IT381 - Zatita i bezbednost informacija

Lekcija 03
MODELI SIGURNOSTI
S I G U R N O S N E A R H I T E KT U R E

Igor Franc

PRIRUNIK ZA STUDENTE

Copyright 2010 UNIVERZITET METROPOLITAN, Beograd. Sva prava

zadrana. Bez prethodne pismene dozvole od strane Univerziteta
METROPOLITAN zabranjena je reprodukcija, transfer, distribucija ili
memorisanje nekog dela ili itavih sadraja ovog dokumenta.,
kopiranjem, snimanjem, elektronskim putem, skeniranjem ili na bilo koji
drugi nain.
Copyright 2010 BELGRADE METROPOLITAN UNIVERSITY. All rights
reserved. No part of this publication may be reproduced, stored in a
retrieval system or transmitted in any form or by any means, electronic,
mechanical, photocopying, recording, scanning or otherwise, without the
prior written permission of Belgrade Metropolitan University.

IT381 - Zatita i bezbednost informacija

Lekcija 03

MODELI SIGURNOSTI SIGURNOSNE

ARHITEKTURE
Modeli sigurnosti sigurnosne arhitekture
Poglavlje 1: Modeli sigurnosti
Poglavlje 2: Modeli kontrole pristupa
Poglavlje 3: Modeli integriteta
Poglavlje 4: Ostali sigurnosni modeli
Poglavlje 5: Sigurnosne arhitekture, oznake i reimi
Poglavlje 6: Procedura oporavka i ranjivost
Poglavlje 7: Sertifikacija i akreditacija
Poglavlje 8: Veba - Bezbedonosni mehanizmi
Poglavlje 9: Domai zadatak 03
Zakljuak

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Modeli sigurnosti
sigurnosne arhitekture

UVOD
Ova lekcija predstavlja uvod u oblast modela sigurnosti
i sigurnosnih arhitektura.
Teme predavanja su:

Modeli sigurnosti
Modeli kontrole pristupa
Modeli integriteta
Ostali sigurnosni modeli
Sigurnosne arhitekture, oznake i reimi
Procedura oporavka i ranjivost
Sertifikacija i akreditacija

U vebi studenti e se upoznati sa:

Bezbednosnim mehanizmima

Poglavlje 1: Modeli sigurnosti

Poglavlje 1

Modeli sigurnosti
MODEL BEZBEDNOSTI
Istraivai u oblasti bezbednosti su pokuavali da
razviju formalni model raunarske bezbednosti koji se
moe koristiti za proveru dizajna i implementacije
bezbednosti.
Model bezbednosti je formalni opis bezbednosne politike. Dve istorijske
injenice istiu osnovni problem koji treba reiti u oblasti kompjuterske
bezbednosti.
Prvo, svi kompleksni softverski sistemi imaju eventualno otkrivene
nedostatke ili bagove koji naknadno moraju biti fiksirani.
Drugo, izuzetno je teko, ako ne i nemogue, izgraditi raunarski
hardver/softver sistem koji nije podloan razliitim bezbednosnim
napadima.
Ovi problemi su doveli do potrebe da se razvije metod koji e
matematiki ili logiki da obezbedi da odreeni dizajn zadovoljava skup
bezbednosnih zahteva, i da implementacija dizajna tano odgovara
specifikacijama dizajna. U tom cilju, istraivai u oblasti bezbednosti
su pokuavali da razviju formalni model raunarske bezbednosti koji se
moe koristiti za proveru dizajna i implementacije bezbednosti.
U poetku, istraivanja u ovoj oblasti su finansirana od strane US
Department of Defense-DoS i napravljen je znatan napredak u razvoju i
primeni modela na prototip sistemima.

FORMALNI MODELI
Podela formalnih modela bezbednosti.
Formalni modeli se dele na:
Modele kontrole pristupa (engl. accesss control model)
Bell-LaPadula Model

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Matrica pristupa
Model preuzmi-dodeli (engl. take-grant model)
Modele integriteta (engl. integrity models)
Biba model integriteta
Clark-Wilson model integriteta
Modele toka informacija (engl. information flow models)
Model koji spreava meanje (engl. non-interference model)
Teorija kompozicije (engl. composition theories)
Kasnije e biti detljno rei o veini nabrojanih modela kao i o njihovim
karakteristikama.

Poglavlje 2: Modeli kontrole pristupa

Poglavlje 2

Modeli kontrole
pristupa
MODELI KONTROLE PRISTUPA
Moemo posmatrati kontrolu pristupa kao centralni
element raunarske bezbednosti.
Moemo posmatrati kontrolu pristupa kao centralni element raunarske
bezbednosti. ITU-T preporuka X.800 definie kontrola pristupa kao
spreavanje neovlaenog korienja resursa, ukljuujui i
spreavanje upotrebe resursa na neovlaeni nain. Odnosno,
kontrola pristupa definie tehnike kojima se obezbeuje da korisnici
mree mogu pristupiti samo onim podacima za koje su ovlaeni.
Glavni ciljevi raunarske bezbednosti su da se spree neovlaeni
korisnici da dobijaju pristup resursima, kao i da se onemogui legitimnim
korisnicima da pristupaju resursima na neovlaeni nain, a omogui
legitimnim korisnicima pristup resursima na ovlaeni nain. Kontrola
pristupa mora biti jasno definisana u pravilnicima i standardima u okviru
organizacije.

2.1

MODELI KONTROLE PRISTUPA

KONTEKST KONTROLE PRISTUPA
Prikaz konteksta i principa kontrole pristupa.
Slika 1 pokazuje kontekst kontrole pristupa. Osim kontrola pristupa, taj
kontekst ukljuuje sledee entitete i funkcije:
provere identiteta (engl. authentication): zatraiti proveru
identiteta.
autorizacija: davanje prava ili dozvola entitetu sistema za pristup
resursima sistema.
revizija (engl.audit): Nezavisan pregled i ispitivanje zapisa sistema i
aktivnosti

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Slika 2.1.1 Princip kontrole
pristupa

MEHANIZAM KONTROLE PRISTUPA

Mehanizam kontrole pristupa posreduje izmeu
korisnika i resursa sistema, kao to su datoteke i baze
podataka.
Mehanizam kontrole pristupa posreduje izmeu korisnika (ili izvravanja
procesa u ime korisnika) i resursa sistema, kao to su datoteke i baze
podataka. Sistem mora prvo izvriti proveru identiteta korisnika koji
trae pristup. Tada, funkcija kontrole pristupa proverava da li je ovom
korisniku dozvoljen pristup traenim resursima sistema; ako jeste
dozvoljava mu pristup. Administrator bezbednosti odrava bazu
podataka za proveru identiteta.
U bazi podataka za proveru identiteta upisano je koji tipovi pristupa su
dozvoljeni, u kojem sluaju, i kome. Funkcija kontrole pristupa konsultuje
ovu bazu podataka kako bi odredila da li da odobri pristup. Funkcija
revizije nadzire i uva zapise korisnika koji su pristupali resursima sistem.
Svi operativni sistemi imaju osnovne, i u mnogim sluajevima vrlo
robustne komponente kontrole pristupa.
U posebnim aplikacijama ili uslunim programima, kao to je sistem
za upravljanje bazom podataka, takoe su ukljuene funkcije kontrole
pristupa.

Poglavlje 2: Modeli kontrole pristupa

TRI OSNOVNA METODA ZA KONTROLU PRISTUPA

Izbor metode kontrole pristupa zavisi od potreba
organizacije za deljenjem podataka.
Tri osnovna metoda za kontrolu pristupa su:
Neograniena kontrola pristupa (DAC): zasniva se na identitetu
podnosioca zahteva i pravila pristupa (autorizacije) navodei podnosiocu
zahteva to mu je (ili nije) dozvoljeno da radi.
Obavezna kontrola pristupa (MAC): zasnovana je na poreenju
bezbednosnih oznaka (engl. security label) (koje ukazuju koji su osetljivi
ili kritini resursi sistema) sa bezbednosnim dozvolama pristupa (koji
ukazuju koji sistemi entiteta imaju pravo pristupa odreenim resursima).
Kontrola pristupa zasnovana na ulogama (RBAC): zanovana na
ulogama korisnika koje imaju u sistemu i na pravima kojima se navodi
emu korisnik ima pristup u toj ulozi.
Slika 2.1.2 Metode kontrole
pristupa

OSNOVNI ELEMENTI KONTROLE PRISTUPA

Subjekat, objekat i pravo pristupa kao osnovni elementi
kontrole pristupa.
Osnovni elementi kontrole pristupa su:

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Subjekat je entitet koji je sposoban da pristupa objektima, obino
proces. Svaki korisnik ili aplikacija, zapravo dobija pristup do objekta
pomou procesa koji ga predstavlja. Osnovni sistem kontrole pristupa
obino definiu tri klase subjekta:
Vlasnik (engl. owner): Vlasnik moe biti kreator resursa, kao to
su datoteke, i on je odgovoran za njihovu zatitu i upotrebu.
Grupa (engl. group): Pored privilegije dodeljene vlasniku, takoe,
odreenoj grupi korisnika mogu biti dodeljena prava pristupa.
World (svet): Najniii nivo prava pristupa korisnici koji su u
mogunosti da pristupe sistemu, ali nisu ukljueni u kategorije
vlasnika i grupa za ovaj resurs.
Objekat je bilo koji resurs koji ima kontrolisan pristup. U principu,
objekat je entitet koji sadri i/ili prima informaciju. Primeri: zapisi,
blokovi, strane, segmenti, datoteke, delovi datoteke, direktorijumi,
sandue sa elektronskim porukama (engl. mailboxes) i programi.
Pravo pristupa opisuje nain na koji subjekat moe pristupiti objektu.
Pravila pristupa mogu ukljuivati sledee: itati, pisati, izvravati,
izbrisati, kreirati, traiti.

2.2

ACCESS CONTROL MATRIX

ACCESS CONTROL MATRIX
Formalni model koji je prvi put uveden 1971 godine i
koga karakteriu prava svakog subjekta u odnosu na
svaki objekat u sistemu.
An Access
Control
Matrix or Access
Matrix is an abstract,
formal security model of protection state in computer systems that
characterize the rights of each subject with respect to every object in the
system. It was first introduced by Butler W. Lampson in 1971.
Na Slici 1 moete videti jedan primer ovakve matrice pristupa za RBAC
model.

10

Poglavlje 2: Modeli kontrole pristupa

Slika 2.2.1 Matrica pristupa
za RBAC model

BELL LA PADULA MODEL

2.3

MODEL BELL LA-PADULA (BLP)

Prema ovom modelu, svakom subjektu i svakom
objektu je dodeljena bezbednosna klasa.
Model Bell la-Padula (BLP) je razvijen u vojsci Sjedinjenih Amerikih
Drava 1970., godine radi regulisanja skladitenja i zatite poverljivih
podataka. Spreavanje neovlaenog pristupa poverljivim podacima je
bio osnovni cilj razvoja ovog modela.
Prema ovom modelu, svakom subjektu i svakom objektu je dodeljena
bezbednosna klasa. U najjednostavnijim formulacijama, bezbednosne
klase formiraju strogu hijerarhiju, koje se nazivaju bezbednosni nivoi.
Bezbednosne klase kontroliu nain na koji subjekat moe da pristupa
objektu.
BLP je jedan od najpoznatijih sigurnosnih modela.
ema klasifikacije bezbednosnih nivoa u amerikoj vojsci je:

strogo poverljivo (top secret)

tajna (secret)
poverljivo (confidential)
neklasifikovano (unclassified)

11

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

VIESLOJNA (MULTILEVEL) BEZBEDNOST

Kada je definisano vie kategorija ili nivoa podataka,
zahtev se naziva bezbednost na vie nivoa ili vieslojna
bezbednost.
Kada je definisano vie kategorija ili nivoa podataka, zahtev se naziva
bezbednost na vie nivoa ili vieslojna bezbednost (engl. multilevel
security). Opte pravilo o zahtevima za bezbednost na vie nivoa je da
subjekat na visokom nivou ne moe da prenese informacije na subjekat
na niem nivou, osim ako nije ovlaeni korisnik za takav tok podataka.
Bezbednosni sistem na vie nivoa mora izvravati:
Nema itanja nagore: subjekat moe samo da itata objekat na
niem ili na istom nivou bezbednosti. To se navodi u literaturi kao
jednostavno svojstvo bezbednosti (SS-svojstvo).
Nema pisanja nadole: subjekat moe samo da pie u objekat
veeg ili istog nivoa bezbednosti. To se navodi u literaturi kao * svojstvo (svojstvo zvezdice).

FORMALNI OPIS MODELA BLP

Na ovom slajdu daje se formalni opis BLP modela.
BLP model se zasniva se na trenutnom stanju sistema (b, M, f, H),
definisan kao:
Trenutni set pristupa b: trostruki niz u obliku (subjekat, objekat,
pristup-mod);
Matrica pristupa M: struktura je navedena ranije.
Nivo funkcije f: dodjeljuje sigurnosni nivo svakom subjektu i
objektu.
Hijerarhija H: upravljako stablo iji vorovi su objekti u sistemu.
Nivo bezbednosti objekta mora da dominira nivoom bezbednosti
svojih roditelja.
Za svaki subjekat Si i svaki objekat Oj, vae tri BLP svojstva:
ss-svojstvo: svaka trojka (Si, Oj, itaj) u skupu pristupa b ima
svojstvo fc(Si) fo(Oj).
*- svojstvo: svaka trojka (Si, Oj, dodaj) u b ima svojstvo fc(Si)
fo(Oj); i svaka trojka (Si, Oj, pii) u b ima svojstvo fc(Si) = fo(Oj).
ds-svojstvo: ako je (Si, Oj, Ax) trenutni pristup (u b), zatim nain
pristupa Ax je element u (Si, Oj) matrici M; to jest, (Si, Oj, Ax)
podrazumeva da Ax ? M[Si, Oj].

12

Poglavlje 2: Modeli kontrole pristupa

BLP PRAVILA
BLP model ukljuuje skup pravila koji se zasnivaju na
apstraktnim operacijama.
BLP model ukljuuje skup pravila koji se zasnivaju na apstraktnim
operacijama kojima se menja stanje u sistemu.
1.
2.
3.
4.
5.
6.
7.
8.

Dobiti pristup
Oslobaanje (engl. release) pristupa:
Promena nivoa objekta
Promena trenutnog nivoa
Dati dozvolu pristupa
Ukinuti dozvolu pristupa
Kreirati objekat
Izbrisati grupu objekta

Pravila 1 i 2 menjaju trenutni pristup; pravila 3 i 4 menjaju nivoe funkcija;

pravila 5 i 6 menjaju dozvolu pristupa, a 7 i 8 pravila menjaju hijerarhiju.

SLABOSTI MODELA BLP

Osnovne slabosti BLP modela.
Slabosti modela BLP su:
model razmatra normalne kanale za razmenu informacija, ali ne i
skrivene, tj. tajne kanale;
model ne specificira kako treba da se radi sa deljenim datotekama i
serverima u modernim distribuiranim sistemima;
model ne definie eksplicitno ta je sigurnan prenos iz jednog nivoa
u drugi;
model se zasniva na sigurnosnoj politici sa vie nivoa, i ne razmatra
druge sigurnosne politike koje neka organizacija moe zahtevati.

2.4

MODEL PREUZMI DODELI

MODEL PREUZMI-DODELI
Model preuzmi-dodeli zasnovan je na modelu matrice
pristupa, s tim to je kontrola pristupa predstavljena
usmerenim grafovima.

