). Связи между различными компонентами определяются спецификациями межуровневого интерфейса и также не могут изменяться. Это является дополнительной мерой обеспечения целостности ДВБ.

Компоненты верхних уровней обычно образуют интерфейс пользователя. Средние уровни обычно реализуют ввод-вывод на уровне записей, работу с файлами и виртуальной памятью. Компоненты нижних уровней реализуют планирование и диспетчеризацию процессов, распределение ресурсов, ввод-вывод на физическом уровне, обработку прерываний и т.д. Компонентами нулевого уровня можно считать элементы физической реализации: особенности архитектуры процессора, состав и назначение регистров (общих ипривилегированных), физическую реализацию некоторых функций и т.д.

Пользователь, находясь на самом высоком уровне, может только послать запрос на выполнение какой-либо операции. Этот запрос будет разрешен к выполнению компонентами более низких уровней только в том случае, если, пройдя обработку корректности на всех промежуточных уровнях, он не был отвергнут, то есть не сможет нарушить существующую политику безопасности. При этом каждая функция может быть выполнена только определенными компонентами на определенном уровне, что определяется архитектурой системы в целом.

Особенность применения концепции иерархической декомпозиции заключается в следующем:

  •  Каждый компонент должен выполнять строго определенную функцию;
  •  Каждая функция с помощью операции декомпозиции может быть разбита на ряд подфункций, которые реализуются и защищаются отдельно;
  •  Основная "тяжесть" защиты приходится на межуровневый интерфейс, связывающий декомпозированные подфункции в единое целое; горизонтальные ссылки должны быть сведены до минимума.

Підсумок

Политика безопасности и механизмы ее реализации образуют единую защищенную среду обработки информации. Эта среда имеет иерархическую структуру, где верхние уровни представлены требованиями политики безопасности, далее следует интерфейс пользователя, затем идут несколько программных уровней защиты (включая уровни ОС) и, наконец, нижний уровень этой структуры представлен аппаратными средствами защиты. На всех уровнях, кроме верхнего, должны реализовываться требования политики безопасности, за что, собственно, и отвечают механизмы защиты.

4.2. Механізми захисту

Достоверная вычислительная база состоит из ряда механизмов защиты, позволяющих ей обеспечивать поддержку реализации политики безопасности.

4.2.1. Ядро безпеки

Основой ДВБ является ядро безопасности (security kernel) – элементы аппаратного и программного обеспечения, защищенные от модификации и проверенные на корректность, которые разделяют все попытки доступа субъектов к объектам.

Ядро безопасности является реализацией концепции монитора ссылок (reference monitor) - абстрактной концепции механизма защиты.Помимо ядра безопасности ДВБ содержит другие механизмы, отвечающие за жизнедеятельность системы. К ним относятся планировщики процессов, диспетчеры памяти, программы обработки прерываний, примитивы ввода-вывода и др. программно-аппаратные средства, а также системные наборы данных.

Под монитором ссылок понимают концепцию контроля доступа субъектов к объектам в абстрактной машине. Схематически монитор ссылок изображен на рис. 1.2.

Рисунок 1.2 - Монитор ссылок

База данных защиты (security database) хранит информацию о правах доступа субъектов системы к объектам.

При вибірковому контролі доступу основу базы данных защиты составляет матрица  доступа (МД), Однако, вследствие больших размеров и разреженности МД, хранение полной матрицы представляется нецелесообразным, поэтому во многих системах используют более экономные представления МД: по строкам (профіль), по столбцам (Список контроля доступа), поэлементно (Мандат или билет).

Профіль — список защищаемых объектов системы и прав доступа к ним, ассоциированный с каждым субъектoм При обращении к объекту профиль субъекта проверяется на наличие соответствующих прав доступа. обычно используются лишь администраторами безопасности для контроля работы субъектов.

Список контроля доступа (access control list). Это представление МД по столбцам - каждому объекту соответствует список субъектов вместе с их правами. Лучшее направление реализации вибіркової політики контролю доступу, поскольку это очень гибкая структура, предоставляющая пользователям много возможностей

Мандат или билет (capability or ticket). Это элемент МД, определяющий тип доступа определенного субъекта к определенному объекту (т.е. субъект имеет "билет" на доступ к объекту). Каждый раз билет выдается субъекту динамически - при запросе доступа, и так же динамически билет может быть изъят у субъекта.

