Ασφάλεια Πληροφοριακών Συστημάτων Δρ. Γιώργος Αγγελινός Φορμαλιστικά μοντέλα ελέγχου προσπέλασης
Εισαγωγή Πώς μπορούμε να είμαστε βέβαιοι ότι ένα σύστημα λειτουργεί «όπως πρέπει»; «Καλό όνομα» του κατασκευαστή Σειρά ελέγχων και χρήση εμπειρίας Μια καλή στρατηγική για την επίτευξη επιβεβαιώσιμης ασφάλειας είναι η ανάπτυξη ενός (φορμαλιστικού) μοντέλου ασφάλειας το οποίο θα απεικονίζει τόσο την ίδια την πολιτική όσο και το σύστημα. 2 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Οι Φορμαλιστικές Μέθοδοι διακρίνονται σε τρεις κατηγορίες: Μαθηματικός φορμαλισμός: Η φορμαλιστική απόδειξη είναι ένας πλήρης και πειστικός μαθηματικός ισχυρισμός. Μηχανικός φορμαλισμός: Η φορμαλιστική απόδειξη είναι σύνολο πειστηρίων που παρουσιάζονται σε ένα ελεγκτή αποδείξεων. Φορμαλισμός Hilbert: Η φορμαλιστική απόδειξη μιας θεωρίας Θ είναι μια συνέπεια τύπων με κάθε τύπο να είναι είτε αξίωμα της Θ είτε επακόλουθο προηγούμενων τύπων. 3 Τμήμα Ψηφιακών Συστημάτων
Βασικές Έννοιες (1/3) Η λέξη «προσπέλαση» υποδηλώνει ότι υπάρχει ένα ενεργό υποκείμενο ( π.χ. χρήστες, διεργασίες ) που προσπελαύνει ένα παθητικό αντικείμενο ( π.χ. υπολογιστικοί πόροι ) με σκοπό την εκτέλεση κάποιας συγκεκριμένης λειτουργίας. Κάθε οντότητα σε ένα σύστημα, δεν κατηγοριοποιείται μοναδικά ως υποκείμενο ή αντικείμενο. Υποκείμενα – Αντικείμενα: Σαν έννοιες διακρίνουν την ενεργή και την παθητική οντότητα σε μια αίτηση προσπέλασης. 4 Τμήμα Ψηφιακών Συστημάτων
Βασικές Έννοιες (2/3) Οι παραπάνω έννοιες μας προσφέρουν δυο βασικές επιλογές για την πολιτική ασφάλειας: Μπορεί να καθορισθεί τι επιτρέπεται να κάνει κάθε υποκείμενο ή τι επιτρέπεται να πάθει κάθε αντικείμενο Θεμελιώδεις πράξεις: observe και alter Bell – LaPadula: read, write, append, execute 5 Τμήμα Ψηφιακών Συστημάτων
Βασικές έννοιες (3/3) Δικτύωμα: είναι μια μαθηματική κατασκευή που αποτελείται από στοιχεία και από ένα σχεσιακό τελεστή. Τα στοιχεία του δικτυώματος μπορούν να διαταχθούν με μια μερική διάταξη , η οποία είναι μια σχέση που έχει τη μεταβατική και την αντισυμμετρική ιδιότητα. Λέμε ότι το στοιχείο b κυριαρχεί του a αν a b. Δεν είναι όλα τα στοιχεία του δικτυώματος ανά δύο συγκρίσιμα. Για κάθε a και b υπάρχει u τέτοιο ώστε a u και b u (άνω φράγμα) Τελεστής ένωσης: ⊕ που καθορίζει πώς ορίζεται η ένωση δύο στοιχείων του δικτυώματος. 6 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Προσπέλασης Ορισμός: Ο μηχανισμός που ελέγχει τη δυνατότητα των χρηστών να χρησιμοποιούν πληροφορίες ή υπολογιστικούς πόρους, στο πλαίσιο ενός πληροφοριακού συστήματος. Σκοποί: Ο έλεγχος κάθε προσπέλασης. Η εφαρμογή της αρχής του ελάχιστου προνομίου. Επαλήθευση αποδεκτής χρήσης. 7 Τμήμα Ψηφιακών Συστημάτων
Πολιτικές Ελέγχου Προσπέλασης Οι Πολιτικές Ελέγχου Προσπέλασης διακρίνονται με βάση τον βαθμό ευαισθησίας της πληροφορίας και τον βαθμό εμπιστοσύνης. Βαθμός ευαισθησίας πληροφορίας Άκρως Απόρρητη & Απόρρητη Βαθμός εμπιστοσύνης Εμπιστευτική Αδιαβάθμητη 8 Τμήμα Ψηφιακών Συστημάτων Access Control Decision Facility Έλεγχος Προσπέλασης (ISO) Access Control Enforcement Facility
Πολιτικές Ελέγχου Προσπέλασης Πολιτική Υποχρεωτικού Ελέγχου Προσπέλασης (MAC) Η εφαρμογή της είναι υποχρεωτική για όλους τους χρήστες του συστήματος. Αρχή need-to-know Διαμερίσματα πληροφορίας Άδεια προσπέλασης στην πολιτική MAC χορηγείται αν: Ο βαθμός εμπιστοσύνης του χρήστη που ζητά την άδεια είναι τουλάχιστον ίσος με το βαθμό ευαισθησίας της πληροφορίας για τουλάχιστον όλα τα διαμερίσματα στα οποία ανήκει η προς προσπέλαση πληροφορία, και Η άδεια προσπέλασης δεν παρέχει, άμεσα ή έμμεσα, δυνατότητα υποβιβασμού του βαθμού ευαισθησίας μιας πληροφορίας μέσω εγγραφής της σε πληροφορία χαμηλότερου βαθμού ευαισθησίας. H MAC χρησιμοποιείται στα στρατιωτικά πληροφοριακά συστήματα ασφάλειας. 9 Τμήμα Ψηφιακών Συστημάτων
Πολιτικές Ελέγχου Προσπέλασης Πολιτική Διακριτικού Ελέγχου Προσπέλασης(DAC) Η διακίνηση της πληροφορίας είναι βασικά ελεύθερη. Οι κανόνες της διακίνησης αυτής καθορίζονται αποκλειστικά και μόνο από τους ιδιοκτήτες (ή παραγωγούς) της πληροφορίας. Η απόφαση για τη χορήγηση ή όχι άδειας προσπέλασης βασίζεται μόνο στην ταυτότητα των χρηστών ή/και των ομάδων στις οποίες αυτοί ανήκουν. Η δυνατότητα ενός χρήστη που έχει ήδη κάποιο συγκεκριμένο δικαίωμα προσπέλασης να το μεταβιβάσει σ’ έναν άλλο χρήστη επαφίεται στη διακριτική ευχέρεια του χρήστη, χωρίς να απαιτείται η διαμεσολάβηση του διαχειριστή συστήματος. Η DAC χρησιμοποιείται στα πληροφοριακά συστήματα ασφάλειας ακαδημαϊκού περιβάλλοντος. 10 Τμήμα Ψηφιακών Συστημάτων
Πολιτικές Ελέγχου Προσπέλασης Πολιτική Ρολοκεντρικού Ελέγχου Προσπέλασης (RBAC) Η έννοια του ρόλου συμπεριλαμβάνει τα καθήκοντα, αρμοδιότητες, αλλά και τα προσόντα που κάποιος (π.χ. ένας χρήστης) έχει. Μπορεί να θεωρηθεί ως ένα σύνολο ενεργειών που μπορεί να κάνει ένας χρήστης. Η πολιτική Ρολο-Κεντρικού Ελέγχου Προσπέλασης βασίζει τις αποφάσεις για τη χορήγηση άδειας προσπέλασης στις ενέργειες που ένας χρήστης επιτρέπεται να εκτελέσει. Η μεταβίβαση δικαιωμάτων προσπέλασης σε άλλους χρήστες, δεν αφήνεται στη διακριτική ευχέρεια των χρηστών. Η RBAC πολιτική εφαρμόζεται σε διάφορους οργανισμούς, για παράδειγμα σε ένα νοσοκομείο (ρόλοι: γιατρός, νοσοκόμα, φαρμακοποιός, διοικητικός υπάλληλος). 11 Τμήμα Ψηφιακών Συστημάτων
Πολιτικές Ελέγχου Προσπέλασης Πολιτική Σινικού Τείχους (CWAC) Η πληροφορία διακρίνεται σε δημόσια και εταιρική. Η ανάγνωση δημόσιας πληροφορίας είναι βασικά ελεύθερη Η ανάγνωση εταιρικής πληροφορίας υπόκειται σε υποχρεωτικούς ελέγχους. Άδεια προσπέλασης χορηγείται αν: Η πληροφορία στην οποία αφορά η άδεια, ανήκει ή στην ίδια κλάση αντικρουόμενων συμφερόντων με κάποια άλλη πληροφορία που ήδη έχει προσπελάσει ο ίδιος χρήστης ή σε κλάση αντικρουόμενων συμφερόντων για την οποία δεν έχει ακόμη αποκτήσει άδεια προσπέλασης Όταν χορηγηθεί η άδεια δεν είναι δυνατό να αναγνωσθεί πληροφορία που ανήκει σε διαφορετική κλάση αντικρουόμενων συμφερόντων απ’ αυτή για την οποία ζητείται άδεια εγγραφής. 12 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Bell-Lapadula (1/3) Το μοντέλο αναπτύχθηκε προκειμένου να διασφαλίσει την ασφαλή ροή πληροφορίας και επεκτάθηκε για να χρησιμοποιηθεί ως μοντέλο ελέγχου προσπέλασης. Έστω σύστημα με σύνολο υποκειμένων S, σύνολο αντικειμένων Ο, σύνολο δικαιωμάτων Α με στοιχεία e, r, a, w και σύνολο διαβαθμίσεων L. Σύστημα: μηχανή καταστάσεων V=(BxCxM). B είναι το σύνολο όλων των δυνατών τρεχόντων συνόλων δικαιωμάτων προσπέλασης. Το τρέχον σύνολο δικαιωμάτων προσπέλασης συμβολίζεται με b. Κάθε στοιχείο του b είναι της μορφής (S i,O j,x). C είναι υποσύνολο του L S xL S xL O. Κάθε στοιχείο του C είναι της μορφής (cmax(s),c(s),c(o)). M είναι ο πίνακας προσπέλασης. 