╚ßst 22 - CW 32/97

Vφce·rov≥ovß bezpeΦnost -- bezpeΦnost na vysokΘ ·rovni

P°edstavte si, ₧e mßte hromßdku informacφ. A zßjmovΘ sdru₧enφ u₧ivatel∙, kte°φ ho°φ touhou k t∞mto dat∙m p°istupovat. Jak rozhodnout, kter² z u₧ivatel∙ m∙₧e pracovat s kter²m datov²m objektem?

Jednak nevφm, co to je, jednak mne to urß₧φ

Pokud jde o manipulaci s daty, p°i pou₧itφ klasick²ch bezpeΦnostnφch model∙ by vßm nezbylo ne₧ usednout a sepsat obsßhl² seznam, kter² bude popisovat, kdo mß jakß prßva. Jsou-li vaÜe hromßdka informacφ a poΦet u₧ivatel∙ dostateΦn∞ velkΘ, Φekß vßs mnoho nezß₧ivnΘ prßce, p°i kterΘ se m∙₧ete dopustit spousty chyb. DalÜφ t∞₧kosti s sebou p°inßÜφ udr₧ovßnφ velkΘho seznamu prßv a jeho aktualizace.

Za cenu jistΘ ztrßty pru₧nosti lze popsanΘ problΘmy velmi elegantn∞ vy°eÜit. VÜechny datovΘ objekty rozd∞lφme na t°φdy podle toho, "jak moc jsou tajnΘ". Ka₧dΘmu z u₧ivatel∙ pak urΦφme, s "jak moc tajn²mi daty" smφ pracovat. V p°φpad∞ dat hovo°φme o klasifikaci, v p°φpad∞ u₧ivatel∙ o prov∞°enφ (angl. clearance) na jistou ·rove≥ utajenφ. Na tΘma klasifikace jsme si zßkladnφ v∞ci °ekli ji₧ v dφlu minulΘm. Zb²vß "jen" urΦit pravidla, dle kter²ch se systΘm bude rozhodovat, zda danΘmu u₧ivateli poskytne p°φstup k po₧adovan²m dat∙m.

Na prvnφ pohled se zdß b²t vÜe jednoduchΘ: ka₧d² smφ pracovat s daty a₧ do tΘ ·rovn∞ klasifikace, pro kterou mß prov∞°enφ. Toto °eÜenφ vÜak nenφ p°φliÜ vhodnΘ. U₧ivatel pracujφcφ s daty r∙znΘ klasifikace by omylem, nebo ·mysln∞ mohl p°enΘst informace z jednΘ ·rovn∞ utajenφ na jinou. Tak by mohlo dochßzet k ·nik∙m informacφ, nebo, p°i p°enosu na vyÜÜφ ·rove≥, k naruÜenφ integrity.

Velmi zajφmav² je p°φstup k prezentovßnφ informacφ na ni₧Üφ ·rovni p°i reßlnΘm pou₧itφ vφce·rov≥ov²ch systΘm∙ -- t°eba v armßdßch. M∞jme vojenskou nßkladnφ lo∩, kterß veze °φzenΘ st°ely do Izraele. Mφsto urΦenφ i druh zßsilky jsou klasifikovßny na ·rovni vyÜÜφ ne₧ je ·rove≥, na kterou mß prov∞°enφ poruΦφk Novßk. ╪eÜenφ, kterΘ preferujφ v USA, vypadß tak, ₧e se poruΦφk Novßk p°i prohlφ₧enφ informacφ o transportu dozvφ tzv. smyÜlen² Φi krycφ p°φb∞h (ang. cover story) -- lo∩ jede na Kypr a veze nßhradnφ dφly pro auta mise OSN. V²hoda je z°ejmß -- v naprostΘ v∞tÜin∞ p°φpad∙ je s takovou odpov∞dφ poruΦφk spokojen a snad nebude mφt ₧ßdnΘ podez°enφ. ProblΘm vÜak nastane, kdy₧ Novßk mß na starosti ·kol dopravit na Kypr balφk pono₧ek. Co pak? Nelze mu °φct "ten balφk se tam u₧ nevejde" nebo prost∞ "to nejde" a nevyvolat podez°enφ.