При реализации полномочной политики безопасности база данных защиты также содержит метки критичности всех объектов и уровни прозрачности субъектов системы.

Монитор ссылок должен выполнять следующие функции:

  •  Проверять права доступа каждого субъекта к любому объекту на основании информации, содержащейся в базе данных защиты и положений политики безопасности (избирательной или полномочной);
  •  При необходимости регистрировать факт доступа и его параметры в системном журнале

Реализующее монитор ссылок ядро безопасности должно обладать следующими свойствами:

  •  контролировать все попытки доступа субъектов к объектам;
  •  иметь защиту от модификации, подделки, навязывания;
  •  быть протестировано и верифицировано для получения гарантий надежности;
  •  иметь небольшой размер и компактную структуру

4.2.2. Механізми ядра безпеки

4.2.2.1. Идентификация, аутентификация и авторизация субъектов и объектов

Эти функции необходимы для подтверждения подлинности субъекта, законности его прав на данный объект или на определенные действия, а также для обеспечения работы субъекта в системе.

Идентификация - процесс распознавания элемента системы, обычно с помощью заранее определенного идентификатора или другой априорной информации; каждый субъект или объект должен быть однозначно идентифицируем.

Аутентификация - проверка идентификации пользователя, процесса, устройства или другого компонента системы (обычно осуществляется перед разрешением доступа); а также проверка целостности данных при их хранении или передаче для предотвращения несанкционированной модификации.

Авторизация - предоставление субъекту прав на доступ к объекту.

Эти функции необходимы для поддержания разрешительного порядка доступа к системе и соблюдения политики безопасности: авторизованный (разрешенный) доступ имеет только тот субъект, чей идентификатор удовлетворяет результатам аутентификации. Они выполняются как в процессе работы (при обращении к наборам данных, устройствам, ресурсам), так и при входе в систему.

4.2.2.2. Контроль входа пользователя в систему и управление паролями.

Эти функции являются частным случаем перечисленных выше: при входе в систему и вводе имени пользователя осуществляется идентификация, при вводе пароля - аутентификация и, если пользователь с данными именем и паролем зарегистрирован в системе, ему разрешается доступ к определенным объектам и ресурсам (авторизация).

При этом  возникает необходимость организации "достоверного маршрута" (trusted path) - пути передачи идентифицирующей информации от пользователя к ядру безопасности для подтверждения подлинности.

Как показывает практика, вход пользователя в систему - одно из наиболее уязвимых мест защиты; известно множество случаев взлома пароля, входа без пароля, перехвата пароля и т.д. Поэтому при выполнении входа и пользователь, и система должны быть уверены, что они работают непосредственно друг с другом, между ними нет других программ и вводимая информация истинна.

4.2.2.3. Регистрация и протоколирование. Аудит.

Эти функции обеспечивают получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных администрацией потенциально опасными для безопасности системы.

Системный журнал (audit trail) является составной частью монитора ссылок и служит для контроля соблюдения политики безопасности. Он является одним из основных средств контроля, которое:

  •  способен оперативно фиксировать происходящие в системе события;
  •  может помочь выявить средства и априорную информацию, использованные злоумышленником для нарушения;
  •  может помочь определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации.

4.2.2.4. Противодействие "сборке мусора".

После окончания работы программы обрабатываемая информация не всегда полностью удаляется из памяти. Части данных могут оставаться в оперативной памяти, на дисках и лентах, других носителях. Они хранятся на диске до перезаписи или уничтожения. При выполнении этих действий на освободившемся пространстве диска находятся их остатки.

Для защиты от "сборки мусора" используются специальные средства, которые могут входить в ядро безопасности ОС или устанавливаться дополнительно.

4.2.2.5. Контроль целостности субъектов. 

