Дипломна робота: «Система управління безпекою корпоративної мережі»

АНОТАЦІЯ

У дипломній роботі розглядаються питання організації безпечного функціонування корпоративної мережі. Предметом досліджень є системи безпеки корпоративних мереж. Об’єктом досліджень є організація безпечного середовища функціонування корпоративної мережі. Метою роботи є розробка системи управління безпекою комп’ютерної мережі на основі MS Windows на основі застосування комплексних заходів і засобів. Для досягнення поставленої мети було проведено аналіз стандартів і архітектур безпеки інформаційних систем, аналіз математичних моделей безпеки, здійснено вибір і реалізовано обґрунтовану систему заходів по забезпеченню безпеки мережі.

ПЕРЕЛІК СКОРОЧЕНЬ

ІС – інформаційна систем

НСД – несанкціонований доступ

ПЗ – програмне забезпечення

ЦС – центр сертифікації

AD – Active Directory

ACSE – association control service element

AKDC – aurhority key distribution center

CRL – Certificate Revocation List

CPS – Certificate Policy Statement

DACL — Discretionary Access Control List

DC – Domain Controller

EFS – Encripted File System

IEEE – Institute of Engineers on Electrotechnics and Electronics

ISSS WGS – Information Security Society Switzerland Working Group Security Architecture

KMAE – key management application entity

KTC – key translation center

MIB – management information base

MAN – Metropolitan Ares Network

LAN – Local Area Network

LDAP — Lightweight Directory Access Protocol

OSI – Open Sysytem Interconnection

PKI – Private Key Infrastructure

RFC – Request for Comments

SESE – security exchange service element

SMIB – security management information base

ЗМІСТ

Вступ    6

1. Загальні підходи до організації та стандарти інформаційної безпеки    7

1.1. Вимоги до сучасних комп’ютерних мереж    7

1.2. Архітектури систем інформаційної безпеки    11

1.3. Моделі безпеки інформаційних систем    16

2. Обгрунтування політики безпечного адміністрування ОС сімейства MS Windows NT/2000/XP/2003    27

2.1. Загальні положення    27

2.2. Математична модель політики безпечного адміністрування    28

3. Реалізація систем безпеки корпоративної мережі    37

3.1. Проектування служби каталогів    39

3.2. Структура мережі    43

3.3. Схема Active Directory    45

3.4. Конфігурування системи безпеки    47

3.5. Використання служби сертифікації    50

Висновки    59

Вступ

Актуальність теми. Розвиток і розширення застосування засобів комп’ютерної техніки та масове застосування розподіленої обробки даних у мережах викликає необхідність забезпечення захисту корпоративних мереж підприємств і організацій від вторгнень зловмисників і впливів шкідливого програмного забезпечення. Вирішення цієї задачі повинно здійснюватись на основі принципу розумної достатності, тобто забезпечення адекватного захисту з мінімальними витратами. Отже аналіз загроз і методів захисту, та наступна реалізація на основі цього аналізу системи захисту корпоративної мережі є актуальною задачею.

Предметом досліджень є системи безпеки корпоративних мереж.

Об’єктом досліджень є організація безпечного середовища функціонування корпоративної мережі.

Метою роботи є розробка системи управління безпекою комп’ютерної мережі на базі MS Windows на основі застосування комплексних заходів і засобів.

Завдання роботи полягає у:

  • проведенні аналізу стандартів і архітектур безпеки інформаційних систем;
  • аналізі математичних моделей безпеки;
  • здійсненні вибору і реалізації обґрунтованої системи заходів по забезпеченню безпеки мережі.

Практична цінність роботи полягає у визначенні методичної бази і реалізації системи захисту корпоративної мережі з використанням можливостей ОС MS Windows.

1. Загальні підходи до організації та стандарти інформаційної безпеки

1.1. Вимоги до сучасних комп’ютерних мереж

Головною вимогою, що пред’являється до мереж, є виконання мережею її основної функції – забезпечення користувачам потенційної можливості доступу до ресурсів всіх комп’ютерів, об’єднаних в мережу, що розділяються. Решта всіх вимог – продуктивність, надійність, сумісність, керованість, захищеність, розширюваність і масштабованість – пов’язані з якістю виконання цього основного завдання.

Хоча всі ці вимоги дуже важливі, часто поняття «Якість обслуговування» (Quality of Service, QoS) у комп’ютерній мережі трактується вужче – в нього включаються тільки дві найважливіші характеристики мережі – продуктивність і надійність. Незалежно від вибраного показника якості обслуговування мережі існують два підходи до його забезпечення.

Існують два основні підходи до забезпечення якості роботи мережі. Перший – полягає в тому, що мережа гарантує користувачеві дотримання деякої числової величини показника якості обслуговування.
При другому підході (best effort) мережа старається по можливості якісніше обслужити користувача, але нічого при цьому не гарантує.

1.1.1. Продуктивність

Основні характеристики продуктивності мережі:

  • час реакції;
  • пропускна спроможність;
  • затримка передачі і варіація затримки передачі.

Час реакції мережі є інтегральною характеристикою продуктивності мережі з погляду користувача.

Пропускна спроможність відображає об’єм даних, переданих мережею або її частиною в одиницю часу.

Середня пропускна спроможність обчислюється шляхом ділення загального об’єму переданих даних на час їх передачі, причому вибирається достатньо тривалий проміжок часу – година, день або тиждень.

Миттєва пропускна спроможність відрізняється від середньої тим, що для усереднювання вибирається дуже маленький проміжок часу – наприклад, 10 мс або 1 с.

Максимальна пропускна спроможність – це найбільша миттєва пропускна спроможність, зафіксована протягом періоду спостереження.

Пропускна спроможність мережі буде рівна мінімальній з пропускних спроможностей елементів маршруту, що становлять будь-який складений шлях в мережі.

Загальна пропускна спроможність мережі визначається як середня кількість інформації, переданої між всіма вузлами мережі в одиницю часу.

Затримка передачі визначається як затримка між моментом надходження пакету на вхід якого-небудь мережного пристрою або частини мережі і моментом появи його на виході цього пристрою.

1.1.2. Надійність і безпека

Показники надійності простих систем:

середній час напрацювання на відмову,

ймовірність відмови,

інтенсивність відмов.

Готовність або коефіцієнт готовності (availability) означає частку часу, протягом якого система може бути використана.

Ймовірність доставки пакету вузлу призначення без спотворень:

  • ймовірність втрати пакету (по будь-якій з причин – через переповнювання буфера маршрутизатора, через неспівпадання контрольної суми, через відсутність працездатного шляху до вузла призначення і т. д.),
  • ймовірність спотворення окремого біта передаваних даних,
  • відношення втрачених пакетів до доставлених.