13 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Bell-Lapadula (1/3 συνέχεια ) C είναι υποσύνολο του L S xL S xL O. Κάθε στοιχείο του C είναι της μορφής (cmax(s),c(s),c(o)). cmax(s) μέγιστη διαβάθμιση του υποκειμένου S c(s) τρέχουσα διαβάθμιση του υποκειμένου S c(o) διαβάθμιση του αντικειμένου M είναι ο πίνακας προσπέλασης. 14 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Bell-Lapadula (2/3) Απλή ιδιότητα ασφάλειας: ένα υποκείμενο s μπορεί να αποκτήσει άδεια προσπέλασης ανάγνωσης ενός αντικειμένου o μόνο αν c(o)≤ c(s). Ιδιότητα *: ένα υποκείμενο s που έχει άδεια προσπέλασης ανάγνωσης σε ένα αντικείμενο o, μπορεί να αποκτήσει άδεια προσπέλασης εγγραφής σε άλλο αντικείμενο p μόνο αν c(o) ≤ c(p). Έμπιστα υποκείμενα Ιδιότητα ds: κάθε τρέχον δικαίωμα προσπέλασης επιτρέπεται από τον τρέχοντα πίνακα προσπέλασης. 15 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Bell-Lapadula (3/3) Μια κατάσταση του συστήματος θεωρείται ασφαλής εάν πληρούνται και οι τρεις αυτές ιδιότητες. Μια μετάβαση από την κατάσταση v 1 στην κατάσταση v 2 είναι ασφαλής αν οι v 1 και v 2 είναι ασφαλείς. Αν όλες οι μεταβολές κατάστασης είναι ασφαλείς και η αρχική κατάσταση είναι ασφαλής, τότε κάθε επόμενη κατάσταση είναι ασφαλής, ανεξάρτητα από τις εισόδους. Ιδιότητα ηρεμίας: τα δικαιώματα προσπέλασης είναι στατικά καθορισμένα. Το μοντέλο στην αρχική του μορφή μπορεί να περιγράψει φορμαλιστικά την πολιτική MAC ως προς την εμπιστευτικότητα. Η επέκτασή του μπορεί να χρησιμοποιηθεί για τη φορμαλιστική περιγραφή και της πολιτικής DAC. 16 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Σινικού Τείχους (1/2) Αν και το μοντέλο δεν διατυπώθηκε φορμαλιστικά, ωστόσο αποδείχθηκε (Sandhu) ότι μπορεί να διατυπωθεί φορμαλιστικά χρησιμοποιώντας ένα δικτύωμα. Έστω σύστημα με n κλάσεις αντικρουομένων συμφερόντων COI 1, COI 2, …, COI n. Κάθε μια περιέχει m i εταιρείες. Κάθε αντικείμενο χαρακτηρίζεται από ένα n- άνυσμα με τα ονόματα των εταιρειών για τις οποίες περιέχει πληροφορία. Βαθμός Ασφάλειας: n ‑ άνυσμα όπου κάθε ή 17 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Σινικού Τείχους (2/2) Σχέση διάταξης: l 1 >=l 2 αν l 1i =l 2i ή l 2i =κενό, I=1,2,…,n. Κάτω φράγμα: βαθμός ασφάλειας με όλα τα στοιχεία ίσα με το κενό Άνω φράγμα: ορίζεται χωρίς να χαρακτηρισθεί κανένα αντικείμενο του συστήματος με αυτόν Τελεστής ένωσης: l 1 και l 2 συμβατοί αν l 1i =l 2i ή l 1i =κενό ή l 2i =κενό, i=1,2,…,n. 18 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλα Πολιτικών RBAC (1/6) Οι πολιτικές RBAC περιγράφονται φορμαλιστικά από μια οικογένεια τεσσάρων μοντέλων: FLAT RBAC (Βασικό) Hierarchical RBAC Constrained RBAC Symmetric RBAC 19 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλα Πολιτικών RBAC (2/6) Το μοντέλο Flat RBAC είναι το βασικό και περιέχει τις ελάχιστες απαιτήσεις ενός συστήματος RBAC : Οι χρήστες αποκτούν άδειες μέσω ρόλων. Υποστηρίζεται η ανάθεση ρόλων σε χρήστες με απεικόνιση πολλά- προς-πολλά. Υποστηρίζεται η ανάθεση αδειών σε ρόλους με απεικόνιση πολλά προς -πολλά. Υποστηρίζεται η επανεξέταση της ανάθεσης ρόλων σε χρήστες. Οι χρήστες μπορούν να χρησιμοποιήσουν άδειες πολλαπλών ρόλων ταυτόχρονα. 20 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλα Πολιτικών RBAC (3/6) Το πιο πολύπλοκο μοντέλο Hierarchical RBAC ( επίπεδο 2 ) υποστηρίζει τις λειτουργίες του Flat RBAC και επιπλέον: Υποστηρίζεται η ιεραρχία ρόλων (μερική διάταξη). Στο επίπεδο 2a υποστηρίζονται αυθαίρετες ιεραρχίες. Στο επίπεδο 2b υποστηρίζονται περιορισμένες ιεραρχίες (δένδρα, ανεστραμμένα δένδρα). 