Способ обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом


 


Владельцы патента RU 2525481:

Открытое акционерное общество "Научно-производственное объединение Русские базовые информационные технологии" (RU)
Девянин Петр Николаевич (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в предотвращении возможности использования субъектами-нарушителями защищенной информационной системы параметров ролей. Способ обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом, включающий представление защищенной информационной системы в рамках формальной модели безопасности логического мандатного и ролевого управления доступом и информационными потоками, в котором роли реализуют сущностями-контейнерами, к которым субъектам системы предоставляют доступы на владение, чтение или запись; каждой роли назначают уровень конфиденциальности, не превосходящий уровни конфиденциальности ролей, которым данная роль подчинена в иерархии; субъекту предоставляют доступ к роли только при условии, что он обладает к ней соответствующим эффективным правом доступа, субъекту разрешают изменять права доступа к сущностям, которыми обладает роль, только тогда, когда он обладает к роли доступом на запись; субъекту разрешают изменять права доступа к роли только тогда, когда он обладает к ней доступом на владение. 2 з.п. ф-лы, 2 табл.

 

Область техники

Изобретение относится к области защиты информационных систем, а именно к способам обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом.

Уровень техники

Логическое управление доступом - один из основных механизмов защиты информационных систем. В существующих информационных системах, как правило, применяется дискреционное или мандатное (полномочное) логическое управление доступом. Более перспективным является использование вместо дискреционного управления доступом ролевого, позволяющего сгруппировать права доступа (с учетом специфики их применения) в роли и в результате определить более четкие и понятные для пользователей информационных систем правила управления доступом.

Противодействие запрещенным информационным потокам (скрытым каналам), в том числе информационным потокам по памяти или по времени [ГОСТ Р 53113.1-2008, ГОСТ Р 53113.2-2009 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов», части 1, 2] от сущностей с высоким уровнем конфиденциальности к сущностям с низким уровнем конфиденциальности - необходимое условие безопасности информационных систем, включающих механизм мандатного управления доступом. «Механическое» объединение ролевого и мандатного управления доступом без учета специфики каждого из них может негативно отразиться на безопасности полученного решения, в том числе при обеспечении защиты от запрещенных информационных потоков. Например, запрещенные информационные потоки по времени могут быть созданы кооперирующими субъектами с использованием назначения и отзыва в согласованные моменты времени прав доступа ролей.

Известна модель [Bell D.E., LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976. MTR-2997 Rev. 1.], в которой задаются требования к реализации в информационной системе мандатного и дискреционного управления доступом. Но в ней не рассматривается ролевое управление доступом, наличие иерархии сущностей не учитывается при управлении доступом и не предлагаются способы противодействия запрещенным информационным потокам по времени.

Известна модель [Lanawehrm Е., Heitmeyer L., McLean J. A Security Model for Military Message Systems // ACM Trans. On Computer Systems. Vol.9, №3. P.198-222], в которой реализуется мандатное и дискреционное управление доступом с учетом иерархии сущностей (с применением атрибутов сущностей-контейнеров CCR - Container Clearance Required) и используются роли. Но в этой модели роли применяются только в качестве дополнения к дискреционным правам доступа, не предлагаются способы администрирования прав доступа ролей и способы противодействия запрещенным информационным потокам по времени.

Известна модель [Sandhu R. Role-Based Access Control // Advanced in Computers. Academic Press, 1998. Vol.46], в которой предлагается способ реализации мандатного и ролевого управления доступом. Для противодействия запрещенным информационным потокам по памяти в ней все роли разделяются по уровням конфиденциальности сущностей, права доступа к которым они предоставляют, и по видам доступа к ним - роли-«на чтение» и роли-«на запись», с применением соответствующих ограничений на функции текущих ролей сессий (субъектов) и прав доступа ролей. Но в данной модели не рассматриваются механизмы защиты от запрещенных информационных потоков по времени и не предлагаются способы администрирования прав доступа ролей. Кроме того, при реализации модели без использования дополнительно дискреционного управления доступом невозможно назначение пользователям информационной системы индивидуальных прав доступа к сущностям.

Известны системы и способы, например, патенты RU 2134931 С1, H04L 9/32, G06F 12/14, опубл. 1999-08-20; RU 2434283 C1, G06F 21/20, G06F 21/22, опубл. 2011-11-20; RU 2443017 C1, G06F 21/22, G06F 12/14, опубл. 2012-02-20; US 7593942 В2, G06F 17/30, опубл. 2009-09-22; US 7831570 В2, G06F 7/00, опубл. 2010-11-09; заявка на изобретение RU 2009129744 A, G06F 13/00, опубл. 2011-02-10, ориентированные на реализацию в информационной системе мандатного управления доступом. Но в них не предлагаются способы противодействия запрещенным информационным потокам по времени, возникающим, в том числе, при использовании субъектами-нарушителями параметров ролей.

Известны системы и способы, например, патенты RU 2379754 C1, G06F 21/22 опубл. 2010-01-20; RU 2427904 С2, G06F 21/20, H04W 48/02, опубл. 2010-10-10; заявки на изобретение RU 2008148041 A, G06F 12/00, опубл. 2010-06-10; RU 2010154544 A, G06F 21/20, опубл. 2012-07-10, предназначенные для реализации управления доступом в информационных системах. Но в них не задаются требования к совместному применению мандатного и ролевого управления доступом, выполнение которых позволит назначать права доступа ролей к сущностям в соответствии с их уровнями конфиденциальности, предоставлять субъектам роли в качестве текущих в зависимости от уровней доступа субъектов и уровней конфиденциальности ролей, а также позволит предотвратить в информационной системе запрещенные информационные потоки.

