Model vojenských komunikačních systémů

Model vojenských systémů zpráv ( SVS model , anglicky  Military Message System , MMS ) je model řízení a řízení přístupu zaměřený na systémy pro příjem, přenos a zpracování zpráv, které implementují povinnou bezpečnostní politiku [1] . Model SAF byl vyvinut v roce 1984 v zájmu americké armády zaměstnanci US Naval Research Laboratory ( NRL) Karlem Landwehrem, Constance Heitmeierovou a Johnem McLeanem za účelem odstranění nedostatků v té době používaného modelu Bell - Lapadula [2] .  

Historie

Před příchodem modelu CBC byl model Bell-LaPadula [3] používán hlavně ve vládních a vojenských strukturách k budování bezpečnostních systémů, které implementují povinné řízení přístupu . Koncem 70. a začátkem 80. let však americká armáda provedla experiment MME ( Military Message Experiment ) [4] s cílem zlepšit komunikační systém amerického tichomořského velitelství. Stávající systém založený na systému AUTODIN s lokální distribucí zpráv pomocí pneumatické pošty bylo nutné nahradit novým systémem ARPANET a e-mailem . Předpokládalo se, že nový systém bude mít víceúrovňovou bezpečnostní strukturu ( angl. Multilevel security , MLS) [2] . Současně probíhal výzkum vývoje operačních systémů založených na stejném principu [5] .   

Během MME bylo zjištěno, že model Bell-Lapadula má řadu vážných nedostatků [4] :

• Zákaz nahrávání "dolů". V modelu Bell-LaPadula není možné zapisovat z objektů s vyšší úrovní soukromí do objektů s nižší úrovní. Například není možné přepsat přísně tajnou zprávu na tajnou třídu , i když je to někdy nutné [4] .
• Nedostatek víceúrovňových objektů. Je povoleno číst a zapisovat informace mezi objekty pouze jedné úrovně. Například při čtení neutajovaných informací o úrovni soukromí ze zprávy class secret bude systém nucen přiřadit čtené informaci tajný kód třídy [4] .
• Nedostatek všestrannosti. Například ve vojenských systémech zasílání zpráv musí být definována speciální bezpečnostní pravidla, která se nenacházejí v jiných aplikacích modelu. Taková pravidla Bell-LaPadula model nepopisuje, a proto musí být definována mimo model [6] .

Zkušenosti s experimentováním a budováním operačních systémů MLS vedly k výzkumu překonání omezení modelu Bell-LaPadula popsaného výše Carlem Landwehrem, Constance Heitmyerovou a Johnem McLeanem z NRL. Cílem vývojářů bylo vytvořit prototyp univerzálního modelu, který plně splňuje požadavky vojenských systémů pro zasílání zpráv, aniž by se zaměřovali na techniky a mechanismy použité k implementaci modelu a zajištění souladu s bezpečnostní politikou . Výsledný bezpečnostní model byl předložen jako technická zpráva NRL a v srpnu 1984 byl publikován článek v ACM Transactions on Computer Systems [2] .

Vlastnosti modelu

Terminologie

Uživatelská role - sada uživatelských práv, určená povahou jím prováděných akcí v systému. Uživatel může při práci v systému měnit své role.

Objekt je jednoúrovňový blok informací.

Kontejner je vrstvená informační struktura, která může obsahovat objekty a další kontejnery.

Entita je objekt nebo kontejner.

Metoda přístupu k obsahu kontejneru (CCR) je atribut kontejnerů, který určuje pořadí, v jakém se přistupuje k jeho obsahu (v závislosti na úrovni soukromí kontejneru nebo s ohledem pouze na úroveň citlivosti entity kontejneru, ke které se přistupuje).

Identifikátor entity – jedinečné číslo nebo název entity.

Přímý odkaz je odkaz na entitu, který odpovídá identifikátoru entity.

Nepřímý odkaz je odkaz na entitu, která je součástí kontejneru, prostřednictvím sekvence dvou nebo více odkazů na entitu, ve kterých pouze první odkaz je identifikátor (okamžitý odkaz).

Zpráva je speciální typ entity nalezený v CBC. Ve většině případů je zpráva kontejnerem, i když v některých systémech pouze pro zprávy to může být objekt. Každá zpráva jako kontejner obsahuje několik entit, které popisují její parametry, například: komu, od koho, informace, skupina datum-čas, text, zabezpečení.

Operace je funkce, kterou lze provést na entitách. V modelu CBC jsou hlavní operace se zprávami:

• operace s příchozími zprávami;
• operace s odchozími zprávami;
• operace ukládání a přijímání zpráv.

Jak model funguje

Uživatel má přístup do systému pouze po předložení občanského průkazu. K tomu uživatel sdělí systému svůj identifikátor (ID) a systém provede autentizaci pomocí hesel, otisků prstů nebo jiných prostředků k identifikaci identity. V případě úspěšné autentizace uživatel požaduje od systému operace pro využití funkcí systému. Operace, které může uživatel od systému požadovat, závisí na jeho ID nebo roli, pro kterou má oprávnění: pomocí operací může uživatel prohlížet nebo upravovat objekty nebo kontejnery [8] [2] .

Bezpečnostní postuláty

Uživatel může vždy kompromitovat informace, ke kterým má legální přístup. Vzniká tedy potřeba formulovat bezpečnostní postuláty, které mohou splnit pouze uživatelé systému [8] .

1. Správce zabezpečení systému správně umožňuje uživatelům přístup k entitám a přiřazuje úrovně soukromí zařízení a více rolí.
2. Uživatel přiřadí nebo znovu přiřadí správné úrovně ochrany soukromí entitám, když v nich vytvářejí nebo upravují informace.
3. Uživatel správně směruje zprávy příjemcům a definuje přístupové sady k jím vytvořeným entitám.
4. Uživatel správně nastaví atribut CCR kontejnerů.

Vlastnosti modelu

Celkem je v modelu SHS popsáno deset neformálních vlastností [9] :

1. Autorizace . Uživatel může provádět operaci s entitami, pouze pokud je ID uživatele nebo role přítomna v sadě přístupu entity spolu s operací a správnými indexy operandu entity.
2. Hierarchie úrovní soukromí . Úroveň soukromí každého kontejneru je alespoň tak vysoká jako maximální úrovně soukromí entit, které obsahuje.
3. Bezpečný přenos informací . Informace načtené z objektu zdědí úroveň soukromí objektu. Informace vložené do objektu by neměly mít vyšší úroveň důvěrnosti než samotný objekt.
4. Bezpečné prohlížení . Uživatel může zobrazit (na některém výstupním zařízení) entitu s úrovní soukromí, která není vyšší, než je úroveň přístupu uživatele a úroveň soukromí výstupního zařízení.
5. Přístup k entitám s atributem CCR . Uživatel může nepřímo přistupovat k entitám kontejneru s atributem CCR, pouze pokud má uživatel úroveň přístupu vyšší nebo rovnou úrovni soukromí kontejneru.
6. Přístup přes nepřímý odkaz . Uživatel může použít identifikátor kontejneru k získání nepřímého odkazu na entitu prostřednictvím něj pouze v případě, že je oprávněn tuto entitu prohlížet pomocí tohoto odkazu.
7. Výstupní značka . Každá entita prohlížená uživatelem by měla být označena úrovní soukromí.
8. Definice přístupů, více rolí, úrovní zařízení . Pouze uživatel s rolí System Security Officer může definovat přístupová práva a více uživatelských rolí a také úroveň soukromí výstupních zařízení. Výběr aktuální role z množiny oprávněných uživatelských rolí může provádět pouze uživatel sám nebo uživatel s rolí System Security Officer.
9. Bezpečný downgrade soukromí . Žádnou úroveň soukromí nelze snížit, pokud ji nesníží uživatel s příslušnou rolí.
10. Bezpečné odesílání zpráv . Žádný koncept zprávy nelze odeslat, pokud tak neučiní uživatel s rolí odesílatele.

Nevýhody modelu

Ačkoli má model SHS oproti modelu Bell-LaPadula výhody [10] , stále není bez nevýhod [11] :

• V modelu CBC chybí popis mechanismů administrace. Popis zejména vynechává takové možné operace v systému, jako je vytváření nových entit, přiřazování jim úrovně důvěrnosti a sady přístupů. Správnost těchto akcí je zaručena bezpečnostními postuláty.
• Stejně jako ve všech modelech povinné kontroly přístupu , i v modelu SHS existuje riziko úniku informací skrytými kanály .

Použití modelu v jiných projektech

Popsaný model vojenských systémů zpráv byl téměř beze změny použit při vývoji systému distribuce zpráv Diamond [2] [12] . Také model SHS našel uplatnění při správě bibliografických systémů [10] .

Poznámky

1. ↑ Devyanin, 2005 , str. 68-69.
2. ↑ 1 2 3 4 5 Landwehr, 2001 , str. jeden.
3. ↑ Tsirlov, 2008 , str. 40.
4. ↑ 1 2 3 4 Landwehr, 2001 , str. čtyři.
5. ↑ EJ McCauley, PJ Drongowski. KSOS-Návrh bezpečného operačního systému . - 1979. - Červen. - S. 345-353 .
6. ↑ Landwehr, 2001 , pp. 4-5.
7. ↑ Devyanin, 2005 , str. 68-77.
8. ↑ 1 2 Baranov, 1997 , str. 39.
9. ↑ Devyanin, 2005 , str. 70-71.
10. ↑ 1 2 Landwehr, 2001 , s. patnáct.
11. ↑ Gribunin, 2009 , str. 239-242.
12. ↑ H. C. Forsdick, R. H. Thomas. Návrh Diamond — Distribuovaný multimediální dokumentový systém. - Cambridge, Massachusetts, 1982. - Říjen. - S. 15 .

Literatura

• Devyanin P. N. Bezpečnostní modely počítačových systémů : učebnice. příručka pro vysoké školy v oboru 075200 "Počítačová bezpečnost" a 075500 "Integrovaná informační bezpečnost automatizovaných systémů" - M .: Academia , 2005. - S. 68-77. — 143 str. - ( Vyšší odborné vzdělání ) - ISBN 978-5-7695-2053-2

• Baranov A.P., Borisenko N.P., Zegzhda P.D., Rostovtsev A.G., Kort S.S. Matematické základy informační bezpečnosti . - Moskva: Nakladatelství Yachtsman Agency, 1997. - S. 37-43. Archivováno 11. června 2011 na Wayback Machine

• Tsirlov V.L. Základy informační bezpečnosti automatizovaných systémů . - Rostov na Donu: Phoenix, 2008. - S.  40 . — 173 str. — ISBN 978-5-222-13164-0 .

• Gribunin V.G., Chudovský V.V. Integrovaný systém informační bezpečnosti v podniku. - Moskva: Publikační centrum "Akademie", 2009. - S. 239-242. — 416 s. - ISBN 978-5-7695-5448-3 .

• Carl E. Landwehr, Constance L. Heitmeyer, John D. McLean. Bezpečnostní model pro vojenské systémy zpráv: Retrospektiva . — 2001.