logo
ТОКБ

85. Синтез и декомпозиция защиты в распределенных системах.

Рассмотрим сеть, компоненты которой связаны каналами связи, а каждая из компонент несет некоторые функции защиты. Основное требование при анализе безопасности распределенной системы как одного целого - является общая политика безопасности. Тогда вопрос защищенности распределенной системы как одного целого состоит в организации согласованного действия компонент защиты по поддержке политики безопасности всей сети. Решению этой проблемы противостоят опасности нарушения защиты информации при передаче ее по каналам связи, а также опасности асинхронного функционирования компонент защиты.

В связи с этим предположим, что ТСВ компонент в каждом локальном случае поддерживают функции монитора обращения. Единая политика безопасности в сети не означает, что все ТСВ компонент поддерживают одну и ту же политику и соответствуют требованиям одного класса. Например, одна компонента может быть классифицирована по классу С2 (хотя в ней тоже мы требуем дополнительно наличие монитора обращения), а другая - по классу ВЗ. При этом обе компоненты поддерживают единые дискреционную и мандатную политики, хотя первая компонента -

одноуровневая (соответствует одному классу обрабатываемой информации), а вторая - поддерживает MLS политику в полном объеме. Кроме того, в обоих компонентах предполагается единая система категорий и единые ограничения на распространение прав в дискреционной политике (по крайней мере она должна вкладываться в единую систему категорий и прав).

Рассмотрим вопрос, когда совокупность мониторов обращения в подсистемах реализует монитор обращения во всей распределенной сети. В КК формулируются условия, позволяющие это сделать.

Теорема. Пусть выполнены следующие условия.

1. Каждый субъект сети существует только в одной компоненте на протяжении всего жизненного цикла.

2. Каждый субъект может иметь доступ только к объектам своей компоненты.

3. Каждая компонента содержит отнесенный к этой компоненте монитор обращений, который рассматривает только обращения субъектов этой компоненты к объектам этой компоненты.

4. Все каналы, связывающие компоненты, не компрометируют безопасность информации, в них проходящей.

Тогда совокупность мониторов обращения компонент является монитором обращения в сети.

Доказательство. Этот результат потребует дополнительного уточнения некоторых основных понятий. Рассмотрим сеть из компонент, связанных безопасными каналами связи. Напомним, что любой объект представляет собой конечное непустое множество слов некоторого языка. Добавим к этому, что объект существует только при условии, что возможен доступ к содержанию объекта, то есть мы предполагаем наличие хотя бы одного слова из множества, определяющего объект, к которому возможен в данный момент доступ хотя бы одного субъекта. Тогда информация, передаваемая по безопасному каналу связи, не является объектом, так как до момента окончания приема, нет ни одного слова на приемном конце, к которому хотя бы один субъект может получить доступ. В самом канале, если он не может компрометировать информацию при передаче, мы считаем невозможным доступ к информации и поэтому это не объект. На передающем конце информация передается из некоторого объекта и при передаче мы считаем, что есть некоторый субъект на передающем конце, который в течение передачи имеет доступ к объекту на передающем конце и представляет собой интерфейс с многоуровневым прибором ввода/вывода (концепция такого экспорта информации изложена в OK). После окончания передачи на приемном конце сформировался новый объект, который, вообще говоря, не имеет отношения к объекту на передающем конце и из которого шла перекачка информации.

Рассмотрим формальное объединение мониторов обращения компонент. Тогда из вышесказанного следует, что нет объектов вне локальных компонент, а дистанционный доступ происходит за счет создания нового объекта, который полностью контролируется локальной ТСВ компоненты. Покажем, что формальное объединение мониторов обращения компонент-монитор обращения сети М.

1) Каждое обращение субъекта к объекту в системе происходит через М. В самом деле, каждый субъект существует только в одной компоненте по усл. 1 и может обращаться к объектам только своей компоненты по усл. 2. Поэтому все обращения в системе ограничены рамками компонент. А тогда каждое обращение обрабатывается монитором обращения соответствующей компоненты по определению монитора обращения.

2) Монитор обращения каждой компоненты по определению гарантированно защищен. Поэтому объединение их гарантированно защищено.

  1. Функционирование всех мониторов обращения компонент полностью тестируется (то есть существует полная система тестов). Тогда совокупность тестов компонент полностью тестирует М.

Теорема доказана.

Теперь рассмотрим вопрос о синтезе единой вычислительной системы из компонент таким образом,что анализ защищенности сети эквивалентен анализу такой вычислительной системы. Пусть вычислительная система обладает следующими свойствами. Это многоуровневая, многопрограммная система, удовлетворяющая условиям соответствующего класса OK(например, ВЗ). В системе информация ТСВ распределена среди одновременно работающих процессоров, которые соединены одной шиной. В системе функционирует одна операционная система, которая поддерживает процесс на любом процессоре. Каждый процесс может использовать внешние приборы через запрос в ТСВ, где реализован монитор обращения. Можно показать, что единая NTCB в распределенной системе, эквивалентной описанной выше вычислительной системе, реализует в компонентах мониторы обращения, объединение которых дает монитор обращения NTCB (по доказанной теореме). А ТСВ вычислительной системы эквивалентна NTCB сети после декомпозиции этой вычислительной системы.

Этот подход позволяет проводить анализ распределенной системы как единой вычислительной системы. Можно действовать наоборот. Создать проект монолитной защищенной вычислительной системы описанного типа, а затем реализовать ее представление в виде распределенной сети.

Заметим, что некоторые компоненты монитора обращений NTCB могут быть вырожденными. Кроме того, наличие монитора обращений вовсе не означает, что в компоненте есть все функции ТСВ системы защиты по какому-либо классу. Единая распределенная система тем и хороша, что ТСВ сети можно построить из компонент, не содержащих в отдельности все функции защиты.

В заключение сформулируем требования, которым должен удовлетворять использованный в теореме безопасный канал связи:

1. Безопасность связи - устойчивость к несанкционированным раскрытию или модификации передаваемой ценной информации.

2. Надежность связи - не допускает отказ от доставки сообщения, неправильную доставку, доставку ошибочных данных.

3. Имитозащита - не допускает изменений в критичной для этого информации (метки и т.д.).

4. Не допускает скрытые каналы утечки за счет модуляции параметров канала.