В чем заключается модель дискреционной политики безопасности в компьютерной системе
Формальные модели широко используются при построении систем защиты, так как с их помошью можно доказать безопасность системы, опираясь на объективные доказуемые математические постулаты. Целью построения модели является получение формального доказательства безопасности системы при соблюдении определенных условий, а также определение достаточного критерия безопасности. Формальные модели позволяют решить целый ряд задач, возникающих в ходе проектирования, разработки и сертификации АС в защищенном исполнении.
формальная модель отображает политику безопасности.' Политика безопасности (ПБ) — совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы. Политика безопасности описывает множество условий, при соблюдении которых пользователи системы могут получить доступ к ресурсам вычислительной системы без потери ее информационной безопасности. Политика безопасности АС может состоять из множества частных политик, соответствующих конкретным механизмам безопасности. Основу политики безопасности составляет способ управления доступом субъектов системы к объектам.
При функционировании АС происходит взаимодействие между ее компонентами, порождаются информационные потоки. Основная цель создания политики безопасности и описания ее в виде формальной модели — это определение условий, которым
должны подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при установленных ограничениях. Свойство безопасности системы является, как правило, качественным и может быть булевой переменной: АС «безопасна-небезопасна».
Известно множество теоретических моделей, описывающих различные аспекты безопасности. Данные модели можно разделить по предназначению на классы: модели обеспечения конфиденциальности, контроля целостности, контроля информационных потоков и ролевого доступа. Кроме того, важное значение имеет субъектно-ориентированная модель изолированной программной среды.
Наиболее изучены математические модели, формализующие политики безопасности для обеспечения конфиденциальности, основанные на разграничении доступа. Политика безопасности подобных систем направлена на то, чтобы к информации не получили доступа неавторизованные субъекты. Среди этих моделей можно выделить три группы:
а) дискреционные модели (матрицы доступа Харрисона, Руззо и Ульмана, модели Take-Grant, Белла—Лападула и др.);
в) модели ролевого разграничения доступа, которые нельзя отнести ни к дискреционным, ни к мандатным.
Модели данного типа широко используются в большинстве реальных систем. Так, в наиболее ответственных АС требуется обязательное сочетание дискреционного и мандатного доступа, поэтому рассмотрим их подробнее.
Дискреционное управление доступом есть разграничение доступа между поименованными субъектами и поименованными объектами. Права доступа субъектов к объектам определяются на основе некоторого внешнего (по отношению к системе) правила. Политика безопасности либо разрешает некоторое действие над объектом защиты, либо запрещает его.
Для описания дискреционной модели используется матрица доступа — таблица, отображающая правила доступа. Например, в столбцах матрицы могут быть размещены S-субъекты, в строках — О-объекты, а на пересечении столбцов и строк размещаются R-права доступа. Права доступа могут быть типа: чтение, запись, запуск процесса, управление доступом к файлу для других пользователей и т.п. Матрицу доступа можно задавать по-разному: отталкиваясь либо от субъектов, либо от объектов.
Примером дискреционной модели является модель Харрисона, Руззо и Ульмана. Элементы этой модели — субъекты, объекты, права доступа и матрица доступов. Рассматриваются следующие права доступа: чтение, запись, владение. Функционирование системы рассматривается только с точки зрения изменений в матрице доступов. Изменения происходят за счет выполнения команд, которые составляются из 6 примитивных операторов: внести/удалить право, создать/уничтожить субъект/объект.
Авторы модели доказали, что в самом общем случае вопрос определения безопасности компьютерной системы неразрешим, т.е. не существует алгоритм, позволяющий определить, безопасна система или нет. Вместе с тем если в системе отсутствуют команды вида Create object, Create subject, то ее безопасность может быть оценена полиномиальным алгоритмом. Конечно, такая система является нереалистичной, поэтому было выполнено множество исследований на тему «Какие самые слабые ограничения можно наложить на систему, чтобы вопрос безопасности оставался разрешимым?». Эти исследования привели, в частности, к разработке системы Take-Grant, в которой вопрос безопасности разрешим, причем за полиномиальное время. К достоинствам моделей дискреционного доступа можно отнести их гибкость.
Основным фундаментальным недостатком данных моделей является так называемая проблема троянских программ, заключающаяся в том, что нарушитель может навязать пользователю выполнение программы, которая бы считывала данные из недоступного для нарушителя объекта и записывала их в разделяемый между пользователем и нарушителем объект.