13

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Model preuzmi-dodeli zasnovan je na modelu matrice pristupa, s tim to
je kontrola pristupa predstavljena usmerenim grafovima. vorovi grafa
su subjekti (na primer, procesi) i objekti (na primer, resursi). Grana
grafa usmerena od vora A ka voru B znai da subjekat A ima neko
pravo nad subjektom (ili objektom) B; grana se obeleava skupom prava
koje A ima nad B.
Model preuzmi-dodeli nudi etiri razliita prava pristupa:
itanje omoguava voru A da pristupi voru B bez mogunosti
izmene sadraja;
upis omoguava voru A da neto upie u vor B;
preuzimanje omoguava voru A da preuzme prava pristupa koja
vor B ima nad nekim drugim subjektom ili objektom, i
dodela koja omoguava voru A da svoja prava pristupa nad nekim
drugim subjektom ili objektom prenese voru B.

PRIMER MODELA PREUZMI-DODELI

Dat je ilustrativni primer modela preuzmi-dodeli.
Na Slici 1 je prikazane primer modela preuzmi-dodeli (vorovi A, C i D su
subjekti; vorovi B i E su objekti). Pored vorova i grana (tj. subjekata,
objekata i prava), ovaj model definie i neka pravila koja dozvoljavaju
pravljenje i unitavanje vorova i grana u grafu.
Slika 2.3.1 Primer modela
preuzmi-dodeli

14

Poglavlje 3: Modeli integriteta

Poglavlje 3

Modeli integriteta
MODELI INTEGRITETA
U mnogim organizacijama, za odreene aplikacije, integritet podataka je vaniji od poverljivosti.
U mnogim organizacijama, za odreene aplikacije, integritet podataka
je vaniji od poverljivosti. Zbog toga su razvijeni modeli integriteta.
Inicijalno, model integriteta je bio razvijen po analogiji sa BLP modelom
poverljivosti, a onda je postao sofisticiraniji da bi odgovorio na dodatne
zahteve u pogledu integriteta. Integritet podrazumeva da su:
Podaci zatieni od izmene koju pokuava da obavi neovlaeni
korisnik.
Podaci zatieni od neovlaene izmene koju pokuava da obavi
ovlaeni korisnik.
Podaci interno i eksterno konsistentni podaci koji se uvaju u
bazi podataka moraju biti u skladu sa pravilima baze podataka
(na primer, moraju biti zadovoljena pravila integriteta entiteta i
referencijalnog integriteta).

3.1

BIBA MODEL INTEGRITETA

BIBA MODEL INTEGRITETA
Biba model je slian je BLP modelu, ali je usmeren ka
integritetu podataka koji nije razmatran u BLP modelu.
Biba model je slian je BLP modelu, ali je usmeren ka integritetu
podataka koji nije razmatran u BLP modelu. Osnovni elementi Biba
modela su isti kao kod BLP modela. Svakom subjektu i objektu je
dodeljen jedan nivo integriteta, oznaeni kao I(S) za subjekat S i I(O) za
objekat O. Moe se koristiti jednostavna hijerarhijska klasifikacija, u kojoj
postoji strog poredak nivoa, od najnieg do najvieg. Najrelevantnija je
stroga politika integriteta na osnovu sledeih pravila:

15

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Jednostavan integritet: subjekat moe menjati objekat samo ako
je nivo integriteta subjekta dominantan nad nivoom integriteta
objekta: I (S) I (O).
Integritet ograniavanja: subjekat moe itati objekat samo ako
je nivo integriteta subjekta dominantan nad nivoom integriteta
objekta: I (S) I (O).
Svojstvo prizivanja (invocation): subjekat moe traiti drugi
subjekt samo ako je nivo integriteta prvog subjekta dominantan nad
nivoom integriteta drugog subjekta: I (S1) I (S2).

PRAVILO INTEGRITETA
Biba model je razvijen prvenstveno za korisnike u
industriji, gde je poverljivost manje znaajna od
njihovog integriteta.
Jednostavno pravilo integriteta je: ne postoji mogunost itanja nanie
i upisa navie. Slika 1ilustruje potrebu za primenom pravila ogranienja
integriteta. Na primer, ako vam je dodeljen pristup podacima strogo
poverljivo, ne moete itati podatke sa stepenom tajnosti poverljivo, niti
vriti upis u dokument sa viim stepenom tajnosti.
Slika 3.1.1 Biba model
integriteta

3.2

CLARK-WILSON MODEL
INTEGRITETA
CLARK-WILSON MODEL INTEGRITETA
Clark-Wilson model je usmeren pre svega na
komercijalne aplikacije.
Clark-Wilson model je razvijen nakon Biba modela, i takoe obezbeuje
integritet. Podacima u ovom modelu se ne moe pristupiti direktno; njima
se pristupa pomou aplikacija koje imaju odreena, unapred definisana
prava. Na taj nain se spreava neovlaena izmena podataka i
eventualene greke i prevare. Da bi pristupio nekim podacima

16

Poglavlje 3: Modeli integriteta

odreenog bezbednosnog nivoa, korisnik mora da upotrebi odgovarajui
program. Program, na primer, moe dozvoliti samo itanje poverljivih
podataka. Ako eli da izmeni podatke, korisnik mora da upotrebi drugi
program.
Slika 3.2.1 Clark Wilson-ov
model integriteta

17

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Poglavlje 4

Ostali sigurnosni
modeli
MODELI TOKA INFORMACIJA
Prema ovom modelu, svaka jedinica podataka ima
zasebna svojstva podataka, ukljuujui i operativne
karakteristike.
BLP i Biba modeli razmatraju kretanje podataka na osnovu upared
zadatih parametara, pa se za njih moe rei da pripadaju grupi modela
toka podataka. Pravi model toka podataka razmatra sve tokove, ne samo
one koji vode nagore ili nadole. Prema ovom modelu, svaka jedinica
podataka ima zasebna svojstva podataka, ukljuujui i operativne
karakteristike. Ukoliko neko pokua da upie podatke nieg stepena
tajnosti u vii stepen, model e proveriti svojstva podataka i ocenie da
li je takva operacija dozvoljena. Ukoliko je nelegalna operacija, model e
je spreiti. Model je prikazan na Slici 1.

Slika 4.1 Model toka

informacija

MODEL KOJI SPREAVA MEANJE

Ukoliko korisnik sa veim ovlaenjima menja podatke,
korisnik sa niim ovlaenjima uopte nee znati za to,
niti e izmene imati uticaj na njega.
Model koji spreava meanje spreava meanje bezbednosnih funkcija
vieg nivoa sa funkcijama nieg nivoa. Ukoliko korisnik sa veim

18

Poglavlje 4: Ostali sigurnosni modeli

ovlaenjima menja podatke, korisnik sa niim ovlaenjima uopte nee
znati za to, niti e izmene imati uticaj na njega. Na taj nain se spreava
da korisniku sa niim ovlaenjima budu poznate bilo kakve izmene koje
se vre na sistemu. Na Slici 2 je prikazan ovaj model.
Slika 4.2 Model koji spreava
meanje

KONTROLA PRISTUPA ZASNOVANA NA

ULOGAMA
RBAC je baziran na ulozi koju prihvata korisnik u
sistemu, a ne na korisnikovom identitetu
Modeli RBAC definiu ulogu kao funkciju unutar organizacije. RBAC
sistemi dodeljuju prava pristupa ulogama umesto pojedinanim
korisnicima. Korisnicima su dodeljene razliite uloge, ili statiki ili
dinamiki, u skladu sa svojim odgovornostima. RBAC sada ima iroku
komercijalnu upotrebu i ostaje podruje aktivnog istraivanja. Na Slici 3
je prikazan ovaj model.

19

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Slika 4.3 Model RBAC

CHINESS WALL MODEL

Model je razvijen za komercijalne aplikacije u kojima
moe nastati sukob interesa.
Chinese Wall model (CUM) ima sasvim drugaiji pristup odreivanja
integriteta i poverenja od ranije opisanih modela. Model je razvijen za
komercijalne aplikacije u kojima moe nastati sukob interesa. Osnovna
ideja CM je korienje kineskog zida za spreavanje sukoba interesa. U
suprotnosti sa prethodno opisanim modelima, istorija ranijeg pristupa
subjekta odreuje kontrolu pristupa. Osnova za ovaj model je pravilo da
su subjektima dozvoljeni samo pristupi podacima koji ne dolaze u sukob
sa bilo kojom drugom informacijom koju oni ve poseduju.

20

Poglavlje 4: Ostali sigurnosni modeli

Slika 4.4 Chinesse Wall model

NEOGRANICENA KONTROLA PRISTUPA

Opti pristup kontroli pristupa za neogranienu
kontrolu se vri pomou operativnog sistema ili sistema
za upravljanje bazom podataka koja je matrica
pristupa.
Opti pristup kontroli pristupa za neogranienu kontrolu (DAC) se vri
pomou operativnog sistema ili sistema za upravljanje bazom podataka
koja je matrica pristupa. Jedna dimenzija matrice sastoji se od
identifikovanih subjekata koji mogu da pristupe podacima. Druga
dimenzija liste su objekti kojima se moe pristupiti. Na najviem nivou
detalja objekta mogu biti polja linih podataka. Postoji vie grupacija,
kao to su zapisi, datoteke, ili ak i cele baze podataka mogu takoe
biti objekti u matrici. Svaki lan matrice oznaava prava pristupa koji
subjekat moe pristupiti kojem objektu.
Model se sastoji od skupa subjekata, skup objekata i skup pravila koja
reguliu pristup subjekata na objektima. Definie se stanje bezbednosti
sistema kao skup informacija, u odreenom trenutku u vremenu, koja
odreuje prava pristupa za svaki subjekat u odnosu na svaki objekat.
Moemo identifikovati tri zahteva: prikaz stanja bezbednosti, jaanje
pristupnih prava i dozvoliti subjektu da promeni stanje bezbednosti na
odreeni nain.

21

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Model takoe ukljuuje skup pravila koja reguliu modifikacije pristupne
matrice. Pravila ukljuuju sredstvo pristupa, prenos, odobravanje i
brisanje prava pristupa, i ko moe kreirati i izbrisati subjekte i objekte.
Mogunost jednog subjekta da kreira drugi subjekat i pravo pristupa
"vlasnika" subjekta mogu se koristiti da bi se definisala hijerarhija
subjekata.

