Учебное пособие: Интеллектуальные компьютерные технологии защиты информации

Модель системы безопасности с полным перекрытием. Отмечается, что система безопасности должна иметь по крайней мере одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему. Модель описывается в терминах теории графов. Степень обеспечения безопасности системы можно измерить, используя лингвистические переменные. В базовой системе рассматривается набор защищаемых объектов, набор угроз, набор средств безопасности, набор уязвимых мест, а также набор барьеров.

Модель гарантированно защищённой системы обработки информации. В рамках модели функционирование системы описывается последовательностью доступов субъектов к объектам. Множество субъектов является подмножеством множества объектов. Из множества объектов выделено множество общих ресурсов системы, доступ к которым не может привести к утечке информации. Все остальные объекты системы являются порождёнными пользователями, каждый пользователь принадлежит множеству порождённых им объектов. При условиях, что в системе существует механизм, который для каждого объекта устанавливает породившего его пользователя, что субъекты имеют доступ только к общим ресурсам системы и к объектам, порождённым ими и при отсутствии обходных путей политики безопасности модель гарантирует невозможность утечки информации и выполнение политики безопасности.

Субъектно-объектная модель. В рамках модели все вопросы безопасности описываются доступами субъектов к объектам. Выделены множество объектов и множество субъектов. Субъекты порождаются только активными компонентами (субъектами) из объектов. С каждым субъектом связан (ассоциирован) некоторый объект или объекты, т.е. состояние объекта влияет на состояние субъекта. В модели присутствует специализированный субъект - монитор безопасности субъектов, который контролирует порождение субъектов. Показана необходимость создания и поддержки изолированной программной среды.

2.6.2 Модель пятимерного пространства безопасности Хардстона

Модель использует пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании.

Модель имеет 5 наборов:

A- набор установленных полномочий; U - набор установленных пользователей; Е - набор установленных операций; R - набор установленных ресурсов; S - набор установленных состояний.

Доступ рассматривается как ряд запросов, осуществляющих пользование и для осуществления операций Е над ресурсами R , в то время когда система находится в состоянии R.

Запрос на доступ - это кортеж: q = {u, e, R, s}.

Величины U и S задаются системой, таким образом запрос на доступ есть подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае когда они полностью заключены в соответствующее под пространство. Процесс организации доступа можно описать следующим алгоритмом.

Для запроса q = {U, R, A} - набора U' вполне определенных групп пользователей, набора R' вполне определенных ресурсов и набора А' - правильно установленных полномочий процесс организации доступа состоит из следующих процедур:

1.  Вызвать все вспомогательные программы, необходимые для предварительного принятия решений.

2.  Определить из U те группы пользователей, которые принадлежат группе U. Затем выбрать из Р спецификации полномочий, которые соответствует выделенной группе пользователей. Этот набор полномочий F(U) определяет полномочия пользователя U.

3.  Определить из Р набор F(Е) полномочий, которые устанавливают Е как основную операцию. Этот набор называется привилегией операции Е.

4.  Определить из Р набор F(R) (привилегия единичного ресурса R) полномочий, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R. Полномочия, которые являются общими для 3-х привилегий в шагах 2, 3, 4 образуют D(q) – домен полномочий для запроса q:

D(q) = F(U)^F(E)*F(R).

5.  Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. любой элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).

6.  Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы 2 полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для любого такого класса логическая операция ИЛИ или И выполняется с условием доступа элементов любого класса. Новый набор полномочий:

А. Один на единицу ресурса, указанную в D(q) есть F(u, q)

Б. Фактическая привилегия пользователя и по отношению к запросу q.

7.Вычислить ЕАС, условие фактического доступа соответствующую запросу q, осуществляя логическое И (ИЛИ) над условиями доступа членов F(u, q). Операция И (ИЛИ) выполнение над которой перекрывает единицу запрашиваемого ресурса.

8.  Оценить ЕАС и принять решение о доступе: А. Разрешить доступ к R, если R перекрывается. Б. Отказать в доступе в противном случае.

9.  Произвести запись необходимых событий.

10.Вызвать все программы необходимые для организации доступа после принятия решений.

11.Выполнить все программы, вытекающие для любого случая из условия 8.

12. Если решение о доступе было положительным, завершить физическую обработку. Достоинства модели: простота реализации. Пример - матрица доступа.

Недостаток модели: ее статичность, т.е. модель не учитывает динамику изменений состояний ВС, не накладывает ограничений.

2.6.3 Модель Белла-Лападула

В предыдущих моделях существовала проблема «Троянских коней».

Троянская программа - любая программа, от которой ожидают выполнение желаемых действий, а она выполняет и нежелательные действия. В модели Белла-Лападула такой проблемы не существует.

Классическая модель Белла-Лападула (БЛ) построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа. Возможность ее использования в качестве формальной модели таких систем непосредственно отмечена в критерии TCSEC «Оранжевая книга». Модель БЛ была предложена в 1975 г.

Пусть определены конечные множества: S - множество субъектов системы (например, пользователи системы и программы); О - множество объектов системы (например, все системные файлы); R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О, где read - доступ на чтение, write — на запись, append— на запись в конец объекта, execute — на выполнение.

Обозначим:

В ={ b⊆ S Ч O Ч R} - множество текущих доступов в системе;

М - матрица разрешенных доступов, где M SO ∈R- разрешенный доступ субъекта s к объекту о; L - множество уровней секретности, например

L = {U, C, S, TS},

где U<C<S<TS; (fs, fo , fc ) ∈ F = LS Ч LO Ч LS – тройка функций (fs ,fo,fc), определяющих:

fs = S →> L - уровень допуска объекта; fO =O →> L - уровень секретности объекта;

fs = S —→ L - текущий уровень допуска субъекта, при этом Vs ∈ SfC (s) ≤ fS (s); H — текущий уровень иерархии объектов (далее не рассматривается);

V= BЧMЧFЧH - множество состояний системы; Q — множество запросов системе;

D — множество решений системы D = {yes, no, error} ;

W ⊆QЧDЧVЧV - множество действий системы, где четверка (q, d,v1,v2)∈W означает, что система по запросу q с ответом d перешла из состояния v1 в состояние v2 ;

N0 — множество значений времени N0 = (0,1, 2, ...) ;

X — множество функций хx: N 0 → Q, задающих все возможные последовательности запросов к системе;

Y- множество функций y : N 0 → D , задающих все возможные последовательности ответов системы по запросам;

Z - множество функций z : N 0 → V, задающих все возможные последовательности состояний системы.

Далее в модели БЛ дается ряд свойств, определений и теорем, позволяющих проверить систему -разрабатываемую или существующую - на предмет безопасности. Классическая модель БЛ предлагает общий подход к построению систем, реализующих мандатную (полномочную) политику безопасности. В модели БЛ определяется, какими свойствами должны обладать состояние и действия системы, чтобы она была безопасной согласно данному в модели определению. В то же время в модели не указывается конкретно, что должна делать система по запросам на доступ субъектов к объектам при переходе из состояния в состояние, как конкретно должны при этом изменяться значения элементов модели.

2.6.4 Средства разграничения доступа

Представленные здесь средства реализуют модели избирательного (дискреционного) доступа "Dallas Lock»

В комплексе «Dallas Lock» неявно используется атрибуты

R(d) = {Y, N},

Где Y- право полного доступа субъекта к объекту;N - отсутствие права.

В соответствии с этим любому субъекту ставится в соответствие либо список запрещенных объектов, либо список разрешенных объектов.

"Secret Net»

В системе «Secret Net» набор применяемых атрибутов шире:

R(s) = {R, W, X},

где

R - разрешение на чтение;

W - разрешение на модификацию;

X - разрешение на запуск задачи.

"Аккорд»

В СЗИ НДС «Аккорд» набор общих прав доступа:

R(a) = {R, W, C, D, N, V, O, M, E, G, X},

где

R- разрешение на открытие файлов только для чтения;

W - разрешение на открытие файлов только для записи;

С - разрешение на создание файлов на диске;

D - разрешение на удаление файлов;

N - разрешение на переименование файлов;

V- видимость файлов;

О - эмуляция разрешения на запись информации в файл; М - разрешение на создание каталогов на диске; Е - разрешение на удаление каталогов на диске; G - разрешения перехода в каталог; X- разрешение на запуск программ.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24