Другой недостаток — огромный размер матриц, необходимый для использования в реальных системах. При дискреционном доступе необходимо описать правила доступа для каждого объекта и субъекта, что для больших систем практически нереализуемо. На практике применяется автоматическое присвоение прав каждой новой сущности, внедряемой в систему, что может приводить к появлению ситуаций наличия некоторых прав по умолчанию, которые могут быть использованы нарушителем (заводские пароли на BIOS, бюджеты по умолчанию в устанавливаемых ОС).
Мандатное управление доступом есть разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и допуска субъектов к информации соответствующего уровня конфиденциальности. В отличие от моделей дискреционного доступа модели мандатного доступа накладывают ограничение на передачу информации от одного пользователя другому, контролируют информационные потоки. Именно поэтому в подобных системах проблемы троянских программ не существует.
Классическим примером модели мандатного доступа является модель Белла—Лападула. В ней анализируются условия, при которых невозможно возникновение информационных потоков от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем конфиденциальности. Типы доступа, используемые в модели: чтение, запись, добавление в конец объекта, выполнение.
В краткой форме данная модель может быть описана следующими тремя правилами:
1) допускается чтение и запись информации между объектами одного уровня конфиденциальности;
2) не допускается запись информации «вниз», т.е. от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем;
3) не допускается чтение «вверх», т.е. от объектов с меньшим уровнем конфиденциальности к объектам с большим уровнем,
Второе правило разрешает проблему троянских коней, так как запись информации на более низкий уровень запрещена.
Система состоит из множеств субъектов, объектов, видов и прав доступа, возможных текущих доступов в системе, решетки уровней безопасности, матрицы доступов и тройки функций, определяющих уровень доступа субъекта, уровень конфиденциальности объекта и текущий уровень доступа субъекта.
Ясно, что в «чистом» виде модель Белла—Лападула нереалистична. В самом деле, у субъекта, находящегося на высоком уровне конфиденциальности, может возникнуть потребность создания несекретного документа, однако он вынужден будет присвоить ему высокий гриф.
Другим недостатком является то, что субъект, выполнивший запись в объект более высокого уровня, не может проверить результат этой операции.
В реальных АС всегда есть администраторы, управляющие состоянием системы: они добавляют и удаляют субъекты, объекты, изменяют права доступа. Подобные действия администраторов не могут контролироваться правилами модели Белла—Лападула. Администраторами могут быть не только физические лица, но и процессы и драйверы, обеспечивающие критические функции. Модель Белла—Лападула не устанавливает никаких специальных правил поведения доверенных субъектов.
Фундаментальным недостатком мандатных систем является проблема существования в них скрытых каналов утечки информации. Особенно это актуально для распределенных систем. Например, субъект высокого уровня конфиденциальности одного сегмента АС посылает запрос на чтение объекта с меньшим уровнем конфиденциальности другого сегмента. Этот запрос есть нежелательный информационный поток «сверху вниз», нарушающий правила модели Белла—Лападула. Можно привести примеры и других скрытых каналов, образуемых как по памяти, так и но времени.
В модели СВС описываются четыре постулата безопасности, обязательных для выполнения:
1. Администратор корректно разрешает доступ пользователей к сущностям и назначает уровни конфиденциальности устройств и множества прав.
2. Пользователь верно назначает уровни конфиденциальности модифицируемых им сущностей.
4. Пользователь правильно определяет атрибут контейнера.
В модели СВС описываются такие свойства, как авторизация, иерархия уровней конфиденциальности, безопасный перенос информации, безопасный просмотр, доступ к сущностям, безопасное понижение уровня конфиденциальности, отправление сообщений и др.
Недостатком модели СВС является то, что в ней отсутствует описание механизмов администрирования. Предполагается, что создание сущностей, присвоение им уровней конфиденциальности, задание множества доступов происходят корректно.
Так же, как и во всех моделях мандатного доступа, в СВС есть угроза утечки информации по скрытым каналам.
Попытки распространить мандатную модель на низкоуровне-мыс механизмы, реализующие управляемые взаимодействия, при-иодят к нарушению политики безопасности. Например, ее нельзя применить для сетевых взаимодействий: нельзя построить распределенную систему, в которой информация передавалась бы только в одном направлении, всегда будет существовать обратный поток информации, содержащий ответы на запросы, подтверждения получения и т. п.
