МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» Институт математики и компьютерных наук Кафедра информационной безопасности Ниссенбаум Ольга Владимировна МОДЕЛИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ Учебно-методический комплекс. Рабочая программа для студентов специальности 10.05.01 Компьютерная безопасность, специализация «Безопасность распределенных компьютерных систем» очной формы обучения Тюменский государственный университет 2014 О.В. Ниссенбаум. Модели безопасности компьютерных систем. Учебно-методический комплекс. Рабочая программа для студентов специальности 10.05.01 Компьютерная безопасность, специализация «Безопасность распределенных компьютерных систем» очной формы обучения. Тюмень, 2014, 14 стр. Рабочая программа составлена в соответствии с требованиями ФГОС ВПО с учетом рекомендаций и ПрОП ВПО по специальности. Рабочая программа дисциплины опубликована на сайте ТюмГУ: Модели безопасности компьютерных систем [электронный ресурс] / Режим доступа: http://www.umk3.utmn.ru, свободный. Рекомендовано к изданию кафедрой информационной безопасности. Утверждено директором института математики и компьютерных наук Тюменского государственного университета. ОТВЕТСТВЕННЫЙ РЕДАКТОР: А.А. Захаров, д-р техн. наук, проф., заведующий кафедрой информационной безопасности ТюмГУ. © Тюменский государственный университет, 2014. © Ниссенбаум О.В., 2014. 1 1. Пояснительная записка 1.1. Цели и задачи дисциплины Целью изучения дисциплины «Модели безопасности компьютерных систем» является обучение специалистов принципам формального моделирования и анализа безопасности компьютерных систем (КС), реализующих управление доступом и информационными потоками, а также содействие фундаментализации образования, формированию научного мировоззрения и развитию системного мышления. Задачи дисциплины: изучение основных формальных моделей политик безопасности, моделей дискреционного, мандатного, ролевого управления доступом, изолированной программной среды и безопасности информационных потоков; приобретение навыков разработки математических модели безопасности защищаемых компьютерных систем. 1.2. Место дисциплины в структуре ООП Дисциплина «Модели безопасности компьютерных систем» относится к числу дисциплин базовой части профессионального цикла. Для успешного усвоения данной дисциплины необходимо, чтобы студент владел знаниями, умениями и навыками, сформированными в процессе изучения дисциплин: «Информатика» классификация современных компьютерных систем; «Математическая логика и теория алгоритмов» основные понятия математической логики и теории алгоритмов; «Дискретная математика» – основные понятия и методы дискретной математики; «Основы информационной безопасности» источники и классификацию угроз информационной безопасности, основные средства и способы обеспечения информационной безопасности, принципы построения систем защиты информации; «Защита в операционных системах» защитные механизмы и средства обеспечения безопасности операционных систем. Дисциплина «Модели безопасности компьютерных систем» является предшествующей для прохождения практики и итоговой государственной аттестации. 1.3. Требования к результатам освоения дисциплины Процесс изучения дисциплины направлен на формирование следующих компетенций: способность к логически-правильному мышлению, обобщению, анализу, критическому осмыслению информации, систематизации, прогнозированию, постановке исследовательских задач и выбору путей их решения на основании принципов научного познания (ОК-9); способность выявлять естественнонаучную сущность проблем, возникающих в ходе профессиональной деятельности, и применять соответствующий физико-математический аппарат для их формализации, анализа и выработки решения (ПК-1); 2 способность применять математический аппарат, в том числе с использованием вычислительной техники, для решения профессиональных задач (ПК-2); способность разрабатывать формальные