Представителем субъекта выступает процесс. Для защиты го целостности вводится понятие рабочая среда или область исполнения процесса. Эта область является логически защищенной подсистемой, которой доступны все ресурсы системы, относящиеся к соответствующему процессу. Другими словами, область исполнения процесса является виртуальной машиной. В рамках этой области процесс может выполнять любые санкционированные действия без опасения нарушения целостности. Таким образом, реализуется концепция защищенной области для отдельного процесса.

Контроль целостности обеспечивается процедурами ядра безопасности, контролируемыми механизмами поддержки ДВБ. Основную роль играют такие механизмы, как поддержка виртуальной памяти (для создания области данного процесса) и режим исполнения процесса (определяет его возможности в рамках данной области и вне ее).

Область исполнения процесса может содержать или вкладываться в другие подобласти, которые составляют единую иерархическую структуру системы.

Разделенные процессы должны иметь возможность обмениваться информацией. Для этого разработаны несколько специальных механизмов, чтобы можно было осуществлять обмен информацией между процессами без ущерба безопасности или целостности каждого из них. К таким механизмам относятся, например, кластеры флагов событий, почтовые ящики и другие системные структуры данных. Следует однако учитывать, что с их помощью может осуществляться утечка информации, поэтому если использование таких механизмов разрешено, их обязательно следует контролировать.

4.2.2.6. Контроль доступа.

Доступ —выполнение субъектом некоторой операции над объектом из множества разрешенных для данного типа. Примерами таких операций являются чтение, открытие, запись набора данных, обращение к устройству и т.д. Под контролем доступа будем понимать ограничение возможностей использования ресурсов системы программами, процессами или другими системами (для сети) в соответствии с политикой безопасности.

Контроль должен осуществляться при доступе к:

  •  оперативной памяти;
  •  разделяемым устройствам прямого доступа;
  •  разделяемым устройствам последовательного доступа;
  •  разделяемым программам и подпрограммам;
  •  разделяемым наборам данных.

Совместное использование объектов порождает ситуацию "взаимного недоверия" при которой разные пользователи одного объекта не могут до конца доверять друг другу.

Существует четыре основных способа разделения доступа субъектов к совместно используемым объектам:

1. Физическое - субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т.д.).

2. Временное - субъекты с различными правами доступа к объекту получают его в различные промежутки времени.

3. Логическое - субъекты получают доступ к совместно используемому объекту в рамках единой операционной среды, под контролем средств разграничения доступа, которые моделируют виртуальную операционную   среду "один субъект - все объекты.

4. Криптографическое - все объекты хранятся в зашифрованном виде, права доступа определяются наличием ключа для расшифрования объекта.




1. музейная практика как дисциплины в обучении студентов следует из определения художественного музея
2. Мультикультурное наследие Выборга и его сохранение прошедшего в Выборге 1314 февраля
3. Варианты вопросов домашней контрольной работы для студентов специальности 260807Технология продукции общ.html
4. Основы психологии
5. то еретик кричащий о каре божьей на каждом углу
6. ЦЕЛЬ РАБОТЫ Целью работы является- Изучение программных продуктов для работы с графикой 2
7. 28 и определяется по формуле 1
8. 741477 УПРАВЛІННЯ ОРГАНАМИ ВНУТРІШНІХ СПРАВ В ОСОБЛИВИХ УМОВАХ ВИКЛИКАНИХ АНОМАЛЬНИМИ ЯВИЩАМИ
9. Разработка залежей при газонапорном режиме
10. то далеким Это как репортажи из горячих точек- жутко очень но далеко
11. Сальвадор Дали и сюрреализм
12. Освоение целинных и залежных земель история и современность
13. задание 1 1 Выбрать страну которая имеет развитую ядерную энергетику 2 Используя базу данных PRIS подгот
14. Курсовая работа- Порядок ведения книг учета выданных cведений
15. Замечание- Обязательным в дифференциальном уравнении является только наличие производных или дифференци
16. Статья- Как слово наше отзовется (Опыт исследования качества научного выступления)
17. реферат дисертації на здобуття наукового ступеня доктора юридичних наук Київ ~
18. С. Словарь лингвистических терминов Советская Энциклопедия- 1969 Особливості та функції мовних сти.html
19. во все глаза не глянешьrdquo;
20. на тему- Якорные обмотки машин постоянного тока Вариант 53 Выполнил студент гр