21 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλα Πολιτικών RBAC (4/6) Το μοντέλο Constrained RBAC ( επίπεδο 3 ) υποστηρίζει τις λειτουργίες του Hierarchical RBAC και επιπλέον Επιβάλλει την αρχή του διαχωρισμού καθηκόντων Στο επίπεδο 3a υποστηρίζονται αυθαίρετες ιεραρχίες. Στο επίπεδο 3b υποστηρίζονται περιορισμένες ιεραρχίες (δένδρα, ανεστραμμένα δένδρα). 22 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλα Πολιτικών RBAC (5/6) Το μοντέλο Symmetric RBAC ( επίπεδο 4 ) υποστηρίζει τις λειτουργίες του Constrained RBAC και επιπλέον: Υποστηρίζεται η επανεξέταση της ανάθεσης αδειών σε ρόλους με επίδοση αντίστοιχη μ’ εκείνη της επανεξέτασης της ανάθεσης ρόλων σε χρήστες. Στο επίπεδο 4a υποστηρίζονται αυθαίρετες ιεραρχίες. Στο επίπεδο 4b υποστηρίζονται περιορισμένες ιεραρχίες (δένδρα, ανεστραμμένα δένδρα). 23 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλα Πολιτικών RBAC (6/6) Στο μοντέλο RBAC ισχύουν οι εξής ιδιότητες ασφάλειας : Ιεραρχία ρόλων Στατικός διαχωρισμός καθηκόντων Πληθικός αριθμός Συσχέτιση ρόλου Εκτέλεση λειτουργίας Δυναμικός διαχωρισμός καθηκόντων Εξουσιοδότηση λειτουργίας Επιχειρησιακός διαχωρισμός καθηκόντων Εξουσιοδότηση προσπέλασης αντικειμένου 24 Τμήμα Ψηφιακών Συστημάτων
Ιδιότητες ασφάλειας RBAC (1/5) Ιεραρχία ρόλων: Αν ένα υποκείμενο είναι εξουσιοδοτημένο ως μέλος ενός ρόλου και αυτός ο ρόλος εμπεριέχει έναν άλλο ρόλο, τότε το υποκείμενο είναι εξουσιοδοτημένο και ως προς τον περιεχόμενο ρόλο. Στατικός διαχωρισμός καθηκόντων: Ένα υποκείμενο είναι εξουσιοδοτημένο ως μέλος ενός ρόλου μόνο αν αυτός ο ρόλος δεν είναι αμοιβαία αποκλειόμενος με οποιονδήποτε άλλο ρόλο του οποίου είναι μέλος το υποκείμενο. 25 Τμήμα Ψηφιακών Συστημάτων
Ιδιότητες ασφάλειας RBAC (2/5) Πληθικός αριθμός: Ο μέγιστος αριθμός μελών ενός ρόλου, αν έχει καθορισθεί, δε μπορεί να αυξηθεί. Συσχέτιση ρόλου: Ένα υποκείμενο δε μπορεί ποτέ να είναι μέλος ενός ενεργού ρόλου με τον οποίο δεν είναι συσχετισμένο. Εκτέλεση λειτουργίας: Ένα υποκείμενο μπορεί να εκτελέσει μια λειτουργία μόνο αν ενεργεί εντός ενεργού ρόλου. 26 Τμήμα Ψηφιακών Συστημάτων
Ιδιότητες ασφάλειας RBAC (3/5) Δυναμικός διαχωρισμός καθηκόντων: Ένα υποκείμενο μπορεί να ενεργοποιηθεί σε νέο ρόλο μόνο αν ο προτεινόμενος ρόλος δεν είναι αμοιβαία αποκλειόμενος με οποιονδήποτε από τους ρόλους στους οποίους είναι ήδη ενεργοποιημένο το υποκείμενο. Εξουσιοδότηση λειτουργίας: Ένα υποκείμενο μπορεί να εκτελέσει μια λειτουργία μόνο αν ο ρόλος στον οποίο το υποκείμενο είναι επί του παρόντος ενεργοποιημένο είναι προς τούτο εξουσιοδοτημένος. 27 Τμήμα Ψηφιακών Συστημάτων
Ιδιότητες ασφάλειας RBAC (4/5) Επιχειρησιακός διαχωρισμός καθηκόντων: Δεν πρέπει να είναι δυνατό κάποιος χρήστης, μόνος του, μέσω των ρόλων στους οποίους εντάσσεται, να μπορεί να εκτελέσει όλες τις λειτουργίες που απαιτούνται για μια πλήρη επιχειρησιακή λειτουργία. 28 Τμήμα Ψηφιακών Συστημάτων
