Информационная безопасность Модели управления доступом Разграничение доступа Глобальные сети Средства анализа и управления сетями Примеры скриптов на JavaScript Примеры программирования на Java

Информационная безопасность

Задачи мандатного управления доступом к виртуальным каналам связи

Рассмотрим мандатный механизм управления доступом к виртуальным каналам сети связи в общем случае. При этом под виртуальным каналом связи будем понимать канал связи между двумя оконечными устройствами сети (защищаемыми компьютерами). Канал этот характеризуется:

» уровнем конфиденциальности передаваемой по каналу информации; » информационной технологией, использующей канал, то есть какой процесс (сетевая служба) его использует; » характеристиками оконечных устройств (компьютеров), взаимодействующих по сети: 1Р-адрес, ТСР-порт.

Назначение меток безопасности процессам рассматривается в предположении, что компьютерами, подключенными к виртуальному каналу связи, обрабатывается информация, различных уровней конфиденциальности. Таким образом, в схему управления доступом к файловым объектам может быть включены иерархические метки безопасности.

Рассмотрим задачи мандатного управления доступом к виртуальным каналам связи.

Задача 1. Подключение защищаемого компьютера к сети Internet

Итак, требуется подключить к сети Internet защищаемый компьютер, характеризуемый обработкой информации различных уровней конфиденциальности. При этом сеть Internet воспринимается как открытый виртуальный канал связи.

Пусть в системе обрабатывается следующая информация:

» секретная;

конфиденциальная; » служебная; * открытая.

Соответственно введем 4 иерархические метки безопасности для данных — Ml, М2, МЗ, М4.

Пусть доступ к информации имеют четыре пользователя, которым, в соответствии с их допуском к информации, также назначим метки безопасности — Ml, М2, МЗ, М4.

Подключим компьютер к сети Internet. Поскольку при этом создается открытый виртуальный канал связи, то по нему следует разрешить передачу только открытой информации. Используя классический мандатный механизм, организовать доступ к открытому виртуальному каналу можно только следующим образом — разрешить запускать процесс (сетевую службу) только пользователю с меткой М4. Таким образом, взаимодействовать с сетью будет дозволено только пользователям, имеющим полный доступ к открытой информации и не имеющим доступа к информации иных уровней. Именно за счет этого исключается возможность попадания в открытый виртуальный канал конфиденциальных данных.

Недостаток данного решения заключается в том, что пользователи с метками М1...МЗ отключены от сети Internet.

Теперь рассмотрим возможности, которые можно реализовать назначая метки процессам. При этом процесс с меткой будет обслуживаться эксклюзивно, то есть без учета прав доступа пользователей (меток безопасности).

Назначим метки безопасности пользователям и данным также, как представлено выше. Присвоим процессу (сетевой службе) Internet метку безопасности М4 (соответствующую метке открытых данных). Кроме того, обеспечим, чтобы все пользователи могли запустить данный процесс. Для этого назначим исполняемому файлу соответствующей сетевой службы метку М4.

Получаем:

любой пользователь может запустить процесс доступа к сети Internet;

« запущенный процесс имеет права вне прав пользователей, т.е. этот

процесс имеет полный доступ к открытым данным и не имеет доступа к иным данным на компьютере;

» любой пользователь имеет доступ к сети Internet, при этом выдаваться в сеть могут только открытые данные, т.е. процесс с меткой М4 может «читать» данные только с меткой М 4. Открытые данные, получаемые из сети, могут записываться только в объекты, предназначенные для открытых данных, т.е. процесс с меткой М4 может «записывать» данные только в объекты с меткой М4;

механизм управления доступом обеспечивает следующие разграничения для пользователей с учетом их меток безопасности. Пользователь с меткой М4 (допущенный к открытым данным) может выдавать в сеть и читать из сети информацию. Остальные пользователи (с меньшей меткой) могут только читать данные из сети, т.к. они имеют доступ к объекту, в который процесс с меткой М4 может записать данные только «на чтение». Поэтому для отправки данных пользователем с меньшей меткой должны быть реализованы организационные мероприятия. На практике это может выглядеть следующим образом:

все пользователи имеют возможность работы с Web-сервисами и иными службами сети Internet, предполагающими получение информации из сети. Информация сохраняется в объекте с меткой М4, из которого любой пользователь с меньшей меткой по правилам мандатного разграничения может его скопировать в собственный файловый объект, либо в его объект данную информацию может записать (дополнить) пользователь с меткой М4. С электронной почтой все пользователи с меткой меньше М4 могут работать только на прием сообщений из сети;

« только пользователь с меткой М4 получает право на отправку электронных почтовых сообщений, что определяется меткой виртуального канала;

для отправки сообщений пользователями с меньшей, чем М4 меткой (что возможно только через пользователя с меткой М4, и не может быть осуществлено автоматически - - не позволит мандатный механизм управления доступа пользователей к файловым объектам) должны быть реализованы организационные мероприятия с привлечением ответственного лица, либо службы безопасности.

Достоинства данного подхода очевидны. Все пользователи могут работать с открытым виртуальным каналом связи, причем каждый в рамках своих полномочий, задаваемых иерархической меткой безопасности. При этом в полном объеме выполняются исходные требования мандатного механизма управления доступом к файловым объектам.

Протокол обмена сообщениями с использованием симметричного шифрования

Предположим, что Антон и Борис хотят обмениваться секретными сообщениями по каналу связи, не защищенному от подслушивания. Естественно, им придется воспользоваться шифрованием. Однако чтобы Антон успешно зашифровал свое сообщение Борису, а тот, получив это сообщение, смог его расшифровать, они должны действовать в соответствии со следующим протоколом:

1. Антон и Борис уславливаются о том, какой криптосистемой они будут

 пользоваться.

2. Антон и Борис генерируют ключи для шифрования и расшифрования

 своих сообщений и затем обмениваются ими.

3. Антон шифрует сообщение с использованием криптографического

 алгоритма и ключа, о которых он заранее договорился с Борисом.

4. Антон отправляет зашифрованное сообщение Борису.

5. Борис расшифровывает полученное сообщение, применяя тот же

 криптографический алгоритм и ключ, которыми пользовался Антон.

Если Петр имеет возможность перехватывать сообщения, которые передают друг другу Антон и Борис, он может попытаться прочесть эти сообщения. Если Антон и Борис используют стойкий алгоритм шифрования, — они в безопасности. Однако Петр может оказаться в состоянии подслушивать за Антоном и Борисом, когда они выполняют шаг 1 и шаг 2 протокола. Поэтому стойкая криптосистема не должна опираться на сохранение в тайне алгоритма шифрования. Необходимо, чтобы ее стойкость определялась одной только длиной секретного ключа. Тогда Антон и Борис могут условиться, каким шифром они будут пользоваться, ничуть не заботясь о том, что их подслушает Петр. Тем не менее, шаг 2 протокола все равно должен выполняться ими в обстановке строжайшей секретности. Требуется, чтобы свои сгенерированные ключи Антон и Борис хранили в секрете до, во время и после процесса выполнения всех шагов протокола. Иначе Петр сможет прочесть всю их шифрованную переписку.

Что касается Зиновия, то в зависимости от преследуемых целей он может действовать по-разному. Если Зиновий прервет связь между Антоном и Борисом, они будут не в состоянии обмениваться сообщениями. Зиновий может заменить шифрованное сообщение, посланное Антоном, на свое собственное. Попытавшись расшифровать поддельное сообщение, Борис вместо осмысленного открытого текста получит абракадабру, и решит, что Антон не слишком серьезно отнесся к шифрованию своего сообщения или что при передаче оно было просто искажено. Хуже, если Зиновий узнает ключ, которым пользуются Антон и Борис. Тогда он сможет зашифровать любое сообщение и отправить его Борису от имени Антона, а у Бориса не будет возможности распознать подделку.

Если Антон вознамерится навредить Борису, тот будет не в силах ему помешать. Например, Антон может заставить Бориса отказаться от обмена сообщениями. Для этого Антону достаточно передать копию ключа Петру с условием, что Петр опубликует открытые тексты сообщений Бориса в газете для всеобщего обозрения. Это значит, что, используя приведенный выше протокол, Антон и Борис должны полностью доверять друг другу.

Подводя итог сказанному, следует еще раз подчеркнуть, что в протоколах обмена сообщениями с использованием симметричного шифрования ключи должны храниться и распределяться между участниками протокола в строжайшем секрете. Ключи являются не менее ценными, чем сама информация, которая шифруется с их использованием, поскольку знание ключей противником открывает ему неограниченный доступ к этой информации.

Общие принципы построения вычислительных сетей