УДК 004.056.5
В.Г. Миронова, Н.Т. Югов, А.А. Мицель
Методология проведения анализа режимов разграничения прав доступов пользователей к конфиденциальной информации и возможности осуществления несанкционированного доступа
Представлена методология проведения анализа режимов разграничения прав доступов пользователей к конфиденциальной информации и возможности осуществления несанкционированного доступа. В основе методологии лежит дискреционная модель разграничения прав доступа к информации модели Take-Grant.
Основой любой системы защиты информации (СЗИ) является подсистема контроля и управления доступом, которая включает в себя процедуры идентификации и аутентификации. Эти процедуры защиты информации рассчитаны на работу с субъектами и объектами информационной системы (ИС) поименно. Определения этих понятий четко сформулированы в [1, 2].
Напомним, что в качестве субъектов ИС могут выступать как пользователи, так и процессы, а в качестве объектов ИС - информация и другие информационные ресурсы системы. Безусловно, при создании системы защиты проводится анализ существующих субъектов и объектов в ИС. Основные этапы построения СЗИ подробно описаны в [3].
Одним из этапов создания СЗИ является построение моделей нарушителя и угроз безопасности конфиденциальной информации (КИ). Порядок построения модели нарушителя безопасности изложен в [4], а подходы к проведению анализа угроз безопасности КИ - в [5-7].
На этапе построения модели нарушителя ИБ важно не только определить отличительные черты нарушителей - субъектов ИС, но и выявить возможные сговоры и случаи возможного предоставления доступа к КИ.
При проведении анализа режимов разграничения и распространения прав доступа аутентифицированных субъектов важно руководствоваться политикой ИБ. В [В] представлено описание существующих подходов к реализации политики ИБ. В настоящее время популярной является дискреционная политика ИБ (ДПИБ). Для проведения анализа режимов разграничения и распространения прав доступа при реализации ДПИБ была выбрана модель распространения прав доступа Take-Grant.
Формально описание модели Take-Grant выглядит следующим образом:
G = (S, O, E) - конечный помеченный ориентированный без петель граф доступов, описывающий состояние системы. При этом вершинами графа G являются элементы S и O. Каждое ребро графа G имеет метку из множества видов прав доступа R.
Порядок перехода системы из состояния в состояние определяется правилами преобразования графа доступов, которые в классической модели носят название де-юре правил. Возможность передачи прав между двумя удаленными субъектами определяется с помощью предиката «Возможен доступ» (Р, x, у, G), который будет истинным тогда и только тогда, когда существует цепочка преобразований графа G с помощью правил де-юре, в результате которых появляется дуга от объекта x к объекту у с правом в [В].
Граф доступов G = (S, S, E), все вершины которого представлены субъектами, является tg-связным или соединен tg-путем, когда без учета направления ребер в графе между ними существует путь такой, что каждое ребро этого пути помечено t или g.
Основным подходом к определению вероятности возникновения НСД в ИС является присваивание веса (стоимости) каждому ребру графа. Тогда возможность осуществления НСД будет складываться из суммы весов дуг доступов по соответствующим ребрам.
Обозначим множество вершин 1§-графа О1§ через V, а множество дуг через Б. Построим для выявления 1§-путей новый не помеченный и не ориентированный граф О1§ на основе графа О по следующим правилам:
В графе О1§ отношение инцидентности будем задавать с помощью матрицы смежности Е. Матрицей смежности графа О1§ в этом случае является матрица Е размерностью пхп, (где п - число вершин графа), однозначно представляющая его структуру. А именно, если существует дуга из вершины Vі в вершину у^, то существующий элемент матрицы смещения Еу = 1, в противном случае Еу = 0, также будем полагать, что в графе нет петель, и полагать Еу = 0. Поскольку граф О1§ будет рассматриваться как граф без петель, то в матрице смежности О1§ по главной диагонали будут стоять нулевые элементы.
Если Е - матрица смежности графа О^, то в графе существует маршрут между вершинами Vі и тогда и только тогда, когда (і, /)-й элемент матрицы Е + Е2 +.. ,+Еп-1 не равен нулю.
Алгоритм поиска возможных путей доступа между субъектами:
Рассмотрим несколько типов графов доступов для разного количества участвующих субъектов. Пусть количество субъектов - 3.
Рис. 1. Граф доступов О
Таблица 1 Матрица доступов графа О
Sl S2 Sз
Sз і я
Рис. 2. Граф О1§
Го 1 1 ^
Е = 1 0 1
I1 1 °)
Рис. 3. Матрица смежности Е
Г о 0,5 0,3^1
Рис. 4. Веса дуг, матрица меток дуг
при длине пути 2
Г 0 1 А
Е = 1 0 1
Г 2 1 п
Е = 1 2 1
Рис. 5. Маршруты по матрице смежности
при длине пути 2
Рис. 6. Стоимость полученных маршрутов
Пусть количество субъектов равно 4, тогда:
Г 0 0,5 0,3^1
Г 0 0,5 0,7^1
Рис. 7. Граф доступов О
Таблица 2 Матрица доступов графа О
Sl S2 Sз S4
Sl і я
Sз і
Рис. 8. Граф
Г0 1 1 10 10 110 1 ч0 0 1 оу
Г 0 0,3 0,3 0 ^
V 0 0 0,2 0 )
Рис. 9. Матрица смежности Е
—[Я?.)
Рис. 10. Веса дуг, матрица меток дуг
Рис. 11. Маршруты по матрице смежности
Г0 1 1 0^
I0 0 1 0)
Г 2 1 1 Г|
I1 1 0 V
при длине пути, равном 2
при длине пути, равном 3
Г 0 0,5 0,5 0^1
Г 0 0 0 0,7^1
Рис. 12. Стоимость полученных маршрутов
Выявляя вероятностных нарушителей ИБ, важно не только знать их отличительные особенности, но и выявлять и оценивать возможные пути получения доступа к КИ нарушителем, проводить анализ путей распространения прав доступа.
С помощью предложенного подхода с использованием правил модели Таке-ОгаП можно оценить возможные пути распространения прав доступа к КИ по длине и провести анализ их стоимости. Такой подход позволяет быстро и оперативно выявлять взаимодействия пользователей ИС с нарушителями ИБ, давать оценку таким взаимодействиям, формировать способы нейтрализации таких взаимодействий.
Миронова Валентина Григорьевна
Канд. техн. наук, мл. науч. сотр. каф. комплексной информационной безопасности
электронно-вычислительных систем ТУСУРа
Тел.: +7-923-415-16-08
Эл. почта: mvg@security.tomsk.ru
Югов Николай Тихонович
Д-р физ.-мат. наук, профессор каф. математики ТУСУРа Эл. почта: office@keva.tusur.ru
Мицель Артур Александрович
Д-р техн. наук, профессор каф. автоматизированных систем управления ТУСУРа Тел.: +7 (382-2) 70-15-36 Эл. почта: maa@asu.tusur.ru
Mironova V.G., Ugov N.T., Mitsel A.A.
The methodology for the analysis of modes of differentiation of user access rights to confidential information and the possibility of unauthorized access
The article presents a methodology for the analysis of modes of differentiation of user access rights to confidential information and the possibility of unauthorized access . The methodology is discretionary model differentiation of access rights to information model Take-Grant.