22

Poglavlje 5: Sigurnosne arhitekture, oznake i reimi

Poglavlje 5

Sigurnosne
arhitekture, oznake i
reimi
SIGURNOSNE ARHITEKTURE
Vano je da profesionalci koji rade u oblasti sigurnosti
razumeju raunarske arhitekture, zatitne mehanizme,
sigurnosne probleme.
Sigurnosna arhitektura informacionog sistema predstavlja osnovu za
sprovoenje sigurnosne politike svake organizacije. Zbog toga je vano
da profesionalci koji rade u oblasti sigurnosti razumeju raunarske
arhitekture, zatitne mehanizme, sigurnosne probleme distribuiranih
sistema i formalne modele koji daju okvir za sigurnosnu politiku. Uz
to, treba odlino da poznaju naine vrednovanja sigurnosnih sistema,
smernice o sertifikaciji i akreditaciji, kao i svoje saradnike.
Zavisno od toga o koliko strogoj sigurnosnoj politici je re, i o kakvom
sistemu se radi zatvorenom ili otvorenom, centralizovanom ili
distribuiranom gradi se odgovarajua sigurnosna arhitektura i
primenjuju se odgovarajue metode zatite.

OTVORENI I ZATVORENI SISTEMI

Karakteristike i razlike otvorenih i zatvorenih sistema.
Otvoreni sistemi ne zavise od proizvoaa, i imaju objavljene specifikacije i interfejse to ih ini kompatibilnim sa proizvodima drugih
proizvoaa. Prednost otvorenog sistema u pogledu sigurnosti je ta to
je podloan javnom pregledu i vrednovanju, tj. nezavisnom ocenjivanju
koje najee pomae u otkrivanju greaka ili ranjivosti tog proizvoda.
Nasuprot, zatvoreni sistem koristi softver i hardver koji zavisi od
proizvoaa, i koji obino nije kompatibilan sa drugim sistemima i
komponentama. Deo sigurnosti zatvorenih sistema zasniva se na
uverenju da e nepoznavanje detalja arhitekture i implementacije
poveati otpornost sistema na napade. Meutim, to se moe i drugaije
23

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

protumaiti: zatvoreni sistemi nisu podloni nezavisnom ocenjivanju, to
znai da mogu biti ranjivi i imati slabe take koje trenutno nisu poznate
ili otkrivene, ali se u budunosti mogu eksploatisati.

SIGURNOSNE OZNAKE
Dodeljene oznake se obino ne mogu izmeniti, pa
predstavljaju efektivan, tj. delotvoran mehanizam
kontrole pristupa.
Sigurnosna oznaka dodeljuje se nekom resursu. Sigurnosna oznaka moe
ukazati na potrebu za posebnim nainom rukovanja (rukovanje objektom
uz primenu dodatnih sigurnosnih mehanizama), ili se moe koristiti za
kontrolu pristupa. Dodeljene oznake se obino ne mogu izmeniti, pa
predstavljaju efektivan, tj. delotvoran mehanizam kontrole pristupa.
Poto se oznake moraju porediti i verifikovati u skladu sa politikom
sigurnosti, njihova primena e izazvati dodatan utroak reijskog
vremena u sistemu.

SIGURNOSNI REIMI
Informacioni sistemi rade u razliitim sigurnosnim
reimima.
Informacioni sistemi rade u razliitim sigurnosnim reimima koji su
odreeni nivoima klasifikacije informacija, profilima korisnika i njihovim
ovlaenjima.
U sistemski-visokom reimu rada (engl. system high mode of
operation) sistem radi na najviem nivou klasifikacije (sigurnosti), gde
svi korisnici moraju imati ovlaenja za najvii nivo. Meutim, nee svi
korisnici imati potrebu da znaju, tj. vide sve podatke.
Reim rada sa vie nivoa (engl. multilevel mode of operation)
podrava korisnike sa razliitim ovlaenjima i podatke razliitih nivoa
klasifikacije.

24

Poglavlje 5: Sigurnosne arhitekture, oznake i reimi

DRUGI REIMI RADA

Namenski, odeljeni, kontrolisani i ogranieni pristup
modeli.
Namenski: Svi korisnici imaju ovlaenja i potrebu da znaju sve
informacije koje obrauje informacioni sistem; sistem moe da radi sa
vie klasifikacionih nivoa.
Odeljeni: Svi korisnici imaju ovlaenja za najvii nivo klasifikovanih
informacija, ali oni ne moraju imati ovlaenje i potrebu da znaju sve
podatke koji se nalaze ili obrauju u raunarskom sistemu.
Kontrolisani: Tip sigurnosti ostvarene sa vie nivoa, gde je odreeni
ogranieni nivo poverenja ostvaren pomou sistemske hardverskosoftverske osnove, zajedno sa odgovarajuim ogranienjima nivoa
klasifikovanih informacija koje se mogu obraivati.
Ogranieni pristup: Sistem u kojem rade korisnici koji nisu sigurnosno
provereni, i gde je maksimalan stepen tajnosti podataka: neklasifikovani,
ali osetljivi.

25

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Poglavlje 6

Procedura oporavka i
ranjivost
PROCEDURA OPORAVKA
Procedura oporavka ne treba da ostavi mogunost za
naruavanje sigurnosne politike sistema.
Kada greku prouzrokuje hardverska ili softverska komponenta, veoma
je vano da ta greka ne kompromituje zahteve sigurnosne politike tog
sistema. Dodatno, procedura oporavka ne treba da ostavi mogunost za
naruavanje sigurnosne politike sistema. Ako se zahteva restartovanje
sistema, sistem mora biti restartovan u sigurnom stanju. Sistem se mora
pokrenuti u reimu odravanja koji dozvoljava pristup samo privilegovanim korisnicima sa privilegovanih terminala. Ovaj reim podrava
povratak (oporavak) sistemskog stanja i sigurnosnog stanja.
Kada se javi greka na raunaru ili mrenoj komponenti, a raunar ili
mrea nastavi da radi, takav sistem se smatra otpornim na greke. Da
bi sistem otporan na greke radio, mora biti u stanju da otkrije greku i
da je onda ispravi, ili da nastavi da radi bez obzira na greku.