Ιδιότητες ασφάλειας RBAC (5/5) Εξουσιοδότηση προσπέλασης αντικειμένου: Ένα υποκείμενο μπορεί να προσπελάσει ένα αντικείμενο μόνο αν ο ρόλος του είναι τμήμα του τρέχοντος ενεργού συνόλου ρόλων του υποκειμένου, τα μέλη του ρόλου επιτρέπεται να εκτελέσουν τη λειτουργία και υπάρχει εξουσιοδότηση για τη λειτουργία επί του αντικειμένου. 29 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Harrison-Ruzzo-Ullman (1/2) Φορμαλιστική διατύπωση του μηχανισμού του πίνακα προσπέλασης. Το μοντέλο αυτό ορίζει ως σύστημα προστασίας ένα σύνολο γενικευμένων δικαιωμάτων R και ένα σύνολο εντολών C ως κατάσταση του συστήματος προστασίας ορίζεται το τρι- άνυσμα (S, O, A), όπου (S= σύνολο υποκειμένων, Ο= σύνολο αντικειμένων, Α= πίνακας προσπέλασης). Αλλαγές στην κατάσταση του συστήματος γίνονται μέσω των εντολών του C. command name (o 1, o 2, …, o k ) if r 1 in A[s 1, o 1 ] and r 2 in A[s 2, o 2 ] and … r m in A[s m, o m ] then op 1, op 2, …, op n end 30 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Harrison-Ruzzo-Ullman (2/2) Ορίζονται έξι βασικές πράξεις: create object o. Ένα υποκείμενο μπορεί να δημιουργήσει ένα νέο αντικείμενο. create subject s. Ένα υποκείμενο μπορεί να δημιουργήσει ένα νέο υποκείμενο. destroy subject s. Ένα υποκείμενο μπορεί να διαγράψει ένα υποκείμενο. destroy object o. Ένα υποκείμενο μπορεί να διαγράψει ένα αντικείμενο. enter r into A[s,o]. Ο ιδιοκτήτης ενός αντικειμένου καθορίζει τα δικαιώματα προσπέλασης οποιουδήποτε υποκειμένου s επί του αντικειμένου ο. delete r from A[s,o]. Με την πράξη αυτή ο ιδιοκτήτης ενός αντικειμένου αίρει τα δικαιώματα προσπέλασης οποιουδήποτε υποκειμένου s επί του αντικειμένου o. 31 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Graham-Denning Το μοντέλο αυτό χρησιμοποιεί οκτώ βασικές πράξεις για να ελέγξει τη ροή πληροφοριών μεταξύ υποκειμένων και αντικειμένων σ’ ένα σύστημα: Δημιουργία αντικειμένου Δημιουργία υποκειμένου Διαγραφή υποκειμένου Διαγραφή αντικειμένου Ανάγνωση δικαιώματος προσπέλασης Παραχώρηση δικαιώματος προσπέλασης Ανάκληση δικαιώματος προσπέλασης Μεταβίβαση δικαιώματος προσπέλασης 32 Τμήμα Ψηφιακών Συστημάτων
Φορμαλιστικά Μοντέλα Ελέγχου Προσπέλασης Μοντέλο Ανάκλησης-Παραχώρησης ( Take-Grant ) Η μαθηματική δομή που χρησιμοποιεί το μοντέλο αυτό είναι ο κατευθυνόμενος γράφος : Το μοντέλο υποστηρίζει τις εξής πράξεις : Δημιουργία αντικειμένου Ανάκληση δικαιώματος προσπέλασης Παραχώρηση δικαιώματος προσπέλασης Ανάκληση δικαιώματος προσπέλασης 33 Τμήμα Ψηφιακών Συστημάτων πράξη υποκείμενο αντικείμενο
Μοντέλα ροής πληροφορίας (1/5) (Information Flow Models) Μοντέλα που στοχεύουν στην προστασία της πληροφορίας αναφέρονται ως μοντέλα ροής πληροφορίας. Τα βασικά στοιχεία των μοντέλων αυτών είναι ένα σύνολο αντικειμένων και μια πολιτική ροής εκφρασμένη ως δικτύωμα. Η πληροφορία ορίζεται μέσω της αβεβαιότητας, που με τη σειρά της ορίζεται μέσω της εντροπίας. Έστω μια τυχαία μεταβλητή X με πεδίο τιμών ένα πεπερασμένο σύνολο με n στοιχεία και πιθανότητα p i να δοθεί σ’ αυτήν η τιμή i, i=1,2,…,n. Η εντροπία H της X ορίζεται ως ή, ισοδύναμα, 34 Τμήμα Ψηφιακών Συστημάτων
Μοντέλα ροής πληροφορίας (2/5) (Information Flow Models) Συναφής είναι η έννοια της υπό συνθήκη εντροπίας της τυχαίας μεταβλητής Χ δεδομένης της Υ. Για κάθε τιμή y j της Y, η υπό συνθήκη εντροπία της Χ δεδομένης της y j ορίζεται ως όπου είναι η υπό συνθήκη πιθανότητα να συμβεί δεδομένου ότι. Η υπό συνθήκη εντροπία της Χ δεδομένης της Υ ορίζεται ως Η υπο-συνθήκη εντροπία δίνει ένα μέτρο για το πόση πληροφορία μπορεί να εξαχθεί από τη Χ μέσω της Υ. 35 Τμήμα Ψηφιακών Συστημάτων
Μοντέλα ροής πληροφορίας (3/5) (Information Flow Models) Δίαυλος: μαύρο κουτί που δέχεται στην είσοδο ακολουθίες συμβόλων που ανήκουν στο αλφάβητο εισόδου και αποδίδει στην έξοδο ακολουθίες συμβόλων που ανήκουν στο αλφάβητο εξόδου. Δίαυλοι χωρίς μνήμη (ανεξάρτητοι από τιμές εισόδου) Διακριτοί δίαυλοι χωρίς μνήμη (μήκος ακολουθιών εξόδου = μήκος ακολουθιών εισόδου ) Δυαδικός συμμετρικός δίαυλος Χωρητικότητα διαύλου (bits/sec) 36 Τμήμα Ψηφιακών Συστημάτων
Μοντέλα ροής πληροφορίας (4/5) (Information Flow Models) Οι πολιτικές ροής πληροφορίας ορίζουν τις δυνατές κλάσεις πληροφοριών και πώς μπορεί η πληροφορία να ρέει ανάμεσά τους. Εκφράζονται με δικτυώματα. Βασικά στοιχεία: ένα σύνολο αντικειμένων (κάτοχοι πληροφορίας) και μια πολιτική ροής. Κατάσταση πληροφορίας: τιμή και κλάση ασφάλειας x (σταθερή ή μεταβλητή) κάθε αντικειμένου. Ροή πληροφορίας επιτρέπεται μόνο αν x<=y Μια πράξη προκαλεί ροή πληροφορίας από το x προς το y αν ελαττώνει την υπό συνθήκη εντροπία του x δεδομένου του y, το δε μέτρο της πληροφορίας ισούται με την H(x/y). Μια δυνητική ροή είναι δίαυλος με χωρητικότητα ίση με τη μέγιστη πληροφορία που μπορεί να μεταφερθεί μ’ αυτήν. 37 Τμήμα Ψηφιακών Συστημάτων
Μοντέλα ροής πληροφορίας (5/5) (Information Flow Models) Η κατάσταση πληροφορίας του συστήματος περιγράφεται από την τιμή και την κλάση ασφάλειας κάθε αντικειμένου. Μεταβολές κατάστασης επέρχονται μετά από πράξεις που δημιουργούν ή διαγράφουν αντικείμενα, μεταβάλλουν τις τιμές τους κλπ. Μόνο οι πράξεις που μεταβάλλουν τιμές μπορούν να συσχετισθούν με ροή πληροφορίας. Μη Παρεμβολή (Non Interference): Η έννοια της μη- παρεμβολής χρησιμοποιείται για τον ακριβή ορισμό των περιορισμών στη ροή πληροφορίας. Μια ομάδα χρηστών δεν παρεμβάλλεται σε άλλη ομάδα αν οι ενέργειες της πρώτης, όταν χρησιμοποιούν συγκεκριμένες εντολές, δεν έχουν επιπτώσεις στην πληροφορία που η δεύτερη ομάδα επιτρέπεται να δει. 38 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Πολιτικές διασφάλισης ακεραιότητας Πολιτική Εξουσιοδοτημένων Πράξεων Πολιτική Ελέγχου μέσω Επιβλέποντος Πολιτική Εναλλαγής Καθηκόντων Πολιτική Πολυπρόσωπου Ελέγχου Πολιτική Ακολουθίας Πράξεων Πολιτική Αλλαγής υπό Περιορισμούς Πολιτική Απόδοσης Αλλαγών Πολιτική Μη Αλλαγής 39 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Biba (1/2) Ιδιότητες: Απλή ιδιότητα ακεραιότητας: Ένα υποκείμενο s μπορεί να αποκτήσει άδεια εγγραφής ενός αντικειμένου ο μόνο αν I(s)≥I(o). Ιδιότητα ακεραιότητας *: ένα υποκείμενο s που έχει άδεια προσπέλασης ανάγνωσης σε ένα αντικείμενο ο μπορεί να άδεια προσπέλασης εγγραφής σε άλλο αντικείμενο p μόνο αν Ι(ο) ≥ Ι(p). Ιδιότητα ενεργοποίησης του επεκτεταμένου μοντέλου: ένα υποκείμενο s μπορεί να ενεργοποιήσει ένα άλλο υποκείμενο q μόνο αν I(s) ≥ I(q). 40 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Biba (2/2) Ιδιότητα δακτυλίου: ένα υποκείμενο s έχει δικαίωμα ανάγνωσης για όλα τα αντικείμενα, ανεξαρτήτως βαθμού διαβάθμισης. Μπορεί όμως να τροποποιεί αντικείμενα ο για τα οποία I(s) ≥ I(o) και να ενεργοποιεί υποκείμενα q για τα οποία I(q) ≥ I(s). Το μοντέλο Biba μπορεί να περιγράψει φορμαλιστικά την πολιτική MAC ως προς την ακεραιότητα και είναι δυϊκό του μοντέλου Bell-LaPadula. 41 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Clark-Wilson (1/6) Σκοπός: να εξασφαλίσει ότι η εσωτερική πληροφορία του συστήματος είναι συνεπής σε σχέση με τις προσδοκίες των εξωτερικών χρηστών. Βασίζεται : καλά σχηματισμένη συναλλαγή: ολοκληρωμένη ενέργεια, που αποτελείται από βήματα τα οποία εκτελούνται επακριβώς και με τη σωστή σειρά από κατάλληλα εξουσιοδοτημένους και ταυτοποιημένους χρήστες. αρχή του διαχωρισμού καθηκόντων: όλες οι λειτουργίες χωρίζονται σε τμήματα και κάθε τμήμα πρέπει να εκτελείται από διαφορετικό πρόσωπο. 