Содержание

Введение……………………………………………………………………………….4

1.     Виды умышленных угроз безопасности информации……………………………...7

2.     Общая модель защиты информации………………………………………………..17

3.     Абстрактные модели защиты информации……..…………………..………………22

3.1   Модель Кларка-Вилсона….………………………………………………….22

3.2   Модель «Китайская стена».………………………………………………….25

3.3   Модель Гогена-Мезигера ……………………………………………………26

3.4   Сазерлендская модель ……………………………………………………….27

3.5   Дискреционная (матричная) модель…………………………………………27

3.5.1      Модели систем дискреционного разграничения доступа……………28

3.5.1.1           Модель Take-Grant……………………………………………….28

3.5.1.2           Модель типизированной матрицы доступа (Модель Харрисона-Руззо-Ульмана)………………………………………………….32

3.6   Многоуровневые (мандатные) модели……………………………………..39

3.6.1       Модель Белла - Ла-Падулы…………………………………………..40

3.6.2      Модель Биба…………………………………………………………...50

4.     Модели основных типов политики безопасности……………………………..52

Заключение……………………………………………………………………………...59

Список литературы……………………………………………………………………..67
Введение

     Современный мир характеризуется такой интересной тенденцией, как постоянное повышение роли информации. Как известно, все производственные процессы имеют в своём составе материальную и нематериальную составляющие. Первая – это необходимое для производства оборудование, материалы и энергия в нужной форме (то есть, чем и из чего изготавливается предмет). Вторая составляющая – технология производства (то есть, как он изготавливается). Вспомнив в общих чертах историю развития производительных сил на Земле, каждый читатель увидит, что роль (и, соответственно, стоимость) информационной компоненты в любом производстве с течением времени возрастает.

В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама и другие.

Соответственно, и себестоимость товара складывается из стоимости материала, энергии и рабочей силы с одной стороны и стоимости технологии, с другой. Доля НИОКР в цене товара в наше время может достигать 50% и более, несмотря на то, что материальные затраты индивидуальны для каждой единицы продукции, а затраты на технологию – общие, то есть, раскладываются поровну на всю серию товара. Появился даже принципиально новый вид товара, в котором доля индивидуальных затрат сведена почти до нуля. Это программное обеспечение (ПО), при производстве которого все затраты делаются на создание первого образца, а дальнейшее его тиражирование не стоит ничего.

Столь же ярко демонстрирует повышение роли информации в производственных процессах появление в XX веке такого занятия, как промышленный шпионаж. Не материальные ценности, а чистая информация становится объектом похищения.

В прошлые века человек использовал орудия труда и машины для обработки материальных объектов, а информацию о процессе производства держал в голове. В XX столетии появились машины для обработки информации – компьютеры, роль которых все повышается.

Указанные тенденции однозначно свидетельствуют, что начинающийся XXI век станет информационным веком, в котором материальная составляющая отойдёт на второй план.

С повышением значимости и ценности информации соответственно растёт и важность её защиты.

С одной стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.

Защиту информации (ЗИ) в рамках настоящего курса определим так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации.

Вторая задача может показаться слабо связанной с первой, но на самом деле это не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае – несанкционированному изменению, в то время как доступ для чтения разрешён.

Вопрос информационной безопасности (ИБ) сегодня актуален как никогда ранее, считают специалисты ИТ-компаний. Количество используемой техники продолжает расти, следовательно, возрастает и значимость организационной и программно-технической защиты от утери информации, значимость криптографической защиты данных.

Любая защита информационных ресурсов компании должна строиться на организационных мерах и технических средствах защиты. Организационные меры защиты – это, в частности, различные политики безопасности, регламентирующие то или иное поведение пользователей в информационной среде. Здесь важна дисциплинарная составляющая этих мер: сотрудники должны осознавать ответственность за нарушение данных политик, знать и учитывать характер и тяжесть взысканий за подобные нарушения.

При определении необходимых технических средств защиты, компании, как правило, руководствуются своими финансовыми возможностями. Часть предприятий ограничиваются лишь программными средствами, другие готовы покупать и устанавливать у себя программно-аппаратные комплексы. Чрезвычайно важным условием качественного функционирования информационного щита является использование именно сертифицированных средств защиты. Для информационной системы - это мощный козырь в бесконечных схватках с угрозами извне.
1. Виды умышленных угроз безопасности информации.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

 Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение ПО компьютеров, нарушение работы линий связи и т.д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.

Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников, получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

К основным угрозам безопасности информации и нормального функционирования ИС относятся:

• утечка конфиденциальной информации;

• компрометация информации;

• несанкционированное использование информационных ресурсов;

• ошибочное использование информационных ресурсов;

• несанкционированный обмен информацией между абонентами;

• отказ от информации;

• нарушение информационного обслуживания;

• незаконное использование привилегий.

 Утечка конфиденциальной информации — это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

• разглашения конфиденциальной информации;

• ухода информации по различным, главным образом техническим, каналам;

• несанкционированного доступа к конфиденциальной информации различными способами.

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

• перехват электронных излучений;

• принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

• применение подслушивающих устройств (закладок);

• дистанционное фотографирование;

• перехват акустических излучений и восстановление текста принтера;

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

• копирование носителей информации с преодолением мер защиты

 • маскировка под зарегистрированного пользователя;

 • маскировка под запросы системы;

• использование программных ловушек;

• использование недостатков языков программирования и операционных систем;

• незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

• злоумышленный вывод из строя механизмов защиты;

• расшифровка специальными программами зашифрованной: информации;

• информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки — это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации— канал утечки.

Однако есть и достаточно примитивные пути несанкционированного доступа:

• хищение носителей информации и документальных отходов; • инициативное сотрудничество;

• склонение к сотрудничеству со стороны взломщика; • выпытывание;

• подслушивание;

• наблюдение и другие пути.

Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует ИС, так и для ее пользователей.

Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информацией, возникает из-за элементарных недоработок руководителей организаций и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:

• недостаточное знание работниками организации правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;

• использование неаттестованных технических средств обработки конфиденциальной информации;

• слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

• текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;

• организационные недоработки, в результате которых виновника- ми утечки информации являются люди — сотрудники ИС и ИТ.

Большинство из перечисленных технических путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности. Но борьба с информационными инфекциями представляет значительные трудности, так как существует и постоянно разрабатывается огромное множество вредоносных программ, цель которых — порча информации в БД и ПО компьютеров. Большое число разновидностей этих программ не позволяет разработать постоянных и надежных средств защиты против них.

Вредоносные программы классифицируются следующим образом: Логические бомбы, как вытекает из названия, используются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Манипуляциями с логическими бомбами обычно занимаются чем-то недовольные служащие, собирающиеся покинуть данную организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т.п.

Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.

Троянский конь — программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, не описанные в документации. Аналогия с древнегреческим троянским конем оправдана — и в том и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается, подменяется) пользователям ИС. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т.д.). Запустивший такую программу подвергает опасности как свои файлы, так и всю ИС в целом. Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно.

Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня, и сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками.

Вирус — программа, которая может заражать другие программы путем включения в них модифицированной копии, обладающей способностью к дальнейшему размножению.

Считается, что вирус характеризуется двумя основными особенностями:

1) способностью к саморазмножению;

2) способностью к вмешательству в вычислительный процесс (т. е. к получению возможности управления).

Наличие этих свойств, как видим, является аналогом паразитирования в живой природе, которое свойственно биологическим вирусам. В последние годы проблема борьбы с вирусами стала весьма актуальной, поэтому очень многие занимаются ею. Используются различные организационные меры, новые антивирусные программы, ведется пропаганда всех этих мер. В последнее время удавалось более или менее ограничить масштабы заражений и разрушений. Однако, как и в живой природе, полный успех в этой борьбе не достигнут.

Червь — программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе. Червь использует механизмы поддержки сети для определения узла, который может быть заражен. За- тем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Наиболее известный представитель этого класса — вирус Морриса (червь Морриса), поразивший сеть Internet в 1988 г. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя — принятие мер предосторожности против несанкционированного доступа к сети.

Захватчик паролей — это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к терминалу системы на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил  использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей — необходимое условие надежной защиты.

 Компрометация информации (один из видов информационных инфекций). Реализуется, как правило, посредством несанкционированных изменений в базе данных в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. При использовании скомпрометированной информации потребитель подвергается опасности принятия неверных решений.

 Несанкционированное использование информационных ресурсов, с одной стороны, является последствиями ее утечки и средством ее компрометации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до полного выхода ИТ из строя) или ее абонентам.

Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в ПО ИТ.

 Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия — те же, что и при несанкционированном доступе.

 Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или от- правки. Это позволяет одной из сторон расторгать заключенные финансовые соглашения техническим путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.

Нарушение информационного обслуживания — угроза, источником которой является сама ИТ. Задержка с предоставлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя своевременных данных, необходимых для принятия решения, может вызвать его нерациональные действия.

 Незаконное использование привилегий. Любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, или средства которые способны функционировать с нарушением существующей политики безопасности. Например, на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.

Большинство систем защиты в таких случаях используют наборы привилегий, т. е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы — максимальный.

Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего происходит в процессе управления системой защиты, в частности при небрежном пользовании привилегиями.

Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволяет избежать таких нарушений.
2.    
Общая  модель защиты информации.

Любая модель защиты информации не может претендовать на полную гарантию от взлома. Это лишь некий абстракт, цель которого описать общую терминологию и критерии системы безопасности. Модель не дает ответа на вопрос, как безопасным образом строить систему, как наращивать отдельные компоненты и конфигурацию  в целом.

Начиная с 1977 года, было предложено огромное количество абстрактных моделей защиты информации. Самые популярные из них: модель Биба (1977 г.), Сазерландская модель(1986 г.), модель Гогена-Мезигера  (1982 г.), модель Кларка-Вилсона (1987 и 1989 гг.).

Общую  схему абстрактной модели защиты информации можно представить следующим образом:



Концепция надежной вычислительной  базы является центральной при оценке степени гарантированности, с которой систему можно считать надежной. Надежная вычислительная база – это совокупность  защитных механизмов компьютерной системы (включая аппаратное и программное обеспечение), отвечающих за проведение в жизнь политики безопасности. Надежность вычислительной базы определяется исключительно её реализацией и корректностью исходных данных, которые вводит административный персонал.

Вообще говоря, компоненты вне вычислительной базы могут не быть надежными, однако это не должно влиять на безопасность системы в целом. Основное назначение надёжной вычислительной базы – выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Монитор проверяет каждое обращение пользователя или процесса, запущенного от его имени, к программам и данным на предмет согласованности со списком действий, допустимых для пользователя.

От монитора обращений требуется выполнение трех свойств:

-изолированность – монитор должен быть защищен от отслеживания своих работы;

-полнота – монитор должен  вызываться при каждом обращении и не должо быть способов его обхода;

-верифицируемость – монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте его тестирования.

Реализация монитора обращений называется ядром безопасности. Ядро безопасности – это основа, на которой строятся все защитные механизмы. Помимо выше перечисленных свойств монитора обращений, ядро должно гарантировать собственную неизменность.

Границу надежной вычислительной базы называют  периметром безопасности. От компонентов, лежащих вне периметра безопасности, не требуется надежности. То, что внутри ядра безопасности , считается надежным, а то, что вне – нет. Связь между внутренним и внешним мирами осуществляется посредством шлюзовой системы,  которая по идеи способна противостоять потенциально ненадежному или даже враждебному окружению.

С самого начала компьютерной эры одной из основных задач для разработчиков информационных технологий стала задача обеспечения безопасности. Ни одна существующая коммерческая или государственная электронная система не может обходится без защиты собственной информации от несанкционированного доступа. Начиная с 70-х годов прошлого века в мире стали разрабатываться различные концепции и методы защиты информации, что вскоре привело к созданию единообразного подхода к этой проблеме: были разработаны первые политики безопасности.

Политика безопасности – свод формальных правил, определяющих обработку, распространение и защиту информации.  Модель политики безопасности – формальное представление политики безопасности для определенной системы или класса систем, определяющее методы обработки, распространения и защиты информации.

Общие принципы:

Формальные правила в большинстве моделей определяют следующие требования в порядке важности:

1) Доступность

2)Целостность

3)Конфиденциальность

4)Подотчетность

Каждое из требований отвечает за свою область в модели политики безопасности.

Доступность – требование, отвечающее за доступ к информации, а именно:

• Предоставление доступа легальным пользователям в разрешенных масштабах.

• Предотвращение отсутствия такового.

• Предотвращение от нелегального доступа.
Целостность отвечает за две области:

• Целостность информации – обеспечение защиты информации от нелегальных действий в процессе хранения, обработки и передачи.

• Целостность системы – отсутствие двойственности в работе системы.
Конфиденциальность – требование к защищенности личной и секретной информации, применяется к данным в процессе хранения, обработки и передачи. Является наиболее важным требованием для некоторых типов данных или систем, таких, как секретный ключ или сервер аутентификации.

Подотчетность – требование, по которому любое действие можно было бы проследить от начала и до конца. Позволяет обнаружить нелегальное использование системы, обеспечивает защиту систем от ошибок и восстановление системы в случае их возникновения.

Все эти требования, в конечном счете, и формируют защищенность, которую в каждом отдельном случае следует понимать лишь как определенный набор требований к вышеизложенным целям.

Помимо набора требований одним из важнейших атрибутов модели, непосредственно влияющих на её реализацию, являются предусмотренные в модели методы контроля за доступом к системе. Большинство защищенных методов контроля за доступом к системе делятся на два класса:

• Свободный (самостоятельный) контроль за доступом в систему (Discretionary Access Control) является свободным в том смысле, что владелец или распорядитель информации может самостоятельно менять возможности доступа к своей информации. Характерен для моделей, предназначенных для реализации в коммерческих и научных целях.

• Мандатный контроль за доступом (Mandatory Access Control) в систему означает независимость доступности информации от её владельца. Как правило в подобных случаях контроль за доступом реализуется исходя из свойств самой информации и свойств желающего получить к ней доступ согласно независимым от них обоих правилам. Характерен для моделей, предназначенных для реализации в военных и государственных системах защиты.

Строго говоря критерии определения того, к какому классу относится тот или иной метод контроля за доступом, далеко не всегда дают определенный результат, но являются весьма точными для большинства классических моделей политики безопасности.

В 80-х годах под руководством Министерство обороны США (Department of Defense) разработало первый документ, определяющий систему стандартов в области компьютерной безопасности – “Критерии оценки безопасности компьютерных систем” (The Trusted Computer System Evaluation Criteria), который чаще называют “Оранжевой книгой”. В частности этот документ содержит классификацию систем безопасности согласно строгости требований к безопасности, заложенных в их модели политики безопасности. В настоящий момент стандарты компьютерной безопасности определяются более чем десятком документов.
3.    
Абстрактные модели защиты информации.

Механизм управления доступом реализует на практике некоторую абстрактную (или формальную) модель, определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам.

Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам — объектам. В качестве субъектов в простейшем случае понимается пользователь. Однако в дальнейшем это понятие будет нами расширено.

На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.
3.1  
Модель Кларка-Вилсона.

Десять лет спустя была разработана модель Кларка-Вилсона (Clark-Wilson model), обеспечивающая требование целостности более практичным методом. В 1993 году модель была расширена и включила в себя разделение обязанностей. Основной областью применения данной модели является коммерция, в частности банковское дело.

В основе концепции модели стоят 2 принципа:

• Внутренняя целостность – свойства внутреннего состояния системы, достигаемые посредством “Правильных соглашений”.

• Внешняя целостность – взаимодействие внутреннего состояния системы с внешнем миром, реализуемая посредством разделение обязанностей.

Модель реализована посредством набора правил, и, в отличие от предыдущих моделей, не является математически формализованной моделью. Также субъекты теперь не имеют прямого доступа к объектам, между субъектом и объектом находится “слой” программ, которые обладает доступом к объектам. Контроль за доступом к системе является свободным.

Контроль за доступом к данным разделен на 2 группы:

• Определяются операции доступа, которые можно производить над каждым типом данных (только определенный набор программ имеет доступ к определенным объектам).

• Определяются операции доступа, которые могут быть произведены определенным субъектом (субъект имеет доступ только к определенному набору программ).

Все данные в модели Кларка-Вилсона разделены на 2 класса:

• Необходимый элемент данных (CDI)

• Спонтанный элемент данных (UDI)
Далее устанавливается набор правил, регулирующих взаимодействие с обоими типами данных (Certification Rules):

• Все начальные процедуры проверки (IVP) должны убедиться в том, что все CDI находятся в достоверном состоянии во время работы IVP.

• Все процедуры изменения (TP)должны быть сертифицированы, чтобы быть достоверными, т.е. все достоверные CDI должны переходить в достоверные CDI, причем каждая процедура изменения имеют право на доступ только к определенному набору CDI.

• Правила доступа должны удовлетворять всем требованиям разделения обязанностей.

• Все процедуры изменения должны быть записаны в доступный только-на-добавление журнал.

• Любая процедура изменения, получившая на вход UDI должна либо преобразовать его в CDI, либо отменить операцию.
Этот набор правил позволяет обеспечить работу с данными в таком режиме, когда полностью обеспечена безопасность и подотчетность переходов в системе. Главное достижение этих правил по сравнению с моделью Биба – разделение процедур по проверке целостности и процедур изменения. Позволяет предотвратить или исправить большинство нелегальных действий, совершаемых изнутри коммерческой организации.
Для усиления защиты в модель Кларка-Вилсона был введен еще один набор правил (Enforcements Rules):

• Система должна поддерживать и защищать список (Tpi:CDIa,CDIb,...), сопоставляющий TP и CDI и сертифицирующий доступ к ним.

• Система должна поддерживать и защищать список (UserID,Tpi:CDIa,CDIb,...), определяющий, какие TP пользователь может выполнять.

• Система должна аутентифицировать каждого пользователя, запрашивающего исполнение процедуры изменения.

• Только допущенный к сертификации правил доступа для TP субъект может изменять соответствующие записи в списке. Этот субъект не долен иметь прав на исполнение данного TP.

Этот свод правил обеспечивает дополнительную защиту для процедур изменения.

Несмотря на видимое отсутствие недостатков модель Кларка-Вилсона зачастую не может быть реализована в жизни в полном объеме по причине отсутствия единой математической модели. Основная сложность состоит в невозможности точного сопоставлении реальной системы правил работы банка значительного размера с моделью, поскольку в модели не заложены методы реализации наборов правил.
3.2  
Модель “Китайская стена” .

В 1989 году Бювером и Нэшем была разработана модель “Китайская стена”, поначалу задумывавшаяся как противоположность БЛП подобным моделям, но в последствии это утверждение было опровергнуто. Основная область применения модели – финансовые аналитические организации, для которых важно избежать конфликта интересов.

Модель состоит из следующих компонентов:

• Субъекты – аналитики.

• Объекты – данные на одного клиента.

• Набор данных компании – ставит в соответствие каждому объекту его набор данных компании.

• Классы конфликта интересов – компании – соперники. (присоединяются к каждому объекту конфликтующих компаний)

• Метки – набор данных компании и классы конфликта интересов.

• Оздоровляющая информация – не имеет ограничений к доступу.

Свойства:

• Свойство простой безопасности: доступ разрешается, если только объект свободен, т. е. только если все пытающиеся получить доступ объекты принадлежат к одному набору данных компании или если не принадлежат к одному классу конфликта интересов.

• ‘*’ –свойство: субъекту будет запрещен доступ на запись к объекту только если у него нет доступа на чтение любого иного объекта, который находится в другом наборе данных компании и нездоров.

Эти свойства позволяют избежать прямого участия аналитической организации в конфликтах компаний их клиентов, но допускают непрямое участие: сведения об определенном объекте могут последовательно обновлять (за счет своей информации) компании – соперники, но в этом уже не будет вины аналитической компании (Indirect Information Flow). Контроль за доступом к системе является промежуточным между классическими DAC и MAC.

В целом модель ориентирована на реализацию в очень частном случае (обеспечение защиты от одновременного доступа к данным) и не претендует на значительную общность, но в достаточно полной мере реализует заложенные в неё требования в жизнь.

3.3 Модель Гогена-Мезигера

Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982 году, основана на теории автоматов. Согласно этой модели система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы — домены.

Переход системы из одного состояния в другое выполняется только в соответствии с так называемой таблицей разрешений, в которой указано, какие операции может выполнять субъект, например, из домена С над объектом из домена D. В данной модели при переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.

  

 3.4 Сазерлендская модель

Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в 1986 году, основана на взаимодействии субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множествен­ных композиций функций перехода из одного состояния в другое.

