Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Мандатная политика безопасности

ПОЛИТИКА БЕЗОПАСНОСТИ

Хронология утечек информации

Основные положения стратегии национальной безопасности РФ до 2020 года

  1. Общие положения (термины, для чего)
  2. Современный мир и Россия: состояние и тенденции развития
  3. Национальные интересы и приоритеты РФ
  4. Обеспечение национальной безопасности (национальная оборона, экономический рост, здравоохранение, культура и др.)
  5. Организационные, нормативные, правовые и информационные основы реализации стратегии
  6. Основные характеристики состояния национальной безопасности (прочитать документ)
  1. 1992-1995 гг. — продажа телефонных баз данных
  2. 1996 г. – продажа базы абонентов сети Билайн
  3. 1996-2002 гг. – продажа баз данных ГИБДД, прописки, жилого фонда
  4. 2002 г. – база данных всероссийской переписи населения
  5. 2005 г. – база центрального банка РФ, база данных о доходах москвичей

Политика безопасности – набор норм, правил и практических приемов, которые регулируют управление, защиту и распространение ценной информации.

Дискреционная политика безопасности – политика безопасности, осуществляемая на основании заданного администратором множества различных отношений доступа (разрешенный доступ).

В качестве примера дискреционной политики можно привести матрицу доступа, строки которой соответствуют субъектам доступа, а столбцы – объектам, а элементами матрицы являются права доступа: изменение, удаление, перемещение, передача.

Мандатная политика безопасности – политика безопасности, основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности субъекта и объекта. Основу мандатной политики безопасности составляют:

  1. Все субъекты и объекты должны быть однозначно идентифицированы
  2. Каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в ней информации по уровню секретности
  3. Каждому субъекту присвоена метка секретности, определяющая уровень доверия к нему в автоматизированной системе (к чему субъект имеет доступ).

Пример: Для компьютерной системы заданы 4 субъекта доступа: S=<администратор, пользователь1, пользователь2, гость>; и 5 объектов О=<файл1, файл2, файл3, CD-ROM, FDD>. Множество атрибутов безопасности определено как А=<не конфиденциально, конфиденциально, секретно, особо секретно>. При этом FDD — не конфиденциально, CD-ROM – конфиденциально, файл1 – секретно, файл2 – секретно, файл 3 – особо секретно. Уровень допуска: администратор – особо секретно, пользователь1 – секретно, пользователь2 – конфиденциально, гость — не конфиденциально. Тогда мандатная модель имеет вид: 1 — Субъект администратор имеет допуск ко всем объекта; 2 – субъект пользователь1 имеет допуск к FDD, CD-ROMб файл1 и файл2; 3 – субъект пользователь2 имеет допуск к FDD и CD-ROM; 4 – пользователь гость имеет допуск к FDD.

Идентификация – распознавание имени объекта.

Аутентификация – подтверждение того, что предъявленное имя соответствует объекту, субъекту или процессу.

Ролевая политика безопасности – управление доступом на основе ролей. Формирование некоторой совокупности стандартных ролей с приписанным им определенным сценарием поведения, в частности в сфере информационной безопасности. Каждому пользователю определена роль. Роль — это набор привилегий, необходимых пользователю для выполнения определенных функций.

Модель решетки ценностей – представляет из себя сравнение ценностей отдельных информационных элементов между собой. Порядковая шкала ценностей:

  1. Не секретно
  2. ДСП (для служебного пользования)
  3. Секретно
  4. Совершенно секретно

Модель Белла-лападулла. Модель придуман в 1975 году сотрудниками информационной компании. В этой модели определены два правила:

  1. Запрет на чтение объекта субъектом более низкого уровня
  2. Запрет на запись в объект субъектом более высокого уровня

Модель Take. Основой модели является представление системы виде направленного графа, в которой вершины – это субъекты или объекты системы, а направленные дуги на графе означают права, которые один объект имеет по отношению к другому. В модели главную роль играют два правила: давать и брать. Правило брать: субъект Х берет у объекта Y права на объект Z. Правило давать: субъект Х дает объекту Y права на объект Z.

Защита информации – перечень мер, мероприятий и действий, направленных на предотвращение НСД к информации.

Документы, регламентирующие политику безопасности:

  1. Стандарт ISO 17799, ISO 27001
  2. Руководящие документы в области защиты информации
  3. Методические рекомендации ФСТЭК

Руководящий документ. «Автоматизированные системы. Защита от НСД. Классификация АС» Основными этапами классификации АС являются:

  1. Разработка и анализ исходных данных
  2. Выявление основных признаков АС, необходимых для классификации
  3. Сравнение выявленных признаков АС с классифицируемыми
  4. Присвоение АС соответствующего класса защиты от НСД

Группировка АС в различные классы производится в соответствии с:

  1. Наличие в АС информации конфиденциальной
  2. Уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации
  3. Режим обработки данных в АС коллективный или индивидуальный

Устанавливается 9 классов защищенности АС от НСД:

3а (защита гос.тайны) и 3б (защита конфиденциальной информации) – группа АС, в которых работает один пользователь, который имеет доступ ко всей информации, размещенной на носителях одного уровня конфиденциальности;

2б и 2а – включает АС, в которых пользователи имеют одинаковые права доступа ко всей информации, обрабатываемой и хранимой на носителях различного уровня конфиденциальности;

1а (сведения особой важности), 1б (совершенно секретно), 1в (секретно), 1г (коммерческая и служебная тайны), 1д (персональные данные) – включает многопользовательские АС, в которых одновременно обрабатывается и хранится на носителях разных уровней конфиденциальности, при этом не все пользователи имеют права доступа к информации.

«РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД. Показатели защищенности от НСД».

Устанавливается 5 классов защищенности межсетевых экранов. Самый низкий – 5, применяется для безопасного взаимодействия АС с класса 1д с внешней средой. 4 класс применяется для 1г, 3 – для 1в, 2 – для 1б, 1 – для 1а.

Для АС класс 3б и 2б должны применятся межсетевые экраны не ниже 5 класса. Для 3а и 2а, в зависимости от гостайны, обрабатываемой в них (секретно – не ниже 3го класса, совершенно секретно – не ниже 2го класса, особой важности – не ниже 1го класса).

«РД. Защита информации. Специальные защитные знаки. Классификация и общие требования». Все специальные защитные знаки делятся на 18 классов. Классификация осуществляется на основе оценки их основных параметров: возможность подделки, идентифицируемость , стойкость защитных свойств.

Возможность поделки: А1 изготовлен с использованием отечественных технологий и ноу-хау. 2а – с использованием зарубежных ноу-хау технологий. 3а – без использования ноу-хау технологий.

Идентифицируемость определяется уровнем сложности сигнальной информации в знаки специальных технических средств контроля.

В1 целостность и подлинность СЗЗ могут быть однозначно определены с применением специальных технических средств контроля или с помощью приборов по специальной методике, основано на технологии изготовления СЗЗ.

В2. Целостность и подлинность СЗЗ могут быть однозначно определены визуально без применения технических средств и специальных методик.

В3. Целостность и подлинность могут быть однозначно определены на основании специальных методик, но без применения технических средств.

По стойкости защитных средств.

С1. В технических условиях на СЗЗ заданы изменения его внешнего вида и хотя бы одного характерного признака при несанкционированных воздействиях.

С2. В технических условиях на СЗЗ задано изменение только его внешнего вида при несанкционированном воздействии.

Мандатные политики безопасности

Мандатные модели управления доступом были созданы по результатам анализа правил секретного документооборота, принятых в государственных и правительственных учреждениях многих стран.

Исходная мандатная политика безопасности строится на следующей совокупности аксиом, определяющих правило разграничения доступа к обрабатываемой информации:

1. Вводится множество атрибутов безопасности A, элементы которого упорядочены с помощью установленного отношения доминирования. Например, для России характерно использование следующего множества уровней безопасности A=<открыто (О), конфиденциально (К), секретно (С), совершенно секретно (СС), особая важность (ОВ)>.

2. Каждому объекту компьютерной системы ставится в соответствие атрибут безопасности , который соответствует ценности объекта и называется его уровнем (грифом) конфиденциальности.

Читать еще:  Советы по безопасности

3. Каждому субъекту компьютерной системы ставится в соответствие атрибут безопасности , который называется уровнем допуска субъекта и равен максимальному из уровней конфиденциальности объектов, к которому субъект будет иметь допуск.

4. Если субъект имеет уровень допуска , а объект имеет уровень конфиденциальности , то будет иметь допуск к тогда и только тогда, когда .

Основным недостатком исходной мандатной политики безопасности является то, что в ней не различаются типы доступа вида «чтение» и «запись». Это создает возможность утечки информации сверху вниз, например, с путем запуска в компьютерной системе программной закладки с максимальным уровнем допуска, способной записывать информацию из объектов с верхних уровней конфиденциальности в объекты с более низкими уровнями, откуда она может быть прочитана субъектами с более низким уровнем допуска и это будет разрешено в рамках исходной мандатной модели.

Пример 2.1

Пусть уровни конфиденциальности объектов определены следующим образом:

FILE3.TXT – TOP SECRET.

Пусть уровни допуска субъектов определены следующим образом:

Administrator – TOP SECRET.

Тогда, согласно правилам исходной мандатной модели:

субъект Administrator будет иметь допуск ко всем объектам;

субъект User1 будет иметь допуск к объектам FDD, CD-ROM, FILE1.DAT, FILE2.DAT;

субъект User2 будет иметь допуск к объектам FDD, CD-ROM;

субъект Guest будет иметь допуск только к объекту FDD.

Однако, злоумышленник, в качестве которого возьмем субъекта Guest, завербовав пользователя User1 сможет получить доступ к информации из объекта FILE1.DAT, если User1 запишет эту информацию в объект FDD, что будет ему разрешено.

Политика безопасности Белла-ЛаПадулы (БЛМ) устраняет данный недостаток исходной мандатной политики безопасности и осуществляет контроль доступа субъектов к объектам компьютерной системы в зависимости от уровня допуска субъекта и уровня конфиденциальности объекта на основании двух следующих правил:

1. Правило NRU (нет чтения вверх). Согласно данному правилу субъект с уровнем допуска может читать информацию из объекта с уровнем безопасности тогда и только тогда, когда . Формально данное правило можно записать как (рис. 2.2)

2. Правило NWD (нет записи вниз). Согласно данному правилу субъект с уровнем допуска может записывать информацию в объект с уровнем безопасности тогда и только тогда, когда . Формально данное правило можно записать как (рис. 2.2).

Рис. 2.2. Демонстрация правил политики безопасности Белла-ЛаПадулы

Введение свойства NWD разрешает проблему программных закладок, так как запись информации на более низкий уровень безопасности, типичная для них, запрещена.

Пример 2.2

Рассмотрим пример компьютерной системы, введенной в примере 2.1.

При ее реализации в рамках политики БЛМ возможно выполнение следующих операций:

1. субъект Administrator будет иметь допуск по чтению из всех объектов, и допуск по записи в объект FILE3.TXT;

2. субъект User1 будет иметь допуск по чтению из объектов FDD, CD-ROM, FILE1.DAT, FILE2.DAT и допуск по записи в объекты FILE1.DAT, FILE2.TXT, FILE3.TXT;

3. субъект User2 будет иметь допуск по чтению из объектов CD-ROM, FDD и допуск по записи в объекты FILE1.DAT, FILE2.TXT, FILE3.TXT, CD-ROM;

4. субъект Guest будет иметь допуск по чтению из объекта FDD и допуск по записи во все объекты.

Дискреционная политика безопасности.

Существуют следующие типы политик безопасности: дискреционная, мандатная и

Основой дискреционной(дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

1) все субъекты и объекты должны быть идентифицированы;

2) права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

Т.е. администратором задается набор троек следующего вида (Sj,Oj,Tk), где Si € S – субъекты компьютерной системы. Oj € O – объекты компьютерной системы. Tk T – множество прав доступа, которое разрешено выполнять Si над объектом Oj.

Для формального описания данной политики часто используется дискреционная матрица доступа, строки которой соответствуют S, столбцы соответствуют O, а на пересечений i-строки и j-ого столбца перечисляются все права доступа.

При реализации дискреционной политики безопасности необходимо исходить из принципа минимизации привилегий, т.е. администратор ни в коем случае не должен наделять избыточными правами на доступ к объекту. Ему должны быть предоставлены только те права, которые необходимы ему для выполнения им своих служебных полномочий.

При хранении матриц доступов в компьютерной системе это можно делать централизованно и распределено.

При распределенном хранении, эта матрица храниться не в виде единого объекта, а распределяется по объектам файловой системы, с каждым из которых вместе храниться соответствующий им столбец матрицы. Эти списки называться столбцы доступа (ACL-списки).

Также данная матрица может разбиваться и храниться построчно, в этом случае с каждым субъектом связывается строка с матрицей доступа, называемая списком привилегий, в котором указывается какие виды доступа имеет S. (Win 2000,XP).

По принципу создания и управления матрицы доступа выделяют два подхода:

1. Принудительное управление доступом.

2. Добровольное управление доступом.

В 1-ом случае правами создания изменения матрицы доступов имеет непосредственно только администратор КС. Во втором случае (используется когда количеств объектов очень велико), в этом случае изменять матрицу доступа S к искомому O может владелец этого объекта. Под владельцем данного объекта понимают S который инициализировал операцию создания данного объекта.

К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты.

К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменений состояния, не накладывает ограничений на состояния системы.

Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить − приведут ли его действия к нарушению безопасности или нет.

Мандатная политика безопасности.

Основу мандатной(полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:

− все субъекты и объекты системы должны быть однозначно идентифицированы;

− задан линейно упорядоченный набор меток секретности;

− каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности ;

− каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в системе – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Данные модели строятся на основе следующих положений:

1. Имеется множество атрибутов безопасности. A=

Эти атрибуты упорядочены между собой, на данном множестве введено отношение доминирования, с помощью которого атрибуты можно сравнивать между собой. Самый низкий – открыто, наивысший – гос.тайна.

2. С каждым объектом компьютерной системы Oj связывается атрибут безопасности Ai € A который называется грифом секретности объекта и соответствует его ценности, чем более ценен объект тем более высокий гриф ему назначается.

(в рамках вышеприведенных атрибутов безопасности, ценность определяется ущербом, который будет нанесен владельцу информационного ресурса при нарушении его конфиденциальности.

3. Каждому субъект КС ставиться в соответствие атрибут безопасности Ai, который называется уровнем допуска субъекта. Максимальный уровень допуска равен максимальному из грифов секретности объектов, к которым субъект будет иметь доступ.

Читать еще:  Определение политики безопасности

4. Если объект Oj имеет гриф секретности Aj а субъект Ai, то субъект Si получит доступ к Oj тогда и только тогда, когда Ai ≥ Aj

Представленная выше исходная мандатная модель имеет канал утечки информации заключающийся в том что S с наивысшим уровнем допуска могут случайно либо преднамеренно читать информацию из объектов с высоким грифом секретности и записывать в менее секретные объекты. Для устранения этого недостатка исходной мандатной политики безопасности было введено расширение этой модели: Бэлла-Лападулы. В этой модели вводиться два правила разграничения субъектов к объектам:

1. Нельзя читать сверху – Not read up (NRU).

2. Нельзя записывать вниз – Not write down (NWD).

Существуют и другие политики – Модель Биба:

В данной политике вместо грифов секретности вводят уровни целостности объекта:

— Совершенно нецелостные (объекты, целостность которых ничем не контролируется и ничем не подтверждена).

— Немного целостные (целостность информации подтверждена путем расчета и проверки контрольных сумм).

— Довольно целостные (целостность информации подтверждена путем расчета стойких контрольных сумм).

— Совершенно целостные (целостность объекта подтверждена с помощью имитовставок и контрольных сумм).

Информация находиться с уровнем целостности: совершенно целостный может рассматриваться как «чистая» информация, которой мы можем доверять, когда в такие объекты попадает информация с уровнем целостности совершенно нецелостная – грязная «информация», это есть нарушение свойств целостности, поэтому попадание информации из объектов менее целостных в объекты более целостные необходимо запретить, т.е. необходимо запретить чтение снизу и записи наверх. Это мандатная модель (В ней работает NRD и NRW).

Возможно отклонение от правил этой модели. Известна модель Бибо с понижением уровня субъекта и модель Бибо с понижением уровня объекта.

В первом варианте чтение снизу может быть разрешено, но при выполнении такого чтения субъектом, субъект автоматически получает уровень целостности того объекта из которого он прочитал информацию.

В модели понижения уровня объекта разрешается запись наверх, однако, после выполнения такой записи целостность объекта понижается до уровня целостности S, который производил эту запись.

Ролевое управление доступом.

В 2001 г. Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом.

Ролевое разграничение доступа (РРД) представляет собой развитие политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. РРД является составляющей многих современных систем и применяется в системах защиты СУБД, сетевых ОС.

Роль является совокупностью прав доступа на объекты системы. Вместе с тем РРД не является частным случаем дискреционного разграничения доступа, так как правила РРД определяют порядок предоставления прав доступа субъектам системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. В то же время правила РРД являются более гибкими, чем правила мандатного разграничения доступа, построенные на основе жестко определенной решетки (шкалы) ценности информации. Суть ролевого разграничения доступа состоит в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.

Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.

Ролевое управление доступом оперирует следующими основными понятиями:

− пользователь (человек, интеллектуальный автономный агент и т.п.);

− сеанс работы пользователя;

− роль (определяется в соответствии с организационной структурой);

− объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);

− операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.;

для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут

быть более сложными);

− право доступа (разрешение выполнять определенные операции над определенными объектами).

Ролям приписываются пользователи и права доступа; можно считать, что они (роли) именуют отношения «многие ко многим» между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько

Дата добавления: 2018-05-12 ; просмотров: 1456 ;

Мандатная модель политики безопасности

Описанные выше модели дискретного доступа обеспечивают хорошо сегментированную защиту, но обладают рядом недостатков. В частности, в системах, построенных на основе DAC, существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Например, пользователь ожидает, что программа является текстовым редактором, а она кроме функций редактора способна выполнить перехват и передачу по сети пароля пользователя.

Для того, чтобы понять, как может работать такой троянский конь, вспомним, что когда пользователь вызывает какую-либо программу на компьютере, в системе инициируется некоторая последовательность операций, зачастую скрытых от пользователя. Эти операции обычно управляются операционной системой. Троянские программы рассчитывают на то, что когда пользователь инициирует такую последовательность, то он обычно верит в то, что система произведет ее как полагается. При этом, нарушитель может написать версию троянской программы, которая будучи запущенной от имени пользователя-жертвы, передаст его информацию пользователю нарушителю.

В отличие от DAC, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный принцип управления доступом (Mandatory Access Control; МАС) накладывает ограничения на передачу прав доступа от одного пользователя другому (что, в частности позволяет успешно решать проблему троянских коней).

Классической моделью, лежащей в основе построения многих систем MAC и породившей остальные модели MAC, является модель Белла и Лападула.

Модель Белла и Лападула

Модель, получившая название модели Белла и Лападула (БЛМ) до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности. Данная модель лежит в основе построения MAC. Идеи, заложенные в БЛМ, используются при реализации различных политик безопасности.

Основным наблюдением, сделанным авторами модели является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями безопасности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретные). Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам, этим субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности. Это ведет к первому правилу БЛМ.

Читать еще:  Информационная безопасность электронной почты

Модель Белла и Лападула имеет в своей основе несколько базовых принципов, именуемых свойствами.

Простое свойство безопасности, также известное, как правило «нет чтения вверх» (NRU), гласит, что субъект с уровнем безопасности xsможет читать информацию из объекта с уровнем безопасности xo, только если xsпреобладает над xo. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ, субъект с уровнем доступа «секретно» попытается прочитать информацию из объекта, классифицированного как «совершенно секретно», то такой доступ не будет разрешен.

Белл и Лападула сделали дополнительное наблюдение при построении своей модели: субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень безопасности. Например, когда совершенно секретный документ помещается в неклассифицированное мусорное ведро, может произойти утечка информации. Это ведет ко второму правилу БЛМ.

*Свойство (еще одно его название – ограничительное свойство безопасности), известное, как правило «нет записи вниз» (NWD),гласит, что субъект безопасности xs может писать информацию в объект с уровнем безопасности xo только если xo преобладает над xs. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ, субъект с уровнем доступа «совершенно секретно» попытается записать информацию в неклассифицированный объект или объект с более низким уровнем доступа, то такой доступ не будет разрешен.

Правило запрета по записи является большим упрощением некоторых реализаций БЛМ. Так, некоторые описания включают более детальное понятие типа доступа (например, такие как добавление и выполнение). Помимо этого, многие модели БЛМ включают понятие дискреционной защиты с целью обеспечения хорошо гранулированной защиты при сохранении всех преимуществ БЛМ. Правила запрета по записи и чтению БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным источникам.

Рассмотрим формализацию БЛМ. В соответствии с определениями:

S — множество субъектов;

О — множество объектов;

L — решетка уровней безопасности;

F: SÈO®L — функция, применяемая к субъектам и объектам; определяет уровни безопасности своих аргументов в данном состоянии;

V — множество состояний — множество упорядоченных пар (F, М), где М — матрица доступа субъектов системы к объектам.

Система представляется начальным состоянием v, определенным множеством запросов R и функцией переходов T: (V´R)®V, такой, что система переходит из состояния в состояние после исполнения запроса.

Определения, необходимые для доказательства основной теоремы безопасности (ОТБ), доказанной для БЛМ:

Определение 1. Состояние (F, М) безопасно по чтению (RS) тогда и только тогда, когда для «sÎS и для «oÎO, чтение Î M[s, о] ® F(s)³F(o).

Определение 2. Состояние (F, М) безопасно по записи (WS, *-свойство) тогда и только тогда, когда для «sÎS и для «oÎO, запись Î M[s, о] ® F(o)³F(s)

Определение З. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.

Определение 4. Система (vo, R, Т) безопасна тогда и только тогда, когда состояние vo безопасно и любое состояние, достижимое из vo после исполнения конечной последовательности запросов из R безопасны в смысле определения 3.

Основная теорема безопасности: Система (vo, R, Т) безопасна тогда и только тогда, когда состояние vo безопасно и Т таково, что для любого состояния v, достижимого из vo после исполнения конечной последовательности запросов из R безопасны, если T(v, c)=v*, где v=(F, М) и v*=(F*, М*), такие что для «sÎS и для «oÎO

— если чтение Î M*[s, о] и чтение Ï M[s, о], то F* (s)³F*(o);

Понятие политики безопасности

ПБ – совокупность норм и правил, регламентирующих процесс обработки И., обеспечивающих эффективную защиту системы обработки И. от заданного множества угроз. ПБ составляет необходимое, а иногда и достаточное условие безопасности системы. Формальное выражение политики безопасности, называется моделью безопасности. Существуют два типа политики безопасности: дискреционная и ман­датная.

Дискреционная политика безопасности

– политика безопасности осуществляемая на основании заданного администратором множества разрешенных отношений доступа.

Основой дискреционной ПБ яв­ляется дискреционное управление доступом, кот.определяется двумя свойствами:

— все S и O должны быть идентифицированы;

— права доступа S к O определяются на основа­нии некоторого внешнего по отношению к системе правила (заранее не закладывается в систему).

Достоинства: относительно простая реализация механизмов за­щиты. (Большинство распространенных в наст.вр. АС обеспечивают выполнение положений именно дан­ной ПБ).

Пример реализации дискреционной ПБ вАС — матрица доступов, строки которой соответствуют S системы, а столбцы — O; элементы матрицы характеризуют права доступа. Недостаток —статичность модели — не учитывает динамику из­менений состояния АС, не накладывает ограничений на состояния системы.

При исп. данной ПБ перед МБО, который при санкциони­ровании доступа S к O руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению безопасности или нет.

В то же время имеются модели АС, реализующих дискреционную ПБ (например, модель Take-Grant), которые предоставляют алгоритмы проверки безопасности.

Так или иначе, матрица доступов не является тем механизмом, кото­рый бы позволил реализовать ясную и четкую систему защиты И. в АС.

Мандатная политика безопасности

– ПБ основанная на совокупности предоставления доступа, определенного на множестве атрибутов безопасности S и O.

Основу мандатной ПБ состав­ляет мандатное управление доступом, кот.подразумевает, что:

— все S и O системы д.б. однозначно идентифи­цированы;

— задан линейно упорядоченный набор меток секретности;

— каждому O присвоена метка секретности, определяю­щая ценность содержащейся в нем И. — его уровень секрет­ности в АС;

— каждому S присвоена метка секретности, определяю­щая уровень доверия к нему вАС — максимальное значение метки сек­ретности объектов, к которым субъект имеет доступ.

Основная цель мандатной ПБ— предотвращение утечки И. от O с высоким уровнем доступа к O с низким уровнем доступа, т.е. противодействие возникновению в АС ин­ф. потоков сверху вниз.

Достоинство – более высокая степень надежности, правила ясны и понятны.

Это связано с тем, что МБО такой системы должен отслеживать, не только правила доступа S системы к O, но и состояния самой АС. Т.о., каналы утечки в системах данного типа не заложены в нее непосредст­венно (что мы наблюдаем в положениях предыдущей ПБ), а могут появиться только при практической реализации системы вследствие ошибок разработчика. В дополнении к этому правила мандат­ной политики более ясны и просты для понимания разра­ботчиками и пользователями АС, что также является фактором, положи­тельно влияющим на уровень безопасности системы.

Недостатки– реализация систем с ПБ данного типа довольно сложна и требует значительных ресурсов выч. системы.

В качестве примера модели АС, реализующих мандатную ПБ можно привести модель Белла-Лапалуда. В рамках данной модели доказывается важное утверждение, указывающее на принципиальное отличие систем, реали­зующих мандатную защиту, от систем с дискреционной защитой: если на­чальное состояние системы безопасно, и все переходы системы из со­стояния в состояние не нарушают ограничений, сформулированных ПБ, то любое состояние системы безопасно.

Мандатная политика целостности (Абстрактная модель ЗИ)

Одной из первых моделей была опубликована в 1977 модель Биба. Согласно ей все S и O предварительно разделяются по нескольким уровням доступа, а затем на их взаимодействия накладываются следующие ограничения:

1) S не может вызывать на исполнение S-ы с более низким уровнем доступа;

2) S не может модифицировать O-ы с более высоким уровнем доступа.

Ссылка на основную публикацию
Adblock
detector
×
×