Формальные модели безопасности - Как обезопасить себя в кризис?
Invest-currency.ru

Как обезопасить себя в кризис?
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Формальные модели безопасности

Формальные модели безопасности

Наибольшее развитие получили два подхода, каждый из которых основан на своем видении проблемы безопасности и нацелен на решение определенных задач, — это формальное моделирование политики безопасности и криптография. Причем эти различные по происхождению и решаемым задачам подходы дополняют друг друга: криптография может предложить конкретные методы защиты информации в виде алгоритмов идентификации, аутентификации, шифрования и контроля целостности, а формальные модели безопасности предоставляют разработчикам основополагающие принципы, лежащие в основе архитектуры защищенной системы и определяющие концепцию ее построения.

Модель политики безопасности — формальное выражение политики безопасности. Формальные модели используются достаточно широко, потому что только с их помощью можно доказать безопасность системы, опираясь при этом на объективные и неопровержимые постулаты математической теории.

Основная цель создания политики безопасности ИС и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователя получат доступ к информации и смогут осуществлять с ней только санкционированные действия.

Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и мандатные (нормативные). В данном подразделе в качестве примера изложены основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам.

Дискреционная модель Харрисона—Руззо — Ульмана.Модель безопасности Харрисона—Руззо —Ульмана, являющаяся классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей — субъектов (множество S), которые осуществляют доступ к информации, пассивных сущностей — объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R = <r1, . rn>, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).

Причем для того чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами. Поведение системы моделируется с помощью понятия «состояние». Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав — OSR. Текущее состояние системы Q в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа М, описывающей текущие права доступа субъектов к объектам, — Q = (S, О, М). Строки матрицы соответствуют субъектам, а столбцы — объектам, поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любая ячейка матрицы M[s, о]содержит набор прав субъекта s к объекту о, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу М с помощью команд следующего вида:

Здесь а — имя команды; хi параметры команды, являющиеся идентификаторами субъектов и объектов; si и оi индексы субъектов и объектов в диапазоне от 1 до k; opi элементарные операции.

Элементарные операции, составляющие команду, выполняются только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы М, являются истинными. В классической модели допустимы только следующие элементарные операции:

enter r into M[s, о] (добавление субъекту s права r для объекта о)

delete r from M[s, о] (удаление у субъекта s права r для объекта о)

create subject s (создание нового субъекта s)

create object о (создание нового объекта о)

destroy subject s (удаление существующего субъекта s)

destroy object о (удаление существующего объекта о)

Критерий безопасности модели Харрисона — Руззо — Ульмана формулируется следующим образом.

Для заданной системы начальное состояние Q= (S, O, М) является безопасным относительно права r, если не существует применимой к Qпоследовательности команд, в результате которой право r будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянии Q.

Нужно отметить, что все дискреционные модели уязвимы по отношению к атаке с помощью «троянского коня», поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Поэтому, когда «троянская» программа, которую нарушитель подсунул некоторому пользователю, переносит информацию из доступного этому объекта в объект, доступный нарушителю, то формально никакое правило дискреционной политики безопасности не нарушается, но утечка информации происходит.

Таким образом, дискреционная модель Харрисона—Руззо — Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля за распределением прав во всех современных системах.

Типизованная матрица доступа.Другая дискреционная модель, получившая название «Типизованная матрица доступа» (Type Access Matrix — далее ТАМ), представляет собой развитие модели Харрисона—Руззо—Ульмана, дополненной концепцией типов, что позволяет несколько смягчить те условия, для которых возможно доказательство безопасности системы.

Состояние системы описывается четверкой Q = (S, О, t, М), где S, О и М обозначают соответственно множество субъектов, объектов и матрицу доступа, a t: O → Т — функция, ставящая в соответствие каждому объекту некоторый тип.

Состояние системы изменяется с помощью команд из множества С. Команды ТАМ имеют тот же формат, что и в модели Харрисона—Руззо—Ульмана, но всем параметрам приписывается определенный тип:

Перед выполнением команды происходит проверка типов фактических параметров, и, если они не совпадают с указанными в определении, команда не выполняется. Фактически введение контроля типов для параметров команд приводит к неявному введению дополнительных условий, так как команды могут быть выполнены только при совпадении типов параметров. В модели используются следующие шесть элементарных операций, отличающихся от аналогичных операций модели Харрисона—Руззо —Ульмана только использованием типизованных параметров:

Смысл элементарных операций совпадает со смыслом аналогичных операций их классической модели Харрисона — Руззо — Ульмана с точностью до использования типов.

