Sotilaallisten viestijärjestelmien malli

Sotilasviestijärjestelmien malli ( SVS malli , English  Military Message System , MMS ) on kulunvalvonta- ja hallintamalli, joka keskittyy pakollisen turvapolitiikan toteuttaviin viestien vastaanotto-, lähetys- ja käsittelyjärjestelmiin [1] . SAF-mallin kehittivät vuonna 1984 Yhdysvaltain armeijan eduksi US Naval Research Laboratoryn ( NRL) työntekijät Karl Landwehr, Constance Heitmeier ja John McLean poistaakseen tuolloin käytetyn Bell-mallin puutteet - Lapadula [2] .  

Historia

Ennen CBC -mallin tuloa Bell-LaPadula-mallia [3] käytettiin pääasiassa hallinto- ja sotilasrakenteissa pakollisen kulunvalvonnan toteuttavien turvajärjestelmien rakentamiseen . Kuitenkin 1970-luvun lopulla ja 1980-luvun alussa Yhdysvaltain armeija suoritti MME-kokeen ( Military Message Experiment ) [4] parantaakseen Yhdysvaltain Tyynenmeren komentokunnan viestintäjärjestelmää . Nykyinen järjestelmä, joka perustuu AUTODIN- järjestelmään , jossa viestit jaetaan paikallisesti pneumaattisen postin avulla, piti korvata uudella ARPANET -järjestelmään ja sähköpostiin perustuvalla järjestelmällä . Uudessa järjestelmässä oletettiin olevan monitasoinen turvarakenne ( eng. Multilevel security , MLS) [2] . Samaan aikaan tutkittiin käyttöjärjestelmien kehitystä samalla periaatteella [5] .   

MME:n aikana havaittiin, että Bell-Lapadula-mallissa on useita vakavia puutteita [4] :

• Kielto tallentaa "alas". Bell-LaPadula-mallissa ei ole mahdollista kirjoittaa kohteista, joilla on korkeampi yksityisyystaso , objekteihin, joiden yksityisyys on matalampi. Esimerkiksi huippusalaista viestiä ei ole mahdollista kirjoittaa uudelleen salaiseen luokkaan , vaikka se joskus on välttämätöntä [4] .
• Monitasoisten kohteiden puute. Tietojen lukeminen ja kirjoittaminen vain yhden tason objektien välillä on sallittua. Kun esimerkiksi luetaan luokittelemattomia yksityisyystason tietoja luokkasalaisesta viestistä , järjestelmä pakotetaan määrittämään luokan salaisuus [4] luettavalle tiedolle .
• Monipuolisuuden puute. Esimerkiksi sotilasviestintäjärjestelmissä on määriteltävä erityisiä turvallisuussääntöjä, joita ei löydy mallin muista sovelluksista. Tällaisia ​​sääntöjä ei kuvata Bell-LaPadula-mallissa, ja siksi ne on määriteltävä mallin ulkopuolella [6] .

Kokemus MLS-käyttöjärjestelmien kokeilemisesta ja rakentamisesta johti tutkimukseen Bell-LaPadula-mallin rajoitusten voittamisesta , joita Carl Landwehr, Constance Heitmyer ja John McLean NRL:stä ovat kuvanneet. Kehittäjien tavoitteena oli luoda prototyyppi universaalista mallista, joka täyttää täysin sotilaallisten viestintäjärjestelmien vaatimukset, keskittymättä tekniikoihin ja mekanismeihin , joita mallin toteuttamisessa ja turvallisuuspolitiikan noudattamisen varmistamisessa on käytetty. Tuloksena oleva suojausmalli toimitettiin NRL:n teknisenä raportina, ja elokuussa 1984 artikkeli julkaistiin ACM Transactions on Computer Systems -lehdessä [2] .

Mallin ominaisuudet

Terminologia

Käyttäjän rooli - joukko käyttäjän oikeuksia, jotka määräytyvät hänen järjestelmässä suorittamiensa toimien luonteen mukaan. Käyttäjä voi vaihtaa roolejaan työskennellessään järjestelmässä.

Objekti on yksitasoinen tietolohko.

Säiliö on kerrostettu tietorakenne, joka voi sisältää objekteja ja muita säiliöitä.

Entiteetti on objekti tai säiliö.

Container Content Access Method (CCR) on säilöjen attribuutti, joka määrittää järjestyksen, jossa sen sisältöä käytetään (riippuen säilön tietosuojatasosta tai ottaen huomioon vain käytettävän säilön entiteetin herkkyystason).