В модели ролевого разграничения доступа (РРД) права доступа субъектов к объектам группируются с учетом специфики их применения, образуя роли. Модель РРД является развитием политики дискреционного разграничения доступа, но ее фундаментальное отличие состоит в том, что пользователи не могут передавать права на доступ к информации, как это было в моделях дискреционного доступа. Некоторые авторы полагают, что модель РРД нельзя отнести ни к дискреционным, ни к мандатным, так как управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов.
РРД активно применяется в существующих АС. В данной модели субъект замещается понятиями «пользователь» и «роль», пользователь — человек, работающий с системой, выполняющий определенные служебные обязанности. Роль — активно действующая в системе абстрактная сущность, с которой связана совокупность прав доступа. Количество ролей в системе может не соответствовать количеству пользователей. Один пользователь может выполнять несколько ролей, а несколько пользователей могут выполнять одну и ту же роль.
Основными элементами модели РРД являются множества пользователей, ролей, прав доступа на объекты АС, сессий пользователей, а также функции, определяющие для каждой роли множества прав доступа, для каждого пользователя — множество ролей, на которые он может быть авторизован, для каждой сессии — пользователя, от имени которого она активизирована, для каждого пользователя — множество ролей, на которые он авторизован в данной сессии.
Система считается безопасной, если любой ее пользователь, работающий в некотором сеансе, может осуществлять действия, требующие определенные полномочия, лишь в том случае, если эти полномочия доступны для его роли (назначается только одна из всей совокупности доступных ролей для сеанса) в данном сеансе.
Для обеспечения соответствия реальным компьютерным системам на множестве ролей строится иерархическая структура. Это позволяет пользователю, авторизованному на некоторую роль, быть автоматически авторизованным на все роли, меньшие ее в иерархии.
Ролевая политика обеспечивает удобное администрирование безопасности АС, так как пользователям даются не индивидуальные права, а предоставляются права, связанные с конкретной ролью. Понятие роли используется в ГОСТ Р ИСО МЭК 15408 — 2002, а также в стандарте SQL3.
Несмотря на то что в рамках модели РРД формально доказать безопасность системы невозможно, она позволяет получить простые и понятные правила контроля доступа, которые легко могут быть применимы на практике. Кроме того, возможно объединение модели РРД мандатной и дискреционными моделями. Например, полномочия ролей могут контролироваться правилами этих политик, что позволяет строить иерархические схемы контроля доступа.
В автоматной модели безопасности информационных потоков система защиты представляется детерминированным автоматом, на вход которого поступает последовательность команд пользователей. Элементами данной системы являются множества состояний системы, пользователей, матриц доступов, команд пользователей, изменяющих матрицу доступа, команд пользователей, изменяющих состояние, выходных значений, а также функция перехода системы.
Существуют два типа команд пользователей: изменяющие состояние системы либо модифицирующие матрицу доступа. Для каждого пользователя в матрице доступа определены команды, которые он может выполнять (дискреционное разграничение доступа).
Для каждого пользователя задается функция выходов, определяющая, что каждый из них видит при данном состоянии системы.
Политика безопасности в автоматной модели безопасности — это набор требований информационного невмешательства. Невмешательство — ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого пользователя. Модель невмешательства рассматривает систему, состоящую из четырех объектов: высокий ввод (high-in), низкий ввод (low-in), высокий вывод (high-out), низкий вывод (low-out).
Главное достоинство данной модели по сравнению с моделью Белла—Лападула — отсутствие в ней скрытых каналов. Недостаток заключается в высокой сложности верификации модели.
Модель невыводимости также основана на рассмотрении информационных потоков в системе. Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем безопасности в результате любых действий пользователей с высоким уровнем безопасности.
Требования информационной невыводимости более строгие, чем требования безопасности модели Белла—Лападула, и предполагают изоляцию друг от друга высокоуровневых и низкоуровневых объектов системы, что практически нереализуемо на практике.
Основой дискреционной(дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:
1) все субъекты и объекты должны быть идентифицированы;
2) права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.
Т.е. администратором задается набор троек следующего вида (Sj,Oj,Tk), где Si € S – субъекты компьютерной системы. Oj € O – объекты компьютерной системы. Tk T – множество прав доступа, которое разрешено выполнять Si над объектом Oj.
Для формального описания данной политики часто используется дискреционная матрица доступа, строки которой соответствуют S, столбцы соответствуют O, а на пересечений i-строки и j-ого столбца перечисляются все права доступа.
При реализации дискреционной политики безопасности необходимо исходить из принципа минимизации привилегий, т.е. администратор ни в коем случае не должен наделять избыточными правами на доступ к объекту. Ему должны быть предоставлены только те права, которые необходимы ему для выполнения им своих служебных полномочий.
При хранении матриц доступов в компьютерной системе это можно делать централизованно и распределено.
При распределенном хранении, эта матрица храниться не в виде единого объекта, а распределяется по объектам файловой системы, с каждым из которых вместе храниться соответствующий им столбец матрицы. Эти списки называться столбцы доступа (ACL-списки).
Также данная матрица может разбиваться и храниться построчно, в этом случае с каждым субъектом связывается строка с матрицей доступа, называемая списком привилегий, в котором указывается какие виды доступа имеет S. (Win 2000,XP).
По принципу создания и управления матрицы доступа выделяют два подхода:
1. Принудительное управление доступом.
2. Добровольное управление доступом.
В 1-ом случае правами создания изменения матрицы доступов имеет непосредственно только администратор КС. Во втором случае (используется когда количеств объектов очень велико), в этом случае изменять матрицу доступа S к искомому O может владелец этого объекта. Под владельцем данного объекта понимают S который инициализировал операцию создания данного объекта.
К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты.
К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменений состояния, не накладывает ограничений на состояния системы.
Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить − приведут ли его действия к нарушению безопасности или нет.
Мандатная политика безопасности.
Основу мандатной(полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:
− все субъекты и объекты системы должны быть однозначно идентифицированы;
− задан линейно упорядоченный набор меток секретности;
− каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности ;
− каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в системе – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.
Данные модели строятся на основе следующих положений:
1. Имеется множество атрибутов безопасности. A=
Эти атрибуты упорядочены между собой, на данном множестве введено отношение доминирования, с помощью которого атрибуты можно сравнивать между собой. Самый низкий – открыто, наивысший – гос.тайна.
2. С каждым объектом компьютерной системы Oj связывается атрибут безопасности Ai € A который называется грифом секретности объекта и соответствует его ценности, чем более ценен объект тем более высокий гриф ему назначается.
(в рамках вышеприведенных атрибутов безопасности, ценность определяется ущербом, который будет нанесен владельцу информационного ресурса при нарушении его конфиденциальности.
3. Каждому субъект КС ставиться в соответствие атрибут безопасности Ai, который называется уровнем допуска субъекта. Максимальный уровень допуска равен максимальному из грифов секретности объектов, к которым субъект будет иметь доступ.
4. Если объект Oj имеет гриф секретности Aj а субъект Ai, то субъект Si получит доступ к Oj тогда и только тогда, когда Ai ≥ Aj
Представленная выше исходная мандатная модель имеет канал утечки информации заключающийся в том что S с наивысшим уровнем допуска могут случайно либо преднамеренно читать информацию из объектов с высоким грифом секретности и записывать в менее секретные объекты. Для устранения этого недостатка исходной мандатной политики безопасности было введено расширение этой модели: Бэлла-Лападулы. В этой модели вводиться два правила разграничения субъектов к объектам:
1. Нельзя читать сверху – Not read up (NRU).
2. Нельзя записывать вниз – Not write down (NWD).
Существуют и другие политики – Модель Биба:
В данной политике вместо грифов секретности вводят уровни целостности объекта:
- Совершенно нецелостные (объекты, целостность которых ничем не контролируется и ничем не подтверждена).
- Немного целостные (целостность информации подтверждена путем расчета и проверки контрольных сумм).
- Довольно целостные (целостность информации подтверждена путем расчета стойких контрольных сумм).
- Совершенно целостные (целостность объекта подтверждена с помощью имитовставок и контрольных сумм).
Информация находиться с уровнем целостности: совершенно целостный может рассматриваться как «чистая» информация, которой мы можем доверять, когда в такие объекты попадает информация с уровнем целостности совершенно нецелостная – грязная «информация», это есть нарушение свойств целостности, поэтому попадание информации из объектов менее целостных в объекты более целостные необходимо запретить, т.е. необходимо запретить чтение снизу и записи наверх. Это мандатная модель (В ней работает NRD и NRW).