V Britßnii je p°φstup k podobn²m Novßk∙m pom∞rn∞ jednoduÜÜφ -- dozvφ se, ₧e lo∩ jede na mφsto urΦenφ, kterΘ je klasifikovßno na ·rovni jemu nep°φstupnΘ (nanejv²Ü se dozvφ ·rove≥), stejn∞ jako druh nßkladu. Takto se AngliΦanΘ vyvarujφ chyb p°i vym²Ülenφ krycφch p°φb∞h∙, ale musφ b²t jeÜt∞ peΦliv∞jÜφ p°i klasifikaci informacφ -- co₧ je ale vÜeobecn² problΘm -- p°φliÜ ·zkostlivß klasifikace na co nejvyÜÜφ ·rove≥ je nepraktickß pro pou₧itelnost informacφ, bezstarostnß klasifikace na nφzkou ·rove≥ m∙₧e vΘst ke ztrßt∞ hodnoty informacφ.

V principu pot°ebujeme dob°e vzßjemn∞ odd∞lit informace s r∙znou klasifikacφ. Kv∙li efektivit∞ by vÜak naopak bylo vhodnΘ vÜechny informace zpracovßvat "na jednom mφst∞" -- v rßmci jedinΘho informaΦnφho systΘmu. Jak zvlßdnout toto dilema?

Modely, modely, modely

Z uvedenΘho je jasnΘ, ₧e nevystaΦφme pouze se sledovßnφm p°φstup∙ k dat∙m. Je nezbytnΘ zkoumat toky informacφ v systΘmu. Musφme stanovit bezpeΦnostnφ politiku, na zßklad∞ kterΘ budeme rozhodovat, kterΘ p°esuny informacφ povolit a kterΘ ne. K tomuto ·Φelu byly vyvinuty dva formßlnφ bezpeΦnostnφ modely.

Prvnφm z nich je Bell-LaPadul∙v model. Ji₧ jsme se s nφm setkali ve t°etφm dφle naÜeho serißlu. Tento model popisuje, jakΘ jsou povolenΘ p°esuny dat, aby nemohlo dochßzet ke kompromitaci utajen²ch informacφ. Model pracuje se stupni utajenφ informace.

1. Subjekt nesmφ Φφst objekty s vyÜÜφ klasifikacφ, ne₧ jeho prov∞°enφ.

2. Pokud subjekt smφ Φφst n∞jak² objekt s klasifikacφ k, potom do objektu s klasifikacφ l smφ zapisovat pouze pokud k je menÜφ nebo rovno l.

Naopak zachovßnφ integrity zpracovßvan²ch informacφ zaruΦuje Bib∙v model. Tento model definuje stupn∞ integrity a povolenΘ p°esuny informacφ prßv∞ ve vztahu k t∞mto stup≥∙m.

1. Subjekt m∙₧e modifikovat pouze objekty s ni₧Üφ klasifikacφ, ne₧ jeho prov∞°enφ.

2. Pokud subjekt smφ Φφst n∞jak² objekt s klasifikacφ k, potom do objektu s klasifikacφ l smφ zapisovat pouze pokud k je v∞tÜφ nebo rovno l.

VÜimn∞me si jistΘ protich∙dnosti obou popsan²ch model∙. Je pravd∞podobnΘ, ₧e objekty s vyÜÜφm stupn∞m utajenφ budou mφt p°i°azen i vyÜÜφ stupe≥ integrity. PozornΘmu Φtenß°i jist∞ neuniklo, ₧e oba modely dovolujφ pouze jednosm∞rn² tok informacφ. To by, nap°φklad v p°φpad∞ Bell-LaPadulova modelu, umo₧≥ovalo rozv∞dce sb∞r dat, ale znemo₧≥ovalo by na zßklad∞ t∞chto dat vydßvat rozkazy ni₧Üφm slo₧kßm. ProblΘm se °eÜφ tak, ₧e informace, kterΘ chceme posunout "zakßzan²m" sm∞rem, nejprve vytvo°φme na n∞jakΘ povolenΘ ·rovni a nßsledn∞ oprßvn∞nß osoba provede jejich administrativnφ reklasifikaci na po₧adovanou ·rove≥. Modely tedy popisujφ pouze ty p°esuny, kterΘ je mo₧no provßd∞t rutinn∞.

╚asto se p°istupuje k urΦitΘmu omezenφ tvrdosti podmφnky 2. Povolujeme zßpis i v p°φpad∞, ₧e k > l (Bell-LaPadula), resp. k < l (Biba), pokud zapisovanß data nezßvisφ na ₧ßdn²ch informacφch s klasifikacφ k.

Z teorie k praxi

JednoduchΘ myÜlenky nenφ zcela jednoduchΘ uvΘst do praxe. Jak ji₧ jsme naznaΦili v ·vodu, je t°eba zajistit vzßjemnΘ odd∞lenφ informacφ s r∙znou klasifikacφ a zßrove≥ umo₧nit u₧ivatel∙m s nimi simultßnn∞ pracovat. Ne za vÜech okolnostφ je to jednoduchΘ. Uva₧me nap°φklad, ₧e chceme vytvo°it novou kopii souboru na vyÜÜφ ·rovni klasifikace. DoruΦenφ potvrzenφ, ₧e se operace povedla, vÜak ji₧ je v rozporu s Bell-LaPadulov²m modelem. SystΘm musφ dßvat bedliv² pozor na mo₧nost vzniku skryt²ch kanßl∙ (angl. covert channels) jimi₧ mohou unikat informace na ni₧Üφ stupn∞ utajenφ a musφ zajistit bezpeΦnΘ sdφlenφ technick²ch za°φzenφ apod.

Historie nßm zanechala mno₧stvφ jedno·rov≥ov²ch informaΦnφch systΘm∙. Ka₧d² z t∞chto navzßjem dob°e odd∞len²ch systΘm∙ spravuje data s urΦitou klasifikacφ. Chce-li zde u₧ivatel zφskat veÜkerΘ informace o jistΘ skuteΦnosti, nezbude mu ne₧ obejφt vÜechny systΘmy s daty r∙zn²ch ·rovnφ a informace doslova posbφrat. Cφlem je n∞jak²m zp∙sobem integrovat tyto doposud odd∞lenΘ systΘmy. Umo₧nφme tak jednoduÜÜφ a efektivn∞jÜφ p°φstup k dat∙m a zßrove≥ omezφme jejich redundanci.

NejjednoduÜÜφm prost°edkem integrace systΘm∙ jsou vφce·rov≥ovΘ strß₧e (guards). Jejich prost°ednictvφm je mo₧no spojit systΘmy dat s r∙znou klasifikacφ. Strß₧e tak v podstat∞ hlφdajφ rozhranφ mezi systΘmy a zajiÜ¥ujφ, ₧e p°i p°esunech dat mezi systΘmy nedochßzφ k poruÜenφ bezpeΦnostnφ politiky. Jejich nev²hodou je, ₧e u₧ivateli jednoho systΘmu poskytujφ pouze omezen² p°φstup k informacφm v druhΘm systΘmu.

Plnohodnotn² p°φstup k slu₧bßm jinΘho systΘmu poskytujφ vφce·rov≥ovΘ pracovnφ stanice. Zpravidla jde o terminßly, na kter²ch lze v jednotliv²ch oknech provozovat rozhranφ n∞kolika systΘm∙. U₧ivatel tak m∙₧e st°φdat prßci v n∞kolika systΘmech, m∙₧e mezi nimi p°enßÜet informace apod. V tomto p°φpad∞ je automaticky kontrolovßno dodr₧enφ bezpeΦnostnφ politiky a data jsou p°ed nov²m ulo₧enφm automaticky reklasifikovßna.

Za vyÜÜφ v²vojov² stupe≥ lze nepochybn∞ pova₧ovat vφce·rov≥ovΘ databßzovΘ systΘmy. Tyto systΘmy jsou ji₧ samy o sob∞ schopny zajistit dodr₧ovßnφ bezpeΦnostnφ politiky a pravidel formßlnφch model∙. Na jednom mφst∞ dokß₧φ spravovat a zp°φstup≥ovat informace r∙znΘho stupn∞ utajenφ. Zcela odbourßvajφ redundanci ulo₧en²ch dat, poskytujφ daleko konzistentn∞jÜφ a komplexn∞jÜφ pohled na spravovanΘ informace. Bez zajφmavosti nenφ ani jednoduÜÜφ sprßva a levn∞jÜφ provoz takovΘho systΘmu ve srovnßnφ s n∞kolika jedno·rov≥ov²mi. N∞kolik podrobn∞jÜφch informacφ k vφce·rov≥ov²m databßzov²m systΘm∙m zmφnφme i v dφle p°φÜtφm.

Zlat²m grßlem je vφce·rov≥ov² bezpeΦnostnφ systΘm, poskytujφcφ kompletnφ repertoßr slu₧eb elektronickΘho zpracovßnφ informacφ. Tedy nejen databßze, ale i podpora zpracovßnφ text∙, poÜtovnφ systΘm, systΘm pro podporu rozhodovßnφ a °φzenφ, a ostatnφ kancelß°skΘ pot°eby. Opravdov² vφce·rov≥ov² systΘm by m∞l b²t schopen p°ipojit k sob∞ okolnφ jedno·rov≥ovΘ systΘmy a spolupracovat s nimi.

Aby mohl vφce·rov≥ov² bezpeΦnostnφ systΘm dob°e fungovat, musφ p°esn∞ v∞d∞t, jakß je klasifikace jednotliv²ch dat. Z tohoto d∙vodu musφ b²t ka₧d² objekt opat°en bezpeΦnostnφm nßv∞Ütφm (angl. security label), kterΘ specifikuje jeho p°esnou bezpeΦnostnφ klasifikaci a p°φpadnß dalÜφ omezenφ manipulace s objektem.

Nehierarchick² p°φdavek

Rozd∞lenφ informacφ dle stupn∞ utajenφ je pro v∞tÜinu aplikacφ p°φliÜ hrubΘ. Proto jsou vÜechny informace, podle toho, o Φem pojednßvajφ, rozd∞leny na tematickΘ okruhy, nebo tΘ₧ odd∞lenφ . Rozd∞lenφ nenφ disjunktnφ, danß informace m∙₧e b²t za°azena do vφce odd∞lenφ. Ve vÜech odd∞lenφch je vÜak prezentovßna se stejn²m stupn∞m utajenφ. Ka₧d² subjekt mß prßvo pracovat s informacemi pouze z n∞kter²ch odd∞lenφ.

Toto nehierarchickΘ Φlen∞nφ informacφ se pou₧φvß zßrove≥ s hierarchick²m Φlen∞nφm dle stupn∞ utajenφ. Pokud subjekt ₧ßdß p°φstup k dat∙m, musφ b²t prov∞°en na dostateΦnou ·rove≥ a musφ mφt p°φstup do vÜech odd∞lenφ, do kter²ch je za°azena po₧adovanß informace.

D∙le₧it²m pravidlem pro p°id∞lovßnφ prov∞°enφ subjekt∙m je princip nejmenÜφch prßv. V zßsad∞ jde o to, ₧e ka₧d² subjekt by m∞l mφt p°id∞lena pouze takovß oprßvn∞nφ, kterß zcela nezbytn∞ pot°ebuje pro to, aby mohl korektn∞ vykonßvat svΘ ·koly.

A¥ ₧ije -- svaz

V²sledkem aplikace hierarchickΘho a nehierarchickΘho Φlen∞nφ informacφ je svazov² bezpeΦnostnφ model. Jde o ΦßsteΦn∞ uspo°ßdanou (vzhledem k inkluzi) mno₧inu, kterß mß nejv∞tÜφ a nejmenÜφ prvek. NejmenÜφm prvkem je prov∞°enφ na nejni₧Üφ ·rove≥ a pro ₧ßdnΘ odd∞lenφ, nejv∞tÜφm prvkem potom prov∞°enφ na nejvyÜÜφ ·rove≥ a pro vÜechna odd∞lenφ.

Po₧aduje-li subjekt p°φstup k dat∙m, systΘm podle modelu ov∞°φ, zda mß dostateΦnΘ prov∞°enφ v rßmci hierarchickΘho Φlen∞nφ a zda mß prov∞°enφ pro vÜechna odd∞lenφ, do kter²ch byla danß data za°azena. Svazov² model se tedy uplatnφ pro statickΘ p°φstupy k dat∙m. Pokud dochßzφ k p°esun∙m dat, p°ijdou navφc ke slovu Bell-LaPadul∙v, nebo Bib∙v model, aby bylo zajiÜt∞no utajenφ nebo integrita dat v rßmci a po ukonΦenφ p°esunu.

Specißlnφm p°φpadem svazovΘho modelu je tzv. military security model, pou₧φvan² americk²m ministerstvem obrany. Pracuje s tφmto hierarchick²m Φlen∞nφm informacφ: unclassified, confidental, secret a top secret. NehierarchickΘ Φlen∞nφ obsahuje vÜechny oblasti lidskΘ Φinnosti, na kterΘ si vzpomenete a jeÜt∞ mnohΘ dalÜφ.

Pokud opravdu krßΦφme sm∞rem k NATO, stane se tento model naÜφm star²m znßm²m.