Информационная безопасность Модели управления доступом Разграничение доступа Глобальные сети Средства анализа и управления сетями Примеры скриптов на JavaScript Примеры программирования на Java

Информационная безопасность

Диспетчер доступа реализует механизм управления доступом к исполняемым файлам корректно только в том случае, если его настройками (заданием учетных записей субъектов и объектов доступа и правил разграничения доступа) можно реализовать каноническую модель управления доступом.

Доказывается утверждение от обратного. Если каноническую модель управления доступом реализовать невозможно — присутствуют элементы «И» вне главной диагонали матрицы доступа, то в системе присутствует по крайней мере один объект — программа, доступ к запуску которой невозможно разграничить в полном объеме (объект включается одновременно в несколько групп объектов, априори характеризуемых различными правами доступа к ним).

По аналогии со сказанным ранее, в рассматриваемом случае в каноническую модель управления доступом также должны быть включены каналы взаимодействия субъектов доступа. В противном случае, субъекты, имеющие возможность обрабатывать информацию только различными приложениями, не смогут обменяться информацией.

Таким образом, включение канала взаимодействия субъектов в матрицу доступа означает разрешение запуска субъектами одного и того же приложения.

В матрице доступа Б это означает включение группы (групп) объектов, для которых несколько субъектов будут иметь доступ. Пример такой матрицы приведен ниже. При этом в нее введена группа объектов (программ) Ок+1, доступ к которым (запуск которых) разрешен всем субъектам. Помехоустойчивые коды. Классы кодов и их характеристики.


По аналогии управления доступом к файлам данных, здесь может быть реализован дискреционный и мандатный механизмы управления. Дискреционный механизм предполагает реализацию доступа диспетчером на основе заданной матрицы доступа Б, а мандатный — на основе меток безопасности.

Метки безопасности являются элементами линейно упорядоченного множества М = {М1,...,Мк} и задаются субъектам и объектам доступа. Метки безопасности назначаются субъектам и объектам (группам субъектов и объектов) и служат для формализованного представления их уровня полномочий.

Каналы прямого доступа к памяти Прямой доступ к памяти (ПДП) — это способ передачи массивов данных непосредственно в системную память без участия центрального процессора.

Как и ранее, будем считать, что чем выше полномочия субъекта и объекта, тем меньшее значение метки безопасности М1, 1 = 1,...,к им присваивается, т.е.: М1 < М2 < МЗ<...<Мк. При этом в линейно полномочно упорядоченных множествах С = {С1,...,Ск} и О = {01,...,0к} субъекты и объекты располагаются в порядке уменьшения полномочий (уровня безопасности).

Продолжительность использования ключа

Любой ключ должен использоваться в течение ограниченного периода времени. Тому есть несколько причин:

r Чем дольше ключ находится в действии, тем больше вероятность того,

 что он будет скомпрометирован.

r Длительное пользование одним и тем же ключом увеличивает

потенциальный ущерб, который может быть нанесен в случае его компрометации.

r Ключ, очень долго применявшийся для шифрования информации,

становится лакомым кусочком для противника, у которого появляется стимул потратить на его вскрытие значительные ресурсы, поскольку полученная выгода позволит оправдать понесенные расходы.

r Криптоаналитическую атаку на шифр вести тем легче, чем больше

 перехваченного шифртекста для него накоплено.

Продолжительность использования ключа зависит от криптосистемы. В различных криптосистемах эта продолжительность должна быть разной. Для шифрования речевых сообщений, передаваемых по телефону, имеет смысл менять ключ после каждого разговора. В выделенных каналах связи продолжительность использования ключа определяется ценностью шифруемой информации и скоростью ее передачи. При скорости в 9600 бит в секунду смену ключа следует производить реже, чем при скорости в несколько гига-бит в секунду. Если условия позволяют, такие ключи необходимо менять, по крайней мере, ежедневно.

Не требуют частой смены ключи шифрования ключей. Они используются от случая к случаю, и поэтому объем перехваченного противником шифртекста для них невелик. Кроме того, про свойства соответствующего ему открытого текста противнику заранее ничего не известно, поскольку хороший ключ представляет собой достаточно случайный набор бит. Однако компрометация ключа шифрования ключей влечет за собой гораздо более серьезные потери, чем это происходит при потере сеансового ключа или ключа шифрования данных. Необходим разумный компромисс между вероятностью вскрытия ключа шифрования ключей из-за его слишком длительного использования и возможностью компрометации этого ключа при его передаче абонентам сети связи. В большинстве случаев разумной представляется ежемесячная, а иногда даже ежегодная смена ключа шифрования ключей.

Ключи, применяемые для шифрования файлов, которые хранятся на компьютерных дисках, слишком часто менять не надо. Регулярное повторное шифрование файлов на новых ключах только даст больше полезной информации криптоаналитику, который будет пытаться их вскрыть. Лучше применить подход, при котором каждый файл шифруется при помощи своего ключа. А сами ключи, в свою очередь, зашифровываются на ключе шифрования ключей, который затем прячется в надежное место (например, в стальной сейф).

Что касается открытых ключей, то продолжительность их использования сильно варьируется в зависимости от области применения. Если открытый ключ применяется для целей аутентификации или для цифровой подписи, он продолжает оставаться актуальным годами, иногда даже десятилетиями. Но даже в этом случае не следует пренебрегать сменой ключа каждые 2—3 года, чтобы в распоряжении криптоаналитика накапливалось меньше шифртекста, необходимого для организации атаки. А старый ключ все равно надо продолжать хранить в секрете — он может понадобиться, чтобы, например, подтвердить подлинность подписи, поставленной в течение периода, пока этот ключ был действующим.

Общие принципы построения вычислительных сетей