42 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Clark-Wilson (2/6) Δεδομένα υπό περιορισμούς Διαδικασίες μετασχηματισμού (ΔΜ) Διαδικασίες επαλήθευσης ακεραιότητας Δεδομένα χωρίς περιορισμούς Ορισμός μέσω διανυσμάτων προσπέλασης που έχουν 3 διαστάσεις: ταυτότητα χρήστη, διαδικασία μετασχηματισμού, δεδομένα. 43 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Clark-Wilson (3/6) Κανόνες Πιστοποίησης (εφαρμόζονται από τον υπεύθυνο ασφάλειας και τον ιδιοκτήτη συστήματος) : Κανόνας Π1: Οι διαδικασίες επαλήθευσης ακεραιότητας πρέπει να εξασφαλίζουν το γεγονός ότι όλα τα δεδομένα υπό περιορισμούς βρίσκονται σε έγκυρη κατάσταση όταν εκτελείται η διαδικασία επαλήθευσης ακεραιότητας. Κανόνας Π2: Οι διαδικασίες μετασχηματισμού πρέπει να είναι πιστοποιημένα έγκυρες, δηλαδή έγκυρα δεδομένα υπό περιορισμούς πάντα μετασχηματίζονται σε έγκυρα δεδομένα υπό περιορισμούς. 44 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Clark-Wilson (4/6) Κανόνες Πιστοποίησης: Κανόνας Π3: Οι κανόνες προσπέλασης πρέπει να ικανοποιούν τις απαιτήσεις της αρχής διαχωρισμού καθηκόντων. Κανόνας Π4: Όλες οι διαδικασίες μετασχηματισμού πρέπει να είναι πιστοποιημένες για να κάνουν προσθετικές μόνο εγγραφές (σ’ ένα ημερολόγιο) όλων των πληροφοριών που απαιτούνται προκειμένου να είναι δυνατή η ανακατασκευή των λειτουργιών. Κανόνας Π5: Κάθε διαδικασία μετασχηματισμού που παίρνει δεδομένα χωρίς περιορισμούς ως είσοδο πρέπει να είναι πιστοποιημένη έτσι ώστε είτε να τα μετατρέψει σε δεδομένα υπό περιορισμούς ή να απορρίψει τα δεδομένα χωρίς περιορισμούς και να μην κάνει κανένα μετασχηματισμό. 45 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Clark-Wilson (5/6) Κανόνες Αλληλεπίδρασης (εφαρμόζονται από το ίδιο το σύστημα): Κανόνας Ε1: Το σύστημα πρέπει να τηρεί τον κατάλογο των σχέσεων που καθορίζεται στον κανόνα Π2 και πρέπει να διασφαλίζει ότι οι μόνοι χειρισμοί που επιτρέπονται για ένα ΔΥΠ εκτελούνται από μια ΔΜ και ότι η ΔΜ είναι πιστοποιημένη για το συγκεκριμένο χειρισμό επί του συγκεκριμένου ΔΥΠ μέσω μιας σχέσης. Κανόνας Ε2: Το σύστημα πρέπει να τηρεί κατάλογο των σχέσεων της μορφής (Ταυτότητα_Χρήστη, ΔΜi, (ΔΥΠa, ΔΥΠb,…)), οι οποίες συσχετίζουν ένα χρήστη, μια ΔΜ και ΔΥΠ τα οποία η ΔΜ μπορεί να προσπελάσει για λογαριασμό του χρήστη. Το σύστημα πρέπει να διασφαλίζει ότι είναι δυνατή η εκτέλεση μόνο λειτουργιών που περιγράφονται με μια τέτοια σχέση. 46 Τμήμα Ψηφιακών Συστημάτων
Διασφάλιση ακεραιότητας Μοντέλο Clark-Wilson (6/6) Κανόνες αλληλεπίδρασης: Κανόνας Ε3: Το σύστημα πρέπει να αυθεντικοποιεί κάθε χρήστη που επιχειρεί να εκτελέσει μία ΔΜ Κανόνας Ε4: Μόνο η οντότητα που έχει δικαίωμα πιστοποίησης οντοτήτων μπορεί να αλλάξει τον κατάλογο αυτών των οντοτήτων που συσχετίζονται με άλλες οντότητες, συγκεκριμένα με ΔΜ. 47 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (1/7) Ορισμός: Οι ροές εργασιών (workflows) είναι διεργασίες που αποτελούνται από καλά ορισμένες δραστηριότητες, οι οποίες ονομάζονται εργασίες (tasks). Σκοπός: Να διασφαλίσουν ότι οι εργασίες επιτελούνται μόνο από εξουσιοδοτημένα υποκείμενα. Μοντέλο Εξουσιοδότησης Ροής Εργασιών (Workflow Authorisation Model – WAM). Έλεγχοι Εξουσιοδότησης βασισμένοι σε Εργασίες (Task- Based Authorisation Controls – TBAC). 