Понятие политики безопасности

ПБ – совокупность норм и правил, регламентирующих процесс обработки И., обеспечивающих эффективную защиту системы обработки И. от заданного множества угроз. ПБ составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности. Существуют два типа политики безопасности: дискреционная и ман­датная.

Дискреционная политика безопасности

– политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.

Основой дискреционной ПБ яв­ляется дискреционное управление доступом, кот.определяется двумя свойствами:

- все S и O должны быть идентифицированы;

- права доступа S к O определяются на основа­нии некоторого внешнего по отношению к системе правила (заранее не закладывается в систему).

Достоинства: относительно простая реализация механизмов за­щиты. (Большинство распространенных в наст.вр. АС обеспечивают выполнение положений именно дан­ной ПБ).

Пример реализации дискреционной ПБ вАС - матрица доступов, строки которой соответствуют S системы, а столбцы - O; элементы матрицы характеризуют права доступа. Недостаток -статичность модели - не учитывает динамику из­менений состояния АС, не накладывает ограничений на состояния системы.

При исп. данной ПБ перед МБО, который при санкциони­ровании доступа S к O руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет.

В то же время имеются модели АС, реализующих дискреционную ПБ (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности.

Так или иначе, матрица доступов не является тем механизмом, кото­рый бы позволил реализовать ясную и четкую систему защиты И. в АС.

Мандатная политика безопасности

– ПБ основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности S и O.

Основу мандатной ПБ состав­ляет мандатное управление доступом, кот.подразумевает, что:

- все S и O системы д.б. однозначно идентифи­цированы;

- задан линейно упорядоченный набор меток секретности;

- каждому O присвоена метка секретности, определяю­щая ценность содержащейся в нем И. - его уровень секрет­ности в АС;

- каждому S присвоена метка секретности, определяю­щая уровень доверия к нему вАС - максимальное значение метки сек­ретности объектов, к которым субъект имеет доступ.

Основная цель мандатной ПБ- предотвращение утечки И. от O с высоким уровнем доступа к O с низким уровнем доступа, т.е. противодействие возникновению в АС ин­ф. потоков сверху вниз.

Достоинство – более высокая степень надежности, правила ясны и понятны.

Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа S системы к O, но и состояния самой АС. Т.о., каналы утечки в системах данного типа не заложены в нее непосредст­венно (что мы наблюдаем в положениях предыдущей ПБ), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандат­ной политики более ясны и просты для понимания разра­ботчиками и пользователями АС, что также является фактором, положи­тельно влияющим на уровень безопасности системы.

Недостатки– реализация систем с ПБ данного типа довольно сложна и требует значительных ресурсов выч. системы.

В качестве примера модели АС, реализующих мандатную ПБ можно привести модель Белла-Лапалуда. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реали­зующих мандатную защиту, от систем с дискреционной защитой: если на­чальное состояние системы безопасно, и все переходы системы из со­стояния в состояние не нарушают ограничений, сформулированных ПБ, то любое состояние системы безопасно.

Мандатная политика целостности (Абстрактная модель ЗИ)

Одной из первых моделей была опубликована в 1977 модель Биба. Согласно ей все S и O предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения:

1) S не может вызывать на исполнение S-ы с более низким уровнем доступа;

2) S не может модифицировать O-ы с более высоким уровнем доступа.