Модель систем військових повідомлень

Модель систем військових повідомлень (модель СВС, англ. Military Message System, MMS) — модель контролю і управління доступом, орієнтована на системи прийому, передачі та обробки повідомлень, що реалізують мандатну політику безпеки^[1]. Модель СВП була розроблена в 1984 році в інтересах збройних сил США співробітниками науково-дослідної лабораторії військово-морських сил США (англ. U.S. Naval Research Laboratory, NRL) Карлом Ландвером, Констансом Хайтмайером і Джоном Макліном з метою усунення недоліків вживаної в той час моделі Белла — Лападули^[2].

Історія

До появи моделі СВП для побудови систем безпеки, що реалізують мандатне управління доступом, в урядових і військових структурах використовувалася в основному модель Белла — Лападули^[3]. Проте, наприкінці 1970-х — початку 1980-х років військовими США був проведений експеримент MME (англ. Military Message Experiment)^[4] з метою вдосконалення системи зв'язку Тихоокеанського командування збройними силами США. Існуючу систему, засновану на системі AUTODIN з локальним розподілом повідомлень за допомогою пневматичної пошти, потрібно було замінити на нову, побудовану на системі ARPANET і електронній пошті. Передбачалося, що нова система буде володіти багаторівневою структурою безпеки (англ. Multilevel security, MLS)^[2]. У той же час проводилося дослідження по розробці операційних систем, заснованих на цьому ж принципі^[5].

В ході MME виявилося, що модель Белла — Лападули має ряд серйозних недоліків^[4]:

• Заборона запису «вниз». У моделі Белла — Лападули неможлива запис від об'єктів з більш високим рівнем конфіденційності до об'єктів із більш низьким рівнем. Наприклад, неможливо переписати повідомлення класу top secret в клас secret, хоча іноді це буває необхідно^[4].
• Відсутність багаторівневих об'єктів. Допускається читання і запис інформації між об'єктами лише одного рівня. Наприклад, при читанні інформації рівня конфіденційності unclassified з повідомлення класу secret, система буде змушена призначити інформації, що читається  клас secret^[4].
• Відсутність універсальності застосування. Наприклад, у військових системах передачі повідомлень, повинні визначатися особливі правила безпеки, які відсутні в інших додатках моделі. Такі правила не описані моделлю Белла — Лападули, і тому повинні бути визначені поза моделлю^[6].

Досвід експерименту і створення операційних систем MLS привів до дослідження з подолання описаних вище обмежень моделі Белла — Лападули, проведеним Карлом Ландвером, Констансом Хайтмайєром і Джоном Макліном в NRL. Метою розробників було створити прототип універсальної моделі, яка повною мірою задовольняє вимоги військових систем передачі повідомлень, не фокусуючись на використовуваних для реалізації моделі та для забезпечення дотримання політики безпеки технічних прийомів і механізмів. Отримана модель безпеки була представлена в якості технічного звіту NRL, а в серпні 1984 року стаття була опублікована у ACM Transactions on Computer Systems^[2].

Особливості моделі

Термінологія

Роль користувача — сукупність прав користувача, визначається характером виконуваних ним дій в системі. Користувач може змінювати свої ролі під час роботи в системі.

Об'єкт — однорівневий блок інформації.

Контейнер — багаторівнева інформаційна структура, яка може містити об'єкти та інші контейнери.

Сутність — об'єкт або контейнер.

Спосіб доступу до вмісту контейнера (CCR) — атрибут контейнерів, що визначає порядок звернення до його вмісту (з урахуванням рівня конфіденційності контейнера або з урахуванням тільки рівня конфіденційності сутності контейнера, до якої здійснюється звернення).

Ідентифікатор сутності — унікальний номер або ім'я сутності.

Безпосередня посилання — посилання на сутність, яка збігається з ідентифікатором сутності.

Непряме посилання — посилання на сутність, яка є частиною контейнера, через послідовність двох і більше посилань на сутності, в якій тільки перше посилання є ідентифікатор (безпосередня посилання).

Повідомлення — особливий тип сутностей, наявний в СВП. У більшості випадків повідомлення є контейнер, хоча в деяких системах, які тільки отримують повідомлення, воно може бути й об'єктом. Кожне повідомлення, як контейнер, містить кілька сутностей, що описують параметри, наприклад: кому, від кого, інформація, дата-час-група, текст, безпека.

Операція — функція, яка може бути виконана над сутностями. У моделі СВП основними операціями над повідомленнями є:

• операції над вхідними повідомленнями;
• операції над вихідними повідомленнями;
• операції зберігання і отримання повідомлень.

Принцип роботи моделі

Користувач може отримати доступ до системи тільки після проходження посвідчення особи. Для цього користувач повідомляє системі свій ідентифікатор (ID), і система виробляє аутентифікацію, використовуючи паролі, відбитки пальців або інші способи виявлення особистості. У разі успішного проходження аутентифікації користувач запитує системи операції для використання функцій системи. Операції, які користувач може запросити у системи, залежать від його ID або ролі, для якої він авторизований: з використанням операцій користувач може переглядати або змінювати об'єкти або контейнери^[7][2].

Постулати безпеки

Користувач завжди може скомпрометувати інформацію, до якої він має законний доступ. Таким чином, існує необхідність формулювання постулатів безпеки, які можуть бути виконані тільки користувачами системи^[7].