Безпека (security) – здатність системи захистити дані від несанкціонованого доступу і збереження її основних характеристик – цілісності, доступності, конфіденційності.

Відмовостійкість (fault tolerance) – здатність системи приховати від користувача відмову окремих її елементів.

1.1.3. Розширюваність і масштабованість

Розширюваність (extensibility) означає можливість порівняно легкого додавання окремих елементів мережі (користувачів, комп’ютерів, застосувань, служб), нарощування довжини сегментів мережі і заміни існуючої апаратури могутнішої.

Масштабованість (scalability) означає, що мережа дозволяє нарощувати кількість вузлів і протяжність зв’язків в дуже широких межах, при цьому продуктивність мережі не погіршується.

1.1.4. Прозорість

Прозорість (transparency) мережі досягається у тому випадку, коли мережа представляється користувачам не як множина окремих комп’ютерів, зв’язаних між собою складною системою кабелів, а як єдина традиційна обчислювальна машина з системою розділення часу.

Два рівні прозорості:

На рівні користувача прозорість означає, що для роботи з віддаленими ресурсами він використовує ті ж команди і звичні йому процедури, що і для роботи з локальними ресурсами.

На програмному рівні прозорість полягає в тому, що для доступу до віддалених ресурсів потрібні ті ж виклики, що і для доступу до локальних ресурсів.

1.1.5. Підтримка різних видів трафіку

Головною особливістю мультимедійного трафіку, що утворюється при динамічній передачі голосу або зображення, є наявність жорстких вимог до синхронності передаваних повідомлень.

Трафік комп’ютерних даних характеризується украй нерівномірною інтенсивністю надходження повідомлень в мережу за відсутності жорстких вимог до синхронності доставки цих повідомлень.

Поєднання в одній мережі традиційного комп’ютерного і мультимедійного трафіку є нетривіальною задачею

1.1.6. Керованість

Керованість мережі передбачає можливість централізованого контролю стану основних елементів мережі, виявляти і вирішувати проблеми, що виникають при роботі мережі, виконувати аналіз продуктивності і планувати розвиток мережі.

1.1.7. Сумісність

Сумісність або інтегрованість означає, що мережа здатна включати найрізноманітніше програмне і апаратне забезпечення, тобто в ній можуть співіснувати різні операційні системи, що підтримують різні стеки комунікаційних протоколів, і працювати апаратні засоби і застосування від різних виробників.

  • Існують два основні підходи до забезпечення якості роботи мережі. Перший – полягає в тому, що мережа гарантує користувачеві дотримання деякої числової величини показника якості обслуговування.
    При другому підході (best effort) мережа старається по можливості якісніше обслужити користувача, але нічого при цьому не гарантує.
  • До основних характеристик продуктивності мережі відносяться:
    час реакції, який визначається як час між виникненням запиту до якого-небудь мережного сервісу і отриманням відповіді на нього;
    пропускна спроможність, яка відображає об’єм даних, переданих мережею в одиницю часу
    затримка передачі, яка рівна інтервалу між моментом надходження пакету на вхід якого-небудь мережного пристрою і моментом його появи на виході цього пристрою.
  • Для оцінки надійності мереж використовуються різні характеристики, зокрема:
    коефіцієнт готовності – частка часу, протягом якого система може бути використана;
    безпека – здатність системи захистити дані від несанкціонованого доступу;
    відмовостійкість – здатність системи працювати в умовах відмови деяких її елементів.
  • Розширюваність означає можливість порівняно легкого додавання окремих елементів мережі (користувачів, комп’ютерів, застосувань, сервісів), нарощування довжини сегментів мережі і заміни існуючої апаратури могутнішої.
  • Масштабованість означає, що мережа дозволяє нарощувати кількість вузлів і протяжність зв’язків в дуже широких межах, при цьому продуктивність мережі не погіршується.
  • Прозорість – властивість мережі приховувати від користувача деталі свого внутрішнього устрою, спрощуючи тим самим його роботу в мережі.
  • Керованість мережі має на увазі можливість централізовано контролювати стан основних елементів мережі, виявляти і вирішувати проблеми, що виникають при роботі мережі, виконувати аналіз продуктивності і планувати розвиток мережі.
  • Сумісність означає, що мережа здатна включати найрізноманітніше програмне і апаратне забезпечення.

    1.2. Архітектури систем інформаційної безпеки

1.2.1. Поняття захищеності ІС і мереж

Захищеність є одним з найважливіших показників ефективності функціонування ІС, разом з такими показниками як надійність, відмовостійкість, продуктивність і т.п.

Під захищеністю ІС (мережі) розумітимемо ступінь адекватності реалізованих в ній механізмів захисту інформації ризикам, що існують в даному середовищі функціонування, пов’язаним із здійсненням загроз безпеці інформації.

Під загрозами безпеці інформації традиційно розуміється можливість порушення таких властивостей інформації, як конфіденційність, цілісність і доступність.

На практиці завжди існує велика кількість можливих шляхів здійснення загроз безпеці відносно ресурсів ІС, що не піддаються точній оцінці. У ідеалі кожен шлях здійснення загрози повинен бути перекритий відповідним механізмом захисту. Дана умова є першим чинником, що визначає захищеність ІС.

Другим чинником є міцність існуючих механізмів захисту, що характеризується ступенем опірності цих механізмів спробам їх обходу або подолання. Третім чинником є величина збитку, що наноситься власникові ІС у разі успішного здійснення загроз безпеці.

На практиці набуття точних значень приведених характеристик утруднене, оскільки поняття загрози, збитку і опірності механізму захисту важко формалізуються. Наприклад, оцінку збитку в результаті НСД до інформації політичного і військового характеру точно визначити взагалі неможливо, а визначення ймовірності здійснення загрози не може базуватися на статистичному аналізі. Оцінка ступеня опірності механізмів захисту завжди є суб’єктивною.

1.2.2. Методика аналізу захищеності

В даний час не існує яких-небудь стандартизованих методик аналізу захищеності ІС, тому в конкретних ситуаціях алгоритми дій аудиторів можуть істотно розрізнятися. Проте типову методику аналізу захищеності корпоративної мережі запропонувати все-таки можливо. І хоча дана методика не претендує на загальність, її ефективність багато разів перевірена на практиці.

Типова методика включає використання наступних методів:

• Вивчення початкових даних по ІС;

• Оцінка рисок, пов’язаних із здійсненням загроз безпеці відносно ресурсів ІС;

• Аналіз механізмів безпеки організаційного рівня, політики безпеки організації і організаційно розпорядчої документації по забезпеченню режиму інформаційної безпеки і оцінка їх відповідності вимогам існуючих нормативних документів, а також їх адекватності існуючим ризикам;

• Ручний аналіз конфігураційних файлів маршрутизаторів, МЕ і проксі-серверів, що здійснюють управління міжмережними взаємодіями, поштових і DNS серверів, а також інших критичних елементів мережної інфраструктури;

• Сканування зовнішніх мережних адрес ЛВС з мережі Інтернет;

• Сканування ресурсів ЛВС зсередини;

• Аналіз конфігурації серверів і робочих станцій ЛВС за допомогою спеціалізованих програмних засобів.

Перераховані методи дослідження передбачають використання як активного, так і пасивного тестування системи захисту. Активне тестування системи захисту полягає в емуляції дій потенційного зловмисника по подоланню механізмів захисту.

Пасивне тестування передбачає аналіз конфігурації ОС і застосувань по шаблонах з використанням списків перевірки. Тестування може проводитися вручну або з використанням спеціалізованих програмних засобів.

1.2.3. Стандарт безпеки взаємодіючих LAN/MAN

Стандарт IEEE Std 802.10a-1999 – Стандарт безпеки взаємодіючих LAN/MAN – Каркас архітектури безпеки – визначає архітектуру безпеки, яка показана на рис. 1.


* – стандарт IEEE Std 802.10a описує три можливі альтернативи реалізації взаємодії між SMIB та відповідними рівнями

** – стандарт IEEE Std 802.10a описує три можливі альтернативи реалізації взаємодії між MIB та відповідними рівнями

ACSE – association control service element

KDC – key distribution center

KMAE – key management application entity

KTC – key translation center

MIB – management information base

SMIB – security management information base

SESE – security exchange service element

Рис. 1.1. Стандарт безпеки взаємодіючих LAN/MAN в архітектурі OSI (IEEE Std 802.10a-1999)

1.2.4. Еталонна модель архітектури безпеки відкритих систем

Стандарт ISO 7498-2:1989 (ITU-T X.800) Information processing systems – Open Systems Interconnection – Basic Reference Model – Part 2: Security Architecture встановлює відповідність мід мережним сервісами (функціями) безпеки, механізмами безпеки, рівнями еталонної моделі ISO OSI та описує процедури адміністрування засобами безпеки.

Таблиця 1. Розподіл функцій безпеки по рівнях семирівневої моделі OSI

Функції безпеки

Рівень

1

2

3

4

5

6

7

Аутентифікація

+

+

+

Керування доступом

+

+

+

Конфіденційність з’єднання

+

+

+

+

+

+

Конфіденційність поза з’єднанням

+

+

+

+

+

Вибіркова конфіденційність

+

+

Конфіденційність трафіка

+

+

+

Цілісність з відновленням

+

+

Цілісність без відновлення

+

+

+

Вибіркова цілісність

+

Цілісність поза з’єднанням

+

+

+

Невідмовність

+

Таблиця 2. Взаємозв’язок функцій і механізмів безпеки

Функції

Механізми

Шиф рува ння

Елек трон ний під пис

Управ ління досту пом

Ціліс ність

Аутен тифіка ція

Допов нення трафіка

Управ ління марш рутиза цією

Нота риза ція

Аутентифікація партнерів

+

+

+

Аутентифікація джерела

+

+

Керування доступом

+

Конфіденційність

+

+

+

Виборча конфіденційність

+

Конфіденційність трафіка

+

+

+

Цілісність з’єднання

+

+

Цілісність поза з’єднанням

+

+

+

Невідмовність

+

+

+

Адміністрування засобів безпеки містить у собі поширення інформації, необхідної для роботи сервісів і механізмів безпеки, а також збір і аналіз інформації про їхнє функціонування. Прикладами можуть служити поширення криптографічних
ключів, установка значень параметрів захисту, ведення реєстраційного журналу і т.п.

Відповідно до рекомендацій X.800, зусилля адміністратора засобів безпеки повинні розподілятися по трьох напрямках:

  • адміністрування інформаційної системи в цілому;
  • адміністрування сервісів безпеки;
  • адміністрування механізмів безпеки.

1.2.5. Архітектура безпечної інформаційної системи ISSS WGSA

За пропозицією Робочої групи з архітектури безпеки Спілки інформаційної безпеки Швейцарії (Information Security Society Switzerland Working Group Security Architecture – ISSS WGSA) архітектура безпечної інформаційної системи має вид, представлений на рис. 1.2.


Рис. 1.2. Компоненти безпечної ІС (ISSS WGSA)

1.3. Моделі безпеки інформаційних систем

До складу систем інформаційної безпеки (СІБ) зазвичай входять наступні компоненти і підсистеми, тісно інтегровані між собою і з іншими компонентами ІТ-інфраструктури:

  • Підсистема захисту периметра мережі;
  • Підсистема забезпечення безпеки міжмережевих взаємодій;
  • Підсистема моніторингу і аудиту безпеки;
  • Підсистема виявлення і запобігання атакам;
  • Підсистема резервного копіювання і відновлення даних;
  • Підсистема аналізу захищеності і управління  політикою безпеки;
  • Підсистема контролю цілісності даних;
  • Криптографічна підсистема;
  • Інфраструктура відкритих ключів;
  • Підсистема захисту від шкідливого ПЗ;
  • Підсистема фільтрації контенту і запобігання просочуванню конфіденційної інформації;
  • Підсистема установки оновлень ПЗ;
  • Підсистема адміністрування безпеки.

Семирубіжна просторово-інфраструктурна модель захисту інформації включає такі компоненти

1 рубіж – територія

2 рубіж – будівлі

3 рубіж – приміщення

4 рубіж – інформаційні ресурси

5 рубіж – лінії звя’зку між приміщеннями

6 рубіж – лінії звя’зку між будівлями

7 рубіж – зовнішні лінії звя’зку

На рис. 1.3 наведена загальна модель безпеки інформаційної системи.


Рис.1.3. Загальна модель безпеки інформаційної системи

1.3.1. Визначення об’єкту, суб’єкту, доступу в інформаційній системі

Дамо основні визначення на основі [4].

Використовуємо наступні позначення:

А — кінцевий алфавіт;

А* — множина слів кінцевої довжини в алфавіті А;

Я Ì
A* — мова опису інформації, що є множиною слів, виділених по певних правилах з А.

Аксіома 1.1. Будь-яка інформація в комп’ютерній системі представляється словом в деякій мові Я.

Визначення 1.1. Об’єкт щодо мови Я (або просто об’єкт) — довільна кінцева множина слів мови Я

Визначення 1.2. Перетворення інформації — відображення, задане на множинаі слів мови Я. Опис перетворення також є словом.

Для виконання перетворення інформації в комп’ютерних системах потрібний час, тому кожне перетворення може або виконуватися, або зберігатися. У першому випадку опис перетворення взаємодіє з іншими ресурсами комп’ютерної системи. У другому випадку, як правило, мова йде про зберігання опису перетворення в деякому файлі.

Визначення 1.3. Суб’єкт це об’єкт, що описує перетворення, яке виконується в комп’ютерній системі.

Використовуємо наступні позначення:

O — множина об’єктів системи;

S — множина суб’єктів системи (S Í
О).

Визначення 1.4. Інформаційним потоком від об’єкту o (джерела) до об’єкту o’ (приймачу) назвемо перетворення інформації в об’єкті o’, залежне від інформації в об’єкті о.

Суб’єкт для виконання перетворення використовує інформацію, що міститься в об’єктах комп’ютерної системи, тобто здійснює до них доступ. Основними видами доступу є:

  • доступ суб’єкта до об’єкту на читання (read);
  • доступ суб’єкта до об’єкту на запис (write), при цьому можливе знищення інформації, що була в об’єкті;

    • доступ суб’єкта до об’єкту на активізацію (execute), при цьому ініціюється виконання (проводиться активізація) в комп’ютерній системі перетворення інформації, описаного в об’єкті.

    Визначення 1.5. У кожному стані комп’ютерної системи на множинаі суб’єктів введемо бінарне відношення а активізації: виконується s1 а s2, де s1 , s2
    Î
    S, якщо суб’єкт s1
    виконуючи описане в нім перетворення інформації, ініціює виконання перетворення інформації, описаного в суб’єктові s2.

    Визначення 1.6. У кожному стані комп’ютерної системи визначимо орієнтований граф активізації G = (S, Е), де S — вершини графа; Е — ребра графа, що сполучають суб’єкти, зв’язані бінарним відношенням активізації.

    Очевидно, що граф активізації є множиною дерев, або лісом.

    Визначення 1.7. Користувачі це суб’єкти комп’ютерної системи, відповідні кореням дерев графа активізації.

    У критеріях оцінки захищеності комп’ютерних систем TCSEC [23] («Orange Book» – «Помаранчева книга») наводиться основна аксіома теорії захисту інформації, що дозволяє виділити елементи комп’ютерної системи, необхідні для аналізу її безпеки.

    Аксіома 1.2 (основна аксіома теорії захисту інформації).
    Всі питання безпеки інформації описуються доступами суб’єктів до об’єктів.

    1.3.2. Класифікація загроз безпеці інформації

    Визначення 1.8. Загроза безпеці інформації (комп’ютерної системи) — потенційна можлива дія на інформацію (комп’ютерну систему), яка пряма або побічно може нанести утрату користувачам або власникам інформації (комп’ютерної системи).

    При класифікації загроз виділяють три основні властивості безпеки інформації [4].

    Визначення 1.9. Конфіденційність інформації — суб’єктивно визначувана характеристика інформації, вказуюча на необхідність введення обмежень на коло суб’єктів, що мають доступ до даної інформації.

    Визначення 1.10.
    Цілісність інформації — властивість інформації, що полягає в її існуванні в неспотвореному вигляді (незмінному по відношенню до деякого фіксованого її стану).

    Визначення 1.11.
    Доступність інформації — властивість комп’ютерної системи (середовища, засобів і технології обробки), в якій циркулює інформація, що характеризується здатністю забезпечувати своєчасний безперешкодний доступ суб’єктів до інформації, що цікавить їх, і готовність відповідних автоматизованих служб до обслуговування запитів, що поступають від суб’єктів, завжди, коли в обігу до них виникає необхідність.

    Відповідно до трьох основних властивостей безпеки інформації розрізняють три класичні загрози безпеці інформації.

    Визначення 1.12. Загрози конфіденційності інформації полягає в порушенні встановлених обмежень на доступ до інформації.

    Визначення 1.13. Загроза цілісності інформації — несанкціонована зміна інформації, випадкова або навмисна.

    Визначення 1.14. Загроза доступності інформації здійснюється, коли несанкціоновано блокується доступ до інформації (блокування може бути постійним або на деякий час, достатній, щоб інформація стала некорисною).

    Окрім перерахованих загроз виділяють ще одну загрозу, реалізація якої, як правило, передує реалізації будь-якій з класичних загроз.

    Визначення 1.15. Загроза розкриття параметрів комп’ютерної системи — подолання захисту комп’ютерної системи, виявлення параметрів, функцій і властивостей її системи безпеки.

    Здійснення загрози конфіденційності інформації нерідко відбувається з використанням несприятливих інформаційних потоків (каналів просочування інформації). Виділяють два основні види несприятливих інформаційних потоків: по пам’яті і за часом.

    Інформаційний потік по пам’яті описується схемою, представленою на рис. 1.4, де використані такі позначення: и1порушник; и2користувач, який обробляє цінну інформацію; о1об’єкт, доступний порушникові на запис; о2
    — загальнодоступний об’єкт; о3
    — цінний об’єкт


    Рис. 1.4. Інформаційний потік по пам’яті

    Інформаційний потік за часом описується схемою, представленою на рис. 1.5, де використані такі позначення: и1
    — порушник; и2
    — користувач, який обробляє цінну інформацію; s1 — процес, на який відбивається за часом інформація про роботу користувача и2; о1
    — об’єкт, доступний порушникові на запис; о2 — цінний об’єкт


    Рис. 1.5. Інформаційний потік за часом

    Небезпека несприятливого інформаційного потоку за часом визначається часткою цінної інформації, що модулюється на процес s1. Найбільш поширеними випадками реалізації несприятливого інформаційного потоку за часом є:

  • перехоплення інформації в каналі зв’язку;
  • побічні канали просочування інформації по випромінюванню, мережі живлення або акустиці.

    При аналізі загрози цілісності інформації слід мати на увазі, що мова її опису аналогічна мові опису загрози конфіденційності. Використовуючи при описі вимог захисту інформації від загрози цілісності доступи суб’єктів до об’єктів, можна зробити висновки, аналогічні висновкам, отриманим при описі вимог захисту від загрози конфіденційності; при цьому слід замінити доступи на читання інформації доступами на запис, і навпаки.

    Загроза доступності інформації, як правило, описується з використанням параметра, який називається максимальним часом очікування відповіді на запит на доступ до ресурсу (MWT maximum wait time). Таким чином, для кожного ресурсу комп’ютерної системи визначається час, прийнятний для очікування його отримання.

    Вважають , що реалізувалася загроза доступності інформації, якщо ресурс з відповідним максимальним часом очікування, санкціоновано запрошуваний користувачем у момент часу t, не наданий йому до моменту часу

    t + MWT.

    Можна використовувати декілька підходів для визначення MWT:

    • визначивши MWT = ¥
    для всіх ресурсів, можна виключити розгляд загрози доступності інформації при аналізі безпеки комп’ютерної системи;

    • можна визначити MWT тільки для деяких доступів суб’єктов до ресурсів комп’ютерної системи, дійсно критичних з погляду її безпеки.