модели политик безопасности, политик управления доступом и информационными потоками в компьютерных системах (ПК-11) способность проводить анализ безопасности компьютерных систем с использованием отечественных и зарубежных стандартов в области компьютерной безопасности (ПК-16); способность разрабатывать математические модели безопасности защищаемых компьютерных систем (ПК-18); способность проводить обоснование и выбор рационального решения по уровню защищенности компьютерной системы с учетом заданных требований (ПК-19); способность проводить анализ и формализацию поставленных задач в области компьютерной безопасности (ПК-20); способность участвовать в разработке системы защиты информации предприятия (организации) и подсистемы информационной безопасности компьютерной системы (ПК-24). В результате изучения дисциплины студент должен знать: основные виды политик управления доступом и информационными потоками в компьютерных системах; основные формальные модели дискреционного, мандатного, ролевого управления доступом, модели изолированной программной среды и безопасности информационных потоков; уметь: разрабатывать модели угроз и модели нарушителя безопасности компьютерных систем; разрабатывать частные политики безопасности компьютерных систем, в том числе политики управления доступом и информационными потоками. владеть: методами моделирования безопасности компьютерных систем, в том числе моделирования управления доступом и информационными потоками в компьютерных системах. 3 2. Структура и трудоемкость дисциплины. Таблица 1. Семестр 10 180 ч. (5 ЗЕТ) 75 45 30 105 экзамен Вид занятий Общая трудоемкость Аудиторные занятия Лекции Лабораторные работы Самостоятельная работа Вид итогового контроля 3. Тематический план Таблица 2. Модуль 1 1 Введение. Основные понятия и 0-1 определения. Угрозы безопасности. 2 Политика безопасности. 2-3 3 Нормативный подход к безопасности 4-5 Всего Модуль 2 4 Модели компьютерных систем с дискреционным управлением 6-8 доступом. 5 Модели компьютерных систем с 9-10 мандатным управлением доступом. Всего Модуль 3 6 Модели безопасности информаци11онных потоков и изолированной 12 программной среды. 7 Модели компьютерных систем с 13ролевым управлением доступом 14 8 Развитие формальных моделей 15 безопасности компьютерных систем Всего Итого (часов, баллов): Из них в интерактивной форме 5 6 Итого количество баллов 4 Из них в интерактивной форме 3 Итого часов по теме 2 Самостоятел ьная работа 1 Лабораторные работы Тема Виды учебной Ра-боты и самостоятельная работа, в час. Лекции № недели семестра Тематический план 7 8 9 0-9 3 2 5 10 4 6 6 15 4 4 10 15 15 35 25 25 60 6 5 15 0-9 0-9 0-27 9 6 20 35 8 0-14 6 4 15 25 7 0-19 15 10 35 60 15 0-33 6 4 10 20 6 0-19 6 4 10 20 6 0-14 3 2 15 20 3 0-7 15 45 20 10 30 25 35 60 105 180 15 0-40 0-100 45 4 Итого количество баллов Таблица 3. Виды и формы оценочных средств в период текущего контроля № Устный опрос Информационные Другие темы системы и технологии формы контроля собесеответ на Расчетная КомпьюДоклад дование семинаре работа на терное компьютере тестирование Модуль 1 1. 2. 3. Всего Модуль 2 4. 5. Всего Модуль 3 6. 7. 8. Всего Итого 0-2 0-2 0-2 0-2 0-2 0-2 0-5 0-5 0-5 0-2 0-2 0-2 0-2 0-10 0-10 0-2 0-2 0-2 0-2 0-10 0-10 0-9 0-9 0-9 0-27 0-14 0-19 0-33 0-5 0-5 0-19 0-14 0-7 0-40 0-100 0-7 Таблица 4. Конспектирование материРабота с ала на лекционных занятиучебной ях. Подготовка к собеседолитературой ванию и тестированию. 1.3 НормативКонспектирование материРабота с . ный подход к ала на лекционных занятиучебной безопаснос- ях. Подготовка к собеседолитературой. ти ванию и тестированию. Всего по модулю 1: Модуль 2 Модели комп- Конспектирование материа- Работа с 2.1 ьютерных си- ла на лекционных занятиях. учебной стем с диск- Выполнение расчетной ра- литературой Кол-во баллов Конспектирование материРабота с ала на лекционных занятиучебной ях. Подготовка к собеседолитературой ванию и тестированию. Объем часов Модуль 1 1.1 Введение. Основные понятия и определения. Угрозы безопасности. 