Раскрытие изобретения

Технический результат заключается в предотвращении возможности использования субъектами-нарушителями защищенной информационной системы параметров ролей, в том числе прав доступа ролей к сущностям, для реализации информационных потоков по памяти или по времени от сущностей с высоким уровнем конфиденциальности к сущностям с низким уровнем конфиденциальности информации.

Указанный результат достигается за счет того, что в способе обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом, включающем представление защищенной информационной системы в рамках формальной модели безопасности логического мандатного и ролевого управления доступом и информационными потоками,

роли реализуют сущностями-контейнерами, к которым субъектам системы предоставляют доступы на владение, чтение или запись;

эффективные права доступа субъектов к сущностям, в том числе к субъектам и ролям, назначают рекурсивно в соответствии с правилом: субъект обладает эффективным правом доступа к сущности только тогда, когда он обладает доступом на чтение к роли, имеющей соответствующее право доступа к сущности, и эффективными правами доступа на выполнение ко всем сущностям, которым данная сущность подчинена в иерархии;

каждой роли назначают уровень конфиденциальности, не превосходящий уровни конфиденциальности ролей, которым данная роль подчинена в иерархии;

субъекту предоставляют доступ к роли только при условии, что он обладает к ней соответствующим эффективным правом доступа, при этом доступ субъекта на чтение к роли предоставляют только тогда, когда уровень конфиденциальности роли не превосходит текущего уровня доступа субъекта, доступ субъекта на запись или на владение к роли предоставляют только тогда, когда уровень конфиденциальности роли равен текущему уровню доступа субъекта;

субъекту разрешают изменять права доступа к сущностям или ролям, которыми обладает некоторая роль, только тогда, когда он обладает к ней доступом на запись;

субъекту разрешают изменять права доступа к роли только тогда, когда он обладает к ней доступом на владение.

Защита целостности данных, к которым в информационной системе предоставляется доступ субъектам, достигается за счет того, что информационную систему представляют в рамках формальной модели безопасности логического мандатного и ролевого управления доступом и информационными потоками и контроля целостности,

каждой роли назначают уровень целостности, не превосходящий уровни целостности ролей, которым данная роль подчинена в иерархии;

каждой роли назначают права доступа на владение или запись к сущности только тогда, когда уровень целостности сущности не выше уровня целостности роли;

субъекту предоставляют доступ к роли только тогда, когда уровень целостности роли не превосходит текущего уровня целостности субъекта.

В качестве состояния безопасности защищенной информационной системы рассматривают полное множество сущностей доступа, включающее субъекты, объекты, контейнеры и роли, и их параметров безопасности, состав и влияние которых на безопасность определяется типом и версией операционной среды защищенной информационной системы, в том числе включают такие сущности и параметры безопасности:

учетные записи доверенных и недоверенных пользователей,

элементы файловой системы, в том числе диски, каталоги, файлы, ссылки,

элементы реестра, окна графического интерфейса, COM/DCOM-объекты, сетевые интерфейсы,

процессы, потоки, демоны, драйверы, устройства, сервисы, объекты синхронизации,

списки привилегий и прав доступа ролей к сущностям, метки разделяемых контейнеров,

метки уровней доступа, конфиденциальности и целостности, CCR-метки способа доступа внутрь контейнеров; иерархии сущностей, в том числе ролей и субъектов.

Формально при реализации способа, в общем виде, информационную систему Σ(G*, OP) представляют множеством всех ее состояний - G* и множеством правил преобразования состояний - ОР. При этом каждое состояние информационной системы Σ(G*, OP) представляют кортежем (РА, A, F) и включают в его описание следующие элементы:

Е=О ∪ С - множество сущностей (всех компонент информационной системы Σ(G*, OP), к которым назначают права доступа), где О - множество объектов (например, файлов), С - множество контейнеров (например, каталогов) и О ∩ С=⌀;

S ⊆ Е - множество субъектов (например, процессов компьютеров информационной системы), функционирующих от имени учетных записей пользователей;

R - множество ролей;

НЕ:E ∪ R→2E ∪ R - функция иерархии сущностей и ролей, удовлетворяющая условиям: если сущность или роль е ∈ НЕ(с), то е<с, при этом если е ∈ С ∪ R ∪ S, то не существует сущности-контейнера или роли d ∈ C ∪ R такой, что е<d, d<с;

Rr={readr, writer, executer, ownr} - множество видов прав доступа, при этом readr - право доступа на чтение, writer - право доступа на запись, executer- право доступа на выполнение, ownr- право доступа на владение;

Ra={reada, writea, owna} - множество видов доступа, при этом reada - доступ на чтение, writea - доступ на запись, owna- доступ на владение;

Rf={writem, writet} - множество видов информационных потоков (по памяти и по времени соответственно);

Р ⊆ (Е ∪ R)×Rr - множеств прав доступа к сущностям и ролям;

А ⊆ S×(Е ∪ R)×Ra - множество доступов субъектов к сущностям и ролям;

F ⊆ (Е ∪ R)×(Е ∪ R)×Rf - множество информационных потоков (используют для обоснования достижения технического результата);

PA:R→2Р - функция прав доступа к сущностям и ролям ролей, при этом для каждого права доступа р ∈ Р существует роль r ∈ R такая, что выполняется условие р ∈ РА(r);

(LC, ≤) - решетка многоуровневой безопасности уровней конфиденциальности (как правило, декартово произведение линейной шкалы уровней конфиденциальности данных и множества всех подмножеств конечного множества неиерархических категорий данных);

fe:Е ∪ R→LC - функция, задающая уровень конфиденциальности для каждой сущности или роли;

fs:S→LC - функция, задающая для каждого субъекта его текущий уровень доступа;

(LI, ≤) - линейная шкала двух уровней целостности данных, где LI={i_low, i_high}, i_low<i_high;

ie:E ∪ R→LI - функция, задающая уровень целостности для каждой сущности или роли;

is:S→LI - функция, задающая для каждого субъекта его текущий уровень целостности;

execute_container: S×(Е ∪ R)→{true, false} - функция доступа субъектов к сущностям или ролям в контейнерах такая, что для субъекта s ∈ S и сущности или роли е ∈ Е ∪ R справедливо равенство execute_container(s, е) = true тогда и только тогда, когда существует последовательность сущностей или ролей е1, …, en ∈ Е ∪ R, где n≥1, е = en, удовлетворяющих следующим условиям: не существует сущности-контейнера или роли е0 ∈ Е ∪ R такой, что e1 ∈ НЕ0); ei ∈ НЕ(ei-1), где 1<i≤n; существует ri ∈ R такая, что (s, ri, reada) ∈ А и (ei executer) ∈ РА(ri), fe(ei)≤fs(s) и ie(ei)≤is(s), где 1≤i<n.

В каждом состоянии информационной системы Σ(G*, OP) обеспечивают выполнение следующих условий:

у каждой роли есть права доступа executer'- ко всем ролям: для каждых двух ролей r, r' ∈ R выполняется условие (r, executer) ∈ РА(r');

уровень конфиденциальности сущности или роли, входящей в состав сущности-контейнера или роли, соответственно, не превосходит ее уровня конфиденциальности: для сущностей или ролей е, е' ∈ Е ∪ R, если е≤е', то fe(e)≤fe(e');

уровень целостности сущности или роли, входящей в состав сущности-контейнера или роли, соответственно, не превосходит ее уровня целостности: для сущностей или ролей е, е' ∈ Е ∪ R, если е≤е', то fe(e)≤fe(e');

роль может содержать права доступа на владение или запись к сущностям или ролям с не выше, чем у нее уровнем целостности: для роли r ∈ R и сущности или роли е ∈ Е ∪ R, если (е, αr) ∈ РА(r), то ie(e)≤ie(r), где αr ∈ {ownr, writer}.

В информационной системы Σ(G*, OP) реализуют, как минимум, следующие правила преобразования состояний («де-юре» правила), условия применения которых в текущем состоянии и результаты применения в последующем состоянии системы заданы в таблице 1.

Таблица 1
«Де-юре» правила преобразования состояний информационной системы Σ(G*, OP)
Правило Исходное состояние G = (PA, A, F) Результирующее состояние G'=(PA',A', F')
access_own(x, y) х ∈ S, у ∈ Е ∪ R, существует r ∈ R:(х, r, reada) ∈ А, (y, ownr) ∈ PA(r), fe(y)=fs(x), ie(y)≤is(x) и execute_container(x, y)=true PA'=PA, F'=F, A'=A ∪ {(x, y, owna)}
access_write(x, y) x ∈ S, y ∈ E ∪ R, существует r ∈ R:(x, r, reada) ∈ A, (y, writer) ∈ PA(r), fc(y)=fs(x), ie(y)≤is(x) и execute_container(x, y)=true PA'-PA, F'=F, A'=A ∪ {(x, y, writea)}
access read(x, y) x ∈ S, y ∈ E ∪ R, существует r ∈ R:(x, r, reada) ∈ A, (y, readr)∈ PA(r), fe(y)≤fs(x), execute_container(x, y)=true, если y ∈ R, то ie(y)≤is(x) PA'=PA, F'=F, A'=A ∪ {(x, y, reada)}
delete_access(x, y, αа) x ∈ S, y ∈ E ∪ R, (x, y, αa) ∈ A PA'=PA, F'=F, A'=A\{(x, y, αa)}
grant_rights(x, r, y, αr) x ∈ S, y ∈ E ∪ R, r ∈ R, (x, r, writea) ∈ A, (x, y, owna) ∈ А, если αr ∈ {ownr, writer}, то ie(y)≤ic(r) A'=A, F'=F, PA'(r)=PA(r) ∪ {(y, αr)} и для r' ∈ R \ {r} выполняется равенство PA'(r')=PA(r')
remove_rights(x, r, y, ar) х ∈ S, y ∈ E ∪ R, r ∈ R, (x, r, writea) ∈ A, (x, y, OWtla) ∈ A A'=A, F'=F, PA'(r)=PA(r) \ {(y, ar)}, и для r' ∈ R \ {r} выполняется равенство РА'(r')=PA(r')

Для обоснования достижения технического результата используют, как минимум, следующие правила преобразования состояний («де-факто» правила) информационной системы Σ(G*, OP), условия применения которых в текущем состоянии и получаемые в результате их применения информационные потоки в последующем состоянии системы заданы в таблице 2.

Таблица 2
«Де-факто» правила преобразования состояний информационной системы Σ(G*, OP)
Правило Исходное состояние G=(PA, A, F) Результирующее состояние G'=(PA', A', F')
flow_memory_access (х, у, αа) х ∈ S, y ∈ Е, (х, y, αа) ∈ А, где αа ∈ {reada, writea} РА'=РА, А'=А, [если αа=reada, то F'=F ∪ {(y, х, writem)}], [если αа=writea, то F'=F ∪ {(х, y, writem)}]
flow_time_access(x, y) х ∈ S, y ∈ Е ∪ R, (х, y, αа) ∈ А, где αа ∈ Ra РА'=РА, А'=А, [если ∈а ∈ {owna, writea}, то F'=F ∪ {(x, y, write,), (y, x, writet)}],, [если αa=reada, то F'=F ∪ {(y, x, writet)}]
take_flow(x, y) х, y ∈ S, х ≠ y, (х, y, owna) ∈ А PA'=PA, A'=A, F'=F ∪ {(x, e, α): (y, e, α) ∈ F, e ∈ E ∪ R и α ∈ {writem, writet}}
find(x, y, z) x, y ∈ S, z ∈ E ∪ R, x≠z, (x, y, αf), (y, z, βf) ∈ F, где αf, βf ∈ {writem, writet} PA'=PA, A'=A, если writet ∈ {αf, βf} и z ∈ E, то F'=F ∪ {(x, z, writem)}, иначе F'=F ∪ {(x, z, writet)}
post(x, y, z) x, z ∈ S, y ∈ E ∪ R, x≠z, (x, y, αf) ∈ F, где αf ∈ {writem, writet}, и (z, y, βа) ∈ А, где βa ∈ Ra PA'=PA, A'=A, если αf=writem, βa=reada и y ∈ E, то F'=F ∪ {(x, z, writem)}, иначе F'=F ∪ {(x, z, writet)}
pass(x, y, z) y ∈ S, x, z ∈ E ∪ R, x≠z, (y, x, αa) ∈ А, где αa ∈ {reada, owna}, и (y, z, βf) ∈ F, где βf ∈ {writem, writet} PA'=PA, A'=A, если αa=reada, βf=writem и x, z ∈ E, то F'=F ∪ {(x, z, writem)}, иначе F'=F ∪ {(x, z, writet)}

Таким образом, в способе использован классический для теории моделирования безопасности управления доступом и информационными потоками подход, заключающийся в следующем: предполагается, что проверка безопасности защищенной информационной системы должна осуществляться после того, как доверенные (привилегированные, административные субъекты, являющиеся частью подсистемы безопасности, чью функциональность можно верифицировать) субъекты выполнили свои задачи по изменению параметров функционирования системы. При этом требуется удостовериться, что дальнейшее функционирование системы под воздействием недоверенных, часто рассматриваемых как нарушители, субъектов будет безопасным, т.е. не приведет к созданию запрещенных информационных потоков. В результате достижение технического результата обосновывают следующим образом:

задают начальное состояние G0=(РА0, А0, F0) информационной системы Σ(G*, OP), в котором отсутствуют доступы субъектов к сущностям или ролям и отсутствуют информационные потоки (А0=⌀, F0=⌀);

с применением математической логики и теории множеств доказывают невозможность перехода информационной системы Σ(G*, OP) из начального состояния G0=(РА0, А0, F0) в результате применения произвольной конечной последовательности «де-юре» или «де-факто» правил ор1, …, opN, заданных в таблицах 1 и 2, соответственно, в состояние GN=(PAN, AN, FN), где G0op1 G1op2 … ├opN GN, N>0, в котором существуют (во множестве FN) запрещенные информационные потоки по памяти или по времени от сущностей или ролей с высоким уровнем конфиденциальности к сущностям или ролям с низким уровнем конфиденциальности (информационный поток вида (х, y, writem) или (х, y, writet), где х, y ∈ Е ∪ R и fe(x)>fe(y)).

Осуществление изобретения

При применении способа для описания каждого состояния информационной системы Σ(G*, OP), в том числе ее начального состояния G0=(РА0, А0, F0):

используют виды прав доступа readr, writer, executer, ownr и виды доступов reada, writea, owna, соответственно (традиционно в защищенных информационных системах, например, в операционных системах семейства Linux, рассматривают три вида прав доступа к сущностям: на чтение, на запись и на выполнение или на использование контейнера - каталога, а также при управлении доступом к сущностям учитывают наличие у них владельцев, имеющих права передавать другим, субъектам права доступа к сущностям); применительно к ролям: право доступа ownr - владелец роли, readr - право получать роль как текущую, просматривать ее параметры, writer - право изменять множество прав доступа роли, execute - право обращаться к ролям, подчиненным данной роли в иерархии ролей; доступ owna - владение (изменение параметров) роли, reada - получение субъектом роли как текущей, writea - доступ на изменение прав доступа роли или состава ролей, подчиненных ей в иерархии;

для предотвращения возможности использования прав доступа ролей при создании запрещенных информационных потоков роли реализуют сущностями-контейнерами (например, в операционных системах создают «виртуальную» иерархическую файловую систему, каждый элемент которой является ролью, а иерархия ее элементов соответствует иерархии ролей) и задают уровни конфиденциальности ролей (например, в операционных системах для этого используют расширенные атрибуты элементов файловой системы);

