КАТЕГОРИИ:
АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
|
Физическая среда
Верхние уровни решают задачу представления данных пользователю в такой форме, которую он может распознать и использовать. Нижние уровни служат для организации передачи данных. Иерархия состоит в следующем. Всю информацию в процессе передачи сообщений от одного пользователя к другому можно разбить на уровни; каждый уровень является выражением некоторого языка, который описывает информацию своего уровня. В терминах языка данного уровня выражается преобразование информации и "услуги", которые на этом уровне предоставляются следующему уровню. При этом сам язык опирается на основные элементы, которые являются "услугами" языка более низкого уровня. В модели OSI язык каждого уровня вместе с порядком его использования называется протоколом этого уровня. Уровень сеанса (УС). УС обеспечивает управление диалогом между обслуживаемыми процессами на уровне представления. Сеансовое соединение сначала должно быть установлено, а параметры соединения оговорены путем обмена управляющей информацией. УС предоставляет услугу синхронизации для преодоления любых обнаруженных ошибок. Это делается следующим образом: метки синхронизации вставляются в поток данных пользователями услуги сеанса. Если обнаружена ошибка, сеансовое соединение должно быть возвращено в определенное состояние, пользователи услуги должны вернуться в установленную точку диалогового потока информации, сбросить часть переданных данных и затем восстановить передачу, начиная с этой точки. | |||||||
22. МОДЕЛЬ OSI/ISO. Транспортный уровень (ТУ). Транспортный уровень (ТУ). ТУ представляет сеансовому уровню услугу в виде надежного и прозрачного механизма передачи данных (вне зависимости от вида реальной сети) между вершинами сети. | ||||||||
23. МОДЕЛЬ OSI/ISO. Сетевой уровень Сетевой уровень (СУ). СУ представляет ТУ услуги связи. СУ определяет маршрут в сети. Организует сетевой обмен (протокол IP).Управляет потоками в сети. | ||||||||
24. МОДЕЛЬ OSI/ISO. Канальный уровень. Канальный уровень. Представляет СУ услуги канала. Эта услуга состоит в безошибочности последовательной передачи блоков данных по каналу в сети. На этом уровне реализуется синхронизация, порядок блоков, обнаружение и исправление ошибок, линейное шифрование. | ||||||||
25. МОДЕЛЬ OSI/ISO.Физический уровень. Физический уровень. Физический уровень обеспечивает то, что символы, поступающие в физическую среду передачи на одном конце, достигали другого конца. | ||||||||
26. Информационный поток. Основные понятия. Структуры информационных потоков являются основой анализа каналов утечки и обеспечения секретности информации. Эти структуры опираются на теорию информации и математическую теорию связи. Рассмотрим простейшие потоки. 1. Пусть субъект S осуществляет доступ на чтение (r) к объекту О. В этом случае говорят об информационном потоке от О к S. Здесь объект О является источником, а S - получателем информации. 2. Пусть субъект S осуществляет доступ на запись (w) к объекту О. В этом случае говорят об информационном потоке от S к О. Здесь объект О является получателем, а S - источником информации. Из простейших потоков можно построить сложные. Например, информационный поток от субъекта S2 к субъекту S1 по следующей схеме: r w S1 ----------à O ß---------- S2 (1) Субъект S2 записывает данные в объект О, а затем S1 считывает их. Здесь S2 - источник, а S1 - получатель информации. Можно говорить о передаче информации, позволяющей реализовать поток. Каналы типа (1), которые используют общие ресурсы памяти, называются каналами по памяти. С точки зрения защиты информации, каналы и информационные потоки бывают законными или незаконными. Незаконные информационные потоки создают утечку информации и, тем самым, могут нарушать секретность данных. Рассматривая каналы передачи информационных потоков, можно привлечь теорию информации для вычисления количества информации в потоке и пропускной способности канала. Если незаконный канал нельзя полностью перекрыть, то доля количества информации в объекте, утекающая по этому каналу, служит мерой опасности этого канала. В оценках качества защиты информации американцы используют пороговое значение для допустимой пропускной способности незаконных каналов. С помощью теоретико-информационных понятий информационные потоки определяются следующим образом. Будем считать, что всю информацию о вычислительной системе можно описать конечным множеством объектов (каждый объект - это конечное множество слов в некотором языке Я). В каждом объекте выделено состояние, а совокупность состояний объектов назовем состоянием системы. Функция системы - это последовательное преобразование информации в системе под действием команд. В результате, из состояния s мы под действием команды a перейдем в состояние s', обозначается: s|-- s'(a). Если a последовательность команд, то композиция преобразований информации обозначается также, т.