Возможно отклонение от правил этой модели. Известна модель Бибо с понижением уровня субъекта и модель Бибо с понижением уровня объекта.
В первом варианте чтение снизу может быть разрешено, но при выполнении такого чтения субъектом, субъект автоматически получает уровень целостности того объекта из которого он прочитал информацию.
В модели понижения уровня объекта разрешается запись наверх, однако, после выполнения такой записи целостность объекта понижается до уровня целостности S, который производил эту запись.
Ролевое управление доступом.
В 2001 г. Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом.
Ролевое разграничение доступа (РРД) представляет собой развитие политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. РРД является составляющей многих современных систем и применяется в системах защиты СУБД, сетевых ОС.
Роль является совокупностью прав доступа на объекты системы. Вместе с тем РРД не является частным случаем дискреционного разграничения доступа, так как правила РРД определяют порядок предоставления прав доступа субъектам системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. В то же время правила РРД являются более гибкими, чем правила мандатного разграничения доступа, построенные на основе жестко определенной решетки (шкалы) ценности информации. Суть ролевого разграничения доступа состоит в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.
Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.
Ролевое управление доступом оперирует следующими основными понятиями:
− пользователь (человек, интеллектуальный автономный агент и т.п.);
− сеанс работы пользователя;
− роль (определяется в соответствии с организационной структурой);
− объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);
− операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.;
для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут
быть более сложными);
− право доступа (разрешение выполнять определенные операции над определенными объектами).
Ролям приписываются пользователи и права доступа; можно считать, что они (роли) именуют отношения "многие ко многим" между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько
© 2014-2022 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.012)
Цель работы: получить основные теоретические сведения и практические навыки реализации политик безопасности в компьютерных системах на примере дискреционной модели.
1. Ход работы.
1. Познакомиться с проблемами реализации политик безопасности на примере дискреционной модели.
2. Изучить понятия защиты информации на предприятии, роли и ответственности субъектов, принципы распределения прав и ответственности.
3. Изучить материал в приложении.
4. Разработать упрощенную модель классификации субъектов в информационном пространстве предприятия, которое Вы создали на одном из предыдущих занятий.
5. Составить отчет по проделанной работе.
2. Содержание отчета.
4. Постановка задачи.
5. Результат выполнения.
Теоретический раздел.
Под политикой безопасности понимают набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Политика безопасности задает механизмы управления доступа к объекту, определяет как разрешенные, так и запрещенные доступы.
При выборе и реализации политики безопасности в компьютерной системе, как правило, работают следующие шаги:
1. В информационную структуру вносится структура ценностей (определяется ценность информации) и проводится анализ угроз и рисков для информации и информационного обмена.
2. Определяются правила использования для любого информационного процесса, права доступа к элементам информации с учетом данной оценки ценностей.
Реализация политики безопасности должна быть четко продумана. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики.
Существует ряд моделей политик безопасности, отличающихся по возможностям защиты, по качеству защиты, по особенностям реализации. Одной из самых простых и распространенных моделей политик безопасности является дискреционная политика.
4 Порядок выполнения работы:
4.1. Пусть множество S возможных операций над объектами компьютерной системы задано следующим образом: S=. Получить данные о количестве пользователей и объектов компьютерной системы из Вашей работы по открытию предприятия.
4.2 Выбрать идентификаторы пользователей, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя, количество пользователей задано для Вашего варианта). Например, множество из 3 идентификаторов пользователей . Один из данных идентификаторов должен соответствовать администратору компьютерной системы (пользователю, обладающему полными правами ко всем объектам).
4.3 Реализовать заполнение матрицы доступа, содержащей количество пользователей и объектов, соответственно Вашему варианту.
При заполнении матрицы доступа необходимо учесть, что один из пользователей должен являться администратором системы (допустим, пользователь Иванов). Для него права доступа ко всем объектам должны быть выставлены как полные.
Права остальных пользователей для доступа к объектам компьютерной системы должны заполняться в соответствии с занимаемой должностью. При заполнении матрицы доступа необходимо учесть, что пользователь может иметь несколько прав доступа к некоторому объекту компьютерной системы, иметь полные права, либо совсем не иметь прав.
4.4 Оформить отчет по лабораторной работе.
Контрольные вопросы:
1. Что понимается под политикой безопасности в компьютерной системе?
2. В чем заключается модель дискреционной политики безопасности в компьютерной системе?
