Model de sisteme de mesaje militare

Modelul sistemelor de mesaje militare ( model SVS , English  Military Message System , MMS ) este un model de control și management al accesului axat pe sisteme de recepție, transmitere și procesare a mesajelor care implementează o politică de securitate obligatorie [1] . Modelul SAF a fost dezvoltat în 1984 în interesul armatei americane de către angajații Laboratorului de Cercetare Navală al SUA  ( NRL) de Karl Landwehr, Constance Heitmeier și John McLean pentru a elimina deficiențele modelului Bell folosit la acea vreme - Lapadula [2] .

Istorie

Înainte de apariția modelului CBC , modelul Bell-LaPadula [3] a fost utilizat în principal în structuri guvernamentale și militare pentru a construi sisteme de securitate care implementează controlul obligatoriu al accesului . Cu toate acestea, la sfârșitul anilor 1970 și începutul anilor 1980, armata americană a efectuat experimentul MME ( Military Message Experiment ) [4] pentru a îmbunătăți sistemul de comunicații al Comandamentului Pacific al SUA. Sistemul existent, bazat pe sistemul AUTODIN cu distribuție locală a mesajelor prin poștă pneumatică , trebuia înlocuit cu unul nou construit pe sistemul ARPANET și e-mail . S-a presupus că noul sistem va avea o structură de securitate pe mai multe niveluri ( ing. Multilevel security , MLS) [2] . Totodată, s-au efectuat cercetări privind dezvoltarea sistemelor de operare bazate pe același principiu [5] .   

În timpul MME, s-a constatat că modelul Bell-Lapadula are o serie de deficiențe grave [4] :

• Interzicerea înregistrării „jos”. În modelul Bell-LaPadula, nu se poate scrie de la obiecte cu un nivel mai mare de intimitate la obiecte cu un nivel mai scăzut. De exemplu, nu este posibil să rescrieți mesajul secret în clasa secretă , deși acest lucru este uneori necesar [4] .
• Lipsa obiectelor pe mai multe niveluri. Este permisă citirea și scrierea informațiilor între obiecte de un singur nivel. De exemplu, când citește informații de nivel de confidențialitate neclasificate dintr-un mesaj cu secret de clasă , sistemul va fi forțat să atribuie secretul de clasă [4] informațiilor citite .
• Lipsa de versatilitate. De exemplu, în sistemele de mesagerie militare, trebuie definite reguli speciale de securitate care nu se găsesc în alte aplicații ale modelului. Astfel de reguli nu sunt descrise de modelul Bell-LaPadula și, prin urmare, trebuie definite în afara modelului [6] .

Experiența de a experimenta și construi sisteme de operare MLS a condus la cercetări privind depășirea limitărilor modelului Bell- LaPadula descris mai sus de Carl Landwehr, Constance Heitmyer și John McLean la NRL. Scopul dezvoltatorilor a fost să creeze un prototip al unui model universal care să îndeplinească pe deplin cerințele sistemelor de mesagerie militare, fără a se concentra pe tehnicile și mecanismele utilizate pentru implementarea modelului și pentru a asigura conformitatea cu politica de securitate . Modelul de securitate rezultat a fost depus ca raport tehnic NRL, iar în august 1984 a fost publicat un articol în ACM Transactions on Computer Systems [2] .

Caracteristicile modelului

Terminologie

Rol de utilizator - un set de drepturi de utilizator, determinate de natura acțiunilor efectuate de acesta în sistem. Utilizatorul își poate schimba rolurile în timp ce lucrează în sistem.

Un obiect este un bloc de informații cu un singur nivel.

Un container este o structură de informații stratificată care poate conține obiecte și alte containere.

O entitate este un obiect sau un container.

Container Content Access Method (CCR) este un atribut al containerelor care determină ordinea în care este accesat conținutul acestuia (în funcție de nivelul de confidențialitate al containerului sau luând în considerare doar nivelul de sensibilitate al entității container care este accesată).

Identificator de entitate - un număr sau un nume unic al entității.

O legătură directă este o referință de entitate care se potrivește cu identificatorul de entitate.

O referință indirectă este o referință la o entitate care face parte dintr-un container printr-o secvență de două sau mai multe referințe de entitate în care doar prima referință este un identificator (referință imediată).

Un mesaj este un tip special de entitate găsit în CBC. În cele mai multe cazuri, un mesaj este un container, deși în unele sisteme de mesaje poate fi un obiect. Fiecare mesaj ca container conține mai multe entități care își descriu parametrii, de exemplu: cui, de la cine, informații, dată-oră-grup, text, securitate.

O operație este o funcție care poate fi efectuată asupra entităților. În modelul CBC, principalele operațiuni asupra mesajelor sunt:

• operațiuni privind mesajele primite;
• operațiuni asupra mesajelor de ieșire;
• operațiuni de stocare și primire a mesajelor.

Cum funcționează modelul

Utilizatorul poate accesa sistemul numai după ce a trecut cartea de identitate. Pentru a face acest lucru, utilizatorul spune sistemului identificatorul său (ID), iar sistemul efectuează autentificarea folosind parole, amprente sau alte mijloace de identificare. În cazul autentificării cu succes, utilizatorul solicită operațiuni de la sistem pentru a utiliza funcțiile sistemului. Operațiunile pe care un utilizator le poate solicita din sistem depind de ID-ul său sau de rolul pentru care este autorizat: folosind operațiuni, utilizatorul poate vizualiza sau modifica obiecte sau containere [8] [2] .

Postulate de securitate

Utilizatorul poate compromite oricând informațiile la care are acces legal. Astfel, este nevoie de a formula postulate de securitate care pot fi îndeplinite doar de utilizatorii sistemului [8] .

1. Ofițerul de securitate a sistemului permite corect accesul utilizatorilor la entități și atribuie niveluri de confidențialitate a dispozitivului și mai multe roluri.
2. Utilizatorul atribuie sau reatribuie nivelurile corecte de confidențialitate entităților atunci când creează sau editează informații în ele.
3. Utilizatorul direcționează corect mesajele către destinatari și definește seturi de acces la entitățile create de el.
4. Utilizatorul setează corect atributul CCR al containerelor.

Proprietăți model

În total, zece proprietăți informale sunt descrise în modelul SHS [9] :

1. Autorizare . Un utilizator poate efectua o operație asupra entităților numai dacă ID-ul utilizatorului sau rolul este prezent în setul de acces al entității împreună cu operația și indecșii operanzilor de entitate corecti.
2. Ierarhia nivelurilor de confidențialitate . Nivelul de confidențialitate al oricărui container este cel puțin la fel de înalt ca nivelurile maxime de confidențialitate ale entităților pe care le conține.
3. Transferul securizat de informații . Informațiile preluate de la un obiect moștenesc nivelul de confidențialitate al obiectului. Informațiile încorporate într-un obiect nu trebuie să aibă un nivel de confidențialitate mai mare decât obiectul în sine.
4. Navigare sigură . Utilizatorul poate vizualiza (pe un dispozitiv de ieșire) o entitate cu un nivel de confidențialitate nu mai mare decât nivelul de acces al utilizatorului și nivelul de confidențialitate al dispozitivului de ieșire.
5. Accesarea entităților cu atributul CCR . Un utilizator poate accesa indirect entități container cu atributul CCR numai dacă utilizatorul are un nivel de acces mai mare sau egal cu nivelul de confidențialitate al containerului.
6. Acces prin link indirect . Un utilizator poate folosi un identificator de container pentru a obține o referință indirectă la o entitate prin intermediul acestuia numai dacă este autorizat să vizualizeze acea entitate folosind acea referință.
7. Marca de ieșire . Orice entitate vizualizată de utilizator ar trebui să fie marcată cu nivelul său de confidențialitate.
8. Definirea acceselor, roluri multiple, niveluri de dispozitiv . Doar un utilizator cu rolul de ofițer de securitate a sistemului poate defini drepturile de acces și mai multe roluri de utilizator, precum și nivelul de confidențialitate al dispozitivelor de ieșire. Selectarea rolului curent din setul de roluri de utilizator autorizate poate fi efectuată numai de utilizatorul însuși sau de un utilizator cu rol de Ofițer de securitate a sistemului.
9. Degradare sigură a confidențialității . Niciun nivel de confidențialitate nu poate fi retrogradat decât dacă este retrogradat de către un utilizator cu rolul corespunzător.
10. Trimiterea de mesaje în siguranță . Nicio schiță de mesaj nu poate fi trimisă decât dacă un utilizator cu rolul de expeditor face acest lucru.

Dezavantajele modelului

Deși modelul SHS are avantaje față de modelul Bell-LaPadula [10] , nu este încă lipsit de dezavantaje [11] :

• Nu există o descriere a mecanismelor de administrare în modelul CBC. În special, descrierea omite astfel de operațiuni posibile în sistem, cum ar fi crearea de noi entități, atribuirea acestora un nivel de confidențialitate și un set de accesări. Corectitudinea acestor acțiuni este garantată de postulate de securitate.
• Ca în toate modelele de control al accesului obligatoriu , în modelul SHS există riscul scurgerii de informații prin canale secrete .

Utilizarea modelului în alte proiecte

Modelul descris de sisteme de mesaje militare a fost folosit aproape neschimbat în dezvoltarea sistemului de distribuție a mesajelor Diamond [2] [12] . De asemenea, modelul SHS și-a găsit aplicație în managementul sistemelor bibliografice [10] .

Note

1. ↑ Devyanin, 2005 , p. 68-69.
2. ↑ 1 2 3 4 5 Landwehr, 2001 , p. unu.
3. ↑ Tsirlov, 2008 , p. 40.
4. ↑ 1 2 3 4 Landwehr, 2001 , p. patru.
5. ↑ EJ McCauley, PJ Drongowski. KSOS-Designul unui sistem de operare securizat . - 1979. - Iunie. - S. 345-353 .
6. ↑ Landwehr, 2001 , pp. 4-5.
7. ↑ Devyanin, 2005 , p. 68-77.
8. ↑ 1 2 Baranov, 1997 , p. 39.
9. ↑ Devyanin, 2005 , p. 70-71.
10. ↑ 1 2 Landwehr, 2001 , p. cincisprezece.
11. ↑ Gribunin, 2009 , p. 239-242.
12. ↑ H. C. Forsdick, R. H. Thomas. Designul unui diamant – Un sistem de documente multimedia distribuit. - Cambridge, Mass., 1982. - Octombrie. - S. 15 .

Literatură

• Devyanin P. N. Modele de securitate ale sistemelor informatice : manual. manual pentru universități în specialitatea 075200 „Securitate informatică” și 075500 „Securitate informațională integrată a sistemelor automatizate” - M .: Academia , 2005. - S. 68-77. — 143 p. - ( Învăţământ profesional superior ) - ISBN 978-5-7695-2053-2

• Baranov A.P., Borisenko N.P., Zegzhda P.D., Rostovtsev A.G., Kort S.S. Fundamentele matematice ale securității informațiilor . - Moscova: Editura Agenției Yachtsman, 1997. - S. 37-43. Arhivat pe 11 iunie 2011 la Wayback Machine

• Tsirlov V.L. Fundamentele securității informaționale a sistemelor automatizate . - Rostov-pe-Don: Phoenix, 2008. - P.  40 . — 173 p. — ISBN 978-5-222-13164-0 .

• Gribunin V.G., Chudovsky V.V. Sistem integrat de securitate a informațiilor la întreprindere. - Moscova: Centrul de editare „Academia”, 2009. - S. 239-242. — 416 p. - ISBN 978-5-7695-5448-3 .

• Carl E. Landwehr, Constance L. Heitmeyer, John D. McLean. Un model de securitate pentru sistemele de mesaje militare: o retrospectivă . — 2001.