Модели безопасности компьютерных систем

Изложены основные понятия, стандарты и критерии информационной безопасности. Описаны 
классические модели безопасности компьютерных систем.

Н. А. Богульская, М. М. Кучеров
МОДЕЛИ БЕЗОПАСНОСТИ  
КОМПЬЮТЕРНЫХ СИСТЕМ

Учебное пособие

ИНСТИТУТ КОСМИЧЕСКИХ И ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Н. А. Богульская, М. М. Кучеров            МОДЕЛИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ

Министерство науки и высшего образования Российской Федерации 
Сибирский федеральный университет 

Н. А. Богульская, М. М. Кучеров 

МОДЕЛИ БЕЗОПАСНОСТИ 
КОМПЬЮТЕРНЫХ СИСТЕМ 

Учебное пособие 

Красноярск 
СФУ 
2019

УДК 004.4.056(07) 
ББК  32.973.2я73 

Б748 

Р е ц е н з е н т ы: 
В. Е. Зобов, доктор физико-математических наук, главный 

научный сотрудник ИФ СО РАН; 

А. А. Родионов, доктор физико-математических наук, профессор 

кафедры МАиДУ СФУ 

Богульская, Н. А. 

Б748  
Модели безопасности компьютерных систем : учеб. пособие / 

Н. А. Богульская, М. М. Кучеров. – Красноярск : Сиб. федер. ун-т, 
2019. – 206 с.  

ISВN 978-5-7638-4008-7 

Изложены основные понятия, стандарты и критерии информационной 

безопасности. Описаны классические модели безопасности компьютерных 
систем. 

Предназначено для студентов, обучающихся по специальности 10.05.01 

«Компьютерная безопасность». 

Электронный вариант издания см.: 
УДК 004.4.056(07) 

http//catalog.sfu-kras.ru  
ББК 32.973.2я73 

ISВN 978-5-7638-4008-7
© Сибирский федеральный 
университет, 2019 

СОДЕРЖАНИЕ 

 
 
 
ВВЕДЕНИЕ .......................................................................................................... 6 

1. НОРМАТИВНЫЙ ПОДХОД К ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ ........................................................................................... 9 
1.1. Классические стандарты информационной безопасности .................. 9 
1.2. Роль стандартов  информационной безопасности .............................. 10 

2. ЕДИНЫЕ КРИТЕРИИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ 
ТЕХНОЛОГИЙ .............................................................................................. 18 
2.1. ГОСТ Р ИСО 15408 ................................................................................ 18 
2.2. Сертификация средств защиты в Российской Федерации ................. 28 

3. ТЕОРЕТИЧЕСКИЙ ПОДХОД К ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ ......................................................................................... 31 
3.1. Формальные модели безопасности ...................................................... 31 
3.2. Модель матрицы доступов Харрисона – Руззо – Ульмана ................ 33 
3.3. Модель типизированной матрицы доступов ....................................... 43 

4. МОДЕЛЬ РАСПРОСТРАНЕНИЯ ПРАВ ДОСТУПА TAKE-GRANT .... 53 
4.1. Основные положения классической модели Take-grant .................... 53 
4.2. Расширенная модель Take-grant. Направления развития  
модели take-grant ........................................................................................... 65 
4.3. Построение замыкания графа доступов  
и информационных потоков......................................................................... 69 
4.4. Представление систем Take-grant системами ХРУ ............................ 74 

5. МОДЕЛИ КОМПЬЮТЕРНЫХ СИСТЕМ С МАНДАТНЫМ 
УПРАВЛЕНИЕМ ДОСТУПОМ. МОДЕЛЬ БЕЛЛА-ЛАПАДУЛЫ ......... 77 
5.1. Классическая модель Белла – Лападулы ............................................. 77 
5.2. Пример некорректного определения свойств безопасности ............. 82 
5.3. Политика Low-water-mark в модели Белла – Лападулы .................... 83 
5.4. Примеры реализации запрещенных информационных потоков ....... 86 
5.5. Безопасность переходов ........................................................................ 89 
5.6. Модель мандатной политики целостности информации Биба .......... 92 

6. МОДЕЛЬ СИСТЕМ ВОЕННЫХ СООБЩЕНИЙ ...................................... 96 

– 3 – 

7. МОДЕЛИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ПОТОКОВ ...... 106

7.1. Автоматная модель безопасности информационных потоков ........ 106 
7.2. Вероятностная модель безопасности информационных потоков ... 108 

