Informationsflussorientierte Verfahren zum Zugriffsschutz in Computersystemen

Dissertation, April 2001

In praktisch allen Computersystemen, die in Firmen, Behörden, Organisationen usw. zum Einsatz kommen, sind Sicherheitssysteme integriert. Zudem findet man so gut wie immer ein Netzwerk vor, wodurch die Daten und Ressourcen unterschiedlichen Benutzern zur Verfügung gestellt werden. Dadurch ergeben sich aber auch eine Reihe von neuen Problemen in Bereich der Sicherheit.

Sicherheitssysteme kann man in zwei Gruppen einteilen: solche die auf einer benutzerbestimmbaren Zugriffskontrolle aufbauen (engl. discretionary access control DAC) und solche die auf einer durch Organisations- oder Systemrichtlinien festgelegten Zugriffskontrolle aufbauen (eng. mandatory access control MAC). MAC kommt im kommerziellen Bereich kaum zum Einsatz, es ist am ehesten noch im militärischen Bereich zu finden. Die Sicherheitssysteme so verbreiteter Betriebssysteme wie Windows NT / Windows 2000 und Unix basieren auf DAC.

Mit DAC lässt sich etwa festlegen, ob ein bestimmter Benutzer bestimmte Dateien lesen und/oder beschreiben kann oder eben nicht. DAC bittet aber keine Möglichkeit weiterer Festlegungen – etwa der Art, ein Benutzer darf eine Datei zwar lesen und schreiben aber die Informationen nicht an andere Benutzer weitergeben. Solche weiteren Beschränkungen können durch MAC – basierte Sicherheitssysteme erreicht werden.

Die Konfiguration von Sicherheitssystemen ist wie die Erfahrung lehrt, sehr schwierig und fehleranfällig. Da DAC basierte Sicherheitssysteme zum einem sehr verbreitet sind und zum anderen (im Gegensatz zu MAC basierten Systemen) keine explizite Festlegung von erlaubten bzw. verbotenen Informationsflusse gestatten, wird eine Methode entwickelt, die es gestattet, mögliche Informationsflusswege aufzufinden. Diese Informationsflusswege ergeben sich zum einem aufgrund der technischen Infrastruktur (Netzwerk) und zum anderen aufgrund der Rechte, die bestimmte Benutzer für bestimmte Objekte haben. Sollten unerwünschte Informationsflusswege gefunden werden, dann sind die Rechte (oder die technische Umgebung) so anzupassen, dass nur mehr erwünschte Informationsflusswege vorkommen.

Die Methode (genannt SecSim1, eine Abkürzung für Security Simulator Version 1) besteht aus mehreren Schritte: Die technische Infrastruktur wird in einem gerichteten Graphen dargestellt. Ebenso wird die Organisation in einem gerichteten Graphen abgebildet (dies entspricht in etwa den üblichen Organigrammen). Dann werden jedem modellierten Element (z.B. Rechner, Datenbank, ...) die Benutzer und seine Rechte zugeordnet. Aufgrund dieser Zuordnungen ergeben sich mögliche Informationsflüsse zwischen den Elementen der technischen Infrastruktur. Personen gehören zu Abteilungen der Organisation, ebenso gehören die Rechner, Datenbestände usw. zu bestimmten Abteilungen. Die zwischen den technischen Elementen gefundenen Informationsflüsse kann man daher auch als Informationsflüsse zwischen den Abteilungen ansehen.

Wenn man eine Sicherheitspolitik festlegt, die besagt, welche Abteilung mit welcher anderen Abteilung Informationen austauschen darf, kann man die Einhaltung oder Verstöße gegen diese Sicherheitspolitik automatisch überprüfen.

Jene Personen, die für die Konfiguration von Sicherheitssystemen verantwortlich sind, erhalten dadurch eine computerunterstützte Möglichkeit zu überprüfen, ob durch die von ihnen vorgenommenen Einstellungen die durch das Management vorgegebene Sicherheitspolitik erfüllt wird.

 

Abstract (englisch) Kurzfassung (deutsch) Inhaltsverzeichnis


Verfasser:
Johann Murauer
E-Mail: jmurauer@acm.org (ein E-Mail senden)


Letzte Änderung: 14.Mai 2001