1.2 Политика безопасности. Неделя семестра № Планирование самостоятельной работы студентов Модули и Виды СРС темы обязательные дополнительные 0-1 5 0-9 2-3 15 0-9 4-5 15 0-9 23 0-27 20 0-14 6-8 5 реционным боты, подготовка к управлением собеседованию. доступом. Модели Конспектирование матекомпьютерн риала на лекционных заых систем с 2.2 нятиях. Выполнение расмандатным четной работы, подготовуправлением ка к собеседованию. доступом. Всего по модулю 2: Модуль 3 Модели безоКонспектирование матепасности инриала на лекционных заформационнятиях. Выполнение рас3.1 ных потоков и четной работы, подготовизолированка к собеседованию и ной програмтестированию. мной среды. Модели компКонспектирование матеьютерных сириала на лекционных застем с роле3.2 нятиях. Выполнение расвым управлечетной работы, подготовнием достука к собеседованию. пом Развитие формальных Конспектирование матемоделей бе3.3 риала на лекционных зазопасности нятиях. компьютерных систем Всего по модулю 3: ИТОГО: Работа с учебной литературой Работа с учебной литературой Работа с учебной литературой Работа с учебной литературой, подготовка доклада. 910 15 0-19 23 0-33 1112 6 4 1314 6 4 15 3 15 23 105 0-40 0-100 4. Разделы дисциплины и междисциплинарные связи обеспечиваемыми (последующими) дисциплинами с Дисциплина «Модели безопасности компьютерных систем» является предшествующей для прохождения практики и итоговой государственной аттестации. 5. Содержание разделов дисциплины. 1. Введение. Основные понятия и определения. Угрозы безопасности информации. Сущность, субъект, доступ, информационный потокОсновные элементы теории компьютерной безопасности (сущность, субъект, доступ, право доступа, информационные потоки по памяти или по времени). Основная аксиома. Проблема построения защищенной КС. Модели ценности информации: аддитивная модель, порядковая шкала, решетка многоуровневой безопасности. 2. Политика безопасности. Классификация угроз безопасности информации. Угрозы конфиденциальности, целостности, доступности информации, раскрытия 6 параметров КС. Понятие политики безопасности. Модель нарушителя. Основные виды политик управления доступом и информационными потоками. Политики дискреционного, мандатного, ролевого управления доступом, изолированной программной среды и безопасности информационных потоков. Представление политик безопасности. 3. Нормативный подход к безопасности. Классические стандарты информационной безопасности. Оранжевая книга. Руководящие документы ФСТЭК (Гостехкомиссии при Президенте РФ). Классы защищенности автоматизированных систем. Единые критерии безопасности информационных технологий (ГОСТ Р ИСО 15408). Сертификация средств защиты в РФ. Верификация защиты. 4. Модели компьютерных систем с дискреционным управлением доступом. Модель матрицы доступов Харрисона-Руззо-Ульмана (ХРУ). Анализ безопасности систем ХРУ. Монооперационные системы ХРУ. Алгоритмическая неразрешимость задачи проверки безопасности систем ХРУ.Модель типизированной матрицы доступов (ТМД). Монотонные системы ТМД и их каноническая форма. Граф создания. Ациклические монотонные ТМД и алгоритм проверки их безопасности. Классическая модель распространения прав доступа Take-Grant. Де-юре правила преобразования графов доступов. Условия передачи прав доступа в графе доступов, состоящем только из субъектов. Остров, мост, пролеты моста. Условия передачи прав доступа в произвольном графе доступов при отсутствии ограничений на кооперацию субъектов. Расширенная модель распространения прав доступа Take-Grant. Де-факто правила преобразования графов доступов и информационных потоков. Условия реализации информационных потоков. Алгоритм построения замыкания графа доступов и информационных потоков. Представление систем Take-Grant системами ХРУ и ТМД. 5. Модели компьютерных систем с мандатным управлением доступом. Классическая модель Белла-ЛаПадулы. Свойства безопасности. Безопасный доступ, состояние, система. Базовая теорема безопасности. Интерпретации модели Белла-ЛаПадулы: модель реализации политики low-watermark, безопасность переходов, модель мандатной политики целостности информации Биба. Недостатки модели Белла-ЛаПадулы. Примеры реализации запрещенных информационных потоков. Интерпретации модели Белла-ЛаПадулы: модель реализации политики low-watermark, безопасность переходов, модель мандатной политики целостности информации Биба. Недостатки модели Белла-ЛаПадулы. Примеры реализации запрещенных информационных потоков по памяти или по времени. Модель систем военных сообщений. Неформальное и формальное описания модели систем военных сообщений. Безопасное состояние. Безопасность переходов. Потенциальная модификация сущности с источником. Смыслы безопасности функции переходов. 6. Модели безопасности информационных потоков и изолированной программной среды. Автоматная модель безопасности информационных потоков. Программная модель контроля информационных потоков. Контролирующий механизм защиты. Вероятностная модель безопасности информационных потоков. Информационное невлияние. Субъектноориентированная модель изолированной программной среды (ИПС). Объекты, функционально ассоциированные с субъектами. Мониторы безопасности обращений и порождения субъектов. Базовая теорема ИПС. 7 7. Модели компьютерных систем с ролевым управлением доступом. Базовая модель ролевого управления доступом. Модель администрирования ролевого управления доступом. Описание базовой модели ролевого управления доступом. Иерархия ролей. Механизм ограничений. Модель администрирования ролевого управления доступом. Администрирование множеств авторизованных ролей пользователей, прав доступа, которыми обладает роли, иерархии ролей. Субъектно-ориентированная модель изолированной программной среды. Модель мандатного ролевого управления доступом. Задание иерархии ролей и ограничений в соответствии с требованиями либерального или строгого мандатного управления доступом. Безопасность информационных потоков. Защита от угроз конфиденциальности и целостности информации. 8. Развитие формальных моделей безопасности компьютерных систем. Взаимосвязь положений классических формальных моделей безопасности КС. Критический анализ классических моделей. Проблема адекватности реализации модели безопасности в реальной КС. Развитие формальных моделей. Обзор семейства формальных моделей управления доступом и информационными потоками (ДП-моделей) КС с дискреционным, мандатным или ролевым управлением доступом. Доверенные и недоверенные субъекты. Анализ информационных потоков по памяти или по времени. Функционально или параметрически ассоциированные с субъектами сущности. 6. Практические занятия. Тема 1: Введение. Основные понятия и определения. Угрозы безопасности информации. 1. Решение ситуационных задач в группах на определение видов угроз информационной безопасности в заданной автоматизированной системе. Тема 2: Политика безопасности. 2. Решение ситуационных задач в группах по составлению неформальных политик безопасности для заданной автоматизированной системе. 3. Настройка элементов политики безопасности операционной системы Windows XP SP2. 4. Элементы политики безопасности в ОС ASP Linux 11.2. Тема 3: Нормативный подход к безопасности. 5. Изучение нормативов ИБ. Рассмотрение политик безопасности. Тема 4: Модели компьютерных систем с дискреционным управлением доступом. 6. математические основы моделей безопасности. Элементы теории графов, теории автоматов. 7. Рассмотрение систем ХРУ. Выполнение задач на описание моделей ХРУ, ТМД. Модель ХРУ как основа дискреционной политики безопасности в ОС Windows. 8. Модель Take-Grant. Решение задач на определение свойств безопасности модели Take-Grant. Тема 5: Модели компьютерных систем с мандатным управлением доступом. 9. Модель Белла-ЛаПадулы. Решение задач на определение безопасности системы Белла-ЛаПадулы. 