48 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (2/7) Στόχος: συγχρονισμός της ροής εξουσιοδότησης με τη ροή εργασιών και εξασφάλιση ότι η εξουσιοδότηση παρέχεται μόνον όταν αρχίζει μια εργασία και ανακαλείται μόλις η εργασία τελειώσει. Ορίζουμε: S = σύνολο υποκειμένων Ο = σύνολο αντικειμένων Γ = πεπερασμένο σύνολο τύπων αντικειμένων PR = πεπερασμένο σύνολο δικαιωμάτων w = ροή εργασιών Τ = 49 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (3/7) w i ={Op i, Γ INi,Γ OUTi,[t li,t ui ]} Op i το σύνολο των λειτουργιών που θα εκτελεστούν μέσα στην w i Γ INi & Γ OUTi το σύνολο των τύπων αντικειμένων που επιτρέπονται ως είσοδοι ή αναμένονται ως έξοδοι, αντίστοιχα. [t li,t ui ] το χρονικό διάστημα που θα εκτελεστεί. Όποτε εκτελείται μια εργασία w i δημιουργείται ένα στιγμιότυπο εργασίας w insti ={OPER i, IN i, OUT i, [t si,t fi ]} 50 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (4/7) Ορίζουμε: = εξουσιοδότηση = πρότυπο εξουσιοδότησης Κανόνας Παραγωγής Εξουσιοδότησης: όταν δίνεται ένα πρότυπο εξουσιοδότησης μιας εργασίας παράγεται μία εξουσιοδότηση με βάση τον Κανόνα Χορήγησης Εξουσιοδότησης. 51 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (5/7) Κανόνας χορήγησης εξουσιοδότησης: Έστω ότι το αντικείμενο o i αποστέλλεται στην w i τη χρονική στιγμή t ai.. Έστω ότι η χρονική στιγμή έναρξης είναι η t si. Αν t ai ≤ t ui τότε s i s(AT), pr i pr(AT), t ei t ui και αν t ai ≤ t li τότε t bi t li Αλλιώς t bi t tai. 52 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (6/7) Κανόνας ανάκλησης εξουσιοδότησης: Έστω ότι η w i τελειώνει τη χρονική στιγμή t fi. Αν t fi ≤t ui τότε t ei t fi. 53 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών (7/7) Παράδειγμα: η ροή εργασιών για την έκδοση μιας επιταγής αποτελείται από τρεις εργασίες: την προετοιμασία, την έγκριση και την έκδοση της επιταγής. Επομένως, w1=({read request, prepare check}, {request, check}, {check}, [10,50]) w2=({approve check}, {check}, {check}, [20,60]) w3=({issue check}, {check}, {check}, [40,80]). Τα υποκείμενα αντίστοιχα είναι τα: Κώστας, Ελισάβετ και Άννα. Παράγουμε τα παρακάτω πρότυπα εξουσιοδότησης: AΤ1(w1)=(Κώστας, (request,-), read), AT2(w2)=(Κώστας, (check,-), prepare), AT(w2)=(Ελισάβετ, (check,-), approve), AT(w3)=(Άννα, (check,-), issue). 54 Τμήμα Ψηφιακών Συστημάτων
Έλεγχος Εξουσιοδότησης σε Ροές Εργασιών – TBAC Σκοπός: προσέγγιση της μοντελοποίησης και υλοποίησης της ασφάλειας στο επίπεδο της εφαρμογής και του οργανισμού. Δυνατότητες: παρακολούθηση της χρήσης μιας άδειας διαχείριση κύκλου ζωής των εξουσιοδοτήσεων θέση σε προσωρινή διαθεσιμότητα κάποιων αδειών χωρίς ακύρωσή τους υποστήριξη σύνθετων εξουσιοδοτήσεων 55 Τμήμα Ψηφιακών Συστημάτων
Μοντέλο Διάθεσης Πόρων για Προστασία έναντι επιθέσεων DoS Το μοντέλο ακολουθεί τους εξής Κανόνες: Το συνολικό πλήθος των διατεθειμένων μονάδων οποιουδήποτε τύπου πόρου σε οποιαδήποτε χρονική στιγμή δεν πρέπει να υπερβαίνει τη χωρητικότητα του συστήματος γι’ αυτόν τον τύπο πόρου. Το άνυσμα απαιτήσεων χώρου μιας ενεργού διεργασίας είναι μηδενικό. Το άνυσμα διάθεσης μιας ενεργού διεργασίας δε μεταβάλλεται λόγω αναδιάθεσης. Το άνυσμα χρόνου μεταβάλλεται μόνο λόγω ενεργοποίησης ή απενεργοποίησης. Η τιμή του ανύσματος χρόνου τροποποιείται μόνο αυξητικά. Απαιτήσεις χώρου τροποποιούνται λόγω αναδιάθεσης. Τα ανύσματα απαιτήσεων χρόνου δεν τροποποιούνται λόγω αναδιάθεσης. Η μόνη αναδιάθεση κατά την απενεργοποίηση είναι η ανάκληση της CPU. 56 Τμήμα Ψηφιακών Συστημάτων
57 Τμήμα Ψηφιακών Συστημάτων Ευχαριστώ!