е. s|---s'(a) означает переход из состояния s в s' под действием последовательности команд a (автоматная модель вычислительной системы). В общем виде для объектов X в s и Y в s' определим информационный поток, позволяющий по наблюдению Y узнать содержание X. Предположим, что состояние X и состояние Y - случайные величины с совместным распределением Р(х, у)=Р(Х=х, Y=y), где под {Х=х} понимается событие, что состояние объекта X равно значению х (аналогично в других случаях). Тогда можно определить: P(x), Р(у/х), Р(х/у), энтропию Н(Х), условную энтропию H(X/Y) и среднюю взаимную информацию I(Х, Y) = Н(X) - H(X/Y). Определение. Выполнение команды a в состоянии s, переводящей состояние s в s', вызывает информационный поток от X к Y (обозначение Х-->aY ),если I(Х, Y)>0. Величина I(Х, Y) называется величиной потока информации от X к Y. Определение. Для объектов X и Y существует информационный поток величины С (бит), если существуют состояния s и s' и последовательность команд a такие, что s|-- s'(a), X-->aY. Оценка максимального информационного потока определяется пропускной способностью канала связиХ--->a Y и равна по величине C(a, X, Y)=max I(X, Y). P(x) | ||||||||
27. Информационные потоки в вычислительных системах Рассмотрим дальнейшие примеры информационных потоков в вычислительных системах. 1. Рассмотрим операцию присвоения значения переменных Y:=X. Пусть X - целочисленная случайная величина со значениями [0,15] и Р(x) - равновероятная мера на значениях X. Тогда Н(Х)=4 бит. После выполнения операции присвоения по полученной в состоянии s‘ величине Y однозначно восстанавливается X, следовательно H(X/Y)=0 ÞI(X, Y)=4ÞC(a, X, Y)=4, т.к. рассмотренный канал - симметричный. 2. Y:=X Z:=Y. Выполнение этих команд вызывает непрямой (косвенный) поток информации Х-->Z, такой же величины как прямой поток Х-->Y. 3. Z:=X + Y. Предполагаем, что X, Y Î[0,15] и равновероятны. Тогда Н(Х)=4, H(Y)=4. 0 < H(X/Z) =å Р(х, z) logP(x/z)< 4, (xz) следовательно, 0 < I(Х, Z) < 4 бит. 4. Пусть X1, X2,..., Хn - независимые одинаково распределенные равновероятные случайные величины со значениями 0 и 1. n Z=åXi , Н(Х1) = 1, i=1 n-1 n H(X1/Z)=-åР(Х1=0,Z=k)logP(X=0/Z=k)- åР(Х1=1, Z=k) logP(X=l /Z=k) k=o k=1 Если n->¥, то H(X1/Z) = Н(Х1)(1 + O(1)), откуда следует, что I(X1/Z)=O(l). Отсюда возникает возможность прятать конфиденциальные данные в статистические данные. 5. Z:=XÅY, X и Y - равновероятные булевы случайные величины,Å - сложение по mod 2, тогда Z не несет информации о X или Y. 6. If X=l then Y=l. ХÎ{0,1}, где величина X принимает свои значения с вероятностями Р(Х=0)=Р(Х==1)=1/2, начальное значение Y=0, Н(Х)=1. H(X/Y)= å Р(х, у) logP(x/y)=0. (x,y) Следовательно, I(Х, Y) = 1. Поток называется неявным, в отличие от явного при операции присвоения. 7. If(Х=1) и (Y=l) then Z:=l. H(X)=H(Y)=l, Z=l => X=l=Y X=0 c P=2/3 } Z = 0 => } апостериорные вероятности X=1 c P=1/3 } Отсюда Hz(X)×»O,7. Поэтому количество информации о X в Z равно I(Z, Х) » 0,3. Если X1, Х2,...,Хn - исходные (ценные) переменные системы (программы), а Y=(Y1,...,Ym) - выходные, то I(Xi,Y) - количество информации о Хi, в потоке, который индуцируется системой. Тогда отношение I(Xi,Y)/Н(Х1) - показатель "утечки" информации о X1. Если установить порог l> О для "утечки", то из условия при каждом i=l.....n, I(Xi,Y)/Н(Хi)<l, следуют требования к защите Y. | ||||||||
28. Ценность информации. Аддитивная модель. Чтобы защитить информацию, надо затратить силы и средства, а для этого надо знать какие потери мы могли бы понести. Ясно, что в денежном выражении затраты на защиту не должны превышать возможные потери. Для решения этих задач в информацию вводятся вспомогательные структуры - ценность информации. Аддитивная модель. Пусть информация представлена в виде конечного множества элементов и необходимо оценить суммарную стоимость в денежных единицах из оценок компонент. Оценка строится на основе экспертных оценок компонент, и, если денежные оценки объективны, то сумма дает искомую величину. Однако, количественная оценка компонент невсегда объективна даже при квалифицированной экспертизе. Это связано с неоднородностью компонентв целом. Поэтому делают единую иерархическую относительную шкалу (линейный порядок, который позволяет сравнивать отдельные компоненты по ценности относительно друг друга). Единая шкала означает равенство цены всех компонент, имеющих одну и туже порядковую оценку. | ||||||||
29. Ценность информации. Анализ риска. Анализ риска. Пусть в рамках аддитивной модели проведен учет стоимости информации в системе. Оценка возможных потерь строится на основе полученных стоимостей компонент, исходя из прогноза возможных угроз этим компонентам. Возможности угроз оцениваются вероятностями соответствующих событий, а потери подсчитываются как сумма математических ожиданий потерь для компонент по распределению возможных угроз. | ||||||||
30. Ценность информации. Порядковая шкала ценностей. Порядковая шкала ценностей. Далеко не всегда возможно и нужно давать денежную оценку информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. Однако подход, связанный со сравнением ценности отдельных информационных элементов между собой, по-прежнему имеет смысл. | ||||||||
31. Ценность информации. Модель решетки ценностей Модель решетки ценностей. Обобщением порядковой шкалы является модель решетки. Пусть дано SC - конечное частично упорядоченное множество относительно бинарного отношения <, т.е. для каждых А, В, С выполняется 1) рефлексивность: А<А, 2) транзитивность: А<В, В<С==>А<С, 3) антисимметричность: А<В, В<А => А=В. Определение. Для А, BÎSC элемент C=AÅBÎSC называется наименьшей верхней границей (верхней гранью), если 1) А<С, В<С; 2) A<D, B<DÞC<D для всех DÎSC. Элемент AÅB, вообще говоря, может не существовать. Если наименьшая верхняя граница существует, то из антисимметричности следует единственность. Упражнение. Доказать это. Определение. Для А, BÎC элемент E=AÄBÎSC называется наибольшей нижней границей (нижней гранью), если 1) Е<А, Е<В; 2) D<A, D<BÞD<E. Эта граница также может не существовать. Если она существует, то из антисимметричности следует единственность. Определение. (SC, <) называется решеткой, если для любых А, BÎSC существует AÅBÎSC и AÄBÎSC. Лемма. Для любого набора S={А1,...,Аn } элементов из решетки SC существуют единственные элементы,: ÅS=A1Å...ÅAn - наименьшая верхняя граница S; ÄS=A1Ä...ÄAn - наибольшая нижняя граница S. Доказательство.Докажем ассоциативность операции Å. C1=(A1ÅA2) ÅA3=A1Å(A2ÅA3)=C2. По определению C1>A3, C1>A1ÅA2. Отсюда следует С1>Аз, С1>A2, С1>А1. Тогда C1>A2ÅA3, С1>А1, следовательно, С1>С2. Аналогично С2>С1. Из антисимметричности С1=С2. Отсюда следует существование и единственность ÅS. Такими же рассуждениями доказываем, что существует ÄS и она единственна. Лемма доказана. Для всех элементов SC в конечных решетках существует верхний элемент High = ÅSC, аналогично существует нижний элемент Low = ÄSC. | ||||||||
32. Ценность информации. Решетка подмножеств Х. Для "A, ВÎХ. Определим А<ВÞАÍВ. Все условия частичного порядка 1), 2), 3) выполняются. Кроме того, AÅB - это АÈВ, АÄВ=АÇВ. Следовательно, это решетка. Пример 4. Х={1, 2, 3}. (1 2 3) 1 2 2 3 1 3 1 2 3 Æ Пусть программа имеет Х={Х1,...,Хm} - входные,Y1...Yn - выходные элементы. Каждый выходной элемент зависит от некоторых входных элементов. Отношение вход-выход описывается решеткой рассматриваемого типа. Решетка подмножеств строится по подмножествам X следующим образом. Для каждой ХiXi={Хi}. Для каждой YjYj={Xi|XjàYj}. Пример 5. X1, Х2, X3, Y1, Y2. Y1 зависит только от X1,Х2; Y2 зависит от X1 и Х3. Y1={X1,X2} Y2={X1,X3} H Y1 Y2 X1 X2 X3 L | ||||||||
