Учебный центр МАСКОМ  ·  Модуль 1

Компьютерная
безопасность

Общие сведения. Формальные модели
и моделирование безопасности современных ОС

Лекция · Основные сведения об ОС Astra Linux Special Edition
Лектор
Пиков Виталий Александрович
Эксперт в области ИТ, ИБ, преподаватель
telegram: @UnderLineSecurity
Содержание занятия

О чём поговорим

  1. История развития компьютерной безопасности
  2. Основные понятия и определения
  3. Модели безопасности: DAC, MAC, RBAC
  4. Принципы построения защищённой ОС
  5. Архитектура подсистемы защиты
  6. Идентификация, аутентификация, авторизация
  7. Управление доступом к объектам ОС
Цели занятия

К концу лекции вы будете знать

  • историю развития теории и практики обеспечения компьютерной безопасности;
  • основные модели безопасности;
  • принципы построения защищённой операционной системы;
  • подходы к построению защищённых ОС;
  • идентификацию, аутентификацию и авторизацию субъектов доступа;
  • принципы управления доступом к объектам операционной системы.
01

История развития
компьютерной
безопасности

Раздел 1 · Откуда всё началось
1970-е годы

Когда появилась задача защиты информации

Задачи обеспечения безопасности информации возникли в 1970-х годах в связи с созданием и внедрением автоматизированных информационных систем в процессы предприятий и организаций.

Три направления защиты

Защита компьютерной информации стоит на трёх китах

01
Конфиденциальность
Информация доступна только тем, кому она предназначена.
02
Целостность
Данные не изменены и не искажены без разрешения.
03
Доступность
Сохранность и работоспособность данных в нужный момент.
Конец 1970-х

Появились исходные модели безопасности

  • Технологии и протоколы парольной аутентификации;
  • Криптографические методы и средства защиты информации;
  • Модели дискреционного и мандатного разграничения доступа.

Эти модели легли в основу будущих стандартов безопасности.

1983 год

Оранжевая книга

Модели DAC и MAC послужили методологической основой для разработки первых стандартов безопасности компьютерных систем — в частности, известной «Оранжевой книги», впервые опубликованной в 1983 году.

Основополагающие модели

Что легло в основу теории

Модель Хариссона — Руззо — Ульмана
Дискреционное разграничение доступа.
Модель Белла — ЛаПадулы
Мандатное (полномочное) разграничение доступа.

Эти модели стали отправной точкой для исследований 1980–1990-х годов.

1990-е годы

Подключились отечественные исследователи

Санкт-Петербургская школа
Во главе с П. Д. Зегждой.
Школа ИКСИ Академии ФСБ России
Во главе с Б. А. Погореловым.
02

Основные понятия
и определения

Раздел 2 · Терминология ГОСТ Р 50922-96
Определение

Информационная безопасность

«Состояние защищённости информационной сферы (предприятия, организации, общества, государства) от внутренних и внешних угроз».

Информационная сфера Угрозы внутренние и внешние Состояние защищённости
Источник терминологии

ГОСТ Р 50922-96

«Защита информации. Основные термины и определения». Дата введения — 01.07.1997.

Стандарт обязателен для применения во всех видах документации и литературе по защите информации.

Термин 1 / 8

Защищаемая информация

Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Термин 2 / 8

Защита информации

Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Термин 3 / 8

Защита от утечки

Деятельность по предотвращению неконтролируемого распространения защищаемой информации — от разглашения, несанкционированного доступа и получения её иностранными разведками.

Термин 4 / 8

Защита от НСВ

несанкционированного воздействия

Деятельность по предотвращению воздействия на информацию с нарушением правил, приводящего к её искажению, уничтожению, копированию, блокированию доступа, утрате или сбою функционирования носителя.

Термин 5 / 8

Защита от непреднамеренного воздействия

Предотвращение последствий ошибок пользователя, сбоев технических и программных средств, природных явлений и иных нецеленаправленных воздействий, приводящих к искажению, уничтожению или блокированию информации.

Термин 6 / 8

Защита от разглашения

Деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей.

Термин 7 / 8

Защита от НСД

несанкционированного доступа

Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником прав или правил доступа.

Термин 8 / 8

Цель защиты информации

Желаемый результат защиты информации — предотвращение ущерба собственнику, владельцу или пользователю информации от возможной утечки и несанкционированного или непреднамеренного воздействия.

Категории информации

Деление по уровню важности

  1. Жизненно важная незаменимая — без неё организация не функционирует.
  2. Важная — может быть восстановлена, но это трудно и дорого.
  3. Полезная — трудно восстановить, но организация может работать без неё.
  4. Несущественная — больше не нужна организации.
Лица, связанные с информацией

Три группы относятся к информации по-разному

01
Держатель
Организация или лицо — обладатель информации.
02
Источник
Поставляет информацию (например, пациент).
03
Нарушитель
Лицо или организация, стремящиеся получить информацию.
Уровень секретности

Административная или законодательная мера

Соответствует мере ответственности лица за утечку или потерю конкретной секретной информации.

