[ Pobierz całość w formacie PDF ]

komponentów: predykatów bezpieczeństwa oraz modelu obliczeniowego. Predykaty
bezpieczeństwa to funkcje binarne określające, kiedy analizowany system jest bezpieczny.
Aby model bezpieczeństwa był stosowany szeroko powinien posiadać następujące cechy:
" model powinien wykorzystać ich domyślne wartości, w przypadku gdy dane
opisujące bezpieczeństwo są niekompletne,
" możliwość rozszerzenie swych funkcji
" prostota i łatwość obsługi
" wymiana informacyjna powinna być oceniana bez zastosowania schematów
formalnych
54
" ocena bezpieczeństwa systemu dokonana na podstawie analizy modelu powinna być
jednoznacznie zrozumiała.
W celu zapewnienia bezpieczeństwa w modelu (np.: BLP) wprowadzono szereg reguł
określających zasady współdziałania pomiędzy elementami znajdującymi się na różnych
poziomach bezpieczeństwa. Reguły te noszą nazwę predykatów bezpieczeństwa. Pierwszą
taką regułą jest zakaz czytania w górę. Zgodnie z nią podmioty wykonujące operację
czytania powinny posiadać etykietę bezpieczeństwa wyższego poziomu niż obiekty, do
których adresowana jest dana operacja. Dzięki temu predykatowi w systemie można
zapewnić poufność informacji.
Kolejnym przykładowym predykatem bezpieczeństwa jest zakaz zapisu w dół. Jego
zadaniem jest uniemożliwienie zapisu tajnych informacji przez podmioty posiadające
etykietę bezpieczeństwa wysokiego poziomu w obiektach opisanych etykietą niższego
poziomu. Dzięki temu informacja poufna nie będzie mogła wypływać poza grono
podmiotów dysponujących stosownymi pełnomocnictwami. Predykat ten ma na celu
również zapewnienie poufności systemu.
Przedstawione powyżej predykaty bezpieczeństwa nie są jedyne. Ich liczba oraz rodzaj
zależy głównie od opisywanego przez nie modelu bezpieczeństwa [17].
4.2 Charakterystyka ogólna modeli
Przekazywanie danych w środowisku informatycznym powinno odbywać się w sposób
kontrolowany. Identyfikacja wszystkich możliwych wejść do systemu, czyli ścieżek
penetracji powinna być punktem wyjścia do zbudowania modelu zabezpieczeń. System
będzie całkowicie zabezpieczony, gdy dla każdego zidentyfikowanego wejścia będzie
istnieć co najmniej jedno zabezpieczenie. Skuteczna ochrona zależy od zidentyfikowania
wszystkich potencjalnych wejść.
Jednym z najwcześniejszych, ogólnych modeli bezpieczeństwa, był model opracowany
przez Clementsa. Niech Z ={z1, z2,..,zn} gdzie zbiorem wszystkich zidentyfikowanych
zagrożeÅ„, a O ={o1, o2,..,om} - zbiorem obiektów. Relacja R †" Z x O opisuje oddziaÅ‚ywanie
zidentyfikowanych zagrożeń na obiekty. Na dowolny obiekt może oddziaływać wiele
zagrożeń, z drugiej strony jedno zagrożenie może wpływać na wiele obiektów.
W rzeczywistych sytuacjach z każdym zagrożeniem można wziąć prawdopodobieństwo
55
wystąpienia tego zagrożenia, choć niekiedy może ono być trudne do obliczenia czy nawet
do oszacowania.
Identyfikacja zagrożeń pozwala na opracowanie strategii przeciwdziałania im poprzez
zorganizowanie systemu ochrony. Biorąc za punkt wyjścia podejście bardzo ogólne,
systemem bezpieczeństwa będziemy nazywać uporządkowaną piątką S =(O, Z, B, R, P),
taką że:
O={o1, o2,.., om} jest zbiorem obiektów podlegających zagrożeniu,
Z={z1, z2,.., zn} jest zbiorem zagrożeń,
B={b1, b2,.., bp} jest zbiorem środków bezpieczeństwa,
R †" Z x O jest zbiorem Å›cieżek penetracji.
P †" Z x B x O jest zbiorem Å›cieżek penetracji chronionych przed atakiem, czyli
projekcja relacji P na zbiór Z x O jest relacją R.
System jest całkowicie zabezpieczony, jeśli dla każdej ścieżki penetracji istnieje
zabezpieczenie. Należy zauważyć, że w całkowicie zabezpieczonym systemie ochrony (zj,
ok)"R implikuje (zj, bl, ok)" P. Jeśli nie zachodzi taka implikacja, to obiekt ok nie jest
chroniony przed zagrożeniem zj. Zbiór obiektów {o1, o2, o3} jest chroniony przed
zagrożeniami {z1, z2, z3} za pomocą środków bezpieczeństwa {b1, b2, b3, b4}. Ochronie
podlegają obiekty: wszystkie pliki o1, w pewnym katalogu plików, pamięć operacyjna o2,
ekran monitora o3. Zidentyfikowane zagrożenia obejmują: nieuprawniony dostęp z1 do
katalogu, naruszenie poufności danych z2 w katalogu, zagrożenie integralności z3 plików
w katalogu. Do ochrony obiektów przed zagrożeniami używa się środków w postaci;
systemu uprawnień b1, szyfru blokowego b2, kryptograficznej funkcji skrótu b3, klatki
Faradaya b4 do ochrony przed emisjÄ… ujawniajÄ…cÄ….
Systemy bezpieczeństwa, a w rezultacie także ich modele, klasyfikuje się ze względu na
różne kryteria. Jeśli za kryterium przyjąć:
" politykę bezpieczeństwa (rozumianą jako zbiór reguł służących do zapewnienia
i utrzymania bezpieczeństwa), to mamy do czynienia z kontrolą obowiązkową albo
uznaniową dostępu do systemu,
" typ systemu, który chcemy chronić, to mówimy o bezpieczeństwie bazy danych lub
systemu operacyjnego,
" typ kontroli, musimy brać pod uwagę bezpośrednią kontrolę dostępu lub pośrednią
kontrolę przepływu danych,
56 [ Pobierz całość w formacie PDF ]