Таким образом, ТАМ является обобщением модели Харрисона—Руззо—Ульмана, которую можно рассматривать как частный случай ТАМ содним-единственным типом, к которому относятся все объекты и субъекты. Появление в каждой команде дополнительных неявных условий, ограничивающих область применения команды только сущностями соответствующих типов, позволяет несколько смягчить жесткие условия классической модели, при которых критерий безопасности является разрешимым.

Несмотря на различающиеся подходы, суть всех моделей безопасности одинакова, поскольку они предназначены для решения одних и тех же задач. Целью построения модели является получение формального доказательства безопасности системы, а также определения достаточного критерия безопасности.

Безопасность системы определяется в равной степени тремя факторами: свойствами самой модели, ее адекватностью угрозам, воздействующим на систему, и тем, насколько корректно она реализована. Поскольку при существующем разнообразии теоретических наработок в области теории информационной безопасности выбор модели, адекватной заданным угрозам, не является проблемой, последнее, решающее слово остается за ее реализацией в защищенной системе.

Читать еще:  Перечислите составляющие информационной безопасности

Формальные модели безопасности. Типы моделей безопасности, определения

Политика безопасности — совокупность норм и правил, регламенти-

рующих процесс обработки информации, выполнение которых обеспечи-

вает защиту от определенного множества угроз и составляет необходимое

(а иногда и достаточное) условие безопасности системы.

Модель политики безопасности — формальное выражение политики

Только с помощью формальных моделей безопасности можно доказать

безопасность системы, опираясь при этом на объективные и неопровержи-

мые постулаты математической теории.

Назначение моделей безопасности состоит в том, что они позволяют

обосновать жизнеспособность системы и определяют базовые принципы ее

архитектуры и используемые при ее построении технологические решения.

Основная цель создания политики безопасности и описания ее в виде

формальной модели — это определение условий, которым должно подчи-

няться поведение системы, выработка критерия безопасности и проведе-

ние формального доказательства соответствия системы этому критерию

при соблюдении установленных правил и ограничений

Мандатной политикой безопасности будем считать любую политику,

логика и присвоение атрибутов безопасности которой строго контролиру-

ются системным администратором политики безопасности.

Дискреционной политикой безопасности будем считать любую поли-

тику, в которой обычные пользователи могут принимать участие в опре-

делении функций политики и/или присвоении атрибутов безопасности.

Ролевая политика безопасности представляет собой существенно

усовершенствованную модель Харрисона-Руззо-Ульмана [4] (управление

доступом в ней осуществляется как на основе матрицы прав доступа для

ролей, так и с помощью правил, регламентирующих назначение ролей

пользователям и их активацию во время сеансов).

Политика доменов и типов (Domain and Type Enforcement — DTE)

модель, являющаяся расширением типизированной матрицы доступа, в

которой типы приписаны не только объектам, но и субъектам

28. Модель Белла — ЛаПадулы.

Модель Белла — Лападулы — модель контроля и управления доступом, основанная на мандатной модели управления доступом. В модели анализируются условия, при которых невозможно создание информационных потоков от субъектов с более высоким уровнем доступа к субъектам с более низким уровнем доступа.

Формальное описание модели

Обозначения

· — множество субъектов;

· — множество объектов, ;

· — множество прав доступа, — доступ на чтение, — доступ на запись;

· — множество уровней секретности, — Unclassified, — Sensitive but unclassified, — Secret, — Top secret;

· — решётка уровней секретности, где:

· — оператор, определяющий частичное нестрогое отношение порядка для уровней секретности;

· — оператор наименьшей верхней границы;

· — оператор наибольшей нижней границы.

· — множество состояний системы, представляемое в виде набора упорядоченных пар , где:

· — функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определённый уровень секретности;

· — матрица текущих прав доступа.

Система в модели Белла — Лападулы состоит из следующий элементов:

· — начальное состояние системы;

· — множество прав доступа;

· — функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое.

Формальные модели безопасности;

Напомним, что под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности системы. Формальное выражение политики безопасности называют моделью политики безопасности.

Для чего же нужны модели безопасности? Неужели нельзя обойтись неформальным описанием политики безопасности, ведь составление формальных моделей требует существенных затрат и привлечения высококвалифицированных специалистов, они трудны для понимания и требуют определенной интерпретации для применения в реальных системах. Тем не менее формальные модели необходимы и используются достаточно широко, потому что только с их помощью можно доказать безопасность системы опираясь при этом на объективные и неопровержимые постулаты математической теории. По своему назначению модели безопасности аналогичны аэродинамическим моделям самолетов и моделям плавучести кораблей — и те, и другие позволяют обосновать жизнеспособность системы и определяют базовые принципы ее архитектуры и используемые при ее построении технологические решения. Основная цель создания политики безопасности информационной системы и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений. На практике это означает, что только соответствующим образом уполномоченные пользователи получат доступ к информации, и смогут осуществлять с ней только санкционированные действия.

Кроме того, формальные модели безопасности позволяют решить еще целый ряд задач, возникающих в ходе проектирования, разработки и сертификации защищенных систем, поэтому их используют не только теоретики информационной безопасности, но и другие категории специалистов, участвующих в процессе создания и эксплуатации защищенных информационных систем (производители, потребители, эксперты-квалификаторы).

Производители защищенных информационных систем используют модели безопасности в следующих случаях:

· при составлении формальной спецификации политики безопасности разрабатываемой системы;

· при выборе и обосновании базовых принципов архитектуры защищенной системы, определяющих механизмы реализации средств защиты;

· в процессе анализа безопасности системы в качестве эталонной модели;

· при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности.

Потребители путем составления формальных моделей безопасности получают возможности довести до сведения производителей свои требования в четко определенной и непротиворечивой форме, а также оценить соответствие защищенных систем своим потребностям.

Эксперты по квалификации в ходе анализа адекватности реализации политики безопасности в защищенных системах используют модели безопасности в качестве эталонов.

В данном лекционном разделе изложены основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам, и моделирующих поведение системы с помощью пространства состояний, одни из которых являются безопасными, а другие — нет. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:

1. Система является совокупностью взаимодействующих сущностей — субъектов и объектов. Объекты можно интуитивно представлять в виде контейнеров, содержащих информацию, а субъектами считать выполняющиеся программы, которые воздействуют на объекты различными способами. При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности. Необходимо отметить, что общим подходом для всех моделей является именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами определения понятий объект и субъект в разных моделях могут существенно различаться.

2. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

3. Все операции контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности.

Читать еще:  Что такое экологическая безопасность определение

4. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

5. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.

6. Основной элемент модели безопасности — это доказательство утверждения (теоремы) о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.

Система управления доступом

Написание, компиляция и прогон программы получения стандартного списка контроля доступа к объектам из маркера доступа процесса

На основе предыдущей программы рекомендуется написать программу, которая выводит на экран список прав доступа «по умолчанию» для объектов, создаваемых данным процессом.

Проверка прав доступа

После формализации атрибутов защиты субъектов и объектов можно перечислить основные этапы проверки прав доступа [ Руссинович ] , [ Рихтер ] , [ Рихтер, Кларк ] , см. рис. 13.3.

Этапов проверки довольно много. Наиболее важные этапы из них:

  • Если SID субъекта совпадает с SID владельца объекта и запрашиваются стандартные права доступа, то доступ предоставляется независимо от содержимого DACL .
  • Далее система последовательно сравнивает SID каждого ACE из DACL с SID маркера. Если обнаруживается соответствие, выполняется сравнение маски доступа с проверяемыми правами. Для запрещающих ACE даже при частичном совпадении прав доступ немедленно отклоняется. Для успешной проверки разрешающих элементов необходимо совпадение всех прав.

Очевидно, что для процедуры проверки важен порядок расположения ACE в DACL . Поэтому Microsoft предлагает так называемый предпочтительный порядок размещения ACE . Например, для ускорения рекомендуется размещать запрещающие элементы перед разрешающими.