10. Модель Белла-ДаПадулы в ОС Unix. 8 Тема 6: Модели безопасности информационных потоков и изолированной программной среды. 11. Решение задач на определение свойств модели безопасности информационных потоков. 12. Решение задач на определение свойств безопасности модели изолированной программной среды. Тема 7: Модели компьютерных систем с ролевым управлением доступом. 13. Модель администрирования ролевого управления доступом. 14. Модель мандатного ролевого управления доступом.. Тема 8: Развитие формальных моделей безопасности компьютерных систем. 15. Свойства семейства ДП-моделей. 7. Учебно - методическое обеспечение самостоятельной работы студентов. Оценочные средства для текущего контроля успеваемости, промежуточной аттестации по итогам освоения дисциплины (модуля). Проверка качества подготовки в течение семестра предполагает следующие виды промежуточного контроля: А) выполнение расчетных работ. Б) решение задач в группах на практических занятиях под руководством преподавателя. В) компьютерное тестирование. Г) подготовка студентом доклада. Текущий и промежуточный контроль освоения и усвоения материала дисциплины осуществляется в рамках рейтинговой (100-бальной) системы оценок. Примерные темы докладов: 1) Семейство ДП-моделей. 2) Базовая ДП-модель. 3) ДП-модель без кооперации доверенных и недоверенных субъектов. 4) ДП-модели КС с дискреционным управлением. 5) ФАС-ДП модель. 6) Мандатная ДП-модель. 7) ДП-модели безопасности информационных потоков по времени. 8) Базовая ролевая ДП-модель. Темы расчетных работ: 1) Проверка свойств безопасности монооперационной системы ХРУ. 2) Проверка свойств безопасности МТМД. 3) Проверка свойств безопасности классической Take-Grant. 4) Проверка свойств безопасности расширенной Take-Grant. 5) Проверка свойств безопасности системы Белла-ЛаПадулы. 6) Соответствие неформального и формального описаний модели СВС. 7) Проверка безопасности системы ИПС. 8) Проверка безопасности администрирования ролевого управления доступом. 9 Примерные вопросы теста 1.Какие виды политик информационной безопасности рассматриваются в теории компьютерной безопасности (отметьте один или несколько ответов). 1*) мандатная 2) древовидная 3) многоуровневая 4*) ролевая 5*) дискреционная 6) дискретизированная 7) ничего из перечисленного 2. Как формулируется основная аксиома теории компьютерной безопасности? 1) Все вопросы безопасности информации в КС описываются перечнем субъектов и объектов; 2) Все вопросы безопасности информации в КС описываются уровнями субъектов и объектов; 3*) Все вопросы безопасности информации в КС описываются доступами субъектов к объектам; 4) Все вопросы безопасности информации в КС описываются доступами субъектов к субъектам; 5) Все вопросы безопасности информации в КС описываются уровнями доступа субъектов и уровнями безопасности объектов; 6) ничего из перечисленного. 3.Какие из перечисленных моделей являются дискреционными? 1) Модель Биба; 2*) Модель Харрисона-Руззо-Ульмана; 3) Модель Белла-ЛаПадулы; 4*) Модель Take-Grant; 5) Модель систем военных сообщений; 6) Модель изолированной программной среды. 4. Существует ли алгоритм проверки безопасности систем ХРУ? 1) Да, существует для общего случая; 2) Нет, не существует ни для каких ХРУ; 3) Существует только для монооперационных ХРУ; 4) Существует для некоторых разновидностей ХРУ, а в общем случае – возможно существует, но не найден; 5*) Существует для некоторых разновидностей ХРУ, а в общем случае доказано, что не существует. 6) Вопрос о существовании или не существовании такого алгоритма не решен ни для каких ХРУ. 5. Какие из перечисленных правил являются де-факто правилами расширенной модели Take-Grant? 1) take 2) grant 10 3) write 4) read 5*) spy 6*) find 7*) post 8*) pass 9) invoke 10) observe Вопросы к зачету 1. Модели ХРУ и ТМД. Классическая и расширенная модели Take-Grant. 