Государственная тайна Военная тайна Коммерческая тайна Служебная тайна Личная тайна
Представление по категориям

Пирамида важности и секретности

Жизненно важная
Важная
Полезная
Несущественная (несекретная)

Каждый слой делится по горизонтали — по функциональным обязанностям пользователей.

03

Модели
безопасности

Раздел 3 · DAC, MAC, RBAC
Базовые понятия

Объект и субъект доступа

Объект доступа
Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Субъект доступа
Лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Зачем нужна модель безопасности

Модель помогает …

  • Выбрать и обосновать базовые принципы архитектуры защиты;
  • Доказать защищённость системы — формально;
  • Составить формальную спецификацию политики безопасности.

Хорошая модель безопасности — абстрактная, простая и адекватная моделируемой системе.

Основные модели безопасности

Четыре подхода к разграничению доступа

DAC
Дискреционная
Discretionary Access Control
MAC
Мандатная
Mandatory Access Control
RBAC
Ролевая
Role Based Access Control
СРД
Система разграничения
Security Policy Realization
Модель DAC · 1 / 3

Дискреционная модель: что есть что

Субъекты
  • Пользователь
  • Программа от имени пользователя
Объекты
  • Файлы и каталоги
  • Внешние накопители (CD, DVD, USB)
  • Принтер, сетевой адаптер
Модель DAC · 2 / 3

Закрытые и открытые системы

Closed
Windows
По умолчанию никто не имеет доступа. В ACL описывается набор разрешений.
Open
Linux
По умолчанию все имеют полный доступ. В ACL описывается набор ограничений.
Модель DAC · 3 / 3

Три операции доступа

r
Read
Чтение
w
Write
Запись
x
Execute
Выполнение

Для каждой пары «субъект — объект» устанавливается набор разрешённых операций.

root@astra:~# ls -l 
drwxr-xr-x.  2 root root    4096 янв. 30 18:37 anaconda
drwxr-x---.  2 root root    4096 апр.  1 21:27 audit
-rw-r--r--.  1 root root   12094 апр.  2 03:33 boot.log
-rw-------.  1 root utmp     384 апр.  2 15:25 btmp
-rw-------.  1 root utmp    1536 марта 15 07:41 btmp-20120401
-rw--w----.  1 root  997      0 янв. 30 18:35 clamav-milter.log
drwxr-xr-x.  2 root root    4096 янв. 30 14:44 ConsoleKit
-rw-r--r--.  1 root root  267059 апр.  2 15:25 cron
-rw-r--r--.  1 root root 1241791 апр.  1 03:22 cron-20120401
-r--------.  1 root root   94710 марта 13 12:51 dracut.l
Пример
Дискреционное управление доступом в Linux
Вывод ls -l: первые символы — тип файла и права для трёх категорий: владелец, группа, остальные.
Расширенные разрешения (ACL)

Что обозначает каждая строка

1Информация о файле, владельце, группе и режимах доступа
2Базовые разрешения
3Расширенные разрешения
4Разрешения по умолчанию
5Эффективные разрешения, определяемые маской
Чтение прав

Пример: rwxr-xr--

Владелец
rwx
всё что угодно
Группа
r-x
читать и исполнять
Прочие
r--
только чтение
Достоинства и недостатки DAC

У дискреционной модели есть свои стороны

Достоинства
  • Простота реализации
  • Гибкость — владелец сам управляет доступом
  • Хорошая изученность
Недостатки
  • Излишняя детализация → запутанность
  • Сложность администрирования
  • Возможность ошибки при назначении прав
  • Нет защиты от утечки конфиденциальных данных
Модель Белла — ЛаПадулы

Одна из самых известных моделей безопасности

Это модель мандатного управления доступом. Знаменита двумя основными правилами безопасности — одно относится к чтению, другое к записи данных.

Правило 1

Свойство простой безопасности

No Read Up

Несекретный пользователь (или процесс от его имени) не может читать данные из секретного файла.

Правило 2

Свойство «не записывать вниз»

No Write Down

Пользователь с уровнем доступа к секретным данным не может записывать данные в несекретный файл.

Иерархия уровней

Как работают правила в иерархии

Совершенно секретно
Секретно
Конфиденциально
Несекретно

Пользователи могут читать только документы не выше своего допуска и не могут создавать документы ниже уровня своего допуска.

Что важно знать

Особенности модели Белла — ЛаПадулы

  • Первая значительная модель политики безопасности для компьютеров;
  • До сих пор применяется в военной отрасли (в изменённом виде);
  • Полностью формализована математически;
  • Основа модели — конфиденциальность;
  • Игнорирует проблему изменения классификации.
Ролевая модель — RBAC

Доступ — по ролям, а не по пользователям

Ролевой метод управления доступом контролирует доступ пользователей к информации на основе типов их активностей в системе — ролей.

Администратор БД Менеджер Начальник отдела
Пользователи
Иванов
Петров
Сидоров
Роли
Администратор
Бухгалтер
Аудитор
Разрешения
Чтение БД
Запись БД
Печать отчётов
Схема
Пример ролевой модели (RBAC)
Между пользователями и разрешениями появляется промежуточный слой — роли. Это упрощает администрирование.
Достоинства RBAC

Почему ролевая модель удобна

01
Простота администрирования
Не нужно прописывать разрешения для каждой пары «объект — пользователь».
02
Принцип наименьшей привилегии
Пользователь регистрируется ролью, минимально необходимой для задачи.
03
Разделение обязанностей
Управление привилегиями в пределах системы или приложения.
Где применяется RBAC

Примеры систем

Microsoft
Active Directory
SELinux
FreeBSD
Solaris
СУБД
Oracle
PostgreSQL
SAP R/3

С помощью RBAC могут быть смоделированы дискреционные и мандатные системы управления доступом.

04

Угрозы
безопасности ОС

Раздел 4 · Классификация и типичные атаки
Классификация угроз

По каким аспектам можно классифицировать

По цели атаки
Что хочет получить злоумышленник.
По принципу воздействия
Каким способом атака реализуется.
По типу уязвимости
Архитектурная или уязвимость кода.
Типичные атаки на ОС

Семь сценариев, к которым нужно быть готовым

  • 1Сканирование файловой системы — перебор всех файлов в поисках доступных.
  • 2Подбор пароля — перебор, словарь, знания о пользователе.
  • 3Кража ключевой информации — смарт-карт, токенов, подсматривание паролей.
  • 4Сборка мусора — восстановление удалённых, но не стёртых данных.
  • 5Превышение полномочий — использование ошибок в ПО.
  • 6Программные закладки — внедрение вредоносного кода.
  • 7«Жадные» программы — захват ресурсов, приводящий к краху ОС.
Защищённая ОС

ОС называют защищённой, если она …

  • Содержит средства разграничения доступа пользователей к ресурсам;
  • Содержит средства проверки подлинности пользователя;
  • Содержит средства противодействия выводу ОС из строя.

Если ОС защищена не от всех классов угроз, её называют частично защищённой.

05

Архитектура
защищённой ОС

Раздел 5 · Принципы построения
Подходы к построению

Два пути создания защищённой ОС

Фрагментарный
Сначала защита от одной угрозы, затем от другой. Набор разрозненных продуктов — часто несовместимых.
Комплексный
Защитные функции вносятся в ОС на этапе проектирования и являются её неотъемлемой частью.
Архитектура безопасности

Основные функции подсистемы защиты ОС

01
Идентификация и аутентификация
02
Разграничение доступа
03
Аудит
04
Управление политикой безопасности

Дополнительно: криптографические и сетевые функции.

06

Идентификация,
аутентификация,
авторизация

Раздел 6 · Кто? и на что имеет право?
Три шага входа в систему

Перед началом работы пользователь проходит …

01
Идентификация
Сообщает имя или учётный номер.
02
Аутентификация
Подтверждает, что он — это он.
03
Авторизация
Получает права для работы в системе.
Методы аутентификации

Чем доказывают свою личность

Знание
Имя и пароль
Владение
Внешние носители ключевой информации (смарт-карты, токены)
Биометрия
Биометрические характеристики пользователей
07

Разграничение
доступа к объектам

Раздел 7 · Объект, метод, субъект
Три понятия

Кто, к чему, и как

Объект
То, к чему осуществляется доступ.
Субъект
Тот, кто осуществляет доступ.
Метод
То, как осуществляется доступ.
Владелец и суперпользователь

Особые роли в модели доступа

Владелец объекта
Субъект, которому принадлежит объект и который несёт ответственность за конфиденциальность, целостность и доступность.
Суперпользователь
Субъект, имеющий возможность игнорировать правила разграничения доступа к объектам.
Требования к правилам

Каким должно быть разграничение доступа

  • Соответствует правилам, принятым в организации;
  • Не допускает разрушающих воздействий на объекты ОС;
  • У любого объекта есть владелец;
  • Нет недоступных объектов — к каждому может обратиться хотя бы один субъект;
  • Не допускает утечки информации конфиденциального характера.
Две основные модели

Как ОС разграничивают доступ

DAC
Избирательное (дискреционное)
Определённые операции над ресурсом запрещаются или разрешаются субъектам или группам субъектов. Большинство ОС реализуют именно эту модель.
MAC
Полномочное (мандатное)
Все объекты имеют уровни секретности. Субъекты делятся на группы по уровню допуска. Модель многоуровневой безопасности.
Избирательное разграничение

Четыре правила DAC

  1. Для любого объекта существует владелец;
  2. Владелец может произвольно ограничивать доступ других субъектов;
  3. Для каждой тройки «субъект — объект — метод» доступ определён однозначно;
  4. Существует хотя бы один привилегированный пользователь (администратор).
Домен безопасности

Контейнер, в котором работает одна политика

Домен безопасности — часть автоматизированной системы, которая реализует одни и те же политики безопасности (ГОСТ Р ИСО/МЭК ТО 19791-2008).

Домен 1 · Бухгалтерия
Компьютеры, учётки, ресурсы
отдела бухгалтерии
Домен 2 · Руководство
Компьютеры, учётки, ресурсы
руководства
Полномочное разграничение

Правила MAC — с контролем потоков

  • Для любого объекта существует владелец;
  • Владелец может ограничивать доступ других субъектов;
  • Для каждой четвёрки «субъект — объект — метод — процесс» возможность доступа определена однозначно;
  • Существует привилегированный пользователь, имеющий возможность удалить любой объект.
Грифы секретности и уровни допуска

У каждого объекта — гриф, у каждого субъекта — допуск

Гриф секретности объекта
Чем выше числовое значение — тем секретнее объект. 0 — несекретен.
Уровень допуска субъекта
Чем выше числовое значение — тем больший допуск. 0 — нет допуска.
Правило в MAC

Доступ запрещён, если …

NRU · Not Read Up
  • Объект — объект полномочного разграничения доступа;
  • Гриф секретности объекта выше уровня допуска субъекта;
  • Субъект открывает объект в режиме чтения.
Правило в MAC

Доступ запрещён, если …

NWD · Not Write Down
  • Объект — объект полномочного разграничения доступа;
  • Гриф секретности объекта ниже уровня конфиденциальности процесса;
  • Субъект собирается записывать в объект.

Это правило предотвращает утечку секретной информации.

Особенности MAC

Что нужно учитывать при использовании

  • Страдает производительность ОС: права проверяются при каждой операции чтения / записи;
  • Возникают неудобства при работе с объектами разной секретности;
  • Прикладное ПО должно быть разработано с учётом этой модели;
  • Понизить гриф объекта может только субъект со специальной привилегией.
08

Вопросы
для проверки

Раздел 8 · Закрепляем материал
Вопрос 1 / 3

Как называется деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на неё?

Вопрос 2 / 3

Как называется часть автоматизированной системы, которая реализует одни и те же политики безопасности?

Вопрос 3 / 3

В какой модели контролируется доступ субъектов к объектам, представляющим собой различные информационные ресурсы — файлы, приложения, устройства вывода?

Конец модуля 1

Спасибо
за внимание

Учебный центр МАСКОМ
Курс «Основные сведения об ОС Astra Linux SE»

Вместо эпиграфа
«Ты должен чётко понимать, чего ты хочешь добиться,
иначе ты просто течёшь по течению…»

“If you don’t have a goal, if you don’t have a vision,
you just drift around and you’re never going to end up anywhere…”

— Арнольд Шварценеггер
Лектор

Пиков
Виталий
Александрович

Эксперт в области ИТ, ИБ, преподаватель
telegram @UnderLineSecurity
Опыт
  • Общий стаж работы — более 26 лет
  • Преподавательский стаж — более 10 лет
  • Заслуженный доцент Российского нового университета
  • Преподаватель высшей школы
  • Автор более 40 научных публикаций
Чему обучает
  • Информационная безопасность и защита информации
  • Информационные технологии
  • Курсы по ОС Astra Linux Special Edition 1.8
Лектор · продолжение

Пиков
Виталий
Александрович

Эксперт в области ИТ, ИБ, преподаватель
telegram @UnderLineSecurity
Образование и переподготовка
  • Тамбовский военный авиационный инженерный институт — «Автоматизированные системы обработки информации и управления»
  • 2017 — МГТУ им. Н. Э. Баумана, «Информационная безопасность»
  • 2019 — «Противодействие иностранным техническим разведкам»
  • 2020 — «Педагогика профессионального обучения и образования»
  • 2021 — ДПП «ТЗИ»
  • 2022 — «Практическая психология»
Сертификации и экспертиза
  • Microsoft Certifications: MCT, MCPS, MCSA, MCTS
  • Авторизованный преподаватель «Группы Астра» по ОС Astra Linux SE 1.8
  • Постоянный спикер: Positive Hack Days, «Инфофорум», форум «АРМИЯ», InfoSecurity Russia
  • Награды и звания Минобороны России
Учебный центр МАСКОМ
01 / 72