Инфо:Сайт находится в разработке. Размер графа безопасности ограничен динамически (текущее ограничение 50 ребер), в зависимости от наличия ресурсов в системе.

Термины и определения

 
  • Инфо:Там, где это возможно, определения были заимствованы из источников, относящихся к АСУ традиционных отраслей промышленности (энергетика, транспортный комплекс, атомная промышленность). Некоторые определения следуют из более общих определений, используемых в индустрии информационных технологий, защиты информации и специальных областей теории информации и дискретной математики.
  • Граница (border)- Предел или рамки физической или логической зоны безопасности.
  • Шлюз (gate,gateway)- Коммуникационное устройство, которое подсоединено к двум (или более) компьютерным сетям, имеющим схожее назначение, но реализованным различным образом, и обеспечивает связь хост-компьютеров одной сети с хост-компьютерами другой сети.
  • Диод данных (Data diode)- Коммуникационное устройство в котором данные проходят только в одном направлении.
  • Сервер (server)- Устройство или приложение, которые предоставляют информацию или сервисы клиентским приложениям и устройствам.
  • Клиент (client)- Устройство или приложение, получающие или запрашивающие сервисы или информацию с приложения сервера.
  • Взвешенный граф — граф, каждому ребру которого поставлено в соответствие некое значение (вес ребра).
  • Граф безопасности (доступа) G = (S, O, E) - это конечный, помеченный ориентированный взвешенный граф доступов, описывающий состояние системы. Элементы множеств S и O являются вершинами графа, которые обозначают, соответственно, объекты и субъекты. Элементы множества E являются ребрами графа. Каждое ребро помечено непустым подмножеством множества видов прав доступа R .
  • В расширенной модели каждому ребру может быть приписано некоторое значение (вес). Вес — вещественное число в диапазоне 0-1 (по умолчанию 1). Вес ребра можно интерпретировать как субъективную вероятность того, что отношение соответствующее данному ребру будет реализована в течении жизненного цикла системы.
     
    Inf: Назначение веса ребру в графе не влияет на результаты как таковые, но влияет на то как этот результат будет показан пользователю. Результат имеющие больший вес (например пути распространений информации) будут показаны в верхней части списка.
  • Субъект - это активные вершины в графе доступа, например, чаще всего ими являются пользователи в системе. Они могут инициировать передачу информации или прав доступа другим объектам в системе, а так же применять правила изменения графа доступа
  • Объект - это пассивные вершины в графе доступа; ими например являются такие элементы в системе как буфера для хранения информации.
  • В графе доступа субъекты обозначаются как: и объекты как соответственно.
  • Множество прав доступа R = {r1, r2, r3, r4, ..., rn } U {r,w,t,g} - r [read] - право читать информацию, w [write] - право записывать информацию , t [take] - право брать "права доступа", g [grant] - право давать "права доступа", в системе кроме буквенного применяется так же цветовое кодирование ребер в графе доступа как: - {r,w,t,g}.
  • Остров (Island) - максимально связанный подграф в графе доступа с R = {r1, r2, r3, r4, ..., rn } U {t,g} состоящем только из субъектов.
    Принадлежащие одному острову субъекты обладают по отношению друг к другу симметричными правами.
    Каждый остров соответствует единственной зоне.
  • мост (Bridge) - упорядоченная последовательность ребер в графе доступа по которой возможна передача прав.
  • Предикат CAN_SHARE(a, x, y) истинен тогда и только тогда, когда - x может получить право доступа а к y.
  • Предикат CAN_STEAL(a, x, y) - истинен тогда и только тогда, когда - x может получить право доступа а к y, при условии что в исходном графе доступа такие права доступа отсутствуют. (in beta)
  • Предикат CAN_SNOOP - пусть существуют субъекты s1 и s2, а также объект o1, при этом субъект s1 имеет право на чтение o1, а s2 изначально такого права не имеет. Пусть при этом имеется ситуация такая, что в процессе чтения субъектом s1 информации из объекта o1 субъект s2 также получает возможность читать информацию из этого объекта («подглядывает через плечо»), но только до тех пор, пока s1 осуществляет доступ к o1. Для описания подобной ситуации введен предикат can_snoop (s2, o1), который в данном случае является истинным, пока s2 может осуществлять доступ к о1. По сути, предикат can_snoop является частным случаем can_steal, только с ограничением по времени.
  • Предикат CAN_KNOW(a, x, y) - истинен тогда и только тогда, когда - x может получить доступ к данным y по отношению а.
  • Зона (безопасности) (Zone) - Совокупность логических или физических объектов, к которым предъявляются общие требования безопасности.
    Примечание 1 – Термин «зона», употребляемый в настоящем документе, следует всегда относить к зоне безопасности.
    Примечание 2 - Зона имеет четкую границу с другими зонами. Политика безопасности зоны обычно определяется комбинацией механизмов как на периферии зоны, так и внутри нее. Зоны могут иметь иерархическую структуру в том смысле, что могут быть образованы совокупностью подзон.
    Концепция зоны предполагает также обязательную возможность равного доступа между субъектами, находящимся внутри зоне. В сервисе реализовано два типа разбиения на зоны.
    1. Информационная зона (зона de facto) - это набор вершин защитного графа G, такой что для каждой пары вершин x, y в наборе can_know(a,x,y), а ∈ {t,g,r,w}- верно.
    2. Зона по правам (зона de jure) - это набор вершин защитного графа G, такой что для каждой пары вершин x, y в наборе can_share(a,x,y), а ∈ {t,g,r,w}- верно.
     