2. Модель решетки многоуровневой безопасности. Классическая модель Белла-ЛаПадулы. 3. Модели ролевого управления доступом. Иерархия ролей и задание ограничений в модели мандатного ролевого управления доступом. 4. Решетка многоуровневой безопасности. 5. Модель Take-Grant. Применение теорем о передачи прав доступа. 6. Расширенная модель Take-Grant. Правила де-юре и де-факто. Применение теоремы об условиях реализации информационного потока. 7. Расширенная модель Take-Grant. Построение замыкания графа доступов. 8. Модель ХРУ. Этапы обоснования теоремы об алгоритмической неразрешимости задачи проверки безопасности систем ХРУ. 9. Сведение модели ХРУ к модели ТМД и наоборот. Сведение модели TakeGrant к моделям ХРУ и ТМД. 10. Модель Белла-ЛаПадулы. Обоснование теоремы БТБ. Пример некорректной интерпретации свойств безопасности. 11. Модель Белла-ЛаПадулы. Безопасность переходов. 12. Модель СВС. Потенциальная модификация сущности. 13. Модель СВС. Безопасная система. ss-, *-, ds-свойства безопасности. 14. Модель мандатного ролевого управления доступом. Обоснование теоремы об информационных потоках. ss- и *-свойства безопасности. 15. Анализ в рамках ДП-моделей информационных потоков по памяти или по времени. 8. Образовательные технологии Предусмотрено сочетание традиционных видов учебной активности, таких как конспектирование лекций и контроль усвоения теоретического материала в виде собеседования, выполнение расчетных работ под руководством преподавателя, так и новых образовательных технологий, таких как тестирование, выполнение и обсуждение докладов. Студенты активно вовлекаются в процесс чтения лекций, получая и выполняя задания на усвоение материала во время лекционных занятий. Например, студентам предлагается проверить истинность некоторого предиката согласно условию изложенной лектором теоремы, применить алгоритм к модельной задаче и т.п. Подготовка и защита студентами докладов по темам, не входящим в план лекций, а также выполнение расчетных работ, позволяют расширить научный кругозор студентов, повысить навык работы с учебной и научной отечественной и зарубежной литературой, развить языковые навыки, повысить математическую подготовку, укрепить междисциплинарные связи, повысить навык программирования, развить навык систематизировать и свободно излагать перед аудиторией материал по заданной теме. 11 9. Литература 9.1. ОСНОВНАЯ: 1. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. Учебное пособие для вузов. М.: Горячая линия - Телеком, 2011. 320 с. 2. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000. 452 с. 9.2. ДОПОЛНИТЕЛЬНАЯ: 1. Расторгуев С.П. Основы информационной безопасности: учеб. пособие для студ. высших учебных заведений. М.: Издательский центр «Академия», 2007. 192 с. 2. Тихонов В.А., Райх В.В. Информационная безопасность: концептуальные, правовые, организационные и технические аспекты: Учебное пособие. М.: Гелиос АРВ, 2006. 528 с. 3. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. Учебное пособие. М.: Книжный мир, 2009. 352 с. 4. Bishop M. Computer Security: art and science. ISBN 0-201-44099-7, 2002. 1084 p. 5. Прикладная дискретная математика. Томск: ООО «Издательство научно-технической литературы». 6. Проблемы информационной безопасности. Компьютерные системы. СПб.: Издательство Политехнического университета. 9.3. Программное обеспечение и Интернет-ресурсы. - вузовские электронно-библиотечные системы учебной литературы. - база научно-технической информации ВИНИТИ РАН - доступ к открытым базам цитирования, в т.ч. springer.com, scholar.google.com, math-net.ru - ОС Windows XP, ОС Unix. 10.Технические средства и материально-техническое оснащение. Для организации самостоятельной работы студентов необходим компьютерный класс с витруальной машиной с возможностью входа под учетной записью администратора и уставноленной ОС Windows XP или ОС Unix. Для проведения лекционных занятий требуется переносной компьютер и проектор (разрешение не менее 1280х1024). 12