Кожен суб’єкт крім рівня прозорості має поточне значення рівня безпеки, що може змінюватися від деякого мінімального значення до значення його рівня прозорості.
Для моделювання повного управління доступом використовується модель Белла-Лападула [186, с. 159], що містить поняття безпечного (з погляду політики) стану і переходу. Для ухвалення рішення на дозвіл доступу виробляється порівняння мітки критичності об’єкта з рівнем прозорості і поточним рівнем безпеки суб’єкта. Результат порівняння визначається двома правилами: «простою умовою захисту» і «властивістю». У спрощеному вигляді вони визначають, що інформація може передаватися тільки «наверх», тобто суб’єкт може читати вміст об’єкта, якщо його поточний рівень безпеки не нижче критичності об’єкта, і записувати в нього, — якщо не вище.
Основне призначення повноважної політики безпеки — регулювання доступу суб’єктів системи до об’єктів з різним рівнем критичності та запобігання витоку інформації з верхніх рівнів посадової ієрархії на нижні, а також блокування можливих проникнень з нижніх рівнів на верхні. При цьому вона функціонує на тлі виборчої політики, надаючи її вимогам ієрархічно упорядкований характер (відповідно до рівнів безпеки).
Крім управління доступом суб’єктів до об’єктів системи проблема захисту інформації має ще один аспект. Щоб отримати інформацію про будь-який об’єкт системи, зовсім не обов’язково шукати шляхи несанкціонованого доступу до нього. Можна отримувати інформацію спостерігаючи за роботою системи і, зокрема за обробкою потрібного об’єкта. Іншими словами, за допомогою каналів витоку інформації. За цими каналами можна отримати інформацію не тільки про вміст об’єкта, але й про його стан, атрибути тощо залежно від особливостей системи і встановленого захисту об’єктів. Ця особливість пов’язана з тим, що у разі взаємодії двох суб’єктів виникає деякий потік інформації від одного до іншого.
Інформаційні потоки існують у системі завжди. Тому виникає потреба у визначенні, які з інформаційних потоків в системі є «легальними», тобто не ведуть до витоку інформації, а які — ні. Таким чином, виникає потреба у розробці правил, що регулюють управління інформаційними потоками в системі.
Для цього слід побудувати модель системи, що може описувати такі потоки. Така модель називається потоковою [186, С.176]. Модель описує умови і властивості взаємного впливу (інтерференції) суб’єктів, а також кількість інформації, отриманої суб’єктом у результаті інтерференції.
Управління інформаційними потоками застосовується, зазвичай, в межах вибіркової чи повноважної політики, доповнюючи їх і підвищуючи надійність системи захисту.
Управління доступом (вибіркове чи повноважне) є порівняно легко реалізованим (чи апаратно програмним), однак воно неадекватне реальним АСОІБ через існування в них прихованих каналів. Проте управління доступом забезпечує досить надійний захист у простих системах, що не обробляють особливо важливу інформацію. В іншому випадку засоби захисту повинні додатково реалізовувати управління інформаційними потоками. Організація такого управління в повному обсязі достатньо складна, тому його, як правило, використовують для посилення надійності повноважної політики: неспадні (щодо рівнів безпеки) інформаційні потоки вважаються дозволеними, всі інші — забороненими.
Відзначимо, що крім способу управління доступом політика безпеки включає ще й інші вимоги, такі як підзвітність, гарантії тощо.
Вибіркове і повноважне управління доступом, а також управління інформаційними потоками — свого роду три кити, на яких будується весь захист.
З погляду захисту в системах ОЕД існують такі вразливі місця: пересилання платіжних та інших повідомлень між банками чи між банком і клієнтом; обробка інформації усередині організацій відправника й одержувача; доступ клієнта до засобів, акумульованих на рахунку.
» следующая страница »
1 ... 225 226 227 228 229 230231 232 233 234 235 ... 381