все компоненты защищенной информационной системы (субъекты, сущности и роли) разделяют на два непересекающихся множества, влияющих на целостность и безопасность системы или нет, и присваивают им соответствующие уровни целостности i_high и i_low (здесь преимущества мандатного контроля целостности аналогичны преимуществам мандатного управления доступом в сравнении с дискреционным управлением доступом, т.е. его внедрение обеспечивает большую ясность правил разделения компонент системы на критичные и некритичные с точки зрения ее целостности; его реализация с помощью ролей более понятна для пользователей и администраторов защищенной информационной системы, кроме того, требуемый для пользователя текущий уровень целостности субъекта, функционирующего от его имени, непосредственно зависит от выполняемой пользователем в системе функции - роли; в операционных системах для задания уровней целостности используют, например, расширенные атрибуты элементов файловой системы);

использованную в формальном описании информационной системы Σ(G*, OP) функцию execute_container непосредственно в информационной системе не реализуют, так как ее значение при каждом доступе субъекта к сущности вычисляют при последовательной проверке прав доступа к сущностям-контейнерам, содержащим данную сущность, начиная с корневой сущности-контейнера (в операционных системах семейства Linux, например, с сущности-контейнера «/»).

При применении способа в защищенной информационной системе Σ(G*, OP) реализуют «де-юре» правило преобразования состояний (например, в операционных системах в функции монитора ссылок, выполняющей проверку прав доступа при доступе субъектов к сущностям):

в правилах access_own(x, y), access_write(x, y) и access_read(x, y) проверяют наличие в текущем состоянии системы у субъекта x доступа на чтение к некоторой роли r, содержащей соответствующее право доступа к сущности или роли y, а также истинность функции execute_container(x, y); кроме того, в правилах access_own(x, y) и access_write(x, y) проверяют, что уровень конфиденциальности y равен текущему уровню доступа x, а уровень целостности y не превосходит текущего уровня целостности x, в правиле access_read(x, y) проверяют, что уровень конфиденциальности y не превосходит текущего уровня доступа x, и случае, когда y является ролью, что уровень целостности y не превосходит текущего уровня целостности x; в случае успешной проверки в последующем состоянии системы предоставляют x соответствующий доступ к y;

в правиле delete_access(x, y, αа) проверяют, что в текущем состоянии системы у субъекта x имеется доступ αа к сущности или роли у, и в случае успешной проверки в последующем состоянии системы отзывают у х доступ оса к у;

в правиле grant_rights(x, r, y, αr) проверяют наличие в текущем состоянии системы y субъекта x доступа на запись к роли r и доступа владения к сущности или роли y, кроме того, если право доступа αr является правом доступа на владение или запись, то проверяют, что уровень целостности у не превосходит уровня целостности r, в случае успешной проверки в последующем состоянии системы предоставляют r право доступа αr к y;

в правиле remove_rights(x, r, y, αr) проверяют наличие в текущем состоянии системы у субъекта x доступа на запись к роли r и доступа владения к сущности или роли y, и в случае успешной проверки в последующем состоянии системы отзывают у r право доступа αr к y.

При обосновании невозможности реализации в защищенной информационной системе Σ(G*, OP) запрещенных информационных потоков кроме «де-юре» правил используют «де-факто» правила преобразования состояний системы:

в правиле flow_memory_access(x, y, αа) проверяют наличие в текущем состоянии системы у субъекта x доступа на чтение или запись αа к сущности или роли y, и в случае успешной проверки в последующем состоянии системы включают во множество информационных потоков F информационный поток по памяти либо от y к x (во множество F добавляют элемент (x, y, writem)), когда доступ αа является доступом на чтение, либо от x к y, когда доступ αа является доступом на запись;

в правиле flow_time_access(x, y) проверяют наличие в текущем состоянии системы у субъекта x любого доступа αа к сущности или роли y, и в случае успешной проверки в последующем состоянии системы включают во множество информационных потоков F информационный поток по времени от y к x (во множество F добавляют элемент (y, x, writet)), и если доступ αа является доступом на владение или запись, то также включают во множество F информационный поток по времени от x к y;

в правиле take_flow(x, y) проверяют наличие в текущем состоянии системы у субъекта x доступа владения к субъекту y, и в случае успешной проверки в последующем состоянии системы включают во множество информационных потоков F информационные потоки от x ко всем сущностям, к которым соответствующий информационный поток имел y;

в правиле find(x, y, z) проверяют наличие в текущем состоянии системы информационных потоков от субъекта x к субъекту y и от него к сущности или роли z, и в случае успешной проверки в последующем состоянии системы включают во множество информационных потоков F информационный поток от x к z по памяти, если оба существующих информационных потока являются информационными потоками по памяти, иначе включают информационный поток по времени;

в правиле post(x, y, z) проверяют наличие в текущем состоянии системы информационного потока от субъекта x к сущности или роли y и любого доступа субъекта z к y, и в случае успешной проверки в последующем состоянии системы включают во множество информационных потоков F информационный поток от x к z по памяти, если существующий информационный поток является информационным потоком по памяти, а доступ - доступ на чтение, иначе включают информационный поток по времени;

в правиле pass(x, y, z) проверяют наличие в текущем состоянии системы информационного потока от субъекта y к сущности или роли z и доступа на чтение или владение y к сущности или роли x, и в случае успешной проверки в последующем состоянии системы включают во множество информационных потоков F информационный поток от x к z по памяти, если существующий информационный поток является информационным потоком по памяти, а доступ - доступ на чтение, иначе включают информационный поток по времени.

Обоснование невозможности реализации в защищенной информационной системе Σ(G*, OP) запрещенных информационных потоков по памяти или по времени от сущностей или ролей с высоким уровнем конфиденциальности к сущностям или ролям с низким уровнем конфиденциальности осуществляют без использования правил преобразования состояний системы delete_access(x, y, αа) и remove_rights(x, r, y, αr) («немонотонных» правил, применение которых приводит к удалению из состояния его элементов - доступов субъектов к сущностям или прав доступа ролей), так как наличие этих правил не добавляет дополнительных возможностей по созданию запрещенных информационных потоков. Обоснование осуществляют от противного, предполагая возможность реализации запрещенного информационного потока по времени в результате применения к начальному состоянию системы G0=(PA0, А0, F0) некоторой последовательности «де-юре» или «де-факто» правил преобразования состояний, используя при этом математическую индукцию по длине этой последовательности.

Таким образом, при применении описанного способа в защищенной информационной системе реализуют единый механизм мандатного и ролевого управления доступом, и в результате предотвращают возможность использования субъектами-нарушителями параметров ролей для создания запрещенных информационных потоков по памяти или по времени от сущностей с высоким уровнем конфиденциальности к сущностям с низким уровнем конфиденциальности информации.

1. Способ обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом, включающий представление защищенной информационной системы в рамках формальной модели безопасности логического мандатного и ролевого управления доступом и информационными потоками, отличающийся тем, что роли реализуют сущностями-контейнерами, к которым субъектам системы предоставляют доступы на владение, чтение или запись; эффективные права доступа субъектов к сущностям, в том числе к субъектам и ролям, назначают рекурсивно в соответствии с правилом: субъект обладает эффективным правом доступа к сущности только тогда, когда он обладает доступом на чтение к роли, имеющей соответствующее право доступа к сущности, и эффективными правами доступа на выполнение ко всем сущностям, которым данная сущность подчинена в иерархии; каждой роли назначают уровень конфиденциальности, не превосходящий уровни конфиденциальности ролей, которым данная роль подчинена в иерархии; субъекту предоставляют доступ к роли только при условии, что он обладает к ней соответствующим эффективным правом доступа, при этом доступ субъекта на чтение к роли предоставляют только тогда, когда уровень конфиденциальности роли не превосходит текущего уровня доступа субъекта, доступ субъекта на запись или на владение к роли предоставляют только тогда, когда уровень конфиденциальности роли равен текущему уровню доступа субъекта; субъекту разрешают изменять права доступа к сущностям, которыми обладает роль, только тогда, когда он обладает к роли доступом на запись; субъекту разрешают изменять права доступа к роли только тогда, когда он обладает к ней доступом на владение.

2. Способ по п.1, отличающийся тем, что информационную систему представляют в рамках формальной модели безопасности логического мандатного и ролевого управления доступом и информационными потоками и контроля целостности, каждой роли назначают уровень целостности, не превосходящий уровни целостности ролей, которым данная роль подчинена в иерархии; каждой роли назначают права доступа на владение или запись к сущности только тогда, когда уровень целостности сущности не выше уровня целостности роли; субъекту предоставляют доступ к роли только тогда, когда уровень целостности роли не превосходит текущего уровня целостности субъекта.

3. Способ по п.1 или 2, отличающийся тем, что в качестве состояния безопасности защищенной информационной системы рассматривают полное множество сущностей доступа, включающее субъекты, объекты, контейнеры и роли, и их параметров безопасности, состав и влияние которых на безопасность определяется типом и версией операционной среды защищенной информационной системы, в том числе включают такие сущности и параметры безопасности: учетные записи доверенных и недоверенных пользователей; элементы файловой системы, в том числе диски, каталоги, файлы, ссылки; элементы реестра, окна графического интерфейса, COM/DCOM-объекты, сетевые интерфейсы; процессы, потоки, демоны, драйверы, устройства, сервисы, объекты синхронизации; списки привилегий и прав доступа ролей к сущностям, метки разделяемых контейнеров; метки уровней доступа, конфиденциальности и целостности, CCR-метки способа доступа внутрь контейнеров; иерархии сущностей, в том числе ролей и субъектов.



 

Похожие патенты:

Изобретение относится к вычислительной технике, а именно к средствам защиты идентификационных данных пользователя при доступе к веб-сайту третьего лица. Технический результат заключается в обеспечении управлением услугой многофакторной аутентификации веб-сайтов и третьего лица.

Изобретение относится к средствам управления загрузкой программного обеспечения. Технический результат заключается в повышении безопасности перед загрузкой программного обеспечения.

Изобретение относится к области обеспечения безопасности информации и может быть использовано при создании систем с защитой от несанкционированного доступа к информации, хранимой на внешнем носителе.

Изобретение относится к технологиям связи. Технический результат - эффективное обеспечение безопасности данных в каждом сегменте радиоинтерфейса.

Изобретение относится к способу защиты данных безопасности, передаваемых передатчиком в приемник, заключающемуся в периодической передаче в приемник, поочередно с упомянутыми данными безопасности, нейтральных данных, предназначенных для недопущения фильтрации данных безопасности.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении скорости устранения конфликтов доступа.

Изобретение относится к системам управления технологическими процессами и автоматизации подстанций, а именно к наблюдению за аспектами безопасности во время конфигурирования и параметризации отдельных устройств в таких системах.

Настоящее изобретение относится к антивирусной области, а именно к способам выявления инфраструктуры злоумышленников. Технический результат - выявление инфраструктуры злоумышленника за счет исследования связей между узлами сети, построения графа связи между узлами сети и автоматического анализа силы связи между узлами.

Изобретение относится к средствам выбора оптимального типа антивирусной проверки при обращении к файлу. Технический результат заключается в повышении вероятности обнаружения вируса.

Изобретение относится к области подписания электронных документов аналого-цифровой подписью с дополнительной верификацией. Техническим результатом является снижение риска подмены электронного документа.

Изобретение относится к области идентификации и анализу данных, передаваемых через сеть связи, а более конкретно к идентификации, обнаружению и анализу наносящего вред или злоумышленного программного обеспечения или данных. Технический результат заключается в повышении точности обнаружения вредоносных программ и сокращении временных затрат для запуска программы в безопасном окружении. Технический результат достигается за счет способа, который включает в себя анализ программы, содержащей последовательность программных инструкций, определение того, удовлетворяет или нет каждая инструкция в последовательности какой-либо группе критериев подозрительности, назначение количественного показателя на уровне инструкций каждой инструкции, которая удовлетворяет любому из критериев подозрительности, суммирование количественных показателей на уровне инструкций для каждой инструкции, чтобы давать в результате количественный показатель на уровне программы, определение того, превышает или нет количественный показатель на уровне программы пороговое значение, и, если количественный показатель на уровне программы превышает пороговое значение, создание сообщения, указывающего результат обнаружения вредоносных программ. 3 н. и 14 з.п. ф-лы, 4 ил.

Изобретение относится к навигационным системам. Технический результат заключается в повышении защиты обновляемых картографических данных. Система содержит навигационный блок, работающий с использованием картографических данных, и носитель записи, подсоединяемый к и отсоединяемый от навигационного блока, в которой носитель записи имеет перезаписываемую область данных, в которой записываются картографические данные, и неперезаписываемую область управления, в которой записывается идентификационная информация носителя. Информация права обновления включает в себя информацию, относящуюся к праву обновления картографических данных, записанных на носителе записи, и необходимую для обновления картографических данных, записывается в области данных. Информация права обновления считывается из области данных и удаляется из этой области данных при первом доступе к данным упомянутого носителя записи посредством навигационного блока, и должный срок обновления карты, созданный на основе считанной информации права обновления, записывается в память навигационного блока вместе с идентификационной информацией упомянутого носителя, считанной из области управления. 6 з.п. ф-лы, 8 ил.

Изобретение относится к технике связи и может быть использовано в морской подвижной службе для обеспечения надежного автоматического приема информации по безопасности мореплавания в коротковолновом диапазоне на борту морских судов, которые находятся в любых районах мирового океана. Технический результат заключается в увеличении надежности приема информации по безопасности мореплавания, уменьшении времени многоканальной передачи сообщений за счет сжатия текста, совместимости предлагаемого способа с существующим уровнем использования судовых приемников-контроллеров цифрового избирательного вызова. Для этого можно отказаться от существующего одноканального способа приема информации по безопасности мореплавания посредством узкополосного буквопечатания в коротковолновом диапазоне с его допустимым порогом ошибок в 4%, заменив его расширенным поясняющими надписями символов сообщения цифровым избирательным вызовом, при котором судовой приемник сможет собирать посимвольно даже принятое искаженным сообщение на всех каналах его передачи. 9 ил.

Способ разрушения интегральных схем памяти носителей информации, предназначенный для предотвращения утечки информации, составляющей коммерческую тайну, при попытках несанкционированного изъятия носителей с записанной на них информацией. Предлагаемый способ заключается в том, что формируют элемент из взрывчатого вещества (ВВ) на диэлектрическом основании электрической схемы, открывающей доступ к носителю информации, которая снабжена системой элементов электрического контроля доступа к носителю информации. При срабатывании системы контроля данный элемент из ВВ подрывают. Элемент из ВВ формируют в виде нанослоя из ВВ, помещенного внутри микрокумулятивного заряда, электрически соединенного с мостиковым электродетонатором, также сформированным на основании электросхемы. В качестве материала элемента из ВВ используют состав вторичного ВВ, например ТЭНа, который получают термовакуумным методом при напылении на профилированную подложку из алюминия, выполненную на диэлектрическом основании. Достигается обеспечение надежного предотвращения доступа к носителю информации за счет экстренного уничтожения интегральных схем памяти носителей информации при одновременном сохранении целостности электронного блока, содержащего носитель информации за счёт снижения мощности взрыва ВВ. 2 ил.

Изобретение относится к области антивирусной защиты. Техническим результатом является обеспечение возможности разблокировки компьютера без потери данных и перезагрузки компьютера, повышение эффективности работы антивирусных систем и соответственно повышение безопасности вычислительных систем. Способ обезвреживания вредоносных программ, блокирующих работу компьютера, предполагает использование отдельного устройства активации антивируса, предназначенного для активации пользователем процедуры противодействия вредоносному программному обеспечению и содержащего разъемы для подключения к управляющей шине, контроллер, и блок активации. Запуск процедуры разблокировки и лечения компьютера производят в ответ на полученный сигнал активации от устройства активации антивируса. Причем, упомянутая процедура разблокировки и лечения включает: исследование состояния графической подсистемы ОС, поиск всех созданных окон и рабочих столов, видимых пользователю; анализ всех процессов и потоков, выполнявшихся на компьютере на момент заражения; построение на основании собранных данных привязки каждого упомянутого окна и рабочего стола к конкретному процессу и/или иерархии процессов; анализ полученных данных о процессах и выявление в каждом из них загруженных модулей, участвующих в выполнении процесса; поиск автоматически выполняемых в процессе запуска ОС программ; формирование списка объектов, признанных вредоносными; и изолирование вредоносного объекта, удаление из конфигурационных файлов ОС ссылки на него, и удаление вредоносного процесса, порожденного объектом. 5 з.п. ф-лы, 3 ил.

Изобретение относится к вычислительной технике, а именно к средствам защищенной связи в сети. Технический результат заключается в повышении безопасности передачи данных за счет разделения ключей на сегменты для предварительного распределительного материала создания ключа согласно переменному распределению. Способ относится к защищенной передаче информации из первого узла (N1) во второй узел (N2) сети, причем первый узел содержит материал создания ключа (KM(ID1)) первого узла, второй узел содержит материал создания ключа (KM(ID2)) второго узла, при этом каждый из материала создания ключа первого узла и материала создания ключа второго узла содержит множество совместно используемых частей прародителя ключей, сформированных сегментами совместно используемой части прародителя ключей. Сеть связи, содержащая по меньшей мере два устройства связи, реализует вышеуказанный способ. 3 н. и 10 з.п. ф-лы, 5 ил.

Изобретение относится к области систем и способов выявления факта присутствия в операционной системе вредоносных программ, которые препятствуют работе пользователя с операционной системой. Техническим результатом является выявление присутствия вредоносных программ, препятствующих взаимодействию пользователя с интерфейсом операционной системы. Для выявления фактов присутствия в операционной системе упомянутых вредоносных программ: (а) выявляют наступление события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы; (б) сравнивают текущее состояние операционной системы с шаблонами состояний, характеризующими работу операционной системы с вредоносной программой, препятствующей взаимодействию пользователя с интерфейсом операционной системы; и (в) при выявлении упомянутого события, характеризуемого нарушением во взаимодействии пользователя с интерфейсом операционной системы, и совпадении текущего состояния операционной системы с упомянутыми шаблонами состояний, характеризующими работу операционной системы с упомянутой вредоносной программой, выявляют факт присутствия этой вредоносной программы в операционной системе. 2 н. и 9 з.п. ф-лы, 6 ил.

Изобретение относится к устройствам управления цифровым контентом. Технический результат заключается в повышении безопасности доступа к цифровому контенту. Способ содержит этапы, на которых отправляют посредством первого устройства зашифрованный ключ контента второму устройству; отправляют посредством второго устройства третьему устройству данные лицензии, описывающие права на использование упомянутого цифрового контента упомянутым третьим устройством в ответ на запрос от упомянутого третьего устройства на использование упомянутого цифрового контента, при этом упомянутые данные лицензии включают в себя упомянутый зашифрованный ключ контента; и принимают посредством упомянутого третьего устройства от упомянутого первого устройства данные для дешифрования упомянутого зашифрованного ключа контента. 4 н. и 11 з.п. ф-лы, 6 ил.

Изобретение относится к области сетевой безопасности, в частности к способу и системе согласования многоадресного ключа, подходящим для системы группового вызова с технологией широкополосного доступа SCDMA (синхронный множественный доступ с кодовым разделением). Технический результат заключается в повышении безопасности услуг группового вызова, предоставляемых посредством многоадресной передачи. Технический результат достигается за счет того, что терминал пользователя (UT) согласует одноадресный ключ с базовой станцией (BS), получает ключ шифрования информации и ключ проверки целостности согласно одноадресному ключу и регистрирует на BS идентификатор служебной группы, к которой принадлежит UT; BS уведомляет UT о многоадресном ключе служебной группы, которую UT должен применить, создает пакет уведомления о многоадресном ключе и отправляет его UT; после приема пакета уведомления о многоадресном ключе, отправленном посредством BS, UT получает многоадресный ключ служебной группы, которую UT должен применить, путем дешифровки списка применений ключа служебной группы, создает пакет подтверждения многоадресного ключа и отправляет его BS; BS подтверждает, что многоадресный ключ служебной группы UT создан успешно согласно пакету подтверждения многоадресного ключа, отправленного посредством UT. 2 н. и 6 з.п. ф-лы, 1 ил.

Изобретение относится к области защиты от компьютерных угроз, а именно к средствам анализа событий запуска файлов для определения рейтинга их безопасности. Технический результат настоящего изобретения заключается в снижении времени антивирусной проверки. Назначают рейтинг безопасности, по меньшей мере, одному файлу. Регистрируют инициированный пользователем запуск, по меньшей мере, одного файла. Производят мониторинг событий в операционной системе, в том числе и событий запуска файлов. Сравнивают информацию, по меньшей мере, об одном запущенном в операционной системе файле с информацией, по меньшей мере, об одном файле, запуск которого зарегистрирован. Уменьшают рейтинг безопасности файла, если информация о регистрации его запуска отсутствует, либо увеличивают рейтинг безопасности файла, если информация о регистрации его запуска присутствует. Исключают из антивирусной проверки файлы, рейтинг безопасности которых превышает заданное пороговое значение. 2 н. и 19 з.п. ф-лы, 5 ил.
Наверх