8. МОДЕЛИ КОМПЬЮТЕРНЫХ СИСТЕМ С РОЛЕВЫМ
УПРАВЛЕНИЕМ ДОСТУПОМ. БАЗОВАЯ МОДЕЛЬ РОЛЕВОГО
УПРАВЛЕНИЯ ДОСТУПОМ .................................................................... 113 
8.1. Понятие ролевого управления доступом ........................................... 113 
8.2. Базовая модель ролевого управления доступом ............................... 113 

9. МОДЕЛЬ АДМИНИСТРИРОВАНИЯ РОЛЕВОГО УПРАВЛЕНИЯ
ДОСТУПОМ. МОДЕЛЬ МАНДАТНОГО РОЛЕВОГО
УПРАВЛЕНИЯ ДОСТУПОМ .................................................................... 118 
9.1. Основные положения ........................................................................... 118 
9.2. Администрирование множеств 
авторизованных ролей пользователей ...................................................... 120 
9.3. Администрирование множеств прав доступа,  
которыми обладают роли ........................................................................... 123 
9.4. Администрирование иерархии ролей ................................................. 125 
9.5. Модель мандатного ролевого управления доступом ....................... 129 

10. СУБЪЕКТНО-ОРИЕНТИРОВАННАЯ МОДЕЛЬ
ИЗОЛИРОВАННОЙ  ПРОГРАММНОЙ СРЕДЫ ................................. 136 

11. ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ ......................................................... 144

11.1. Криптографические основы защиты информации ....................... 144 
11.2. Основные понятия и определения .................................................. 146 
11.3. Криптография с секретным ключом .............................................. 147 
11.4. Криптография с открытым (общим) ключом ................................ 148 
11.5. Хеширование .................................................................................... 153 
11.6. Электронная подпись ....................................................................... 153 
11.7. Сертификаты ..................................................................................... 155 

12. ОПРЕДЕЛЕНИЕ БЕЗОПАСНОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ .......................................................... 157 
12.1. Экспериментальный подход ........................................................... 157 
12.2. Модель противостояния угроз и средств защиты......................... 158 
12.3. Пример уязвимости: уязвимость в драйверах ............................... 159 
12.4. Достоинства и недостатки экспериментального подхода ........... 161 

– 4 –

13. ОЦЕНКА РИСКОВ ................................................................................... 162 
13.1. Понятие оценки рисков ................................................................... 162 
13.2. Определение уязвимостей и оценка рисков .................................. 165 
13.3. Методы с использованием деревьев .............................................. 168 
13.4. Меры безопасности .......................................................................... 168 

14. ВЕРИФИКАЦИЯ ЗАЩИТЫ .................................................................... 171 
14.1. Доказательная база надежности реализации политики 
безопасности .............................................................................................. 171 
14.2. Синтез и декомпозиция защиты в распределенных системах .... 173 
14.3. Анализ компонентов распределенной системы ............................ 176 

15. ПРЕДСТАВЛЕНИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ .......................... 180 

16. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ............ 189 
16.1. Понятие управления безопасностью .............................................. 189 
16.2. ISO/IEC 27001 «Системы менеджмента защиты информации. 
Требования» ............................................................................................... 191 
16.3. ISO/IEC 13335-1 «Концепция и модели менеджмента 
безопасности информационных  
и телекоммуникационных технологий» ................................................. 192 
16.4. ISO/IEC 13335-3 «Методы менеджмента безопасности 
информационных технологий» ................................................................ 193 
16.5. ISO 27002 «Практические правила управления  
информационной безопасностью» .......................................................... 194 
16.6. ISO 18044 «Менеджмент инцидентов информационной 
безопасности» ............................................................................................ 195 
16.7. Разработка СУИБ и требования к СУИБ ....................................... 196 
16.8. Политика безопасности ................................................................... 197 

ЗАКЛЮЧЕНИЕ ............................................................................................... 202 

БИБЛИОГРАФИЧЕСКИЙ СПИСОК ........................................................... 204 
 
 

– 5 – 

ВВЕДЕНИЕ 

 
 