3. Что понимается под матрицей доступа в дискреционной политике безопасности? Что хранится в данной матрице?
4. Какие действия производятся над матрицей доступа в том случае, когда один субъект передает другому субъекту свои права доступа к объекту компьютерной системы?
Приложение 2
Дискреционная политика безопасности
Пусть О – множество объектов, U – множество пользователей. S – множество действий пользователей над объектами. Дискреционная политика определяет отображение (объектов на пользователей-субъектов). В соответствии с данным отображением, каждый объект объявляется собственностью соответствующего пользователя , который может выполнять над ними определенную совокупность действий , в которую могут входить несколько элементарных действий (чтение, запись, модификация и т.д.). Пользователь, являющийся собственником объекта, иногда имеет право передавать часть или все права другим пользователям (обладание администраторскими правами).
Указанные права доступа пользователей-субъектов к объектам компьютерной системы записываются в виде так называемой МАТРИЦЫ ДОСТУПА. На пересечении i-ой строки и j-ого столбца данной матрицы располагается элемент Sij – множество разрешенных действий j-ого пользователя над i-ым объектом.
Пусть имеем множество из 3 пользователей и множество из 4 объектов . Множество возможных действий включает следующие: . Действие «Полные права» разрешает выполнение всех перечисленных 3 действий, Действие «Полный запрет» запрещает выполнение всех из вышеперечисленных действий. В данном случае, матрица доступа, описывающая дискреционную политику безопасности.
© 2014-2022 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.008)
Существуют два типа политики безопасности: дискретная (дискреционная) и мандатная (полномочная). Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:
· все субъекты и объекты должны быть идентифицированы;
· права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил.
К достоинствам дискретной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты. Этим обусловлен тот факт, что большинство используемых в настоящее время КС обеспечивают именно дискретную политику безопасности. В качестве примера реализации дискретной политики безопасности можно привести матрицу доступов, строки которой соответствуют субъектам системы, а столбцы - объектам; элементы матрицы представляют фиксированный набор или список прав доступа. К ее недостаткам относится статичность модели, не учитывающая динамику изменений состояния КС. Например, при подозрении на НСД к информации, необходимо оперативно изменить права доступа к ней, но сделать это с помощью матрицы доступа, которая формируется вручную, не просто.
Мандатная политика безопасности для компьютерных систем: сущность, достоинства и недостатки.
Мандатная модель политики безопасности основывается на том, что:
· все субъекты и объекты должны быть идентифицированы;
· задан линейно упорядоченный набор меток секретности;
· каждому объекту присвоена метка секретности, определяющая ценность содержащейся в ней информации - его уровень секретности;
· каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему - его уровень доступа.
В отличие от дискретной политики, которая требует определения прав доступа для каждой пары субъект-объект, мандатная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему. И. наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа.
М — матрица доступа. Значение элемента матрицы М[S,О] определяет права доступа субъекта S к объекту О.
Права доступа регламентируют способы обращения субъекта S к различным типам объектов доступа. В частности, права доступа субъектов к файловым объектам обычно определяют как чтение (R), запись (W) и выполнение (Е).
Основу реализации управления доступом составляет анализ строки матрицы доступа при обращении субьекта к объекту. При этом проверяется строка матрицы, соответствующая объекту, и анализируется есть ли в ней разрешенные прав доступа для субьекта или нет. На основе этого принимается решение о предоставлении доступа.
При всей наглядности и гибкости возможных настроек разграничительной политики доступа к ресурсам, матричным моделям присущи серьезные недостатки. Основной из них — это излишне детализированный уровень описания отношений субьектов и объектов. Из-за этого усложняется процедура администрирования системы защиты. Причем это происходит как при задании настроек, так и при поддержании их в актуальном состоянии при включении в схему разграничения доступа новых субьектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок.
Многоуровневые (мандатные) модели. С целью устранения недостатков матричных моделей были разработаны так называемые многоуровневые модели защиты. Многоуровневые модели предполагают формализацию процедуры назначения прав доступа посредствам использования так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа. Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) — признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта.
Основу реализации управления доступом составляют:
1. Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.
2. Принятие решении о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.
Таким образом, многоуровневая модель предупреждает возможность преднамеренного или случайного снижения уровня конфиденциальности защищаемой информации за счет ее утечки (зашпиленного переноса). То есть эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальноспт и узким набором категории доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа.
Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа.
Читайте также: