Modell av militära meddelandesystem
Modellen för militära meddelandesystem ( SVS-modell , engelska Military Message System , MMS ) är en åtkomstkontroll- och hanteringsmodell inriktad på system för att ta emot, sända och bearbeta meddelanden som implementerar en obligatorisk säkerhetspolicy [1] . SAF-modellen utvecklades 1984 i den amerikanska militärens intresse av anställda vid US Naval Research Laboratory ( NRL) av Karl Landwehr, Constance Heitmeier och John McLean för att eliminera bristerna i Bell-modellen som användes vid den tiden - Lapadula [2] .
Historik
Före tillkomsten av CBC -modellen användes Bell-LaPadula-modellen [3] främst i statliga och militära strukturer för att bygga säkerhetssystem som implementerar obligatorisk åtkomstkontroll . Men i slutet av 1970-talet och början av 1980-talet genomförde den amerikanska militären MME-experimentet ( Military Message Experiment ) [4] för att förbättra kommunikationssystemet för US Pacific Command. Det befintliga systemet, baserat på AUTODIN- systemet med lokal distribution av meddelanden med pneumatisk post , behövde ersättas med ett nytt byggt på ARPANET -systemet och e-post . Det antogs att det nya systemet skulle ha en säkerhetsstruktur på flera nivåer ( eng. Multilevel security , MLS) [2] . Samtidigt bedrivs forskning kring utveckling av operativsystem baserade på samma princip [5] .
Under MME fann man att Bell-Lapadula-modellen har ett antal allvarliga brister [4] :
- Förbud mot inspelning "nedåt". I Bell-LaPadula-modellen går det inte att skriva från objekt med högre sekretessnivå till objekt med lägre nivå. Det är till exempel inte möjligt att skriva om det topphemliga meddelandet till den hemliga klassen , även om detta ibland är nödvändigt [4] .
- Brist på flernivåobjekt. Det är tillåtet att läsa och skriva information mellan objekt på endast en nivå. Till exempel, när man läser oklassificerad sekretessnivåinformation från ett meddelande med klasshemlighet , kommer systemet att tvingas tilldela klasshemligheten [4] till informationen som läses .
- Brist på mångsidighet. Till exempel i militära meddelandesystem måste särskilda säkerhetsregler definieras som inte finns i andra tillämpningar av modellen. Sådana regler beskrivs inte av Bell-LaPadula-modellen och måste därför definieras utanför modellen [6] .
Erfarenheterna av att experimentera och bygga MLS-operativsystem ledde till forskning om att övervinna begränsningarna i Bell- LaPadula-modellen som beskrivs ovan av Carl Landwehr, Constance Heitmyer och John McLean vid NRL. Målet för utvecklarna var att skapa en prototyp av en universell modell som helt uppfyller kraven för militära meddelandesystem, utan att fokusera på de tekniker och mekanismer som används för att implementera modellen och för att säkerställa efterlevnad av säkerhetspolicyn . Den resulterande säkerhetsmodellen lämnades in som en teknisk rapport från NRL, och i augusti 1984 publicerades en artikel i ACM Transactions on Computer Systems [2] .
Funktioner i modellen
Terminologi
Användarroll - en uppsättning användarrättigheter, bestäms av arten av de åtgärder som utförs av honom i systemet. Användaren kan ändra sina roller medan han arbetar i systemet.
Ett objekt är ett informationsblock på en nivå.
En behållare är en skiktad informationsstruktur som kan innehålla objekt och andra behållare.
En enhet är ett objekt eller en behållare.
Container Content Access Method (CCR) är ett attribut för behållare som bestämmer i vilken ordning innehållet nås (beroende på behållarens sekretessnivå, eller endast med tanke på känslighetsnivån för den behållarenhet som nås).
Enhetsidentifierare – ett unikt nummer eller namn på enheten.
En direktlänk är en enhetsreferens som matchar enhetsidentifieraren.
En indirekt referens är en referens till en enhet som är en del av en container genom en sekvens av två eller flera entitetsreferenser där endast den första referensen är en identifierare (omedelbar referens).
Ett meddelande är en speciell typ av enhet som finns i CBC. I de flesta fall är ett meddelande en behållare, även om det i vissa system med endast meddelanden kan vara ett objekt. Varje meddelande som en behållare innehåller flera entiteter som beskriver dess parametrar, till exempel: till vem, från vem, information, datum-tid-grupp, text, säkerhet.
En operation är en funktion som kan utföras på entiteter. I CBC-modellen är huvudoperationerna för meddelanden:
- operationer på inkommande meddelanden;
- operationer på utgående meddelanden;
- funktioner för att lagra och ta emot meddelanden.
Hur modellen fungerar
Användaren kan komma åt systemet först efter att ha passerat identitetskortet. För att göra detta berättar användaren för systemet sin identifierare (ID), och systemet utför autentisering med hjälp av lösenord, fingeravtryck eller andra sätt att identifiera identiteten. I händelse av framgångsrik autentisering begär användaren operationer från systemet för att använda systemets funktioner. De operationer som en användare kan begära från systemet beror på hans ID eller rollen som han är behörig för: med hjälp av operationer kan användaren se eller ändra objekt eller behållare [8] [2] .
Säkerhet postulerar
Användaren kan alltid äventyra information som han har laglig tillgång till. Det finns alltså ett behov av att formulera säkerhetspostulat som endast kan uppfyllas av användare av systemet [8] .
- Systemsäkerhetsansvarig tillåter korrekt användaråtkomst till enheter och tilldelar enhetens sekretessnivåer och flera roller.
- Användaren tilldelar eller omtilldelar rätt sekretessnivåer till enheter när de skapar eller redigerar information i dem.
- Användaren riktar meddelanden korrekt till mottagare och definierar åtkomstuppsättningar till enheter som skapats av honom.
- Användaren ställer in behållarnas CCR-attribut korrekt.
Modellegenskaper
Totalt beskrivs tio informella fastigheter i SHS-modellen [9] :
- Auktorisation . En användare kan endast utföra en operation på entiteter om användar-ID eller roll finns i entitetens åtkomstuppsättning tillsammans med operationen och korrekta entitetsoperandindex.
- Hierarki av integritetsnivåer . Sekretessnivån för alla behållare är minst lika hög som de maximala sekretessnivåerna för de enheter den innehåller.
- Säker överföring av information . Information som hämtas från ett objekt ärver objektets sekretessnivå. Information som är inbäddad i ett objekt bör inte ha en högre nivå av konfidentialitet än själva objektet.
- Säker webbsökning . Användaren kan se (på en viss utenhet) en enhet med en integritetsnivå som inte är högre än användarens åtkomstnivå och utdataenhetens sekretessnivå.
- Åtkomst till enheter med CCR-attributet . En användare kan komma åt indirekt behållarenheter med CCR-attributet endast om användaren har en åtkomstnivå som är större än eller lika med behållarens sekretessnivå.
- Åtkomst via indirekt länk . En användare kan använda en containeridentifierare för att erhålla en indirekt referens till en entitet genom den endast om han är behörig att se den entiteten med den referensen.
- Utgångsmärke . Alla enheter som användaren ser ska märkas med dess sekretessnivå.
- Definition av åtkomster, flera roller, enhetsnivåer . Endast en användare med rollen System Security Officer kan definiera åtkomsträttigheter och flera användarroller, såväl som integritetsnivån för utenheter. Valet av den aktuella rollen från uppsättningen av auktoriserade användarroller kan endast utföras av användaren själv eller av en användare med rollen som System Security Officer.
- Nedgradering av säker integritet . Ingen sekretessnivå kan nedgraderas om den inte nedgraderas av en användare med lämplig roll.
- Skicka meddelanden säkert . Inget utkast kan skickas om inte en användare med avsändarrollen gör det.
Nackdelar med modellen
Även om SHS-modellen har fördelar jämfört med Bell-LaPadula-modellen [10] , är den fortfarande inte utan nackdelar [11] :
- Det finns ingen beskrivning av administrationsmekanismer i CBC-modellen. I synnerhet utelämnar beskrivningen sådana möjliga operationer i systemet som att skapa nya enheter, tilldela dem en konfidentialitetsnivå och en uppsättning åtkomster. Korrektheten av dessa åtgärder garanteras av säkerhetspostulat.
- Som i alla modeller av obligatorisk passerkontroll finns det i SHS-modellen risk för informationsläckage genom hemliga kanaler .
Använda modellen i andra projekt
Den beskrivna modellen av militära meddelandesystem användes nästan oförändrad i utvecklingen av Diamond [2] [12] meddelandedistributionssystem . SHS-modellen har också funnit tillämpning i hanteringen av bibliografiska system [10] .
Anteckningar
- ↑ Devyanin, 2005 , sid. 68-69.
- ↑ 1 2 3 4 5 Landwehr, 2001 , sid. ett.
- ↑ Tsirlov, 2008 , sid. 40.
- ↑ 1 2 3 4 Landwehr, 2001 , sid. fyra.
- ↑ EJ McCauley, PJ Drongowski. KSOS - Utformningen av ett säkert operativsystem . - 1979. - Juni. - S. 345-353 .
- ↑ Landwehr, 2001 , s. 4-5.
- ↑ Devyanin, 2005 , sid. 68-77.
- ↑ 1 2 Baranov, 1997 , sid. 39.
- ↑ Devyanin, 2005 , sid. 70-71.
- ↑ 1 2 Landwehr, 2001 , sid. femton.
- ↑ Gribunin, 2009 , sid. 239-242.
- ↑ H. C. Forsdick, R. H. Thomas. Designen av en diamant – ett distribuerat multimediadokumentsystem. - Cambridge, Massachusetts, 1982. - Oktober. - S. 15 .
Litteratur
- Devyanin P. N. Säkerhetsmodeller av datorsystem : lärobok. manual för universitet inom specialiteten 075200 "Datorsäkerhet" och 075500 "Integrated Information Security of Automated Systems" - M .: Academia , 2005. - S. 68-77. — 143 sid. - ( Högre yrkesutbildning ) - ISBN 978-5-7695-2053-2
- Gribunin V.G., Chudovsky V.V. Integrerat informationssäkerhetssystem på företaget. - Moskva: Publishing Center "Academy", 2009. - S. 239-242. — 416 sid. - ISBN 978-5-7695-5448-3 .