 
Информация – это сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой 
предметной области, воспринимаемые человеком или специальным 
устройством и используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами.  
Введем основные понятия, которые будем использовать в учебном 
пособии. 
Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т. п.) на носителях различных типов. В связи с развивающимся процессом информатизации  
общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В дальнейшем будут 
рассматриваться только те формы представления информации, которые 
используются при ее автоматизированной обработке. 
Одним из основополагающих понятий курса является информационная безопасность, это понятие в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком 
смысле. Имеется в виду состояние защищенности национальных интересов 
в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства. 
В Законе РФ «Об участии в международном информационном  
обмене» информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, 
обеспечивающее ее формирование, использование и развитие в интересах 
граждан, организаций, государства. 
Под информационной безопасностью мы будем понимать защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. 
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности. 
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления 

– 6 – 

субъектов информационных отношений и интересов этих субъектов,  
связанных с использованием автоматизированных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий. 
Под угрозой безопасности вычислительной системе понимаются 
воздействия на систему, которые прямо или косвенно могут нанести ущерб 
ее безопасности. Разработчики требований безопасности и средств защиты 
выделяют три вида угроз: угрозы нарушения конфиденциальности обрабатываемой информации, угрозы нарушения целостности обрабатываемой 
информации и угрозы нарушения работоспособности системы (отказа  
в обслуживании). 
Угрозы конфиденциальности направлены на разглашение секретной 
информации, т. е. информация становится известной лицу, которое не должно иметь к ней доступ. Иногда для обозначения этого явления используется понятие «несанкционированный доступ» (НСД), особенно популярное  
у отечественных специалистов. Традиционно противостоянию угрозам 
этого типа уделялось максимальное внимание, и фактически подавляющее 
большинство исследований и разработок в области компьютерной  
безопасности было сосредоточено именно в этой области, так как она 
непосредственно относится к задаче охраны государственных и военных 
секретов. 
Угрозы целостности представляют собой любое искажение или изменение неавторизованным на это действие лицом хранящейся в вычислительной системе или передаваемой информации. Целостность информации 
может быть нарушена как злоумышленником, так и в результате объективных воздействий со стороны среды эксплуатации системы. Наиболее актуальна эта угроза для систем передачи информации – компьютерных сетей 
и систем телекоммуникаций,  
Угрозы нарушения работоспособности (отказ в обслуживании) 
направлены на создание ситуаций, когда в результате преднамеренных 
действий ресурсы вычислительной системы становятся недоступными или 
снижается ее работоспособность.  
Цель защиты систем обработки информации – противодействие 
угрозам безопасности. Следовательно, безопасная или защищенная система – это система, обладающая средствами защиты, которые успешно и эффективно противостоят угрозам безопасности. 
Безопасность – это свойство информационной системы, характеризующее взаимодействие данного программного продукта с окружающей 
его средой. Производительность, масштабируемость, надежность являются 
непосредственными свойствами конкретных программных решений, в отличие от них безопасность зависит от взаимодействующих с системой  

– 7 – 

механизмов и может изменяться. Таким образом, безопасность является 
условной характеристикой. 
Можно определить связь безопасности и надежности. Под надежностью понимается устойчивость к сбоям, вызванным внешними и/или внутренними причинами. В отличие от безопасности надежность не зависит 
напрямую от внешних воздействий. Когда говорят о безопасности, понимается, что процесс не должен быть связан с угрозами, приводящими  
к нежелательным последствиям.  
Существует три подхода к информационной безопасности: нормативный, теоретический и практический (экспериментальный). 
Нормативный подход появился в 80-е гг. XX в. Название подхода 
происходит от слова «норма», означающего некий эталон. Существуют 
различные 
стандарты 
информационной 
безопасности, 
документы  
в которых определяют признаки, свойства и требования к безопасным информационным системам, а также шкалу, с помощью которой все системы 
можно оценить на предмет безопасности. 
Теоретический подход основан на построении модели безопасности – некоего абстрактного представления реальной системы с точки зрения безопасности. Полученные модели должны быть теоретически и математически обоснованы. Чем сильнее математическая и теоретическая база 
построенной модели, тем безопаснее система. 
Зарождение практического подхода определения безопасности 
можно связывать с началом эпохи Интернета. Безопасность системы при 
этом проверяется на практике: одна система более безопасна, чем другая, 
если она более устойчива к внешним воздействиям и лучше противостоит 
угрозам. 
Из вышеизложенного можно сделать следующий вывод: ни один из 
вышеперечисленных подходов не является исчерпывающим, поэтому при 
определении безопасности информационной системы используются все 
три подхода. 
Цель данного курса – выяснить, что скрывается за понятием «информационная безопасность», так как без конструктивного определения 
этого понятия невозможно рассматривать основные принципы функционирования защищенных систем и технологии их создания. 

