Вы находитесь на странице: 1из 40

Основы

информационной
безопасности
Лекция 4
Модели
безопасности
информации
Модель безопасности информации

Под политикой безопасности понимается совокупность норм


и правил, регламентирующих процесс обработки
информации, выполнение которых обеспечивает защиту от
определенного множества угроз и составляет необходимое
условие безопасности системы.

Формальное выражение политики без опасности называют


моделью безопасности.
Целью модели безопасности является выражение сути
требований по безопасности, предъявляемых к
информационной системе.
Модель безопасности определяет потоки информации,
разрешенные в системе, и правила управления доступом к
информации.
Правила модели безопасности информации
Модели безопасности основаны на следующих базовых
представлениях:

1. В АС действует дискретное время.


2. В каждый фиксированный момент времени АС представляет
собой конечное множество элементов, разделяемых на два
подмножества:
– подмножество субъектов доступа S;
– подмножество объектов доступа О.
3. Пользователи АС представлены одним или некоторой
совокупностью субъектов доступа, действующих от имени
конкретного пользователя.
Правила модели безопасности информации
4. Субъекты АС могут быть порождены из объектов только
активной сущностью (другим субъектом).
5. Все взаимодействия в системе моделируются
установлением отношений определенного типа между
субъектами и объектами. Множество типов отношений
определяется в виде набора операций, которые субъекты
могут производить над объектами.
6. Все процессы в АС описываются доступом субъектов к
объектам, вызывающим потоки информации.
7. Политика безопасности задается в виде правил, в
соответствии с которыми должны осуществляться все
взаимодействия между субъектами и объектами.
Взаимодействия, приводящие к нарушению этих правил,
пресекаются средствами контроля доступа и не могут быть
осуществлены.
Правила модели безопасности информации
8. Все операции контролируются монитором взаимодействий
и либо запрещаются, либо разрешаются в соответствии с
правилами политики безопасности.
9. Совокупность множеств субъектов, объектов и отношений
между ними (установившихся взаимодействий) определяет
состояние системы. Каждое состояние системы является либо
безопасным, либо небезопасным в соответствии с
предложенным в модели критерием безопасности.
10. Основной элемент модели безопасности — это
доказательство утверждения (теоремы) о том, что система,
находящаяся в безопасном состоянии, не может перейти в
небезопасное состояние при соблюдении всех установленных
правил и ограничений.
Ключевые понятия моделей безопасности информации
Субъект доступа (s) – активная сущность АС, которая может
изменять состояние системы через порождение процессов
над объектами, в том числе порождать новые объекты и
инициализировать порождение новых субъектов.
Объект доступа (o) – пассивная сущность АС, процессы над
которой могут в определенных случаях быть источником
порождения новых субъектов.

Потоком информации между объектом оi и объектом оj


называется произвольная операция над объектом оj,
реализуемая в субъекте sm и зависящая от объекта оi.

Доступом субъекта sm к объекту оj называется порождение


субъектом sm потока информации между объектом оj и
некоторым объектом оi.
Математические модели безопасности
Модель безопасности информации

Математические модели безопасности можно


классифицировать по пяти основным видам:

• Модели систем дискреционного разграничения доступа


• Модели систем мандатного разграничения доступа
• Модели безопасности информационных потоков
• Модели ролевого разграничения доступа
• Субъектно-ориентированная модель изолированной
программной среды
Дискреционная модель разграничения доступа (DAC)

Дискреционная модель (Discretionary Access Control - DAC)


представляет собой явно заданные правила доступа субъектов
системы к объектам.
Текущее состояние прав доступа описывается матрицей, в строках
которой перечислены субъекты, а в столбцах - объекты.
В клетках,
расположенных на
пересечении строк
и столбцов,
записываются способы
доступа для субъекта по
отношению к объекту,
например: чтение,
запись, выполнение,
возможность передачи
прав другим субъектам
и т.д.
Дискреционная модель разграничения доступа

В операционных системах более компактное представление


матрицы доступа основывается:
1. на структуризации совокупности субъектов
(владелец/группа/другие у ОС UNIX).
2. на механизме списков управления доступом (ACL, Access
Control List).
ACL опирается на представление матрицы по столбцам, когда
для каждого объекта перечисляются субъекты вместе с
их правами доступа.

Большинство операционных систем и систем управления


базами данных реализует именно дискреционное управление
доступом.
Группа привилегированных пользователей, которая
контролирует все процессы и настройки системного уровня,
называется суперпользователями.
Дискреционная модель разграничения доступа

принципу управления доступом выделяются два подхода:


- принудительное управление доступом (Право создания и
изменения матрицы доступа имеют только субъекты
администратора системы, который при регистрации для
работы в системе нового пользователя создает с
соответствующим заполнением новую строку матрицы
доступа, а при возникновении нового объекта, подлежащего
избирательному доступу, образует новый столбец матрицы
доступа);
- добровольное управление доступом (Основывается на
принципе владения объектами. Владельцем объекта
доступа называется пользователь, инициализировавший
поток, в результате чего объект возник в системе, или
определивший его иным образом. Права доступа к объекту
определяют их владельцы)
Дискреционная модель разграничения доступа

Классическая модель
дискреционного разграничения
доступа называется «закрытой»,
так как изначально объект не
доступен никому, и в списке
прав доступа описывается
список разрешений.

«Открытые» модели
дискреционного разграничения
доступа, в которых по
умолчанию все имеют полный
доступ к объектам, а в списке
доступа описывается список
ограничений.
Мандатная модель разграничения доступа (MAC)
Мандатная модель разграничения доступа
(модель Белла-ЛаПадула), определяется четырьмя условиями:
• Все субъекты и объекты системы однозначно
идентифицированы.
• Задана решетка уровней конфиденциальности информации.
• Каждому объекту системы присвоен уровень
конфиденциальности, определяющий ценность
содержащейся в нем информации.
• Каждому субъекту системы присвоен уровень доступа,
определяющий уровень доверия к нему в информационной
системе.
Основная цель –
противодействие возникновению
неблагоприятных информационный
потоков сверху вниз.

MAC: https://habr.com/ru/company/avanpost/blog/482060/
Мандатная модель разграничения доступа
Иерархия уровней доступа, которые обрабатываются в
системе (обычно регистрируются в ОС). Для удобства часто
задается в виде беззнаковых чисел (от 0 до значения,
ограниченного реализацией).
Объект с уровнем секретности. Любой файл, каталог в
файловой системе и т.д. Объекту присваивается любое
значение из иерархии уровней доступа.
Субъект с уровнем доступа. Процесс какого-либо приложения
либо сеанс пользователя (по сути тоже процесс приложения).
Метка уровня доступа наследуется от субъекта всеми
создаваемыми данным субъектом объектами. 

Значение уровня доступа субъекта или уровня секретности


объекта обычно называют термином «мандатный уровень»,
«мандатная метка» или просто «метка».
Мандатная модель разграничения доступа
Общая формулировка правила: пользователи могут читать только
документы, уровень секретности которых не превышает их допуска,
и не могут создавать документы ниже уровня своего допуска.

Основными правилами модели являются:


Простое правило безопасности. Субъект не может читать данные
из объекта, находящегося на более высоком уровне безопасности
(правило «Не читать вверх»).
Правило *- свойства. Субъект не может записывать данные в
объект, находящийся на более низком уровне безопасности
(правило «Не записывать вниз»).
Строгое правило *-свойства. Чтобы субъект мог читать и
записывать данные в объект, его допуск и классификация объекта
должны совпадать.
Мандатная модель разграничения доступа

Основная теорема безопасности системы: если система


была инициализирована в безопасном состоянии, и она
допускает только безопасные изменения состояния, то она
безопасна в любой момент, независимо от входных данных.

Принцип равновесия - субъекты и объекты не могут изменить


свой уровень безопасности после своего создания.

В модели игнорируется проблема изменения


классификации.
Модель безопасности информационных потоков
Скрытым каналом утечки информации называется механизм,
посредством которого в АС может осуществляться информационный
поток (передача информации) между сущностями в обход политики
разграничения доступа.

Модель информационных потоков может учитывать любые


информационные потоки, а не только переходы информации с
одного уровня безопасности (целостности) на другой.
Выделяют благоприятные и неблагоприятные информационные
потоки.
Один из способов, которым модель информационных потоков
обеспечивает защиту, является обеспечение отсутствия скрытых
каналов.
В скрытом канале по памяти (процессы могут взаимодействовать
через некое пространство хранения информации в системе).
В скрытых каналах по времени (на основе анализа временных
параметров протекания процессов системы).
В скрытых статистических каналах (на основе анализа
Ролевой метод разграничения доступа (RBAC)

Ролевой метод разграничения доступа пользователей к


информации основан на использовании типов их активностей
в системе (ролей).
Под ролью понимается совокупность действий и
обязанностей, связанных с определенным видом
деятельности.
Примеры ролей: администратор базы данных, менеджер,
начальник отдела.

С каждым объектом сопоставлен набор разрешенных


операций доступа для каждой роли.
Каждому пользователю сопоставлены роли, которые он
может выполнять.
Ролевой метод разграничения доступа

Для формального определения модели используются


следующие обозначения:
S = субъект – человек или автоматизированный агент.
R = роль – рабочая функция или название, определяется на
уровне авторизации.
P = разрешения – утверждения режима доступа к ресурсу.
SE = сессия – Соответствие между S, R и/или P.
SA = назначение субъекта (Subject Assignment). Субъекты
назначаются связям ролей и субъектов в отношении «многие
ко многим» (один субъект может иметь несколько ролей, а
одну роль могут иметь несколько субъектов).
PA = назначение разрешения. При этом разрешения
назначаются связям ролей в отношении «многие ко многим».
Ролевой метод разграничения доступа
Ролевой метод разграничения доступа

Основные достоинства ролевой модели:


1. Простота администрирования. Нет необходимости
прописывать разрешения для каждой пары «объект-
пользователь», прописываются разрешения для пар «объект-
роль» и определяются роли каждого пользователя.
2. Принцип наименьшей привилегии. Ролевая модель
позволяет пользователю регистрироваться в системе ролью,
минимально необходимой для выполнения требуемых задач.
3. Разделение обязанностей.

Список систем Microsoft Active Directory, SELinux, FreeBSD,


Solaris, СУБД Oracle, PostgreSQL.

Могут быть смоделированы дискреционные и мандатные


системы управления доступом.
Иерархический ролевой метод разграничения доступа
1. Ролевые отношения определяют членство пользователя в группах
и наследование привилегий.
2. Отражает организационную структуру и функциональные
разграничения.
3. Существует два типа иерархий:
- Ограниченные иерархии. Доступен только один уровень иерархии
(например, Роль 1 наследует права Роли 2, но не других ролей).
- Обычные иерархии. Доступно много уровней иерархии (например,
Роль 1 наследует права Роли 2 и Роли 3).
Статическое разделение обязанностей - предоставляет постоянный
ограниченный набор привилегий в рамках одной группы.
Динамическое разделение обязанностей - предоставляет
ограничение набора возможных привилегий в рамках одной сессии
(например, пользователь не может в рамках одной сессии
использовать права разных групп, хотя он может быть
одновременно членом обеих этих групп).
Модель изолированной программной среды

Изолированная, или замкнутая программная среда


представляет собой расширение модели дискреционного
управления доступом.

Монитор безопасности – механизм реализации политики


безопасности в автоматизированной системе, совокупность
аппаратных, программных и специальных компонент системы,
реализующих функции защиты и обеспечения безопасности.
Модель изолированной программной среды

К мониторам безопасности предъявляются следующие


обязательные требования:
1. Полнота. Монитор безопасности должен вызываться при
каждом обращении за доступом любого субъекта к любому
объекту, и не должно быть никаких способов его обхода.
2. Изолированность. Монитор безопасности должен быть
защищен от отслеживания и перехвата работы.
3. Верифицируемость. Монитор безопасности должен быть
проверяемым (само- или внешнетестируемым) на предмет
выполнения своих функций.
4. Непрерывность. Монитор безопасности должен
функционировать при любых, в том числе и аварийных
ситуациях.
Идентификация и
аутентификация
Системы идентификации и аутентификации

Идентификация - процедура распознавания субъекта по его


уникальному идентификатору, присвоенному данному
субъекту ранее и занесенному в базу данных в момент
регистрации субъекта в качестве легального пользователя
системы.
Аутентификация - процедура проверки подлинности
входящего в систему объекта, предъявившего свой
идентификатор.
В автоматизированных системах используются три основных
способа аутентификации по следующим признакам:
• паролю или личному идентифицирующему номеру
(пользователь “знает”);
• некоторому предмету, который есть у пользователя
(пользователь “имеет”);
• каким-либо физиологическим признакам, свойственным
конкретным лицам (пользователь “есть”).
Системы идентификации и аутентификации

Основными характеристиками устройств аутентификации


являются:
• частота ошибочного отрицания законного пользователя
(FRR, False Reject Rate);
• частота ошибочного признания постороннего (FAR, False
Accept Rate);
• среднее время наработки на отказ;
• число обслуживаемых пользователей;
• стоимость;
• объем информации, циркулирующей между считывающим
устройством и блоком сравнения;
• приемлемость устройства со стороны пользователей.
Системы идентификации и аутентификации

ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация.


Общие положения« (https://fstec.ru/component/attachments/download/2337)

Фактор биометрический должен использоваться только совместно с другими


факторами, в том числе для подтверждения фактора владения. При этом применение
фактора биометрического в качестве единственного фактора при однофакторной
аутентификации не допускается.

https://www.anti-malware.ru/analytics/Technology_Analysis/overview-of-user-authentication-systems
-and-methods
Виды аутентификации

Простая аутентификация: аутентификация с применением


метода однофакторной односторонней аутентификации и
соответствующих данному методу протоколов аутентификации.
Усиленная аутентификация: Аутентификация с применением
метода многофакторной односторонней или взаимной
аутентификации и соответствующих данному методу
протоколов аутентификации.
Строгая аутентификация: аутентификация с применением
только метода многофакторной взаимной аутентификации и
использованием криптографических протоколов
аутентификации.
Системы аутентификации
Общая схема аутентификации
Устройства для аутентификации

Устройства аутентификации, применяемые при простой аутентификации:


-изделия класса «Touchmemory» или аналоги;
-карты с магнитной полосой;
-генератор одноразовых паролей;
-флэш-накопители.

Устройства аутентификации, применяемые при усиленной аутентификации:


-скрэтч-карты с предустановленным случайным числом;
-генератор одноразовых паролей;
-токены форм-фактора «Смарт-карта» или «USB-ключ».

Устройства аутентификации, применяемые при строгой аутентификации:


-токены форм-фактора «Смарт-карта» или «USB-ключ» с возможностью
хранения закрытого ключа внутри устройства. Память устройства защищена
паролем или PIN-кодом;
-токены форм-фактора «Смарт-карта» или «USB-ключ» с возможностью
генерации ключевой пары внутри устройства. Память устройства защищена
паролем или PIN-кодом.
Парольные методы
Парольные методы можно классифицировать по характеру
изменяемости паролей:
1. Методы, использующие постоянные (многократно
используемые) пароли.
2. Методы, использующие одноразовые (динамично
изменяющиеся) пароли:
• Методы модификации схемы простых паролей. В этом
случае пользователю выдается список паролей. При
аутентификации система запрашивает у пользователя
пароль, номер которого в списке определен по случайному
закону.
• Методы «запрос-ответ».
• Функциональные методы, основанные на использовании
специальной функции парольного преобразования.
Наиболее известными примерами функциональных
методов являются: метод функционального
преобразования и метод «рукопожатия».
Парольные методы

Основными типами угроз безопасности парольных систем


являются следующие.
1. Перебор паролей в интерактивном режиме.
2. Подсмотр пароля.
3. Преднамеренная передача пароля его владельцем другому
лицу.
4. Кража базы данных учётных записей с дальнейшим её
анализом, подбором пароля.
5. Перехват вводимого пароля путём внедрения в
компьютерную систему программных закладок (клавиатурных
шпионов).
6. Перехват пароля, передаваемого по сети.
7. Социальная инженерия.
Парольные методы

Требования к выбору и использованию паролей:


1. Задание минимальной длины пароля.
2. Использование в пароле различных групп.
3. Проверка и отбраковка пароля по словарю.
4. Установление максимального срока действия пароля.
5. Применение эвристического алгоритма, бракующего
«плохие» пароли.
6. Ограничение числа попыток ввода пароля.
7. Использование задержки при вводе неправильного пароля
8. Поддержка режима принудительной смены пароля
пользователя.
9. Запрет на выбор пароля самим пользователем и
автоматическая генерация паролей.
Парольные методы
Пусть A – мощность алфавита паролей (количество
символов, которые могут быть использованы при
составлении пароля).
L – длина пароля.
S=AL – число всевозможных паролей длины L, которые
можно составить из символов алфавита A, т. е. пространство
атаки.
V – скорость перебора паролей злоумышленником.
T – максимальный срок действия пароля.
Тогда, вероятность P подбора пароля злоумышленником в
течении срока его действия Т определяется по следующей
формуле:

P = (V ∙ T) / S = (V ∙ T) / AL.
Парольные методы

Топ слабых паролей 2018 года 2019 года


123456 princess 12345 1234567890
password admin 123456 1234567
123456789 welcome 123456789 Aa123456.
12345678 666666 test1 iloveyou
12345 abc123 password 1234
111111 football 12345678 abc123
1234567 123123 zinch 111111
sunshine monkey g_czechout 123123
qwerty 654321 asdf dubsmash
iloveyou !@#$%^&* qwerty test

Сервис проверки паролей: https://password.kaspersky.com/ru/


Почтовых учетных записей: https://haveibeenpwned.com/
Биометрические методы
Наиболее распространенные методы биометрической
аутентификации:
• отпечаток пальца;
• рисунок вен ладони;
• голос;
• радужную оболочку глаза;
• лицо (2D-изображение);
• лицо (3D-изображение).
Контакты
Маро Екатерина Александровна
E-mail: eamaro@sfedu.ru

Вам также может понравиться