Модели безопасности. 
Информационная безопасность

Как уже отмечалось в разделе 1.1, важным этапом процесса обеспечения безопасности АС являегся разработка политики безопасности. Если отсутствует политика безопасности, невозможно даже четко провести разграничение между санкционированным (легальным) доступом к информации и НСД.

Политика безопасности может быть описана формальным или неформальным образом. Формальное описание политики безопасности производится в рамках модели безопасности. С этой точки зрения, модель безопасности можно определить как абстрактное описание поведения целого класса систем, без рассмотрения конкретных деталей их реализации.

Большинство моделей безопасности оперируют терминами «сущность», «субъект», «объект».

Сущность — любая именованная составляющая защищаемой АС.

Субъект — активная сущность, которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных операций. В качестве субъекта может выступать выполняющаяся в системе программа или «пользователь» (не реальный человек, а сущность АС).

Объект — пассивная сущность, используемая для хранения или получения информации. В качестве объекга может рассматриваться, например, файл с данными.

Обычно предполагается, что существует безошибочный способ различения объекгов и субъектов.

Доступ — взаимодействие между субъектом и объектом, в результате которого производится перенос информации между ними. Два фундаментальных типа доступа: чтение — операция, результатом которой является перенос информации от объекта к субъекту; запись — операция, результатом которой является перенос информации от субъекта к объекту.

Также предполагается существование монитора безопасности объектов, т. е. такого субъекта, который будет активизироваться при любом обращении к объектам, может различать (на базе определенных правил) легальные и несанкционированные обращения и разрешать только легальный доступ.

В литературе выделяются три основных класса моделей политики безопасности: дискреционные, мандатные и ролевые.

Основу дискреционной (избирательной) политики безопасности составляет дискреционное управление доступом, которое характеризуется следующими свойствами [3 J:

• — все субъекты и объекты должны быть идентифицированы;
• — права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

Правила дискреционного управления доступом часто задаются матрицей доступов. В подобной матрице строки соответствуют субъектам системы, столбцы — объектам, элементы матрицы описывают права доступа для соответствующей пары «субъект — объект».

Одной из наиболее известных дискреционных моделей является модель Харрисона-Рузо-Ульмана, часто называемая матричной моделью. Она будет подробно описана ниже.

Этот тип управления доступом наиболее часто используется в операционных системах в связи с относительной простотой реализации. В этом случае правила управления доступом часто описываются через списки управления доступом (англ. «Access Control List», сокр. ACL). Список связан с защищаемым объектом и хранит перечень субъектов и их разрешений на данный объект. В качестве примера можно привести использование ACL для описания прав доступа пользователей и групп к файлу в файловой системе NTFS в операционных системах семейства Windows NT.

Основу мандатной политики безопасности составляет мандатное управление доступом, которое подразумевает, что:

• — все субъекты и объекты должны быть идентифицированы;
• — задан линейно упорядоченный набор меток секретности;
• — каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации — его уровень секретности;
• — каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему — его уровень доступа;
• — решение о разрешении доступа субъекта к объекту принимается исходя из типа доступа и сравнения метки субъекта и объекта.

Чаще всего мандатную политику безопасности описывают в терминах модели Белла-ЛаПадула, которая будет рассмотрена ниже в данном разделе.

Управчение доступом, основанное на ролях, оперирует в терминах «роль», «пользователь», «операция». Вся информация рассматривается как принадлежащая организации (а нс пользователю, се создавшему). Решения о разрешении или отказе в доступе принимаются на основе информации о той функции (роли), которую пользователь выполняет в организации. Роль можно понимать как множество действий, которые разрешены пользователю для выполнения его должностных обязанностей. Администратор описывает роли и авторизует пользователей на выполнение данной роли. Таким образом, ролевые модели содержат как признаки мандатных, так и признаки избирательных моделей.