RAZLIITI SISTEMI U SLUAJU OTKAZA

Hladni start nastaje u sistemu kada se javi greka i
kada procedure oporavka ne mogu da vrate sistem u
poznato, pouzdano, sigurno stanje.
U sistemu koji je bezbedan u sluaju otkaza, izvrenje programa
se prekida i sistem je zatien od kompromitovanja kada se pojavi i
detektuje hardverska ili softverska greka. U sistemu koji je elastian
u sluaju otkaza, odreeni procesi koji nisu kritini prekidaju se kad
se javi i otkrije hardverska ili softverska greka. Raunar ili mrea
nastavljaju da rade sa slabijim performansama, tj. na niem nivou. Izraz
fail-over odnosi se na prebacivanje na vruu rezervnu komponentu u
realnom vremenu kada se desi i otkrije hardverska ili sofrverska greka,
to omoguava da sistem nastavi rad.

26

Poglavlje 6: Procedura oporavka i ranjivost

Hladni start nastaje u sistemu kada se javi greka i kada procedure
oporavka ne mogu da vrate sistem u poznato, pouzdano, sigurno stanje.
U ovom sluaju, i delovi softvera i podataka mogu biti nekonsistentni,
pa e biti neophodna spoljna intervencija. U tom sluaju, obino se mora
iskoristiti reim odravanja sistema da bi se sistem oporavio.

RANJIVOST U SIGURNOSNOJ
ARHITEKTURI
Ranjivosti u sistemskoj sigurnosnoj arhitekturi mogu
voditi ka naruavanju sigurnosne politike.
Ranjivosti u sistemskoj sigurnosnoj arhitekturi mogu voditi ka
naruavanju sigurnosne politike. U uobiajene ranjivosti arhitekture
spada sledee:
Skriveni kanal: Nenamerni komunikacioni kanal izmeu dva ili
vie subjekata koji dele zajedniki resurs; podrava prenos podataka na nain koji naruava sistemsku sigurnosnu politiku. Podaci
se obino prenose preko zajednikog skladita podataka ili
pristupanjem zajednikom putu koji se koristi kao deljivi kanal za
komunikaciju za koju nije predvien.
Nepostojanje provere perimetra: Greka ili nepostojanje
provere ulaznih tokova koji su odreeni parametrima. Napadi
prekoraenja bafera eksploatiu ovu slabost u odreenim
operativnim sistemima i programima.
Maintenance
hook
ranjivost: Hardverski
ili
softverski
mehanizam koji je instaliran da bi se dozvolilo odravanje sistema, i
koji preskae sistemske sigurnosne mehanizme zatite.
Time of Check to Time of Use (TOC/TOU) napad: Napad koji
iskoriava razliku izmeu vremena kada su sigurnosne kontrole
primenjene, i vremena kada je koriena usluga provere identiteta i
iskorieno neko pravo.

27

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Poglavlje 7

Sertifikacija i
akreditacija
POJAM SERTIFIKACIJE I AKREDITACIJE
Neki autoritet mora preuzeti odgovornost za stavljanje
sistema u operativno stanje.
U mnogim okruenjima moraju se primeniti formalne metode da bi se
osiguralo postavljanje prikladnih metoda zatite informacionog sistema,
kao i to da one funkcioniu prema specifikaciji. Dodatno, neki autoritet
mora preuzeti odgovornost za stavljanje sistema u operativno stanje.
Akcije su poznate kao sertifikacija i akreditacija.
Formalno, definicije su sledee:
Sertifikacija predstavlja opsenu procenu tehnikih i netehnikih
sigurnosnih karakteristika informacionog sistema i drugih zatitnih
mehanizama koji su kreirani da podre proces akreditacije, da
ustanove varijacije, tj. prihvatljiva proirenja proirenja u okviru
kojih odreena arhitektura i njena implementacija zadovoljava skup
specificiranih sigurnosnih zahteva.
Akreditacija je formalna deklaracija koju daje ovlaena
organizacija (engl. Designated Approving Authority-DAA) i kojom je
odobreno da informacionom sistemu radi u odreenom sigurnosnom
reimu uz korienje propisanog skupa mehanizama zatite i
prihvatljiv nivo rizika.
Sertifikacija i akreditacija sistema moraju biti ponovo uraene posle
definisanog perioda, ili kada se dese promene na sistemu ili u njegovom
okruenju. U tom sluaju se zahteva resertifikacija i reakreditacija.

28

Poglavlje 8: Veba - Bezbedonosni mehanizmi

Poglavlje 8

Veba - Bezbedonosni
mehanizmi
BEZBEDONOSNI MEHANIZMI
Upoznavanje sa autorizacijom
Ova veba se bavi sistemom dozvola i autorizacije pristupa sistemu kod
Linux OS. Ovaj sistem upravlja pristupom datoteka, i svimu drugom to
se odnosi na datoteni sistem kao to su datoteke, direktorijume, ureaji,
simbolike veze, etc.
Referenca:
Simbolike
veze
(engl.
http://en.wikipedia.org/wiki/Symbolic_link

Symbolic

link)

Poseban tip datoteke koji sadri pointere na drugu datoteku ili

direktorijume
http://help.hardhathosting.com/question.php/95
Student e uraditi vebu i zabeleiti rezultate vjebe, dozvole za pristup
sistemu da bi shvatili da je odluka o autorizaciji pristupa resursima
funkcija dve varijable, a ne samo jedne varijable.

KREIRANJE KORISNIKA
Kreiranje novih korisnika na sistemu
Prijaviti se kao root i kreirati 3 korisnika.
useradd ana
useradd bojan
useradd viktor
Zapaziti promene u fajlovima
/etc/passwd

29

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

/etc/shadow
Slika 8.1 /etc/passwd

Dodeliti svakom korisniku lozinku.

passswd ana
passwd bijan
passwd viktor
Na slici 2 imamo prikaz dela /etc/shadow gde su kreirana tri korisnika.
Slika 8.2 /etc/shadow

KREIRANJE GRUPA
Kreiranje grupa i dodavanje korisnika u grupu
Prijaviti se kao root i kreirati 3 grupe
groupadd generalni
groupadd menadzment
groupadd osoblje
Posmatrati promenu u fajlu /etc/group
tail -n 3 /etc/group
Na slici 3 imamo prikaz /etc/group nakon kreiranja grupa i dodavanja
korisnika u grupe.
Slika 8.3 /etc/group

30

Poglavlje 8: Veba - Bezbedonosni mehanizmi

KREIRANJE FAJLOVA
Kreirati tri fajla i postaviti pravila pristupa za fajlove
cd /tmp
echo putninalog > planputovanja
echo strategija > strategijarazvoja
echo radnizadatak > radnizadatak
Komandom ls proveravamo postojanje kreiranih fajlova.
Promeniti primarnu grupu kojoj pripadaju kreirani fajlovi.
chgrp generalni planputovanja
chgrp menadzment strategijarazvoja
chgrp osoblje radnizadatak
Komandom ls l proveravamo postojanje kreiranih fajlova kao I kojoj grupi
pripadaju fajlovi(Slika 4)
Slika 8.4 ls -l

Postavljanje dozvola za fajlove

chmod 740 planputovanja
chmod 760 strategijarazvoja
chmod 766 radnizadatak
Komandaom ls l proveriti da li je dolo do promena (Slika 5)
Slika 8.5 ls -l Nakon izmene
prava pristupa

Ulogovati se prvo kao Ana, zatim kao Bojan i na kraju kao Viktor. Zapisati
koje foldere mogu da proitaju. (Slika 6)

31

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Slika 8.6 Provera pristupa

ACL
Kontrolna lista pristupa(engl. access control list)
Napravite jednu promenu u kontrolnoj listi pristupa koja pripada
strategijarazvoja" Promena " strategijarazvoja " e uticati na korisnika
anau.
setfacl -m u:joe:r strategijarazvoja
Moemo proveriti privilegije na fajl strategijarazvoja
getfacl strategijarazvoja
Slika 8.7 getfacl

Sada korisnik ana ima pristup fajlu strategijarazvoja

Komandom getfacl moemo proverti vie fajlova odjednom

32

Poglavlje 8: Veba - Bezbedonosni mehanizmi

Slika 8.8 provera za vie
fajlova

ACL IZMENA PRVILEGIJA ZA GRUPE

Osim za korisnike ACL moe izmeniti privilegije i za
grupe.
setfacl -m g:generalni:rw radnizadatak smo dodali provilegije do
moe da ita i pie za fajl radnizadatak (Slika 9)
Slika 8.9 Dodela privilegija za
novu grupe

33

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

ISENJE SISTEMA
Nakon zavretka vebe potrebno je obrisati korisnik,
grupe i fajlove.
rm radnizadatak
rm planputovanja
rm strategijarazvoja

userdel -r ana
userdel -r bojan
userdel -r viktor

groupdel generalni
groupdel menadzment
groupdel osoblje

34

Poglavlje 9: Domai zadatak 03

Poglavlje 9

Domai zadatak 03
DOMAI ZADATAK 3
ACL i prava pristupa
Napravite Vau situaciju sa korisnicima, grupama i dozvolama za pristup
datotekama slinu dananjoj vebi (mora biti sasvim drugaija). Zadatak
mora imati dva sluaja. Osnovni sluaj i nakon promena ACL. Pre
praktine provere, dati procenu konane situacije, a onda izvrtiti
praktinu proveru. Date su tabele (Slika 1):
Napomena: Domai zadatak je potrebno uraditi u MS Word (doc) ili
LibreOffice (odf) formatu sa ubaenim sreenshot-ovima i poslati
predmetnom asistentu,
Naziv zadatka treba da bude: IT381-DZ3-ime_prezime_brojIndexa
Subjekat mail-a treba da bude: IT381-DZ3

Slika 9.1

35

Lekcija 03: Modeli sigurnosti sigurnosne arhitekture

Zakljuak
ZAKLJUAK
Rezime tree lekcije.
Nakon studiranja sadraja ovog poglavlja, studenti e stei solidan
znanja iz oblasti modela sigurnosti i sigurnosnih arhitektura:

36

Modeli sigurnosti
Modeli kontrole pristupa
Modeli integriteta
Ostali sigurnosni modeli
Sigurnosne arhitekture, oznake i reimi
Procedura oporavka i ranjivost
Sertifikacija i akreditacija
Bezbednosni mehanizmi