Аксиомы политики безопасности
Анализ опыта защиты информации, а также основных положений субъектно-объектной модели позволяет сформулировать несколько аксиом, касающихся построения политик без- опасности.
Аксиома 1. В защищенной информационной системе в любой момент времени любой субъект и объект должны быть идентифицированы и аутентифицированы.
Данная аксиома определяется самой природой и содержанием процессов коллективного доступа пользователей к ресурсам. Иначе субъекты имеют возможность выдать себя за других субъектов или подменить одни объекты доступа на другие.
Аксиома 2. В защищенной системе должна присутствовать активная компонента (субъект, процесс и т. д.) с соответствующим объектом-источником, которая осуществляет управление доступом и контроль доступа субъектов к объектам, - монитор или ядро безопасности.
Монитор безопасности - механизм реализации политики безопасности в информационной системе, совокупность аппаратных, программных и специальных компонентов системы, реализующих функции защиты и обеспечения безопасности (общепринятое сокращение - ТСВ - Trusted Computing Base).
В большинстве информационных систем можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь разделяемое на компоненту представления информации (файловая система ОС, модель данных СУБД), компоненту доступа к данным (система ввода–вывода ОС, процессор запросов СУБД) и надстройку (утилиты, сервис, интерфейсные компоненты).
В защищенной системе появляется дополнительный компонент, обеспечивающий процессы защиты информации, прежде всего процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безопасности (разграничения доступа).
С учетом нормативных требований по сертификации защищенных систем к реализации монитора безопасности предъявляются следующие обязательные требования:
1. Полнота. Монитор безопасности должен вызываться при каждом обращении за доступом любого субъекта к любому объекту, и не должно быть никаких способов его обхода.
2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата работы.
3. Верифицируемость. Монитор безопасности должен быть проверяемым (самотестируемым или внешнетестируемым) на предмет выполнения своих функций.
4. Непрерывность. Монитор безопасности должен функционировать при любых, в том числе и аварийных ситуациях.
Монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие модели безопасности.
Аксиома 3. Для реализации принятой политики безопасности, управления и контроля доступа субъектов к объектам необходима информация и объект, ее содержащий.
Следствие 3.1. В защищенной системе существует особая категория активных сущностей, которые не инициализируют и которыми не управляют пользователи системы, - системные процессы (субъекты), присутствующие в системе изначально.
Следствие 3.2. Ассоциированный с монитором безопасности объект, содержащий информацию о системе разграничения доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной информационной системе.
Следствие 3.3. В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором без- опасности объекту - данным для управления политикой разграничения доступа.
Принципы, способы представления и реализация ассоциированных с монитором безопасности объектов определяются типом политики безопасности и особенностями конкретной системы.
К настоящему времени разработано большое количество различных моделей безопасности, все они выражают несколько исходных политик безопасности. При этом имеет значение критерий безопасности доступов субъектов к объектам, т. е. правило разделения информационных потоков, порождаемых доступом субъектов к объектам, на безопасные и небезопасные.
Система безопасна тогда и только тогда, когда субъекты не имеют возможностей нарушать (обходить) установленную в системе политику безопасности.
Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре системы соответственно является необходимым условием безопасности. Что касается условий достаточности, то они заключены в безопасности самого монитора безопасности.
