Perusmallit (2-A)

Tietoturvamallien keskeinen lähtökohta ovat tiedon erilaiset turvatarpeet? ja niistä muodostuvat rakenteet. Tarkastellaan tässä vain sellaista rakennetta, jossa on eri tasoja (multilevel security, MLS). Lisäksi voitaisiin huomioida eri toimialueita (multilateral security)? .

Sotilasperinteessä tasojaottelu voi olla esim: "unclassified", "classified", "secret", "top secret" jne. Liiketoiminnassa voisi olla "salainen", "luottamuksellinen", "julkinen".

Pääsynvalvonnan ryhmittelyrakenteen soveltaminen erityisesti sotilassovelluksissa lähtee liikkeelle "need-to-know" -periaatteesta, jossa kullekin pyritään järjestämään pääsy vain sellaiseen tietoon, joka on tarpeen tehtävien hoitamiseksi.

Sekä toimijat että kohteet varustetaan turvamerkinnöillä (tai turvanimiöillä, 'labels'), joita toimijoiden tapauksessa voidaan kutsua oikeuksiksi ('clearance') ja kohteiden tapauksessa luokituksiksi ('classification'). Yleisesti kyseessä on näiden olioiden enemmän tai vähemmän pysyvistä attribuuteista.

Tietoresursseja eri tasoille luokittelevien turvamerkintöjen tarkoitus on varsin ilmeinen. Turvamallin toteutus tarvitsee vielä tarkemmat ehdot pääsyä valvovalle viitemonitorille, jotta voitaisiin todeta, että väärät toimijat eivät pääse näkemään tietoa tai "saastuttamaan" sitä, siis sotkemaan sen eheyttä. Perusmallit käsittelevät vain jompaa kumpaa näkökulmaa, luottamuksellisuutta tai eheyttä, vaikka yhdistelmiäkin tietysti tarvitaan. Saatavuus on sen verran hankalampi tavoite, ettei siitä juuri ole malleja.

Luottamuksellisuus

Säännöt ovat, että oman tason yläpuolelta ei saa lukea (NRU, "No Read Up") ja ettei oman tason alapuolelle saa kirjoittaa (NWD "No Write Down"). Nämä ovat keskeinen sisältö mallissa, jonka Bell ja LaPadula? kehittivät vuonna 1973. Se onnistui kuvaamaan hyvin sitä, miten turvamerkintöjen käytäntö toimii. Varsinkin NWD-sääntö (ns. *-sääntö, tai 'confinement rule') oli silti uudistus, koska aikaisemmin ei ollut mallia, joka olisi estänyt tietokoneiden Troijan hevosia vuotamasta tietoja alaspäin. Ilmeisemmästä NRU-säännöstä käytetään myös nimitystä 'simple security rule'. BLP-malli sisältää näiden sääntöjen lisäksi oletuksen, ettei olioiden luokitus muutu operaation aikana. Tämä vaadittava ns. 'tranquility'-ominaisuus (eräänlainen "rauhoitus") voi toteutua eriasteisena, mutta ilman sitä tietoturvatavoite ei toteutuisi. ( Lisää? )

Eheys

Jos tavoitellaan eheyttä, voidaan tarvita erilaista luokitusta kuin luottamuksellisuudessa. Oletetaan nyt vain, että jokin tasojaottelu on saatu aikaan. Silloin on helppo huomata, että eheyssäännöt ovat tarkalleen päinvastaiset kuin BLP-mallissa. Tasojen vaatima eheys säilyy, jos noudatetaan sääntöjä NWU, "No Write Up" ja NRD, "No Read Down". Tämä eheysmalli on pari vuotta nuorempi kuin BLP-malli ja se on nimeltään Biba-malli laatijansa nimen mukaisesti. Se sisältää joitakin variaatioita: Jos NWU- ja NRD-säännöistä pidetään tiukasti kiinni, puhutaan mandatorisesta Biba-mallista. Jos sitä käytetään yhdessä BLP-mallin kanssa eikä eheysluokitusta tehdä erikseen, päädytään siihen, että luku ja kirjoitus on sallittua vain samaan luokkaan kuuluvien olioiden kesken. Toisenlainen mahdollisuus on sallia myös "WU" ja "RD", mutta näiden tapahtuessa pitää sitten muuttaa ylemmän tason olion (siis kirjoitetun kohteen tai lukeneen toimijan) luokitus alemman tason mukaiseksi. Biban malli ei sellaisenaan ole ollut kovin käyttökelpoinen. Se ei ollutkaan syntynyt mallintamaan vallitsevia käytäntöjä.

Kymmenisen vuotta Biba-mallia nuorempi on Clarkin ja Wilsonin kehittämä ns. kaupallinen eheysmalli. Siinä on kaksi keskeistä käsitettä: hyvin muodostettu liiketapahtuma (transaktio) ja tehtävien eriyttäminen. Jälkimmäinen on normaali menettely liike-elämässä petosten ehkäisyssä, eikä ole tuntematon sotilaspuolellakaan, esim. ydinaseiden käytössä.

Liiketoimet säilyttävät eheyden, jos ne on pantu kokoon eheyden säilyttävistä muunnoksista, proseduureista. Näiden muunnosten soveltamiseen liittyy pääsynvalvontaa ja erityisesti tehtävien eriyttämistä. Malli ei kuitenkaan tarjoa keinoja ratkaista, mitkä muunnokset ovat eheyttä säilyttäviä. Tässä suhteessa malli ei siis ole sen täydellisempi kuin Biba-mallikaan. ( Lisää? )

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 26 Sep 2010 - 11:10:32 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback