Модель систем военных сообщений
Модель систем военных сообщений (модель СВС, англ. Military Message System, MMS) — модель контроля и управления доступом, ориентированная на системы приема, передачи и обработки сообщений, реализующие мандатную политику безопасности[1]. Модель СВС была разработана в 1984 году в интересах вооруженных сил США сотрудниками научно-исследовательской лаборатории военно-морских сил США (англ. U.S. Naval Research Laboratory, NRL) Карлом Ландвером, Констансом Хайтмайером и Джоном Маклином с целью устранения недостатков использовавшейся в то время модели Белла — Лападулы[2].
История
До появления модели СВС для построения систем безопасности, реализующих мандатное управление доступом, в правительственных и военных структурах использовалась в основном модель Белла — Лападулы[3]. Однако, в конце 1970-х — начале 1980-х годов военными США был проведен эксперимент MME (англ. Military Message Experiment)[4] с целью совершенствования системы связи Тихоокеанского командования вооруженными силами США. Существующую систему, основанную на системе AUTODIN с локальным распределением сообщений при помощи пневматической почты, требовалось заменить на новую, построенную на системе ARPANET и электронной почте. Предполагалось, что новая система будет обладать многоуровневой структурой безопасности (англ. Multilevel security, MLS)[2]. В то же время проводилось исследование по разработке операционных систем, основанных на этом же принципе[5].
В ходе MME обнаружилось, что модель Белла — Лападулы имеет ряд серьезных недостатков[4]:
- Запрет записи «вниз». В модели Белла — Лападулы невозможна запись от объектов с более высоким уровнем конфиденциальности к объектам с более низким уровнем. Например, невозможно переписать сообщение класса top secret в класс secret, хотя иногда это бывает необходимо[4].
- Отсутствие многоуровневых объектов. Допускается чтение и запись информации между объектами только одного уровня. Например, при чтении информации уровня конфиденциальности unclassified из сообщения класса secret, система будет вынуждена присвоить читаемой информации класс secret[4].
- Отсутствие универсальности применения. Например, в военных системах передачи сообщений, должны определяться особые правила безопасности, которые отсутствуют в других приложениях модели. Такие правила не описаны моделью Белла — Лападулы, и поэтому должны быть определены вне модели[6].
Опыт эксперимента и создания операционных систем MLS привел к исследованию по преодолению описанных выше ограничений модели Белла — Лападулы, проведенному Карлом Ландвером, Констансом Хайтмайером и Джоном Маклином в NRL. Целью разработчиков было создать прототип универсальной модели, которая в полной мере удовлетворяет требованиям военных систем передачи сообщений, не фокусируясь на используемых для реализации модели и для обеспечения соблюдения политики безопасности технических приемах и механизмах. Полученная модель безопасности была представлена в качестве технического отчета NRL, а в августе 1984 года статья была опубликована в ACM Transactions on Computer Systems[2].
Особенности модели
Терминология
Роль пользователя — совокупность прав пользователя, определяемая характером выполняемых им действий в системе. Пользователь может менять свои роли во время работы в системе.
Объект — одноуровневый блок информации.
Контейнер — многоуровневая информационная структура, которая может содержать объекты и другие контейнеры.
Сущность — объект или контейнер.
Способ доступа к содержимому контейнера (CCR) — атрибут контейнеров, определяющий порядок обращения к его содержимому (с учетом уровня конфиденциальности контейнера или с учетом только уровня конфиденциальности сущности контейнера, к которой осуществляется обращение).
Идентификатор сущности — уникальный номер или имя сущности.
Непосредственная ссылка — ссылка на сущность, совпадающая с идентификатором сущности.
Косвенная ссылка — ссылка на сущность, являющуюся частью контейнера, через последовательность двух и более ссылок на сущности, в которой только первая ссылка есть идентификатор (непосредственная ссылка).
Сообщение — особый тип сущностей, имеющийся в СВС. В большинстве случаев сообщение есть контейнер, хотя в некоторых системах, только получающих сообщения, оно может быть и объектом. Каждое сообщение как контейнер содержит несколько сущностей, описывающих его параметры, например: кому, от кого, информация, дата-время-группа, текст, безопасность.
Операция — функция, которая может быть выполнена над сущностями. В модели СВС основными операциями над сообщениями являются:
- операции над входящими сообщениями;
- операции над исходящими сообщениями;
- операции хранения и получения сообщений.
Принцип работы модели
Пользователь может получить доступ к системе только после прохождения удостоверения личности. Для этого пользователь сообщает системе свой идентификатор (ID), и система производит аутентификацию, используя пароли, отпечатки пальцев или другие способы выявления личности. В случае успешного прохождения аутентификации пользователь запрашивает у системы операции для использования функций системы. Операции, которые пользователь может запросить у системы, зависят от его ID или роли, для которой он авторизован: с использованием операций пользователь может просматривать или изменять объекты или контейнеры[8][2].
Постулаты безопасности
Пользователь всегда может скомпрометировать информацию, к которой он имеет законный доступ. Таким образом, существует необходимость формулирования постулатов безопасности, которые могут быть выполнены только пользователями системы[8].
- Системный офицер безопасности корректно разрешает доступ пользователей к сущностям и назначает уровни конфиденциальности устройств и множества ролей.
- Пользователь назначает или переназначает корректные уровни конфиденциальности сущностей, когда создает или редактирует в них информацию.
- Пользователь корректно направляет сообщения по адресатам и определяет множества доступа к созданным им самим сущностям.
- Пользователь правильно задает атрибут CCR контейнеров.
Свойства модели
Всего в модели СВС описываются десять неформальных свойств[9]:
- Авторизация. Пользователь может осуществить операцию над сущностями только, если идентификатор пользователя или его роль присутствуют во множестве доступов сущности вместе с данной операцией и правильными индексами операндов сущностей.
- Иерархия уровней конфиденциальности. Уровень конфиденциальности любого контейнера, по крайней мере, не ниже максимума уровней конфиденциальности сущностей, в нем содержащихся.
- Безопасный перенос информации. Информация, извлекаемая из объекта, наследует уровень конфиденциальности объекта. Информация, внедряемая в объект, не должна иметь уровень конфиденциальности выше, чем сам объект.
- Безопасный просмотр. Пользователь может просматривать (на некотором устройстве вывода) сущность с уровнем конфиденциальности не выше уровня доступа пользователя и уровня конфиденциальности устройства вывода.
- Доступ к сущностям с атрибутом CCR. Пользователь может иметь доступ косвенно к сущностям контейнера с атрибутом CCR только в том случае, если пользователь имеет уровень доступа не ниже чем уровень конфиденциальности контейнера.
- Доступ по косвенной ссылке. Пользователь может использовать идентификатор контейнера, чтобы получить через него косвенную ссылку на сущность только в случае, если он авторизован для просмотра этой сущности с использованием этой ссылки.
- Пометка вывода. Любая сущность, просматриваемая пользователем, должна быть помечена ее уровнем конфиденциальности.
- Определение доступов, множества ролей, уровней устройств. Только пользователь с ролью Системный офицер безопасности может определять права доступа и множество ролей пользователя, а также уровень конфиденциальности устройств вывода информации. Выбор текущей роли из множества авторизованных ролей пользователя может быть осуществлен только самим пользователем или пользователем с ролью Системный офицер безопасности.
- Безопасное понижение уровня конфиденциальности. Никакой уровень конфиденциальности не может быть понижен, за исключением тех случаев, когда понижение выполняет пользователь с соответствующей ролью.
- Безопасное отправление сообщений. Никакое черновое сообщение не может быть отправлено, за исключением случая, когда это делает пользователь с ролью отправитель.
Недостатки модели
Хотя модель СВС имеет преимущества над моделью Белла — Лападулы[10], она все же не лишена недостатков[11]:
- В модели СВС нет описания механизмов администрирования. В частности, при описании пропущены такие возможные операции в системе, как создания новых сущностей, задания им уровня конфиденциальности и множества доступов. Корректность данных действий гарантируется постулатами безопасности.
- Как и во всех моделях мандатного разграничения доступа, в модели СВС есть риск утечки информации по скрытым каналам.
Использование модели в других проектах
Описанная модель систем военных сообщений была практически без изменения использована в разработке системы распределения сообщений Diamond[2][12]. Также модель СВС нашла применение в управлении библиографическими системами[10].
Примечания
- Девянин, 2005, с. 68-69.
- Landwehr, 2001, p. 1.
- Цирлов, 2008, с. 40.
- Landwehr, 2001, p. 4.
- E.J. McCauley, P.J.Drongowski. KSOS-The design of a secure operating system. — 1979. — Июнь. — С. 345—353.
- Landwehr, 2001, pp. 4-5.
- Девянин, 2005, с. 68-77.
- Баранов, 1997, с. 39.
- Девянин, 2005, с. 70-71.
- Landwehr, 2001, p. 15.
- Грибунин, 2009, с. 239-242.
- H.C. Forsdick, R.H. Thomas. The design of a Diamond — A distributed multimedia document system. — Cambridge, Mass., 1982. — Октябрь. — С. 15.
Литература
- Девянин П. Н. Модели безопасности компьютерных систем: учеб. пособие для вузов по специальности 075200 "Компьютерная безопасность" и 075500 "Комлексное обеспечение информ. безопасности автоматизир. систем" — М.: Academia, 2005. — С. 68—77. — 143 с. — (Высшее профессиональное образование) — ISBN 978-5-7695-2053-2
- Баранов А.П., Борисенко Н.П., Зегжда П.Д., Ростовцев А.Г., Корт С.С. Математические основы информационной безопасности. — Москва: Издательство Агентства «Яхтсмен», 1997. — С. 37—43. Архивная копия от 11 июня 2011 на Wayback Machine
- Цирлов В.Л. Основы информационной безопасности автоматизированных систем. — Ростов-на-Дону: Феникс, 2008. — С. 40. — 173 с. — ISBN 978-5-222-13164-0.
- Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. — Москва: Издательский центр «Академия», 2009. — С. 239—242. — 416 с. — ISBN 978-5-7695-5448-3.
- Carl E. Landwehr, Constance L. Heitmeyer, John D. McLean. A Security Model for Military Message Systems: Retrospective. — 2001.