Модель систем военных сообщений

Модель систем военных сообщений (модель СВС, англ. Military Message System, MMS) — модель контроля и управления доступом, ориентированная на системы приема, передачи и обработки сообщений, реализующие мандатную политику безопасности^[1]. Модель СВС была разработана в 1984 году в интересах вооружённых сил США сотрудниками научно-исследовательской лаборатории военно-морских сил США (англ. U.S. Naval Research Laboratory, NRL) Карлом Ландвером, Констансом Хайтмайером и Джоном Маклином с целью устранения недостатков использовавшейся в то время модели Белла — Лападулы^[2].

История

До появления модели СВС для построения систем безопасности, реализующих мандатное управление доступом, в правительственных и военных структурах использовалась в основном модель Белла — Лападулы^[3]. Однако, в конце 1970-х — начале 1980-х годов военными США был проведен эксперимент MME (англ. Military Message Experiment)^[4] с целью совершенствования системы связи Тихоокеанского командования вооружёнными силами США. Существующую систему, основанную на системе AUTODIN с локальным распределением сообщений при помощи пневматической почты, требовалось заменить на новую, построенную на системе ARPANET и электронной почте. Предполагалось, что новая система будет обладать многоуровневой структурой безопасности (англ. Multilevel security, MLS)^[2]. В то же время проводилось исследование по разработке операционных систем, основанных на этом же принципе^[5].

В ходе MME обнаружилось, что модель Белла — Лападулы имеет ряд серьёзных недостатков^[4]:

• Запрет записи «вниз». В модели Белла — Лападулы невозможна запись от объектов с более высоким уровнем конфиденциальности к объектам с более низким уровнем. Например, невозможно переписать сообщение класса top secret в класс secret, хотя иногда это бывает необходимо^[4].
• Отсутствие многоуровневых объектов. Допускается чтение и запись информации между объектами только одного уровня. Например, при чтении информации уровня конфиденциальности unclassified из сообщения класса secret, система будет вынуждена присвоить читаемой информации класс secret^[4].
• Отсутствие универсальности применения. Например, в военных системах передачи сообщений, должны определяться особые правила безопасности, которые отсутствуют в других приложениях модели. Такие правила не описаны моделью Белла — Лападулы, и поэтому должны быть определены вне модели^[6].

Опыт эксперимента и создания операционных систем MLS привел к исследованию по преодолению описанных выше ограничений модели Белла — Лападулы, проведённому Карлом Ландвером, Констансом Хайтмайером и Джоном Маклином в NRL. Целью разработчиков было создать прототип универсальной модели, которая в полной мере удовлетворяет требованиям военных систем передачи сообщений, не фокусируясь на используемых для реализации модели и для обеспечения соблюдения политики безопасности технических приемах и механизмах. Полученная модель безопасности была представлена в качестве технического отчёта NRL, а в августе 1984 года статья была опубликована в ACM Transactions on Computer Systems^[2].

Особенности модели

Основной источник: ^[7]

Терминология

Роль пользователя — совокупность прав пользователя, определяемая характером выполняемых им действий в системе. Пользователь может менять свои роли во время работы в системе.

Объект — одноуровневый блок информации.

Контейнер — многоуровневая информационная структура, которая может содержать объекты и другие контейнеры.

Сущность — объект или контейнер.

Способ доступа к содержимому контейнера (CCR) — атрибут контейнеров, определяющий порядок обращения к его содержимому (с учётом уровня конфиденциальности контейнера или с учётом только уровня конфиденциальности сущности контейнера, к которой осуществляется обращение).

Идентификатор сущности — уникальный номер или имя сущности.

Непосредственная ссылка — ссылка на сущность, совпадающая с идентификатором сущности.

Косвенная ссылка — ссылка на сущность, являющуюся частью контейнера, через последовательность двух и более ссылок на сущности, в которой только первая ссылка есть идентификатор (непосредственная ссылка).

Сообщение — особый тип сущностей, имеющийся в СВС. В большинстве случаев сообщение есть контейнер, хотя в некоторых системах, только получающих сообщения, оно может быть и объектом. Каждое сообщение как контейнер содержит несколько сущностей, описывающих его параметры, например: кому, от кого, информация, дата-время-группа, текст, безопасность.

Операция — функция, которая может быть выполнена над сущностями. В модели СВС основными операциями над сообщениями являются:

• операции над входящими сообщениями;
• операции над исходящими сообщениями;
• операции хранения и получения сообщений.

Принцип работы модели

Пользователь может получить доступ к системе только после прохождения удостоверения личности. Для этого пользователь сообщает системе свой идентификатор (ID), и система производит аутентификацию, используя пароли, отпечатки пальцев или другие способы выявления личности. В случае успешного прохождения аутентификации пользователь запрашивает у системы операции для использования функций системы. Операции, которые пользователь может запросить у системы, зависят от его ID или роли, для которой он авторизован: с использованием операций пользователь может просматривать или изменять объекты или контейнеры^[8][2].

Постулаты безопасности

Пользователь всегда может скомпрометировать информацию, к которой он имеет законный доступ. Таким образом, существует необходимость формулирования постулатов безопасности, которые могут быть выполнены только пользователями системы^[8].

1. Системный офицер безопасности корректно разрешает доступ пользователей к сущностям и назначает уровни конфиденциальности устройств и множества ролей.
2. Пользователь назначает или переназначает корректные уровни конфиденциальности сущностей, когда создаёт или редактирует в них информацию.
3. Пользователь корректно направляет сообщения по адресатам и определяет множества доступа к созданным им самим сущностям.
4. Пользователь правильно задает атрибут CCR контейнеров.

Свойства модели

Всего в модели СВС описываются десять неформальных свойств^[9]:

1. Авторизация. Пользователь может осуществить операцию над сущностями только, если идентификатор пользователя или его роль присутствуют во множестве доступов сущности вместе с данной операцией и правильными индексами операндов сущностей.
2. Иерархия уровней конфиденциальности. Уровень конфиденциальности любого контейнера, по крайней мере, не ниже максимума уровней конфиденциальности сущностей, в нём содержащихся.
3. Безопасный перенос информации. Информация, извлекаемая из объекта, наследует уровень конфиденциальности объекта. Информация, внедряемая в объект, не должна иметь уровень конфиденциальности выше, чем сам объект.
4. Безопасный просмотр. Пользователь может просматривать (на некотором устройстве вывода) сущность с уровнем конфиденциальности не выше уровня доступа пользователя и уровня конфиденциальности устройства вывода.
5. Доступ к сущностям с атрибутом CCR. Пользователь может иметь доступ косвенно к сущностям контейнера с атрибутом CCR только в том случае, если пользователь имеет уровень доступа не ниже чем уровень конфиденциальности контейнера.
6. Доступ по косвенной ссылке. Пользователь может использовать идентификатор контейнера, чтобы получить через него косвенную ссылку на сущность только в случае, если он авторизован для просмотра этой сущности с использованием этой ссылки.
7. Пометка вывода. Любая сущность, просматриваемая пользователем, должна быть помечена её уровнем конфиденциальности.
8. Определение доступов, множества ролей, уровней устройств. Только пользователь с ролью Системный офицер безопасности может определять права доступа и множество ролей пользователя, а также уровень конфиденциальности устройств вывода информации. Выбор текущей роли из множества авторизованных ролей пользователя может быть осуществлен только самим пользователем или пользователем с ролью Системный офицер безопасности.
9. Безопасное понижение уровня конфиденциальности. Никакой уровень конфиденциальности не может быть понижен, за исключением тех случаев, когда понижение выполняет пользователь с соответствующей ролью.
10. Безопасное отправление сообщений. Никакое черновое сообщение не может быть отправлено, за исключением случая, когда это делает пользователь с ролью отправитель.

Недостатки модели

Хотя модель СВС имеет преимущества над моделью Белла — Лападулы^[10], она все же не лишена недостатков^[11]:

• В модели СВС нет описания механизмов администрирования. В частности, при описании пропущены такие возможные операции в системе, как создания новых сущностей, задания им уровня конфиденциальности и множества доступов. Корректность данных действий гарантируется постулатами безопасности.
• Как и во всех моделях мандатного разграничения доступа, в модели СВС есть риск утечки информации по скрытым каналам.

Использование модели в других проектах

Описанная модель систем военных сообщений была практически без изменения использована в разработке системы распределения сообщений Diamond^[2][12]. Также модель СВС нашла применение в управлении библиографическими системами^[10].