Защита целостности информации при обработке
При рассмотрении вопроса целостности данных при обработке используется интегрированный подход, основанный на ряде работ Д. Кларка и Д. Вилсона, а также их последователей и оппонентов и включающий в себя девять теоретических принципов:
корректность транзакций;
аутентификация пользователей;
минимизация привилегий;
разграничение функциональных обязанностей;
аудит произошедших событий;
объективный контроль;
управление передачей привилегий;
обеспечение непрерывной работоспособности;
простота использования защитных механизмов.
Понятие корректности транзакций определяется следующим образом. Пользователь не должен модифицировать данные произвольно, а только определенными способами, т. е. так, чтобы сохранялась целостность данных. Другими словами, данные можно изменять только путем корректных транзакций и нельзя произвольными средствами. Кроме того, предполагается, что «корректность» каждой из таких транзакций может быть некоторым способом доказана.
Второй принцип гласит, что изменение данных может осуществляться только специально аутентифицированными для этой цели пользователями. Данный принцип работает совместно с последующими четырьмя, с которыми тесно связана его роль в общей схеме обеспечения целостности.
Идея минимизации привилегий появилась еще на ранних этапах развития информационной безопасности в форме ограничения, накладываемого на возможности выполняющихся в системе процессов и подразумевающего то, что процессы должны быть наделены теми и только теми привилегиями, которые естественно и минимально необходимы для выполнения процессов. Принцип минимизации привилегий распространяется и на программы, и на пользователей. Пользователи имеют, как правило, несколько больше привилегий, чем им необходимо для выполнения конкретного действия в данный момент времени. А это открывает возможности для злоупотреблений.
Разграничение функциональных обязанностей подразумевает организацию работы с данными таким образом, что в каждой из ключевых стадий, составляющих единый критически важный, с точки зрения целостности, процесс, необходимо участие различных пользователей. Это гарантирует невозможность выполнения одним пользователем всего процесса целиком (или даже двух его стадий) с тем, чтобы нарушить целостность данных. В обычной жизни примером воплощения данного принципа служит передача одной половины пароля для доступа к программе управления ядерным реактором первому системному администратору, а другой - второму.
Аудит произошедших событий, включая возможность восстановления полной картины происшедшего, является превентивной мерой в отношении потенциальных нарушителей.
Принцип объективного контроля также является одним из краеугольных камней политики контроля целостности. Суть данного принципа заключается в том, что контроль целостности данных имеет смысл лишь тогда, когда эти данные отражают реальное положение вещей. В связи с этим Кларк и Вилсон указывают на необходимость регулярных проверок, имеющих целью выявление возможных несоответствий между защищаемыми данными и объективной реальностью, которую они отражают.
Управление передачей привилегий необходимо для эффективной работы всей политики безопасности. Если схема назначения привилегий неадекватно отражает организационную структуру предприятия или не позволяет администраторам безопасности гибко манипулировать ею для обеспечения эффективности производственной деятельности, защита становится обременительной и провоцирует попытки обойти ее.
Принцип обеспечения непрерывной работы включает защиту от сбоев, стихийных бедствий и других форс-мажорных обстоятельств.
Простота использования защитных механизмов необходима, в том числе для того, чтобы пользователи не стремились обойти их как мешающих «нормальной» работе. Кроме того, как правило, простые схемы являются более надежными. Простота использования защитных механизмов подразумевает, что самый безопасный путь эксплуатации системы будет также наиболее простым, и наоборот, самый простой - наиболее защищенным.