    • Инфо: На практике, зона de jure используется редко, т.к. является частным случаем зоны de-facto. Если спецально не оговаривается тип зоны, то имеется ввиду информационная зона (de facto).
    Больше информации...
  • имущественный объект – Физический или логический объект, который принадлежит организации или относится к ней иным способом, представляя для нее ощущаемую или реальную ценность.
    Примечание – В случае систем промышленной автоматики и контроля физические объекты имущества, имеющие наибольшую ценность, измеримую непосредственно, представляют, например, оборудование, которым они управляют.
  • Физические объекты включают в себя любой физический компонент или группу компонентов, принадлежащих организации. В промышленной среде такие объекты могут включать в себя системы управления, физические компоненты сетей и среды прохождения сигналов, системы транспортировки, стены, помещения, здания, грунт или любые другие физические объекты, которые так или иначе участвуют в управлении, мониторинге или анализе производственных процессов или поддержании основной коммерческой деятельности. Наиболее значимые физические объекты составляют оборудование, которое управляется системой автоматизации.
    • Логические объекты<\b> носят информативный характер. Они могут включать в себя интеллектуальную собственность, алгоритмы, внутрифирменные методики, специализированную информацию или другие информационные элементы, которые воплощают способность организации функционировать или делать нововведения. Кроме того, объекты такого типа могут включать в себя репутацию в глазах общественности, доверие покупателей или другие показатели, снижение которых непосредственно отражается на бизнесе. Логические объекты могут быть в форме человеческой памяти, документов, информации, содержащейся на материальных носителях, или электронных записей, относящихся к информационному объекту. Логические объекты могут включать в себя также результаты испытаний, данные соответствия нормативным документам или любую другую информацию, которая считается важной или проприетарной, или может либо дать, либо обеспечить конкурентное преимущество. Утрата логических объектов часто чревата весьма длительными и вредоносными последствиями для организации.
    • Объекты автоматизации процессов. Процессы управления являются особой формой логических объектов. Они содержат логику автоматизации, применяемую при осуществлении промышленного процесса. Такие процессы сильно зависят от цикличной или непрерывной реализации точно определенных событий. Нарушение безопасности технологических объектов может осуществляться как физическими (к примеру, разрушение носителей), так и нефизическими (к примеру, несанкционированное изменение) средствами и приводить к некоторой потере целостности или доступности самого процесса.
  • Уровень ИБ (Level) — определенный комплекс операций, соответствующей одному из типов доступа {r,w,t,g}.в системе, доступный для выполнения субъектом или объектом над другим субъектом или объектом.
    Уровни могут назначаться по операциям относящимся собственно к передаче данных (Info) либо по передачи определенных прав (Share).
    Уровни так же могут рассматриваться как результат применения порядковой функции ( см. так же http://http://vscode.ru/prog-lessons/poryadkovaya-funktsiya-grafa.html) на ориентированном графе, образованном из исходного графа доступа путем выпоолнения операции транзитивного замыкания по выбранному подмножеству множества прав доступа. Применение порядковой функции разбивает множество вершин графа на непересекающиеся подмножества, упорядоченные так, что если вершина входит в подмножество с номером i, то следующая за ней вершина входит в подмножество с номером большим чем i. Полученные непересекающиеся подмножества будут уровнями ИБ.
    В контексте ИБ уровни, так же могут рассматриваться как определенная совокупность требований ИБ.
    Больше информации...
  • Уровни риска для субъектов в графе расчитываются в результате применения порядковой функции ( см. так же http://http://vscode.ru/prog-lessons/poryadkovaya-funktsiya-grafa.html) на ориентированном графе, образованном из исходного графа доступа путем выпоолнения операции транзитивного замыкания по выбранному подмножеству множества прав доступа. Применение порядковой функции разбивает множество вершин графа на непересекающиеся подмножества, упорядоченные так, что, если вершина входит в подмножество с номером i, то предыдущая за ней вершина входит в подмножество с номером большим чем i. Полученные непересекающиеся подмножества будут уровнями риска.
     
    • Инфо:Уровни риска тем больше, чем больше возможный вектор атаки на данный субъект со стороны других субъектов в графе доступа. Уровень риска с меньшим номером больше.
    • шлюз (gate,gateway) - Коммуникационное устройство, которое подсоединено к двум (или более) компьютерным сетям, имеющим схожее назначение, но реализованным различным образом, и обеспечивает связь хост-компьютеров одной сети с хост-компьютерами другой сети.
    • сервер (server) -Устройство или приложение, которые предоставляют информацию или сервисы клиентским приложениям и устройствам.
    • клиент (client) - Устройство или приложение, получающие или запрашивающие сервисы или информацию с приложения сервера.