– 8 – 

1. НОРМАТИВНЫЙ ПОДХОД  
К ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

 
 
 
1.1. КЛАССИЧЕСКИЕ СТАНДАРТЫ  
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 
 
 
Безопасность является качественной характеристикой системы, ее 
нельзя измерить в каких-либо единицах, более того, нельзя даже с однозначным результатом сравнивать безопасность двух систем – одна будет 
обладать лучшей защитой в одном случае, другая – в другом. Кроме того,  
у каждой группы специалистов, занимающихся проблемами безопасности 
информационных технологий, имеется свой взгляд на безопасность и средства ее достижения, а следовательно, и свое представление о том, что 
должна представлять собой защищенная система. Разумеется, любая точка 
зрения имеет право на существование и развитие, но для того, чтобы объединить усилия всех специалистов в направлении конструктивной работы 
над созданием защищенных систем, необходимо определить, что является 
целью исследований, что мы хотим получить в результате и чего в состоянии достичь. 
Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают разрабатываться стандарты информационной безопасности. Это документы,  
регламентирующие основные понятия и концепции информационной  
безопасности на государственном или межгосударственном уровне, определяющие понятие «защищенная система» посредством стандартизации 
требований и критериев безопасности, образующих шкалу оценки степени 
защищенности ВС. 
В соответствии с этими документами ответ на поставленный вопрос 
в общем виде звучит так: защищенная система обработки информации – 
это система, отвечающая тому или иному стандарту информационной безопасности. Конечно, это условная характеристика, она зависит от критериев, по которым оценивается безопасность, но у нее есть одно неоспоримое 
преимущество – объективность. Именно это позволяет осуществлять сопоставление степени защищенности различных систем относительно установленного стандарта. 
Итак, рассмотрим, что представляет собой защищенная система  
с точки зрения существующих стандартов безопасности. 

– 9 – 

1.2. РОЛЬ СТАНДАРТОВ  
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 
 
 
Главная задача стандартов информационной безопасности – создать 
основу для взаимодействия между производителями, потребителями  
и экспертами по квалификации продуктов информационных технологий. 
Каждая из этих групп имеет свои интересы и свои взгляды на проблему 
информационной безопасности. 
Потребители, во-первых, заинтересованы в методике, позволяющей 
обоснованно выбрать продукт, отвечающий их нуждам и решающий их 
проблемы, для чего им необходима шкала оценки безопасности, и, вовторых, нуждаются в инструменте, с помощью которого они могли бы 
формулировать свои требования производителям. При этом потребителей 
(что вполне естественно) интересуют исключительно характеристики  
и свойства конечного продукта, а не методы и средства их достижения.  
С этой точки зрения идеальная шкала оценки безопасности должна была 
бы выглядеть примерно следующим образом: 
Уровень 1. Система для обработки информации с грифом не выше 
«для служебного пользования». 
Уровень 2. Система для обработки информации с грифом не выше 
«секретно» и т. д. 
Соответственно и требования потребители хотели бы формулировать 
примерно в такой форме: «Мы хотим, чтобы у нас все было защищено для 
обработки совершенно секретной информации». Этот, хотя и не очень конструктивный, подход сам по себе не так страшен, гораздо хуже другое – 
многие потребители не понимают, что за все надо платить (и не только 
деньгами) и что требования безопасности обязательно противоречат функциональным требованиям (удобству работы, быстродействию и т. д.), 
накладывают ограничения на совместимость и, как правило, вынуждают 
отказаться от очень широко распространенных и поэтому незащищенных 
прикладных программных средств.  
Производители также нуждаются в стандартах как средстве сравнения возможностей своих продуктов и в применении процедуры сертификации как механизма объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы 
ограничить фантазию заказчика конкретного продукта и заставить его 
выбирать требования из этого набора. С точки зрения производителя требования должны быть максимально конкретными и регламентировать 
необходимость применения тех или иных средств, механизмов, алгоритмов и т. д. Кроме того, требования не должны противоречить существу
– 10 – 

ющим парадигмам обработки информации, архитектуре вычислительных 
систем и технологиям создания информационных продуктов. Этот подход 
также не может быть признан в качестве доминирующего, так как не учитывает нужд пользователей (а ведь это главная задача разработчика)  
и пытается подогнать требования защиты под существующие системы  
и технологии, а это далеко не всегда возможно осуществить без ущерба 
для безопасности. 
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень 
безопасности, обеспечиваемый продуктами информационных технологий, 
и предоставить потребителям возможность сделать обоснованный выбор. 
Производители в результате квалификации уровня безопасности получают 
объективную оценку возможностей своего продукта. Эксперты по квалификации находятся в двойственном положении: с одной стороны, они, как 
и производители, заинтересованы в четких и простых критериях, над которыми не надо ломать голову, как их применить к конкретному продукту 
(проще всего в виде анкеты с ответами типа да/нет), а с другой стороны, 
они должны дать обоснованный ответ пользователям – удовлетворяет продукт их нужды или нет, ведь в конечном счете именно они принимают на 
себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.  
Таким образом, перед стандартами информационной безопасности 
стоит непростая задача – примирить эти три точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем «ущемление»  
потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую 
задачу – создание защищенной системы обработки информации. Необходимость в подобных стандартах была осознана уже достаточно давно  
(по меркам развития информационных технологий), и в этом направлении 
достигнут существенный прогресс, закрепленный в новом поколении документов разработки 90-гг. ХХ в. Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке): 
«Критерии безопасности компьютерных систем министерства обороны 
США» (Оранжевая книга), Руководящие документы Гостехкомиссии России (только для нашей страны), «Европейские критерии безопасности информационных технологий», «Федеральные критерии безопасности информационных технологий США», «Канадские критерии безопасности 
компьютерных систем» и «Единые критерии безопасности информационных технологий». 
Стандарт – это договоренность группы людей, организаций и т. д. 
Стандарт – не обязательно истина, но обязательно будет восприниматься 

– 11 – 

всеми как эталон, а следовательно, одинаково. Стандарт позволяет договориться о том, какие технологии, средства являются безопасными,  
а какие – нет. 
Стандарт должен: 
1) определить, что понимать под безопасностью, и ввести концептуальную базу; 
2) выдвинуть набор требований к безопасной системе; 
3) предложить шкалу оценки безопасности, определенной в первой 
части стандарта. 
Представляется целесообразным проанализировать эти документы, 
сопоставить их структуру, содержащиеся в них требования и критерии,  
а также оценить эффективность их практического применения. Следующий далее обзор стандартов строится по следующей схеме: цель разработки, основные положения, таксономия и ранжирование требований  
и критериев. 
«Оранжевая книга» является первым стандартом информационной 
безопасности, он был разработан Министерством обороны США в 1983 г. 
К области применения «Оранжевой книги» относились системы военного и государственного назначения. Стандарт был составлен для больших информационных систем (mainframe), оснащенных терминалами  
и информационными хранилищами, систем, предназначенных для совместной работы нескольких пользователей. 
Под безопасностью понимается выполнение правил обработки и категорирования информации, принятые в организации. Информация определяется как конфиденциальная (только определенные люди имеют доступ  
к информации) и категорированная (существуют различные категории  
информации, и доступ к ним осуществляется в зависимости от обладания 
привилегиями). Таким образом, в данном стандарте безопасность можно 
определить как доступ к информации только для авторизованных пользователей. 
С точки зрения «Оранжевой книги» система является безопасной, 
если она осуществляет обработку информации в соответствии с правилами, принятыми в данном учреждении, а также противодействует угрозам нарушения конфиденциальности, целостности и доступности  
информации. 
В данном стандарте определена классификация безопасных информационных систем (A, B, C, D). В каждом классе свои функции безопасности (контроль доступа, аутентификация, аудит и т. д.), которые определяются с учетом приведенных угроз. Также существуют так называемые 
assurance – набор мер, подтверждающих, что все методы обеспечения безопасности реализованы корректно. 

– 12 –