Заключение

Подсистема защиты данных является одной из наиболее важных. В центре системы безопасности ОС Windows находится система контроля доступом. Реализованные модели дискреционного и ролевого доступа являются удобными и широко распространены, однако не позволяют формально обосновать безопасность приложений в ряде случаев, представляющих практический интерес. С каждым процессом или потоком, то есть, активным компонентом (субъектом), связан маркер доступа, а у каждого защищаемого объекта (например, файла) имеется дескриптор защиты. Проверка прав доступа обычно осуществляется в момент открытия объекта и заключается в сопоставлении прав субъекта списку прав доступа, который хранится в составе дескриптора защиты объекта.

Приложение. Формальные модели защищенности в ОС Windows

Представление информационной системы как совокупности взаимодействующих сущностей — субъектов и объектов — является базовым представлением большинства формальных моделей. В защите нуждаются и объекты, и субъекты. В этом смысле субъект является частным случаем объекта. Иногда говорят, что субъект — это объект , который способен осуществлять преобразование данных и которому передано управление .

Применение формальной модели строится на присвоении субъектам и объектам идентификаторов и фиксации набора правил, позволяющих определить, имеет ли данный субъект авторизацию, достаточную для предоставления указанного типа доступа к данному объекту.

Применение данного подхода может быть проиллюстрировано следующим образом.

Имеется совокупность объектов i> , субъектов i> и пользователей i> . Вводится операция доступа i> -> j> , под которой подразумевается использование i-м субъектом информации из j-го объекта. Основные варианты доступа: чтение, запись и активация процесса, записанного в объекте. В результате последней операции появляется новый субъект i> -> j> -> k> .

Во время загрузки создается ряд субъектов (системных процессов), и к их числу принадлежит оболочка Sshell, с помощью которой прошедшие аутентификацию пользователи могут создавать свои субъекты (запускать свои программы). При помощи выполняемых программ пользователи осуществляют доступ к объектам (например, осуществляют чтение файлов). В итоге деятельность такого пользователя может быть описана ориентированным графом доступа (см. рис. 13.4).

Множество графов доступа можно рассматривать как фазовое пространство , а функционирование конкретной системы — как траекторию в фазовом пространстве. Защита информации может состоять в том, чтобы избегать «неблагоприятных» траекторий. Практически такое управление возможно только ограничением на доступ в каждый момент времени, или, как утверждается в известной «оранжевой» книге [ DoD ] , все вопросы безопасности информации определяются описанием доступов субъектов к объектам.

Можно ввести также особый вид субъекта, который активизируется при каждом доступе и называется монитором обращений . Если монитор обращений в состоянии отличить легальный доступ от нелегального и не допустить последний, то такой монитор называется монитором безопасности (МБ) и является одним из важнейших компонентов системы защиты.

Дискреционная модель контроля и управления доступом

Модели управления доступом регламентируют доступ субъектов к объектам. Наиболее распространена так называемая дискреционная (произвольная) модель, в которой обычные пользователи могут принимать участие в определении функций политики и присвоении атрибутов безопасности. Среди дискреционных моделей классической считается модель Харрисона-Руззо-Ульмана (см. [ Таненбаум ] ) — в ней система защиты представлена в виде набора множеств, элементами которых являются составные части системы защиты: субъекты, объекты, уровни доступа, операции и т.п.

С концептуальной точки зрения текущее состояние прав доступа при дискреционном управлении описывается матрицей (см. рис. 13.5), в строках которой перечислены субъекты, в столбцах — объекты, а в ячейках — операции, которые субъект может выполнить над объектом. Операции зависят от объектов. Например, для файлов это операции чтения, записи, выполнения, изменения атрибутов, а для принтера — операции печати и управления. Поведение системы моделируется с помощью понятия состояния Q = (S,O,M) , где S,O,M — соответственно текущие множества субъектов, объектов и текущее состояние матрицы доступа.

С учетом дискреционной модели можно следующим образом сформулировать задачу системы защиты информации. С точки зрения безопасности, поведение системы может моделироваться как последовательность состояний, описываемых совокупностью субъектов, объектов и матрицей доступа. Тогда можно утверждать, что для безопасности системы в состоянии Q не должно существовать последовательности команд, в результате которой право R будет занесено в ячейку памяти матрицы доступа M, где оно отсутствовало в состоянии Q . (критерий Харрисона-Руззо-Ульмана). По существу необходимо ответить на вопрос: сможет ли некоторый субъект S когда-либо получить какие-либо права доступа к некоторому объекту O?

Очевидно, что для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа. Харрисон, Руззо и Ульман доказали, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния Q и общего права r решить, является ли данная конфигурация безопасной. Чтобы удовлетворить критерию безопасности в общем случае, в ИС должны отсутствовать некоторые операции создания и удаления сущностей, в результате чего эксплуатация подобной системы теряет практический смысл.

Каналы утечки информации в системах с дискреционным доступом

Таким образом, если не предпринимать специальных мер, система с дискреционным доступом оказывается незащищенной. Для иллюстрации можно продемонстрировать организацию канала утечки.

Читать еще:  Информационная безопасность вычислительных сетей

Очевидно, что для каждого субъекта S, активизированного в момент времени t, существует единственный активизированный субъект S’, который активизировал субъект S. Поэтому можно, анализируя граф, подобный изображенному на рис. 13.5, выявить единственного пользователя, от имени которого активизирован субъект S.

Соответственно, для любого объекта существует единственный пользователь, от имени которого активизирован субъект, создавший данный объект. Можно сказать, что этот пользователь породил данный объект, а также сформировал для него список прав доступа.

В этом случае схематичное изображение канала утечки в виде разрешенного доступа от имени разных пользователей к одному и тому же объекту будет выглядеть следующим образом:

Ui -> (Write)-> O , в момент времени t1 и Uj -> (Read)-> O в момент времени t2 , где i≠j и t1 >

Классификация моделей безопасности

В статье будут рассмотрены модели безопасности, которые были реализованы разными авторами для создания своих политик безопасности. Эти модели обрели статус классических, хотя и появились в разное время. В их основе лежит математическая логика. Они делятся на группы:

  • Модели контроля целостности
  • Модели, которые предотвращают угрозу раскрытия информации
  • Модели, которые предотвращают угрозу отказа служб

Модели безопасности, которые предотвращают угрозу раскрытия

Модели этой группы защищают от угроз раскрытия, и делятся на:

  • Модели разграничения доступа, реализованы по принципу разграничения прав
  • Модели на основе канонов теории информации
  • Модели разграничения доступа, реализуются принципы теории вероятности

Модели Дискреционного доступа (DAC)

Модели такого типа нужны для синтеза политик безопасности, которые не разрешают неавторизованному пользователю иметь доступ к данным.

Модель АДЕПТ — 50

Модель имеет 3 типа объектов:

  • U — пользователи
  • J — задания
  • F — файлы
  • T — терминалы

Каждый объект имеет вид (A, C, F, M):

  • A — скаляр, компоненты иерархически упорядоченных уровней безопасности (несекретно, секретно, совершенно секретно)
  • C — дискретный набор рубрик, не зависящих от А
  • M — набор видов доступа, которые разрешены для объекта
  • F — группа пользователей, которые имеют право на доступ к объекту

Если U — множество всех пользователей в системе, а F(i) — набор всех пользователей, которые имеют право работать с объектом i, то существуют следующие правила:

  • u ∈ U — пользователь u имеет доступ к системе, когда пользователь принадлежит к множеству пользователей системы
  • u ∈ F(t) — пользователь u имеет доступ к терминалу t тогда, когда u имеет право пользоваться терминалом t
  • A(j)>=A(f), C(j) >= C(f), M(j) >= M(f), u &sin; F(t) — пользователь u имеет доступ к файлу j тогда, когда привилегии данного задания шире привилегий файла или равны им, а пользователь u есть в группе с определенными полномочиями

Таблица 1 — Матрица безопасности АДЕПТ

где, f1,f2 — старый файлы, f — новый файл как функция от f1 и f2

5-мерное пространство безопасности Хартстона

  • A — установленные полномочия
  • E — операции
  • R — ресурсы
  • U — пользователи
  • S — состояния

Доступ дается на основе запроса пользователя u для реализации операции E над ресурсами R тогда, когда система в состоянии S. Запросы имеют право на доступ тогда, когда они полностью соответствуют подпространству правильных запросов. Организация доступа состоит из:

  • Включение всех дополнительных программ, для предварительного принятия решения
  • Выяснить из U группы пользователей, к которым принадлежит u. Затем определить из А спецификаций полномочий, которыми владеет группа. Набор полномочий A(u) определяет права пользователя u
  • Выяснить из А набор A(e) те полномочия, которые дают E параметры основной операции
  • Выяснить из А набор A(R`) — список полномочий, которые можно использовать для определенного задания E

Полномочия в пунктах 2 — 4 (A(u), A(e), A(R`)) создают домен D полномочий для запроса q, где: D(q) = A(u) ∪A(e)∪A(R`);

  • Проверить, что запрашиваемый ресурс R включен в домен D(q)
  • Реализовать разбиение набора домена D(q) на эквивалентные классы, чтобы 2 полномочия попали в эквивалентный класс тогда, когда они определяют одну единицу ресурса.
  • Определить условия доступа, определенному запросу q.
  • Оценить параметры фактического доступа и принять решения
  • Реализовать запись всех событий
  • Вызвать все программы, нужные для создания доступа после принятия решения

Положительные качества такой модели определяет отличная гранулированность защиты и простая реализация. Модели на основе DAC плохо справляются с троянскими конями.

Модели мандатного доступа (MAC)

Мандатный доступ накладывает ограничения на транспортировку данных от одного пользователя к другому, что решает проблему троянских коней. К таким моделям относят:

  • MAC — Модель Белла и Лападула
  • Специализированная модель MMS
  • Неформальная модель MMS
  • Формальная модель MMS

Специализированная модель MMS

Для устранения недостатков Лендвером и Маклином в этой модели, были предложены определения. Созданы и доказаны в формальной и неформальной модели MMS.

  • Классификация — критерий секретности информации
  • Степень доверия пользователю — каждый пользователь имеет свой степень доверия
  • Пользовательский идентификатор — уникальный код пользователя. Он нужен для аутентификации
  • Роль — это работа пользователя. Пользователь имеет всегда как минимум одну роль
  • Объект — это одноуровневый блок данных
  • Контейнер — многоуровневая информационная структура (файл)
  • Сущность — объект или контейнер
  • Каждый контейнер имеет степень доверия
  • Идентификатор — имся сущности без ссылки на другие сущности
  • Ссылка на сущность является прямой, если это идентификатор сущности, и косвенной если это последовательность двух и более имет, где первое — идентификатор
  • Операция — функция применяемая к сущности
  • Множество доступа — множество троек(операция, пользовательский идентификатор или роль, индекс операнда), которые относятся к сущности
  • Сообщение — контейнер

Неформальная модель MMS

Пользователь имеет доступ к системе после прохождения процедуры аутентификации. Система имеет следующие функциональные ограничения:

    • A1: офицер безопасности системы определяет уровни доверия, реализует классификаций устройств и множество ролей
    • А2: пользователь должен вводить корректную классификацию, когда изменяет информацию
    • А3: пользователь сам классифицирует сообщение и определяет уровень доверия для него
    • А4: пользователь контролирует данные обхъектов, требующих благонадежности
    • B1: Авторизация
    • В2: Классификационная иерархия
    • B3: Изменение объектов
    • B4: Просмотр
    • B5: Доступ к контейнерам
    • B6: Изменения косвенных ссылок
    • B7: Требования меток
    • B8: Установка степени доверия
    • B9: Понижения классификации данных
    • B10: Уничтожение данных

Формальная модель MMS

Главной идеей создания формализации является взгляд на систему как на взаимоотношения между состояниями системы и самой системой. Понимается, что состояние системы складается из сущностей и их отношений, и система добавляет к эти отношениям пользователей и их операции. Главной трудностью, которая возникает при формацлизации модели, это интерпритация копирования, просмотра, выхода из системы и тд. Информация считается скопированной не только когда она переносится из одной сущности в другую, но и когда она дает потенциальный вклад в другую сущность. В формализации вывод системы подразумевается как множество контейнером. Семантика авторизованных операций неспецифицированна.

К плюсам моделей предоставления прав можно отнести понятность и реализацию с высокой точностью. К минусам можно отнести возможность создания скрытых каналов утечки данных.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector