Katonai üzenetrendszerek modellje
A katonai üzenetrendszerek modellje ( SVS model , English Military Message System , MMS ) egy olyan hozzáférés-ellenőrzési és menedzsment modell, amely az üzenetek fogadására, továbbítására és feldolgozására szolgáló rendszerekre összpontosít, amelyek kötelező biztonsági politikát valósítanak meg [1] . A SAF-modellt 1984-ben fejlesztették ki az amerikai hadsereg érdekében az amerikai haditengerészeti kutatólaboratórium ( NRL) munkatársai Karl Landwehr, Constance Heitmeier és John McLean, hogy kiküszöböljék az akkori Bell-modell hiányosságait - Lapadula [2] .
Történelem
A CBC modell megjelenése előtt a Bell-LaPadula modellt [3] főként kormányzati és katonai struktúrákban használták olyan biztonsági rendszerek kiépítésére, amelyek kötelező beléptetést valósítanak meg . Az 1970-es évek végén és az 1980-as évek elején azonban az amerikai hadsereg végrehajtotta az MME ( Military Message Experiment ) kísérletet [4] , hogy javítsa a Csendes-óceáni Parancsnokság kommunikációs rendszerét. A meglévő, AUTODIN rendszeren alapuló, pneumatikus levelezést használó helyi üzenetelosztási rendszert le kellett cserélni egy új, ARPANET rendszerre és e-mailre épülő rendszerre . Feltételezték, hogy az új rendszer többszintű biztonsági struktúrával fog rendelkezni ( eng. Multilevel security , MLS) [2] . Ezzel párhuzamosan kutatások folytak az operációs rendszerek ugyanezen elven alapuló fejlesztésével kapcsolatban [5] .
Az MME során kiderült, hogy a Bell-Lapadula modellnek számos komoly hiányossága van [4] :
- A "le" rögzítés tilalma. A Bell-LaPadula modellben nem lehet magasabb szintű adatvédelmi objektumokról írni alacsonyabb szintű objektumokra. Például nem lehet átírni a szigorúan titkos üzenetet a titkos osztályba , bár ez néha szükséges [4] .
- Többszintű objektumok hiánya. Csak egy szintű objektumok közötti információ olvasása és írása megengedett. Például, ha be nem minősített adatvédelmi szintű információkat olvas be egy osztálytitkos üzenetből , a rendszer kénytelen lesz osztálytitkot [4] rendelni az olvasott információhoz .
- A sokoldalúság hiánya. Például a katonai üzenetküldő rendszerekben olyan speciális biztonsági szabályokat kell meghatározni, amelyek a modell más alkalmazásaiban nem találhatók meg. Az ilyen szabályokat a Bell-LaPadula modell nem írja le, ezért azokat a modellen kívül kell meghatározni [6] .
Az MLS operációs rendszerek kísérletezésének és felépítésének tapasztalata vezetett a Carl Landwehr, Constance Heitmyer és John McLean által az NRL-nél leírt Bell- LaPadula modell korlátainak leküzdésére irányuló kutatásokhoz. A fejlesztők célja egy univerzális modell prototípusának megalkotása volt, amely teljes mértékben megfelel a katonai üzenetküldő rendszerek követelményeinek, anélkül, hogy a modell megvalósításához és a biztonsági politikának való megfelelés biztosítására használt technikákra és mechanizmusokra összpontosítanának. Az így létrejött biztonsági modellt NRL technikai jelentésként nyújtották be, és 1984 augusztusában cikk jelent meg az ACM Transactions on Computer Systems- ben [2] .
A modell jellemzői
Terminológia
Felhasználói szerep - felhasználói jogok halmaza, amelyet az általa a rendszerben végzett műveletek jellege határoz meg. A felhasználó a rendszerben végzett munka közben megváltoztathatja szerepkörét.
Az objektum egyszintű információblokk.
A tároló egy réteges információs szerkezet, amely objektumokat és egyéb tárolókat tartalmazhat.
Az entitás egy objektum vagy tároló.
A Container Content Access Method (CCR) a tárolók attribútuma, amely meghatározza a tartalom elérésének sorrendjét (a tároló adatvédelmi szintjétől függően, vagy csak az elért tárolóentitás érzékenységi szintjét veszi figyelembe).
Entitásazonosító – az entitás egyedi száma vagy neve.
A közvetlen hivatkozás egy entitáshivatkozás, amely megegyezik az entitásazonosítóval.
A közvetett hivatkozás egy olyan entitásra való hivatkozás, amely egy tároló részét képezi két vagy több entitáshivatkozás sorozatán keresztül, amelyben csak az első hivatkozás azonosító (azonnali hivatkozás).
Az üzenet a CBC-ben található speciális entitástípus. A legtöbb esetben az üzenet egy tároló, bár egyes csak üzeneteket tartalmazó rendszerekben objektum is lehet. Minden üzenet konténerként több entitást tartalmaz, amelyek leírják a paramétereit, például: kinek, kitől, információ, dátum-idő-csoport, szöveg, biztonság.
A művelet egy entitásokon végrehajtható funkció. A CBC modellben az üzenetekkel kapcsolatos fő műveletek a következők:
- műveletek a bejövő üzenetekkel;
- műveletek kimenő üzenetekkel;
- üzenetek tárolásának és fogadásának műveletei.
Hogyan működik a modell
A felhasználó csak a személyi igazolvány átadása után léphet be a rendszerbe. Ehhez a felhasználó megadja a rendszernek az azonosítóját (ID), a rendszer pedig jelszavakkal, ujjlenyomatokkal vagy más azonosítási módszerrel hitelesítést hajt végre. Sikeres hitelesítés esetén a felhasználó műveleteket kér a rendszertől a rendszer funkcióinak használatához. Az, hogy a felhasználó milyen műveleteket kérhet a rendszertől, az azonosítójától vagy attól a szerepkörtől függ, amelyre jogosult: a műveletek segítségével a felhasználó megtekinthet vagy módosíthat objektumokat vagy tárolókat [8] [2] .
Biztonsági posztulátumok
A felhasználó mindig veszélyeztetheti azokat az információkat, amelyekhez törvényes hozzáférése van. Így olyan biztonsági posztulátumok megfogalmazására van szükség, amelyeket csak a rendszer használói tudnak teljesíteni [8] .
- A rendszerbiztonsági tiszt megfelelően engedélyezi a felhasználók hozzáférését az entitásokhoz, és hozzárendeli az eszköz adatvédelmi szintjeit és több szerepkörét.
- A felhasználó hozzárendeli vagy újra hozzárendeli a megfelelő adatvédelmi szinteket az entitásokhoz, amikor információkat hoz létre vagy szerkeszt bennük.
- A felhasználó helyesen irányítja az üzeneteket a címzettekhez, és meghatározza a hozzáférési halmazokat az általa létrehozott entitásokhoz.
- A felhasználó helyesen állítja be a tárolók CCR attribútumait.
Modell tulajdonságai
Összesen tíz informális tulajdonságot ír le az SHS modell [9] :
- Engedélyezés . A felhasználó csak akkor hajthat végre műveletet entitásokon, ha a felhasználói azonosító vagy szerepkör jelen van az entitás hozzáférési halmazában a művelettel és a megfelelő entitás operandus indexekkel együtt.
- Az adatvédelmi szintek hierarchiája . Bármely tároló adatvédelmi szintje legalább olyan magas, mint a benne lévő entitások maximális adatvédelmi szintje.
- Biztonságos információtovábbítás . Az objektumról lekért információ örökli az objektum adatvédelmi szintjét. Az objektumba ágyazott információ nem lehet magasabb szintű, mint maga az objektum.
- Biztonságos böngészés . A felhasználó megtekinthet (egyes kimeneti eszközön) egy olyan entitást, amelynek titkossági szintje nem magasabb, mint a felhasználó hozzáférési szintje és a kimeneti eszköz adatvédelmi szintje.
- Entitások elérése a CCR attribútummal . A felhasználó csak akkor érheti el közvetetten a CCR attribútummal rendelkező tároló entitásokat, ha a felhasználó hozzáférési szintje nagyobb vagy egyenlő, mint a tároló adatvédelmi szintje.
- Hozzáférés közvetett linken keresztül . A felhasználó csak akkor használhat konténerazonosítót, hogy azon keresztül közvetett hivatkozást szerezzen egy entitásra, ha jogosult az entitás megtekintésére a hivatkozás használatával.
- Kimeneti jel . A felhasználó által megtekintett összes entitást meg kell jelölni az adatvédelmi szintjével.
- Hozzáférések, több szerepkör, eszközszintek meghatározása . Csak a System Security Officer szerepkörrel rendelkező felhasználó határozhat meg hozzáférési jogokat és több felhasználói szerepkört, valamint a kimeneti eszközök adatvédelmi szintjét. Az aktuális szerepkör kiválasztását a jogosult felhasználói szerepkörök közül csak maga a felhasználó vagy a rendszerbiztonsági tisztviselő szerepkörrel rendelkező felhasználó végezheti el.
- Biztonságos adatvédelmi visszaminősítés . Az adatvédelmi szintet nem lehet leminősíteni, hacsak a megfelelő szerepkörrel rendelkező felhasználó nem állítja vissza.
- Üzenetek biztonságos küldése . Piszkozat üzenetet nem lehet elküldeni, hacsak egy feladói szerepkörrel rendelkező felhasználó ezt nem teszi.
A modell hátrányai
Bár az SHS modellnek vannak előnyei a Bell-LaPadula modellel szemben [10] , mégsem mentes a hátrányoktól [11] :
- A CBC modellben nincs leírás az adminisztrációs mechanizmusokról. A leírás különösen mellőzi az olyan lehetséges műveleteket a rendszerben, mint az új entitások létrehozása, bizalmassági szint hozzárendelése és hozzáférések halmaza. Ezen műveletek helyességét a biztonsági előírások garantálják.
- Mint a kötelező hozzáférés-szabályozás minden modelljében , az SHS-modellben is fennáll a rejtett csatornákon keresztüli információszivárgás veszélye .
A modell használata más projektekben
A katonai üzenetrendszerek leírt modelljét szinte változatlan formában alkalmazták a Diamond [2] [12] üzenetelosztó rendszer fejlesztése során . Az SHS-modell a bibliográfiai rendszerek kezelésében is alkalmazásra talált [10] .
Jegyzetek
- ↑ Devyanin, 2005 , p. 68-69.
- ↑ 1 2 3 4 5 Landwehr, 2001 , p. egy.
- ↑ Tsirlov, 2008 , p. 40.
- ↑ 1 2 3 4 Landwehr, 2001 , p. négy.
- ↑ EJ McCauley, PJ Drongowski. KSOS – Biztonságos operációs rendszer tervezése . - 1979. - június. - S. 345-353 .
- ↑ Landwehr, 2001 , pp. 4-5.
- ↑ Devyanin, 2005 , p. 68-77.
- ↑ 1 2 Baranov, 1997 , p. 39.
- ↑ Devyanin, 2005 , p. 70-71.
- ↑ 1 2 Landwehr, 2001 , p. tizenöt.
- ↑ Gribunin, 2009 , p. 239-242.
- ↑ H. C. Forsdick, R. H. Thomas. A Diamond tervezése – egy elosztott multimédiás dokumentumrendszer. - Cambridge, Mass., 1982. - október. - S. 15 .
Irodalom
- Devyanin P. N. Számítógépes rendszerek biztonsági modelljei : tankönyv. kézikönyv egyetemek számára a 075200 "Számítógép-biztonság" és a 075500 "Automatizált rendszerek integrált információbiztonsága" szakterületen - M .: Academia , 2005. - S. 68-77. — 143 p. - ( Felsőfokú szakmai végzettség ) - ISBN 978-5-7695-2053-2
- Gribunyin V.G., Chudovsky V.V. Integrált információbiztonsági rendszer a vállalatnál. - Moszkva: "Akadémia" Kiadói Központ, 2009. - S. 239-242. — 416 p. - ISBN 978-5-7695-5448-3 .