Курс лекций Защита Информации/Политика безопасности: различия между версиями

Материал из Викиучебника — открытых книг для открытого мира
Содержимое удалено Содержимое добавлено
Нет описания правки
Нет описания правки
Строка 1: Строка 1:
== Определение политики безопасности
== Определение политики безопасности ==


'''Политика безопасности''' - совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которого обеспечивает защиту от определенного множества угроз и составляет необходимое (иногда и достаточное) условие безопасности системы.
'''Политика безопасности''' - совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которого обеспечивает защиту от определенного множества угроз и составляет необходимое (иногда и достаточное) условие безопасности системы.

Версия от 18:53, 9 июня 2013

Определение политики безопасности

Политика безопасности - совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которого обеспечивает защиту от определенного множества угроз и составляет необходимое (иногда и достаточное) условие безопасности системы.

Модель политики безопасности - формальное выражение политики безопасности.

С нарушением безопасности системы связаны три компоненты:

  • злоумышленник - внешний по отношению к системе источник нарушителя свойства "безопасность";
  • объект атаки - часть, принадлежащая системе, на которую злоумышленник неожиданно производит воздействие;
  • канал воздействия - среда переноса злоумышленного воздействия.

К политике безопасности существует два подхода:

  • формальное моделирование политики безопасности;
  • криптография.

Язык описания политики безопасности

Язык определения политики безопасности (ЯОПБ) задается спецификациями.

Замечание 1
ЯОПБ должен обладать достаточной выразительной силой. На основании предлагаемого языка необходимо иметь возможность описывать достаточно широкий круг политик безопасности.

Замечание 2
ЯОПБ в зависимости от выбранных в политике безопасности правил разрешения доступа cпособен специфицировать

  • закрытые политики безопасности (все разрешенные виды доступа должны быть специфицированы);
  • открытые политики безопасности (все запрещенные виды доступа должны быть специфицированы);
  • гибридные политики безопасности;
  • гибридные политики безопасности с разрешенными противоречиями.

Замечание 3
ЯОПБ должен определять корректные спецификации. Спецификация политики безопасности является корректной, если она непротиворечива и полна. Под непротиворечивостью спецификации понимается наличие только одного решающего правила для каждого доступа субъекта системы к объекту (доступ не может быть одновременно разрешен и запрещен). Под полнотой спецификации понимается существование правила для каждого доступа субъекта системы к объекту, запрещающего или разрешающего его. Если для некоторого доступа не определена авторизация, должно присутствовать разрешающее правило-умолчание.

Определение языка описания политик безопасности

ЯОПБ состоит из следующих множеств:

  • - множество объектов;
  • - множество субъектов;
    • - пользователи - отдельные пользователи, работающие с системой;
    • - группы - множества пользователей (единственным ограничением на членство в группе является ацикличность);
  • - роли - именованные списки привилегий, необходимые для работы в системе (как и группы, роли могут быть организованы в иерархию).

Свойства языка описания политик безопасности

  1. Ацикличность - если член ( ), то не может быть членом ( ). Уровни , и ничего не знают друг о друге.
  2. Роль - именованный список привилегий, необходимых для выполнения некоторых обязанностей в системе.
  3. Авторизация - отображение, которое отображает четверку (, , , ), состоящую из объектов, пользователей, ролей и действий, в множество либо авторизованное, либо запрещенное.


Задав множество действий , можно получить множество знаковых авторизованных типов .

Алфавит языка описания политик безопасности

Алфавит языка описания политик безопасности состоит из предикатов.

Предикат - выражение, которое зависит от некоторых параметров и может быть истино или ложно.

  1. (данный предикат определяется администратором безопасности);
  2. (представляет авторизацию, определяемую системой с использованием логических правил);
  3. (представляет авторизацию, которую имеет каждый субъект для каждого объекта. Реализует политику разрешения конфликтов);
  4. (представляет разрешенные или запрещенные доступы для каждого субъекта к каждому объекту. Реализует политику контроля доступа);
  5. (представляет доступы, выполненные субъектом);
  6. (отражает концепцию активной роли);
  7. (отражают концепцию прямого и косвенного членства);
  8. (отражает группирование объектов);
  9. (отражает ошибки в спецификации и использовании авторизации).