Основные положения формальной модели безопасности

  • КиберБезопасность системы рассматривается с точки зрения возможности получения каким-либо субъектом прав доступа к определенному объекту (в начальном состоянии G такие права отсутствуют) при определенной кооперации субъектов путем последовательного изменения состояния системы на основе выполнения элементарных команд. Рассматриваются две ситуации – условия санкционированного, т.е. законного получения прав доступа, и условия «похищения» прав доступа.
  • Основная теорема безопасности: Система безопасна:
    • Если начальное состояние безопасно.
    • Каждое преобразование начинается в безопасном состоянии и заканчивается так же в безопасном состоянии.
  • Основная аксиома безопасности: Проблема безопасности описывается доступом субъекта к объекту.
  • Элементы модели с передачей прав доступа типа "take-grant"

    E = O ∪ S - имущественный объекты, где O - объекты, S - субъекты; Ra = {Read+, Write+, Take, Grant, Read, Write} - права доступа; G = (S, E, Ra ) – граф безопасности G(t) – состояние системы в момент времени t; G* множество всех возможных состояний системы; OP ={Create, Remove, Find, Post, Pass, Spy, Find} - набор элементарных правил преобразования. G(t) ├ op G(t+1) ∑(G*, OP) – модель системы
    Классическая модель Take-Grant ориентирована на анализ путей распространения прав доступа в системах дискреционного разграничения доступа. Порядок перехода системы модели Take-Grant из состояния состояние определяется правилами преобразования графа доступов, которые в классической модели носят название де-юре правил.
    В классической модели Take-Grant рассматриваются четыре де-юре правила преобразования графа, выполнение каждого их которых может быть инициировано только субъектом, являющимся активной компонентой системы:
    • take() - брать права доступа;
    • grant() - давать права доступа;
    • create() - создавать новый объект или субъект, при этом субъект-создатель может взять на созданный объект любые права доступа;
    • remove() - удалять права доступа.

    В расширенной модели Take-Grant рассматриваются пути возникновения информационных потоков в системах с дискреционным разграничением доступа. Помимо правил, рассматриваемых в классической модели, в расширенной модели дополнительно рассматриваются два права доступа - на чтение r (read) и на запись w (write), а также шесть правил преобразования графа доступов, называемых "правила де-факто": post, spy, find, pass и два правила без названия.

    Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия. В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w и изображаемые пунктиром. Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе.

    Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.

Уровни и зоны

В сервисе реализована модель иерархической политики безопасности, котроая в зависимости от выбранных прав доступа {r,w}, ориентированна на сохранение конфиденциальности или целостности информации, соответственно.
 
  • Инфо:Формально, сервис позволяет рассматривать уровни по другим правам доступа ({t,g}). Однако на практике, права доступа отличные от {r,w} используются редко, т.к. {t,g} доступ является частным случаем доступа {r,w}.
Обычно, граф доступа является безопасным, если объект с более низким уровнем безопасности не может осуществить запись (для системы ориентированной на сохранение целостности) или чтение (для системы ориентированной на сохранение конфеденциальности) в объект с более высоким уровнем безопасности. Данные принципы известны как модель безопасности Белла — Лападулы . Для системы ориентированной на сохранении целостности модель Белла — Лападулы переформулирована в вмде модели Биба:
Основные принципы:
  • Субъект имеет доступ по чтению к объекту если: L(s) ≤ L(o)
  • *-Свойство: Субъект имеет доступ по записи к объекту если: L(o) ≤ L(s)
 
  • Инфо:Каждый уровень состоит из одной и более зон и каждая зона принадлежит тоько одному уровню.

Если пара вершин x, y графа доступа принадлежит одной зоне, по отношению а, то существует последовательность защитных графов , такая что G(t) ├ op G(t+n), когда can_know(a,x,y), так же пусть G- защитный граф, и пусть x и y - любые две вершины в G. x и y находятся в одной и той же зоне тогда и только тогда, когда есть допустимый путь между ними.

Определение. Две вершины субъекты x и y называются связаными, если can_know(a,x,y) - истина, can_know(a,y,x) - ложь.

Определение. В графе доступа скажем, что вершина x «выше», чем вторая вершина y, если для любого пути от x к y существуют вершины q и b, такие что can_use(a,x,q) и can_use(a,b,y) верны, и q связана c b. В этом случае говорят, что y «ниже», чем x.

Определение. Две вершины x и y находятся на одной высоте (или уровне), если x и y принадлежат одному уровню. Аналогично говорят, один rw-уровень L2 выше чем уровень L1 , если для каждой вершины l2 ∈ L2 и для каждой вершины l1 ∈ L1, l2 > l1. Аналогично для случая когда один уровень ниже другого.