Entity Identifier - kokonaisuuden yksilöllinen numero tai nimi.

Suora linkki on entiteettiviittaus, joka vastaa entiteetin tunnistetta.

Epäsuora viittaus on viittaus kokonaisuuteen, joka on osa säilöä kahden tai useamman entiteettiviittauksen sekvenssin kautta, jossa vain ensimmäinen viittaus on tunniste (välitön viittaus).

Viesti on CBC:ssä löydetty erityinen entiteetti. Useimmissa tapauksissa viesti on säilö, vaikka joissakin vain sanomajärjestelmissä se voi olla objekti. Jokainen viesti säilönä sisältää useita kokonaisuuksia, jotka kuvaavat sen parametreja, esimerkiksi: kenelle, keneltä, tiedot, päivämäärä-aika-ryhmä, teksti, turvallisuus.

Toiminto on toiminto, joka voidaan suorittaa entiteeteille. CBC-mallissa tärkeimmät viestien toiminnot ovat:

• saapuvien viestien toiminnot;
• lähtevien viestien toiminnot;
• viestien tallennus- ja vastaanottotoiminnot.

Kuinka malli toimii

Käyttäjä pääsee järjestelmään vasta luovutettuaan henkilötodistuksen. Tätä varten käyttäjä ilmoittaa järjestelmälle tunnuksensa (ID), ja järjestelmä suorittaa todennuksen salasanoilla, sormenjäljillä tai muilla henkilöllisyyden tunnistamiskeinoilla. Jos todennus onnistuu, käyttäjä pyytää järjestelmältä toimintoja järjestelmän toimintojen käyttämiseksi. Toiminnot, joita käyttäjä voi pyytää järjestelmältä, riippuvat hänen tunnuksestaan ​​tai roolista, johon hän on valtuutettu: operaatioiden avulla käyttäjä voi tarkastella tai muokata objekteja tai säiliöitä [8] [2] .

Turvalausekkeet

Käyttäjä voi aina vaarantaa tietoja, joihin hänellä on laillinen käyttöoikeus. Näin ollen on olemassa tarve muotoilla turvallisuusoletuksia, jotka vain järjestelmän käyttäjät voivat täyttää [8] .

1. Järjestelmän tietoturvavastaava sallii käyttäjien pääsyn entiteeteihin oikein ja määrittää laitteen tietosuojatasot ja useita rooleja.
2. Käyttäjä määrittää tai määrittää uudelleen oikeat tietosuojatasot entiteeteille, kun he luovat tai muokkaavat niissä olevia tietoja.
3. Käyttäjä ohjaa viestit oikein vastaanottajille ja määrittelee pääsyjoukot luomilleen entiteeteille.
4. Käyttäjä asettaa oikein säilöjen CCR-attribuutin.

Mallin ominaisuudet

SHS-mallissa [9] on kuvattu yhteensä kymmenen epävirallista ominaisuutta :

1. Valtuutus . Käyttäjä voi suorittaa toiminnon entiteeteille vain, jos käyttäjätunnus tai rooli on läsnä entiteetin pääsyjoukossa toiminnon ja oikeiden entiteetin operandiindeksien kanssa.
2. Yksityisyystasojen hierarkia . Minkä tahansa säilön tietosuojataso on vähintään yhtä korkea kuin sen sisältämien entiteettien tietosuojataso.
3. Turvallinen tiedonsiirto . Objektista haettu tieto perii objektin yksityisyystason. Objektiin upotetun tiedon ei pitäisi olla korkeampaa luottamuksellisuustasoa kuin itse objekti.
4. Selaussuoja . Käyttäjä voi tarkastella (jollakin tulostuslaitteella) entiteettiä, jonka yksityisyystaso ei ole korkeampi kuin käyttäjän käyttöoikeustaso ja tulostuslaitteen yksityisyystaso.
5. Entiteetin käyttö CCR-attribuutilla . Käyttäjä voi käyttää epäsuorasti säilön entiteettejä CCR-attribuutilla vain, jos käyttäjän käyttöoikeustaso on suurempi tai yhtä suuri kuin säilön tietosuojataso.
6. Pääsy epäsuoran linkin kautta . Käyttäjä voi käyttää säilön tunnistetta saadakseen epäsuoran viittauksen entiteettiin sen kautta vain, jos hän on valtuutettu tarkastelemaan kyseistä entiteettiä käyttämällä tätä viittausta.
7. Lähtömerkki . Kaikki käyttäjän tarkastelemat entiteetit on merkittävä yksityisyystasolla.
8. Käyttöoikeuksien, useiden roolien ja laitetasojen määrittely . Vain käyttäjä, jolla on System Security Officer -rooli, voi määrittää käyttöoikeudet ja useita käyttäjärooleja sekä tulostuslaitteiden tietosuojatason. Nykyisen roolin valinnan valtuutettujen käyttäjäroolien joukosta voi suorittaa vain käyttäjä itse tai käyttäjä, jolla on System Security Officer -rooli.
9. Turvallinen yksityisyyden alentaminen . Mitään yksityisyyden tasoa ei voi alentaa, ellei käyttäjä, jolla on asianmukainen rooli, alentaa sitä.
10. Viestien lähettäminen turvallisesti . Luonnosviestiä ei voi lähettää, ellei lähettäjän roolissa oleva käyttäjä tee niin.

Mallin haitat

Vaikka SHS-mallilla on etuja Bell-LaPadula-malliin verrattuna [10] , se ei silti ole vailla haittoja [11] :

• CBC-mallissa ei ole kuvausta antomekanismeista. Erityisesti kuvauksesta on jätetty pois sellaiset mahdolliset toiminnot järjestelmässä kuin uusien entiteettien luominen, niille luottamuksellisuustason määrittäminen ja pääsyt. Näiden toimien oikeellisuus on taattu turvallisuusasenteilla.
• Kuten kaikissa pakollisen kulunvalvontamalleissa , myös SHS-mallissa on riski tietovuodosta salaisia ​​kanavia pitkin .

Mallin käyttäminen muissa projekteissa

Kuvattua sotilasviestijärjestelmien mallia käytettiin lähes muuttumattomana Diamond [2] [12] viestinjakelujärjestelmän kehittämisessä . Myös SHS-malli on löytänyt sovelluksen bibliografisten järjestelmien hallinnassa [10] .

Muistiinpanot

1. ↑ Devyanin, 2005 , s. 68-69.
2. ↑ 1 2 3 4 5 Landwehr, 2001 , s. yksi.
3. ↑ Tsirlov, 2008 , s. 40.
4. ↑ 1 2 3 4 Landwehr, 2001 , s. neljä.
5. ↑ EJ McCauley, PJ Drongowski. KSOS-Suojatun käyttöjärjestelmän suunnittelu . - 1979. - kesäkuuta. - S. 345-353 .
6. ↑ Landwehr, 2001 , s. 4-5.
7. ↑ Devyanin, 2005 , s. 68-77.
8. ↑ 1 2 Baranov, 1997 , s. 39.
9. ↑ Devyanin, 2005 , s. 70-71.
10. ↑ 1 2 Landwehr, 2001 , s. viisitoista.
11. ↑ Gribunin, 2009 , s. 239-242.
12. ↑ H. C. Forsdick, R. H. Thomas. Diamond-hajautetun multimediadokumenttijärjestelmän suunnittelu. - Cambridge, Massachusetts, 1982. - lokakuu. - S. 15 .

Kirjallisuus

• Devyanin P. N. Tietokonejärjestelmien tietoturvamallit : oppikirja. käsikirja yliopistoille erikoisaloilla 075200 "Tietokoneturvallisuus" ja 075500 "Automaattisten järjestelmien integroitu tietoturva" - M .: Academia , 2005. - S. 68-77. — 143 s. - ( Korkeampi ammatillinen koulutus ) - ISBN 978-5-7695-2053-2

• Baranov A.P., Borisenko N.P., Zegzhda P.D., Rostovtsev A.G., Kort S.S. Tietoturvan matemaattiset perusteet . - Moskova: Yachtsman Agencyn kustantamo, 1997. - S. 37-43. Arkistoitu 11. kesäkuuta 2011 Wayback Machinessa

• Tsirlov V.L. Automatisoitujen järjestelmien tietoturvan perusteet . - Rostov-on-Don: Phoenix, 2008. - S.  40 . — 173 s. — ISBN 978-5-222-13164-0 .

• Gribunin V.G., Chudovsky V.V. Integroitu tietoturvajärjestelmä yrityksessä. - Moskova: Publishing Center "Academy", 2009. - S. 239-242. — 416 s. - ISBN 978-5-7695-5448-3 .

• Carl E. Landwehr, Constance L. Heitmeyer, John D. McLean. Turvallisuusmalli sotilasviestijärjestelmille: Retrospektiivi . – 2001.