1. Системний офіцер безпеки коректно дозволяє доступ користувачів до сутностей і призначає рівні конфіденційності пристроїв і безлічі ролей.
2. Користувач призначає або перепризначає коректні рівні конфіденційності сутностей, коли створює або змінює в них інформацію.
3. Користувач коректно направляє повідомлення за адресатам і визначає безлічі доступу до створених ним самим сутностей.
4. Користувач правильно визначає атрибут CCR контейнерів.

Властивості моделі

Всього в моделі СВП описуються десять неформальних властивостей^[1]:

1. Авторизація. Користувач може здійснити операцію над сутностями тільки, якщо ідентифікатор користувача або його роль присутні в безлічі доступів сутності разом з даною операцією і правильними індексами операндів сутностей.
2. Ієрархія рівнів конфіденційності. Рівень конфіденційності будь-якого контейнера, принаймні, не нижчий максимуму рівнів конфіденційності сутностей, що в ньому містяться.
3. Безпечне перенесення інформації. Інформація, яку видобувають з об'єкта, успадковує рівень конфіденційності об'єкта. Інформація, впроваджувана в об'єкт, не повинна мати рівень конфіденційності вищий, ніж сам об'єкт.
4. Безпечний перегляд. Користувач може переглядати (на деяких пристроях виводу) сутність з рівнем конфіденційності не вище рівня доступу користувача та рівня конфіденційності пристрою виводу.
5. Доступ до сутностей з атрибутом CCR. Користувач може мати доступ побічно до сутностей контейнера з атрибутом CCR тільки в тому випадку, якщо користувач має рівень доступу не нижчий, ніж рівень конфіденційності контейнера.
6. Доступ за непрямою посиланням. Користувач може використовувати ідентифікатор контейнера, щоб одержати через нього непряме посилання на сутність тільки в разі, якщо він авторизований для перегляду цієї сутності з використанням посилання.
7. Відмітка виводу. Будь-яка сутність, переглянута користувачем, повинна бути позначена її рівнем конфіденційності.
8. Визначення доступів, безлічі ролей, рівнів пристроїв. Тільки користувач з роллю Системний офіцер безпеки може визначати права доступу і безліч ролей користувача, а також рівень конфіденційності пристроїв виведення інформації. Вибір поточної ролі з безлічі авторизованих ролей користувача може бути здійснено тільки самим користувачем або користувачем з роллю Системний офіцер безпеки.
9. Безпечне зниження рівня конфіденційності. Ніякий рівень конфіденційності не може бути знижений, за винятком тих випадків, коли зниження виконує користувач із відповідною роллю.
10. Безпечне відправлення повідомлень. Жодне попереднє повідомлення не може бути відправлено, за винятком випадку, коли це робить користувач з роллю відправник.

Недоліки моделі

Хоча модель СВП має переваги над моделлю Белла — Лападули^[8], вона все ж не позбавлена недоліків^[9]:

• У моделі СВП немає опису механізмів адміністрування. Зокрема, при описі пропущені такі можливі операції в системі, як створення нових сутностей, надання їм рівня конфіденційності і безлічі доступів. Коректність даних дій гарантується постулатами безпеки.
• Як і у всіх моделях мандатного розмежування доступу, в моделі СВП є ризик витоку інформації з прихованим каналах.

Використання моделі в інших проектах

Описанная модель систем военных сообщений была практически без изменения использована в разработке системы распределения сообщений Diamond^[2][2][10]. Также модель СВС нашла применение в управлении библиографическими системами^[8].

Примітки

1. Девянин, 2005.
2. Landwehr, 2001, с. 1.
3. Цирлов, 2008, с. 40.
4. Landwehr, 2001, с. 4.
5. E.J. McCauley, P.J.Drongowski. .
6. Landwehr, 2001, с. 4-5.
7. Баранов, 1997, с. 39.
8. Landwehr, 2001, с. 15.
9. Грибунин, 2009.
10. H.C. Forsdick, R.H. Thomas The design of a Diamond — A distributed multimedia document system. — Cambridge, Mass., 1982. — Октябрь. — С. 15

Література

• Девянин П. Н. Модели безопасности компьютерных систем: учеб. пособие для вузов по специальности 075200 "Компьютерная безопасность" и 075500 "Комлексное обеспечение информ. безопасности автоматизир. систем" — М.: Academia, 2005. — С. 68–77. — 143 с. — (Высшее профессиональное образование) — ISBN 978-5-7695-2053-2
• Баранов А.П., Борисенко Н.П., Зегжда П.Д., Ростовцев А.Г., Корт С.С. Математические основы информационной безопасности. — Москва: Издательство Агентства «Яхтсмен», 1997. — С. 37-43.
• Цирлов В.Л. Основы информационной безопасности автоматизированных систем. — Ростов-на-Дону: Феникс, 2008. — С. 40. — 173 с. — ISBN 978-5-222-13164-0.
• Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. — Москва: Издательский центр «Академия», 2009. — С. 239-242. — 416 с. — ISBN 978-5-7695-5448-3.
• Carl E. Landwehr, Constance L. Heitmeyer, John D. McLean A Security Model for Military Message Systems: Retrospective. — 2001.