3.5 Дискреционная (матричная) модель Рассмотрим так называемую матричную модель защиты (ее еще называют дискреционной моделью), получившую на сегодняшний день наибольшее распространение на практике. В терминах матричной модели, состояние системы защиты описывается следующей тройкой: (S, О, М), где S — множество субъектов, являющихся активными структурными элементами модели; O — множество объектов доступа, являющихся пассивными защищаемыми элементами модели. Каждый объект однозначно идентифицируется с помощью имени объекта; М — матрица доступа. Значение элемента матрицы М[S,О] определяет права доступа субъекта S к объекту О. Права доступа регламентируют способы обращения субъекта S к различным типам объектов доступа. В частности, права доступа субъектов к файловым объектам обычно определяют как чтение (R), запись (W) и выполнение (Е). Основу реализации управления доступом составляет анализ строки матрицы доступа при обращении субъекта к объекту. При этом проверяется строка матрицы, соответствующая объекту, и анализируется есть ли в ней разрешенные прав доступа для субъекта или нет. На основе этого принимается решение о предоставлении доступа. При всей наглядности и гибкости возможных настроек разграничительной политики доступа к ресурсам, матричным моделям присущи серьезные недостатки. Основной из них — это излишне детализированный уровень описания отношений субъектов и объектов. Из-за этого усложняется процедура администрирования системы защиты. Причем это происходит как при задании настроек, так и при поддержании их в актуальном состоянии при включении в схему разграничения доступа новых субъектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок. 3.5.1 Модели систем дискреционного разграничения доступа. 3.5.1. 1 Модель Take-Grant Модель Take-Grant - это формальная модель, используемая в области компьютерной безопасности, для анализа систем дискреционного разграничения доступа; подтверждает либо опровергает степени защищенности данной автоматизированной системы, которая должна удовлетворять регламентированным требованиям. Модель представляет всю систему как направленный граф, где узлы - либо объекты, либо субъекты. Дуги между ними маркированы, и их значения указывают права, которые имеет объект или субъект (узел). В модели доминируют два правила: "давать" и "брать". Они играют в ней особую роль, переписывая правила, описывающие допустимые пути изменения графа. В общей сложности существует 4 правила преобразования: -правило "брать"; -правило "давать"; -правило "создать"; -правило "удалить"; Используя эти правила, можно воспроизвести состояния, в которых будет находиться система в зависимости от распределения и изменения прав доступа. Следовательно, можно проанализировать возможные угрозы для данной системы. Обычная модель: О - множество объектов (файлы, сегменты памяти и т.д.) S - множество субъектов (пользователи, процессы системы) R = {r1, r2, r3, r4, ..., rn } U {t,g} - множество прав доступа t [take] - право брать "права доступа" g [grant] - право давать "права доступа" G = (S, O, E) - конечный, помеченный, ориентированный граф без петель. × - объекты, элементы множества О • - субъекты, элементы множества S E ∈ O x O x R - дуги графа. Состояние системы описывается ее графом. Правило "Брать" Брать = take(r, x, y, s), r ∈ R, Пусть s ∈ S, x,y ∈ O - вершины графа G Тогда граф G: Т.е. субъект S берет у объекта X права r на объект Y. Правило "Давать" Давать = grant(r, x, y, s), r ∈ R, Пусть s ∈ S, x,y ∈ O - вершины графа G Тогда граф G: Т.е. субъект S дает объекту X права r на объект Y. Правило "Создать" Создать = create(r, x, s), r ∈ R, Пусть s ∈ S, x,y ∈ O - вершины графа G Тогда граф G: Т.е. субъект S берет r-доступный объект Y. Правило "Удалить" Удалить = remove(r, x, s), r ∈ R, Пусть s ∈ S, x,y ∈ O - вершины графа G Тогда граф G: К сожалению, на данный момент эта модель практически не используется в программном обеспечение. Однако, в распределённой операционной системе E1 данная модель успешно реализована. На данный момент, в основном, данная модель используется для анализа уязвимости различных систем. Уже написано достаточно большое количество статей и литературы, где описаны методы анализа уязвимости систем ПО и сетей с помощью модели Take-Grant. 3.5.1.2 Модель типизированной матрицы доступа(Модель Харрисона-Руззо-Ульмана) Данная модель реализует дискреционное (произвольное) управление доступом субъектов к объектам и контроль за распространением прав доступа. Обозначим: S – множество субъектов (осуществляют доступ к информации) O – множество объектов, содержащих защищаемую информацию  - конечное множество прав доступа, означающих полномочия на выполнение соответствующих действий (чтение, запись, выполнение)

Команда	Описание
enter r into  (где )                   , если	Данная операция вводит право r в существующую ячейку матрицы доступа. Содержимое ячейки рассматривается как множество, т.е. если это право уже имеется, то ячейка не изменяется. Операция enter называется монотонной, т.к. она только добавляет права в матрицу и ничего не удаляет. Предусловие выполнения операции – существование ячейки (существование соответствующих субъекта и объекта).
delete r from  (где )                 , если	Данная операция удаляет право r из ячейки матрицы доступа, если оно там присутствует. Содержимое ячейки рассматривается как множество, т.е. если удаляемое право отсутствует в данной ячейке, то данная операция ничего не делает. Операция delete называется немонотонной, т.к. она удаляет информацию из матрицы. Предусловие выполнения операции – существование ячейки (существование соответствующих субъекта и объекта).
Create subject s (где )                  для всех          для всех          для всех	Операция является немонотонной. Предусловие выполнения операции – отсутствие создаваемого субъекта/объекта.
destroy subject s (где )                  для всех	Операция является немонотонной. Предусловие выполнения операции – наличие субъекта/объекта.
create object o (где )                 , если          для всех	Операция является монотонной. Предусловие выполнения операции – отсутствие создаваемого субъекта/объекта.
destroy object o (где )                  для всех	Операция является немонотонной. Предусловие выполнения операции – наличие субъекта/объекта.

   Вопрос «От чего защищаться?» связан с понятием угрозы. Угроза — потенциальная возможность неправомерного преднамеренного или случайного воздействия , приводящее к потере или разглашению информации. Обычно выделяют внутренние и внешние источники угроз.

     К внутренней угрозе относятся как преднамеренные действия, так и непреднамеренные ошибки персонала.

     Внешние угрозы весьма разнообразны. В условиях рыночной экономики,
когда существует реальная конкуренция между организациями, у них возникает интерес к деятельности соперничающих фирм. Целью этого интереса является добывание информации, относящейся к сфере коммерческой тайны, то есть, о замыслах, финансовом состоянии, клиентах, ценах и т.д. Получение такой информации и ее использование конкурентами (да и некоторыми партнерами) может причинить существенный ущерб фирме. Как уже говорилось выше, имеется достаточно развитый рынок услуг по добыванию информации такого рода.  

            Многие крупные коммерческие структуры создали собственные мощные службы безопасности, одной из главных задач которых, в условиях нашего специфического рынка, является добывание информации о потенциальных клиентах, партнерах или конкурентах. При этом часто не считается зазорным внедрение к подопечным людей  или специальной техники.   

     «Как защищать информацию?». В настоящее время существуют миниатюрные, сделанные по последнему слову науки и техники, устройства съема информации. Любой датчик, преобразующий акустические колебания в электрические, который обычно используется в вашей стереосистеме, радиоприемнике или телевизоре можно превратить в подслушивающее устройство.
     Обнаружение таких средств требует много времени и больших материальных затрат.

    На каждый метод получения информации существует метод противодействия, часто не один, который может свести угрозу к минимуму. При этом успех зависит от двух факторов — от  компетентности в вопросах защиты информации (либо от компетентности тех лиц, которым это дело поручено) и от наличия оборудования, необходимого для защитных мероприятий. Первый фактор важнее второго, так как самая совершенная аппаратура останется мертвым грузом в руках дилетанта.

     Меры защиты от технического проникновения необходимо осуществлять превентивно, не ожидая, пока «грянет гром». Роль побудительного мотива могут сыграть сведения об утечке информации, обсуждавшейся в конкретном помещении узкой группой лиц, или обрабатывавшейся на конкретных технических средствах. Толчком к действию могут стать следы, свидетельствующие о проникновении в помещения фирмы посторонних лиц, либо какие-то странные явления, связанные с используемой техникой (например, подозрительный шум в телефоне).

     С  вопросом «Как защитить информацию?» неотъемлемо связано понятие — система защиты, то есть комплекс мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объекта защиты.

     Принято различать следующие основные виды средств защиты:

·     Нормативно-правовые

·     Морально-этические

·     Организационные

·     Технические.

     Нормативно-правовые — включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные отношения в обществе.

     Морально-этические — правила и нормы поведения, направленные на
обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

     Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих правил установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки.

     Технические средства — это комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся  информации путем исключения несанкционированного доступа к ней с помощью технических средств съема.

 Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что она одновременно должна удовлетворять двум группам прямо противоположных требований:

·     Обеспечивать надежную защиту информации

·     Не создавать заметных неудобств.

     Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности
их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.

     Основными целями ЗИ являются:

·     предотвращение утечки, хищения, утраты, искажения, подделки информации;

·     предотвращение угроз безопасности личности, общества, государства;

·     предотвращение несанкционированных действий по уничтожению, модификации,  искажению, копированию, блокированию информации;

·     предотвращение других форм незаконного вмешательства в информационные  ресурсы и информационные системы;

·     обеспечение правового режима документированной информации как объекта собственности;

·     защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных  системах;

·     сохранение государственной тайны документированной информации в соответствии с законодательством;

·     обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.


     В соответствии с этими целями процесс защиты информации должен обеспечить поддержание ее целостности и конфиденциальности. При этом под целостностью информации следует понимать ее неизменность (физическую целостность) и непротиворечивость (логическую целостность) в процессе хранения и обработки. Конфиденциальность информации предполагает ее доступность только для тех лиц, которые имеют на это соответствующие полномочия.  

     Целостность информации тесно связана с понятием надежности как технических, так и программных средств, реализующих процессы накопления, хранения и обработки информации.

     Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь максимального (требуемого) уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты. Комплексность является одним из принципов, которые должны быть положены в основу разработки как концепции защиты информации, так и конкретных систем защиты.

     Цели защиты информации на объектах защиты могут быть достигнуты при проведении работ по следующим направлениям:

·     определению охраняемых сведений об объектах защиты;

·     выявлению и устранению (ослаблению) демаскирующих признаков, раскрывающих охраняемые сведения;

·      оценке возможностей и степени опасности технических средств разведки;

·      выявлению возможных технических каналов утечки информации;

·     анализу возможностей и опасности несанкционированного доступа к информационным объектам;

·     анализу опасности уничтожения или искажения информации с помощью программно-технических воздействий на объекты защиты;

·     разработке и реализации организационных, технических, программных и других средств и методов защиты информации от всех возможных угроз;

·      созданию комплексной системы защиты;

·      организации и проведению контроля состояния и эффективности системы защиты информации;

·     обеспечению устойчивого управления процессом функционирования системы защиты информации.

     Процесс комплексной защиты информации должен осуществляться непрерывно на всех этапах. Реализация непрерывного процесса защиты информации возможна только на основе системно-концептуального подхода и промышленного производства средств защиты, а создание механизмов защиты и обеспечение их надежного функционирования и высокой эффективности может быть осуществлено только специалистами высокой квалификации в области защиты информации.

    При оптимизации системы защиты ключевым исходным моментом является формирование всех функций защиты, так как надлежащим распределением ресурсов в осуществление каждой из функций можно оказывать воздействие на уровень защищенности информации, создавая таким образом объективные предпосылки для разработки оптимальной системы защиты.  
Список литературы

1.     Петров А. А. Компьютерная безопасность. Криптографические методы защиты информации. - М.: ДМК, 2000. - 448 с.

2.                                            Милославская Н. Г., Толстой А.И. Интрасети: доступ в Internet, защита: Учебное пособие для вузов.-М.: ЮНИТИ – ДАНА, 2000. -527с.

3.     Зегджа Д.П., Ивашко А. М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2000. –452с.

4.     Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений. –М.: ДМК Пресс,2004. -616с.

5.     . Хоффман Л. Современные методы защиты информации. М.:Сов.радио, 1980. – 264с.

6.     2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных.В 2-х кн.:Кн.1.-М,1994.-400с.

7.     3. Ярочкин В.И. Служба безопасности коммерческого предприятия - М.: Ось-89, 1995. - 144с.

8.     4.Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. - 320с.

9.     5. Грушо А.А.,Тимонина Е.Е.Теоретические основы защиты информации. М.:Яхтсмен, 1996. - 192с.