    1.3.3. Основні види політик безпеки

    Дискреційна політика безпеки

    Визначення 1.16. Дискреційна політика безпеки — політика безпеки, заснована на дискреційному управлінні доступом (Discretionary Access Control), яке визначається двома властивостями:

    • всі суб’єкти і об’єкти ідентифіковані;

    • права доступу суб’єктів на об’єкти системи визначаються на підставі деякого зовнішнього по відношенню до системи правила.

    Основним елементом систем дискреційного розмежування доступу є матриця доступів.

    Визначення 1.17. Матриця доступів — матриця розміром |S| ´ |O|, рядки якої відповідають суб’єктам, а стовпці відповідають об’єктам. При цьому кожен елемент матриці доступів М[s, o] Í R визначає права доступу суб’єкта s на об’єкт o, де R — множина прав доступу.

    До переваг дискреційної політики безпеки можна віднести відносно просту реалізацію системи розмежування доступу. Цим обумовлений той факт, що більшість поширених в даний час комп’ютерних систем забезпечують виконання вимог саме даної політики безпеки.

    До недоліків дискреційної політики безпеки відноситься статичність визначених в ній правил розмежування доступу. Дана політика безпеки не враховує динаміку змін станів комп’ютерної системи. Крім того, при використанні дискреційної політики безпеки виникає питання визначення правил розповсюдження прав доступу і аналізу їх впливу на безпеку комп’ютерної системи. У загальному випадку при використанні даної політики безпеки перед системою захисту, який при санкціонуванні доступу суб’єкта до об’єкту керується деяким набором правил, стоїть алгоритмічно нерозв’язне завдання — перевірити, чи приведуть його дії до порушення безпеки чи ні.

    В той же час є моделі комп’ютерних систем, що реалізовують дискреційну політику безпеки, які надають алгоритми перевірки безпеки.

    Проте, в загальному випадку дискреційна політика розмежування доступу не дозволяє реалізувати ясну і чітку систему захисту інформації в комп’ютерній системі. Цим обумовлюється пошук інших, більш здійснених політик безпеки.

    Мандатна політика безпеки

    Визначення 1.18.
    Мандатна (повноважна) політика безпеки — політика безпеки, заснована на мандатному розмежуванні доступу (Mandatoiy Access Control), яке визначається чотирма умовами:

    • всі суб’єкти і об’єкти системи однозначно ідентифіковані;

  • задані грати рівнів конфіденційності інформації;
  • кожному об’єкту системи привласнений рівень конфіденційності, що визначає цінність інформації, що міститься в нім;
  • кожному суб’єктові системи привласнений рівень доступу, що визначає рівень довіри до нього в комп’ютерній системі.

    Основна мета мандатної політики безпеки — запобігання просочуванню інформації від об’єктів з високим рівнем доступу до об’єктів з низьким рівнем доступу, тобто протидія виникненню в комп’ютерній системі несприятливих інформаційних потоків зверху вниз.

    Найчастіше мандатну політику безпеки описують в термінах, поняттях і визначеннях властивостей моделі Белла-Ла-Падула. Для систем мандатного розмежування доступу задача перевірки безпеки є алгоритмічно розв’язною. Крім того, в порівнянні з комп’ютерними системами, побудованими на основі дискреційної політики безпеки, для систем, що реалізовують мандатну політику, характерний вищий ступінь надійності. Правила мандатної політики безпеки ясніші і простіші для розуміння розробниками і користувачами, що також є чинником, що позитивно впливає на рівень безпеки системи.

    З іншого боку, реалізація систем з політикою безпеки даного типу досить складна і вимагає значних ресурсів комп’ютерної системи.

    Політика безпеки інформаційних потоків

    Політика безпеки інформаційних потоків заснована на розділенні всіх можливих інформаційних потоків між об’єктами системи на дві непересічні множини; множина сприятливих інформаційних потоків і множина несприятливих інформаційних потоків. Мета реалізації політики безпеки інформаційних потоків полягає в тому, щоб забезпечити неможливість виникнення в комп’ютерній системі несприятливих інформаційних потоків.

    Політика безпеки інформаційних потоків в більшості випадків використовується у поєднанні з політикою іншого вигляду, наприклад з політикою дискреційного або мандатного розмежування доступу. Реалізація політики безпеки інформаційних потоків, як правило, на практиці є важкою для вирішення задачею, особливо, якщо необхідно забезпечити захист комп’ютерної системи від виникнення несприятливих інформаційних потоків за часом.

    Політика рольового розмежування доступу

    Ролеве розмежування доступу є розвитком політики дискреційного розмежування доступу; при цьому права доступу суб’єктів системи на об’єкти групуються з урахуванням специфіки їх застосування, утворюючи ролі.

    Завдання ролей дозволяє визначити чіткіші і зрозуміліші для користувачів комп’ютерної системи правила розмежування доступу. Ролеве розмежування доступу дозволяє реалізувати гнучкі правила розмежування доступу, які змінюються динамічно в процесі функціонування комп’ютерної системи. На основі ролевого розмежування доступу, зокрема, може бути реалізоване мандатне розмежування доступу.

    Політика ізольованого програмного середовища

    Метою реалізації політики ізольованого програмного середовища є визначення порядку безпечної взаємодії суб’єктів системи, що забезпечує неможливість дії на систему захисту і модифікації її параметрів або конфігурації, результатом яких могла б стати зміна реалізованої системою захисту політики розмежування доступу.

    Політика ізольованого програмного середовища реалізується шляхом ізоляції суб’єктів системи один від одного і шляхом контролю породження нових суб’єктів так, щоб в системі могли активізуватися тільки суб’єкти із зумовленого списку. При цьому повинна контролюватися цілісність об’єктів системи, активізуються суб’єктів, що впливають на функціональність.

    1.4. Основні види моделей безпеки

    Всі математичні моделі безпеки комп’ютерних систем класифікуються по п’яти основних видах:

  • моделі систем дискреційного розмежування доступу;
  • моделі систем мандатного розмежування доступу;
  • моделі безпеки інформаційних потоків;
  • моделі ролевого розмежування доступу;
  • суб’єктно-орієнтована модель ізольованого програмного середовища.

    Схема класифікації і взаємозв’язку положень даних математичних моделей безпеки комп’ютерних систем представлені на рис. 1.6.


    Рис. 1.6. Схема класифікації і взаємозв’язку положень математичних моделей безпеки комп’ютерних систем

    2. Обгрунтування політики безпечного адміністрування ОС сімейства MS Windows NT/2000/XP/2003

    2.1. Загальні положення

    Розглянемо приклад вирішення проблеми застосування математичної моделі при побудові і обгрунтуванні властивостей реальної системи захисту. У прикладі мандатна політика цілісності Біба [4] використана для обгрунтування політики безпечного адміністрування комп’ютерних систем, побудованих на основі ОС сімейств Windows NT/2000/XP/2003.

    У політиці безпечного адміністрування розглядаються дві загрози безпеці комп’ютерної системи.

    Загроза 1. Наявність у користувача можливості розмістити ресурси на комп’ютері (запустити процес або розмістити файлові дані) несе загрозу отримання ним всіх привілеїв на даному комп’ютері.

    Загроза 2. Звертання користувача до комп’ютера (з метою отримання даних локально або по мережевих комунікаційних каналах) несе загрозу захоплення його привілеїв користувачем, що розмістив свої ресурси на цьому’ комп’ютері.

    Відзначимо, що в політиці не розглядаються процеси, що створюються ОС для виконання команд користувача по деяких системних зумовлених інтерфейсах від імені даного користувача. Наприклад, при зверненні користувача до створеного ОС іменованого комунікаційного каналу (pipe) створюється процес від імені цього користувача. Даний процес представляє зумовлений інтерфейс взаємодії з користувачем.

    Вважатимемо , що порушник має два рівні можливостей в системі;

  • якщо порушник може розмістити на комп’ютері свій ресурс, то він має можливість управління функціями автоматизованої системи;
  • якщо порушник може тільки віддалено звертатися до комп’ютера, то він має можливість ведення діалогу з автоматизованою системою.

    Комп’ютерна система задовольняє вимогам безпечного адміністрування тоді і тільки тоді, коли виконується наступний основний постулат: отримання порушником повного контролю над комп’ютером системи не повинне нести загрози безпеці для інших комп’ютерів системи за допомогою реалізації порушником загроз 1 і 2.

    Мета політики — представити умови виконання в комп’ютерній системі вимог безпечного адміністрування, що ефективно перевіряються і практично реалізовуються. Таким чином, реалізація політики повинна забезпечити захист або скорочення втрат від реалізації порушником загроз 1 і 2.

    2.2. Математична модель політики безпечного адміністрування

    Положення політики безпечного адміністрування обгрунтовуються з використанням математичної моделі.

    У даній математичній моделі істотну роль при обгрунтуванні положень політики грає визначене в моделі відношення підлеглості комп’ютерів системи, яке аналогічно поняттю відношення довіри між доменами в ОС сімейства Windows NT/2000/XP/2003.

    Введемо наступні позначення:

    t = 0, 1, 2 … — час;

    2А — множина всіх підмножин деякої множини А;

    Аt множина А у момент часу t;

    F()tзначення деякої функції F( ) у момент часу t;

    Арtмножина А у момент часу t на траєкторії функціонування комп’ютерної системи p;

    F()ptзначення деякої функції F( ) у момент часу t на траєкторії функціонування комп’ютерної системи р;

    Р — множина траєкторій функціонування комп’ютерної системи;

    C — множина комп’ютерів системи;

    DC Ì C – множина контроллерів домена (ототожнимо контроллери домена і допоміжні контроллери одного домена), робочих станцій членів робочих груп;

    WS Ì
    С — множина робочих станцій і серверів, що є членами домена; при цьому DC
    È
    WS = C, DC Ç WS = Æ;

    U — множина користувачів комп’ютерної системи;

    osc
    — «користувач ОС» комп’ютера c Î C ;

    Rcмножина привілеїв і прав користувачів на комп’ютері c Î C . Наприклад: { «Access this computer from network», «Debug programs», «Load and unload device drivers», «право на запис у файл SAM реєстру ресурсів», «право на читання файлу ntoskrnl .exe»} Ì
    Rc .

    Початкове припущення 1.
    Хай множини C , DC , WS , U, Rc
    для c Î C не змінюються з часом .

    Дана умова не обмежує спільності подальших положень , оскільки можна вважати , що всі користувачі, привілеї користувачів, комп’ютери і ролі комп’ютерів, що коли-небудь були в комп’ютерній системі, були визначені в ній спочатку. Якщо в деякому виразі для значення функції або множини не вказаний момент часу, то вважатимемо , що знайдеться такий момент часу, в якому даний вираз виконуватиметься.

    Використовуємо наступні позначення:

    write: U à
    2C
    — функція, що визначає для кожного користувача множину комп’ютерів, на яких він може розмістити свої ресурси (файлові дані або процес від свого імені);

    read: U à
    2C
    — функція, що визначає для кожного користувача множину комп’ютерів, до яких він звертається з метою отримання даних локально або по мережевих комунікаційних каналах;

    right: U ´
    С à
    2Rc
    — функція, що визначає множину прав і привілеїв користувача на комп’ютері.

    Початкове припущення 2. У початковий момент часу (t = 0) користувачі не розміщують свої ресурси на комп’ютерах і не звертаються до комп’ютерів, тобто для кожного u
    Î
    U виконуються наступні умови:

    write(u)0
    = Æ; read(u)0
    = Æ.

    Початкове припущення 3.
    Користувач osc
    комп’ютера c Î
    C володіє всіма привілеями Rc
    на даному комп’ютері, тобто для c
    Î
    C справедливо рівність

    right(osc , с) = Rc.

    Початкове припущення 4.
    Якщо у користувача є деякі особливі права або привілеї на даному комп’ютері, наприклад «Debugprograms», «Load and unload device drivers», або «право на запис у файл SAM реєстру ресурсів», то він може отримати всі привілеї на даному комп’ютері, тобто вірна імплікація

    ({«Debug programs», «Load and unload device drivers», «право на запис в файл SAМ реєстра ресурсів»} Ç
    right (и, с) ¹
    Æ) Þ (right (и, с) = Rc).

    Визначення 2.1. Користувачів uÎ
    U комп’ютера c Î C, для яких у момент часу t=0 справедлива рівність right(u, c)= Rc, назвемо довіреними користувачами даного комп’ютера. Множина довірених користувачів комп’ютера c Î C позначимо через Uc. Користувачів з U\Uc
    назвемо недовіреними користувачами комп’ютера cΠC.

    Визначення 2.2. Нехай с1, с2
    Î
    С. Будем говорити, що комп’ютер с2
    безпосередньо підпорядкований комп’ютеру с1, якщо виконується одна з наступних умов:

  • с1 = с2;
  • c1 — контролер домена, с2робоча станція цього домена;
  • c1 — контролер першого домена, с2
    — контролер другого домена, який довіряє першому.

    Визначення 2.3. G(C, E) — орієнтований граф підлеглості комп’ютерів в комп’ютерній системі, де C — множина вершин; Е Í С
    ´
    C — множина ребер графа підлеглості. Вважаємо, що (с1, с2) Î E тоді і тільки тоді, коли комп’ютер с2
    безпосередньо підпорядкований комп’ютеру с1. Позначимо в графі: • вершини з множини DC; Ä — вершини з множини WS.

    Визначення 2.4. Нехай с1, с2
    Î C
    і G(C, E) — граф підлеглості комп’ютерів. Комп’ютер с2
    підпорядкований комп’ютеру с11àс2) тоді і тільки тоді, коли в графі G(C, E) існує орієнтований шлях від с1
    до с2.

    Приклад 2.1. Нехай

    dc1 — контролер першого домена;

    ws1, ws2робочі станції першого домена;

    dc2
    — контролер другого домена, якому довіряє перший домен;

    ws3
    — робоча станція другого домена;

    ws4робоча станція — член робочої групи (рис. 2.1).

    Тоді {(dc1,ws1), (dc1, ws2), (dc2, ws3), (dc2, dc1)}
    Ì E.


    Рис. 2.1. Приклад графа G(C, E) підлеглості комп’ютерів

    Зауваження 2.1. Якщо комп’ютер c Î WS, то в графові G(C, E) йому відповідає вершина, в яку входить тільки одне ребро і з якого не виходить жодного ребра в інші вершини, відмінні від даної.

    Зауваження 2.2. Якщо комп’ютер є робочою станцією і членом робочої групи, то в графі G(C, E) йому відповідає ізольована вершина.

    Початкове припущення 5. Наявність у користувача всіх привілеїв на комп’ютері означає наявність у користувача всіх привілеїв на комп’ютерах, підлеглих даному, тобто для всіх u
    Î
    U, c1, с2
    Î
    C таких, що с1
    à с2, виконуються умови:

    (right(и, с1) = RC1)
    Þ (right(u, с2) = RC2);

    (и Î Uc1)
    Þ (u
    Î
    UC2).

    З використанням введених позначень запис що розглядаються в рамках політики безпечного адміністрування загроз 1 і 2 має наступний вигляд.

    Загроза 1.
    Наявність у користувача можливості розмістити ресурси на комп’ютері несе загрозу отримання ним всіх привілеїв на даному комп’ютері, тобто для всіх t1
    > 0, u
    Î
    U, c Î C виконується умова (c
    Î
    write(u)t1, right(u, c)t1¹ Rc) Þ (існує t2 > t1: right(u, c)t2 = Rc).

    Загроза 2.
    Звертання користувача до комп’ютера несе загрозу захоплення його привілеїв користувачем, що розмістив свої ресурси на цьому комп’ютері, тобто для всіх t1 > 0, u1, и2

    Î
    U, с1, с2

    Î C
    виконується умова

    (c1
    Î
    read(u1)t1: c1
    Î
    write(u2)t1, right (и1, с2)t1
    Ë
    right(u2, c2)t1) Þ (існує t2 t1: right(u1, c2)t2 Ì
    right (u2, c2)t2).

    Зауваження 2.3. Загроза 2 припускає, що всі користувачі комп’ютерної системи активно працюють і не всі користувачі є довіреними.

    Початкове припущення 6.
    Нехай для t1 > 0, и1
    Î
    U, с1, c2
    Î
    C виконується умова с1
    Î read(u1)t1, right(u1 , c2)t2
    ¹
    Æ і не виконується умова c1
    à
    с2. Тоді завжди знайдеться и2
    Î
    U такий, що с1
    Î
    write(u2)t1
    і right (и1 , c2)t1
    Ë right (и2, с2)t1.

    Зауваження 2.4. Початкове припущення 6 є істотним доповненням до визначення загрози 2, необхідним для забезпечення відповідності цього визначення умовам функціонування реальних комп’ютерних систем. Воно, зокрема, показує, що завжди знайдеться користувач робочої станції домена, який може розмістити на ній свій ресурс, що не є довіреним.

    Формальний запис основного постулату політики безпечного адміністрування дається в наступному визначенні.

    Визначення 2.5. З використанням введених позначень основний постулат політики безпечного адміністрування матиме наступний вигляд: комп’ютерна система, побудована на основі ОС сімейств Windows NT/2000/XP/2003,
    задовольняє вимогам безпечного адміністрування тоді і тільки тоді, коли виконуються умови 1 і 2.

    Умова 1.
    Для р1
    Î
    Р, t2>t1>0, u Î U, с1, с2 Î
    C таких, що с1
    ¹
    с2, істинно:

    (с1
    Î
    write(u)p1t1, right (u, с2)p1t2-1
    ¹
    RC2, right (і, c2)p1t2 = RC2) Þ (існує р2ΠР: right (u, с2)p2t2-1
    ¹
    RC2, right (u, c2)pp2t2-1
    = RC2 ).

    Умова 2.
    Для p1
    Î
    Р, t2 > t1 > 0, и1, и2
    Î
    U, с1, с2
    Î
    C таких, що u1
    = и2, істинно:

    (с1
    Î
    read(u1)t1p1, right(u2, c2)t2-1p1
    ¹
    RC2, right(u2, c2)t2p1 = RC2) Þ

    (існує pÎ
    P: right (u2, с2)p2t2-2
    ¹
    RC2, right(u2, c2)p2t2-1
    = RC2).

    Зауваження 2.5. У визначенні основного постулату передбачається, що розміщення користувачем ресурсів на комп’ютері або звертання його до комп’ютера здійснюється не менше чим за один крок функціонування комп’ютерної системи.

    Зауваження 2.6. Умова 1 вимагає, щоб, розміщуючи свої ресурси на комп’ютері, користувач не отримав можливості отримання всіх привілеїв на іншому комп’ютері системи. Умова 2 вимагає, щоб, звертаючись до комп’ютера, користувач не давав іншим користувачам можливості отримання всіх привілеїв на якому-небудь комп’ютері системи (у тому числі і на даному).

    Безпосередня перевірка умов 1, 2 вимагає розгляду всіх траєкторій функціонування системи, що є алгоритмічно нерозв’язним завданням в загальному випадку. Тому сформулюємо умови, що ефективно перевіряються і практично реалізовуються в даних комп’ютерних системах, виконання яких необхідне і достатньо для виконання умов 1 і 2.

    Теорема 2.1. Комп’ютерна система, побудована на основі ОС сімейств Windows NT/2000/XP/2003,
    задовольняє вимогам безпечного адміністрування тоді і тільки тоді, коли виконуються умови 3 і 4.

    Умова 3.
    Для u
    Î U, с1
    Î
    C істинно:

    (с1
    Î
    write(u))
    Þ
    ({ с Î С: с1
    à
    с} Ì { с1} È { с
    Î
    С: u
    Î
    Uс}).

    Умова 4.
    Для u Î
    U, c1
    Î
    C істинно:

    (c1
    Î
    read(u))
    Þ ({ c
    Î
    C: u Î Uc} Ì { с
    Î
    С: с1
    à
    c}).

    Зауваження 2.7. Умова 3 означає, що користувач має можливість розмістити свій ресурс на комп’ютері в двох випадках:

  • якщо даному комп’ютеру крім нього самого не підпорядкований жоден комп’ютер;
  • якщо користувач є довіреним користувачем всіх комп’ютерів, підлеглих даному.

    Умова 4 означає, що користувач має можливість звернутися до комп’ютера тільки у випадку, якщо всі комп’ютери, довіреним користувачем яких є даний користувач, підпорядковані даному комп’ютеру.

    Доведення. Доведення виконаємо методом від супротивного.

    Доведемо, що умова 1 виконується тоді і тільки тоді, коли виконується умова 3.

    Доведемо необхідність виконання умови 3 для виконання умови 1.

    Нехай знайдуться u
    Î
    U, с1
    Î
    write (и), для яких не виконується умова 3 теореми, тобто, існує с2
    Î
    C такий, що с2
    ¹ с
    1, c1
    à
    с2
    і u Ï Uc2.

    З початкових припущень 1 і 2 витікає, що існують t1 > 0 і р1
    Î
    Р, для яких с1
    Î
    write(u)p1t1. З початкового припущення 5 витікає, що u Ï
    Uc1, отже right (и, с1)р1t1
    ¹
    RC1
    і right (и, с2)р1t1
    ¹ Rc2. З визначення 2.5 і визначення загрози 1 витікає, що існує t2 > t1
    для якого right (u, c1)p1t2 = Rc1. Нехай t2
    вибране мінімальним. З початкового припущення 5 витікає, що right(u, c2)p1t2 = RC2. Таким чином, розміщення користувачем u своїх ресурсів на комп’ютері с1
    було використано ним для отримання всіх привілеїв RC2
    на комп’ютері с2. Оскільки t2
    мінімально, то неможливо знайти іншу траєкторію функціонування комп’ютерної системи p2
    Î
    Р, для якої б виконувалися умови right (u, с2)t2-2
    p2
    ¹
    Rc2,
    right (и, с2)p2
    t2-1 = Rc2 . Отже, умова 1 основного постулату не виконується. Таким чином, виконання умови 3 теореми необхідно для виконання умови 1 основного постулату.

    Доведемо достатність виконання умови 3 для виконання умови 1.

    Нехай знайдуться р1
    Î Р, t2 > t1 > 0, u Î
    U, с1, с2
    Î
    C такі, що с1
    ¹
    с2, для яких не виконується умова 1, тобто с1
    Î
    write(u)p1t1
    і right (и, с2)р1
    t2-1

    ¹
    Rc2 , right(и, с2)p1t2 = Rc2 і не існує p2
    Î
    P такий, що

    right (и, с2)р2t2-2
    ¹
    RC2 , right (u, с2)t2-1p2 = Rc2 .

    Таким чином, саме розміщення користувачем u своїх ресурсів на комп’ютері с1
    було використано ним для отримання всіх привілеїв на комп’ютері с2. Оскільки с1
    ¹
    с2, то з початкового припущення 5 витікає, що c1àс2. Оскільки right (и, с2) р1t2-1
    ¹ Rc1 ,
    то и Ï
    Uc1 . Отже, умова 3 не виконується. Таким чином, виконання умови 3 достатньо для виконання умови 1.

    Доведемо, що умова 2 виконується тоді і тільки тоді, коли виконується умова 4.

    Доведемо необхідність виконання умови 4 для виконання умови 2.

    Хай знайдуться и1
    Î U, с1
    Î read(u1), для яких не виконується умова 4 теореми, тобто існує с2
    Î
    C такий, що с2
    ¹
    с1
    , и1
    Î
    UC1
    і с2
    Ï {с Î
    С: с1
    à
    с}.

    З початкових припущень 1 і 2 витікає, що існують t1
    > 0 і р1
    Î
    Р, для яких с1
    Î
    read(u1)p1t1. З визначення 2.5, визначення загрози 2 і початкового припущення 6 витікає, що існує и2
    Î
    U такий, що с1
    Î write(u2)p1t1, RC2 = right(u1, c2)p1t1
    Ë
    right (u2, с2)р1t1, і існує t2>t1
    для якого RC2 =
    right (и1 , c2)p1t2
    = right(u1 , c2)p1t2. Нехай t2 вибране мінімальним. Таким чином, умова 2 не виконується, оскільки звертання користувача u1, до комп’ютера с, було використане користувачем u2 для отримання всіх привілеїв на комп’ютері с2. Оскільки t2
    мінімально, то неможливо знайти іншу траєкторію функціонування комп’ютерної системи р2ΠР, для якої б виконувалися умови
    right(и2 , с2)р2t2-2 ¹ RC2 , right(u2, c2)p2t2-1 = Rc2. Отже, виконання умови 4 необхідно для виконання умови 2.

    Доведемо достатність виконання умови 4 для виконання умови 2.

    Нехай знайдуться р1
    Î
    Р, t2> t1 > 0, и1 , u2
    Î U, с1 , с2
    Î
    C такі, що и1
    ¹
    и2
    для яких не виконується умова 2, тобто с1
    Î
    read(u1)p1t1, right(и2 , с2)p1t2-1
    ¹
    RС2, right(u2 , c2)t2p1
    = RС2, і не існує p2
    Î
    Р такий, що right(u2 , с2)p2
    t2-2
    ¹
    RC2 , right(и2, c2)p2t2-1
    = RС2. При цьому реалізувалася загроза 2 і звертання користувача u1 до комп’ютера с1 було використане користувачем u2 для отримання всіх привілеїв на комп’ютері с2. Отже right(и1, с2)р1t1 = RC2 , c1 Î write(u2)p1t1 і за визначенням 2.5 і визначенню загрози 1 right(u2, с1)р1t1
    = Rc1. Оскільки t2 > t1 і right(и2 , с2)р1 t2-1
    ¹
    Rc2 , з початкового припущення 5 витікає, що с2
    Ï {с Î
    С: с1
    à
    с}. Без обмеження узагальнення вважатимемо, що u1
    Î
    UC2, оскільки всі привілеї можуть бути отримані недовіреним користувачем через звернення до комп’ютера або від іншого недовіреного користувача, що вже володіє всіма привілеями, або від довіреного користувача. Але в початковому стані комп’ютерної системи не існує недовірених користувачів, що володіють всіма привілеями на якому-небудь комп’ютері. Отже с2
    Î {с Î С: u1 Î
    Uc} \ {с
    Î
    С: c1
    à
    с} і умова 4 не виконується. Таким чином, виконання умови 4 достатньо для виконання умови 2. Теорему доведено.¨

ЗАВАНТАЖИТИ

Для скачування файлів необхідно або Зареєструватись

M Dyplom (2.4 MiB, Завантажень: 23)

Сторінка: 1 2 3 4
завантаження...
WordPress: 23.57MB | MySQL:26 | 1,893sec