33. Ценность информации. MLS решетка Название происходит от аббревиатуры Multilevel Security и лежит в основе государственных стандартов оценки информации. Решетка строится какпрямое произведение линейной решетки L и решетки SC подмножеств множества X, т.е. (a,b), (a’,b’) -элементы произведения, b,b’ÎL - линейная решетка, a,a’ÎSC - решетка подмножеств некоторого множества X. Тогда (a,b)<(a’,b’)ÛaÍa’,b<b’ Верхняя и нижняя границы определяются следующим образом: (a,b)Å(a¢,b¢)Û(aÈa¢,max{b,b’}), (a,b)Ä(a¢,b¢)Û(aÇa¢,min{b,b’}). Вся информация {объекты системы} отображается в точки решетки {(а,b)}. Линейный порядок, как правило, указывает гриф секретности. Точки множества X обычно называются категориями. Свойства решетки в оценке информации существенно используются при классификации новых объектов, полученных в результате вычислений. Пусть дана решетка ценностей SC, множество текущих объектов О, отображение С: 0àS, программа использует информацию объектов 01,..,0n , которые классифицированы точками решетки С(01),...,С(0n). В результате работы программы появился объект О, который необходимо классифицировать. Это можно сделать, положив С(0)= C(01)Å...ÅC(0n). Такой подход к классификации наиболее распространен в государственных структурах. Например, если в сборник включаются две статьи с грифом секретно и совершенно секретно соответственно, и по тематикам: первая - кадры, вторая - криптография, то сборник приобретает гриф совершенно секретно, а его тематика определяется совокупностью тематик статей (кадры, криптография). | ||||||||
34. Угрозы информации Если информация представляет ценность, то необходимо понять, в каком смысле эту ценность необходимо оберегать. Если ценность информации теряется при ее раскрытии, то говорят, что имеется опасность нарушения секретности информации. Если ценность информации теряется при изменении или уничтожении информации, то говорят, что имеется опасность для целостности информации. Если ценность информации в ее оперативном использовании, то говорят ,что имеется опасность нарушения доступности информации. Если ценность информации теряется при сбоях в системе, то говорят, что есть опасность потери устойчивости к ошибкам. Как правило, рассматривают три опасности, которые надо предотвратить путем защиты: секретность, целостность, доступность. Хотя, как показывают примеры действий в боевых условиях, развитие сложных систем Hewlett-Packard, Tandem, практически добавляется четвертое направление: устойчивость к ошибкам. Под угрозами подразумеваются пути реализации воздействий, которые считаются опасными. Связь между видом опасности и возможной угрозой состоит в месте, времени и типе атаки, реализующей угрозу. Анализ опасности должен показать, где и когда появляется ценная информация, в каком месте системы эта информация может потерять ценность. Угроза характеризует способ нападения в. определенном месте и в определенный момент. Угроза реализуется через атаку в определенном месте и в определенное время. | ||||||||
35. Угрозы секретности. Утрата контроля над системой защиты; каналы утечки информации В руководстве по использованию стандарта защиты информации существует только два пути нарушения секретности: · утрата контроля над системой защиты; · каналы утечки информации. Если система обеспечения защиты перестает адекватно функционировать, то, естественно, траектории вычислительного процесса могут пройти через состояние, когда осуществляется запрещенный доступ. Утрата управления системой защиты может быть реализована оперативными мерами и здесь играют существенную роль административные и кадровые методы защиты. Утрата контроля за защитой может возникнуть в критической ситуации, которая может быть создана стихийно или искусственно. Поэтому одной из главных опасностей для системы защиты является отсутствие устойчивости к ошибкам. Утрата контроля может возникнуть за счет взламывания защиты самой системы защиты. Противопоставить этому можно только создание защищенного домена для системы защиты. Большой спектр возможностей дают каналы утечки. Основной класс каналов утечки в ЭСОД - каналы по памяти (т.е. каналы, которые образуются за счет использования доступа к общим объектам системы). Графически канал по памяти можно изобразить следующим образом: U2 Пользователь U1 активизирует процесс, который может получить доступ на чтение к общему с пользователем U2 ресурсу О, при этом U2 может писать в О, а U1 может читать от S. Приведем примеры таких каналов. | ||||||||
36. Угрозы целостности Нарушения целостности информации - это незаконные уничтожение или модификация информации. Традиционно защита целостности относится к категории организационных мер. Основным источником угроз целостности являются пожары и стихийные бедствия. К уничтожению и модификации могут привести также случайные и преднамеренные критические ситуации в системе, вирусы, "троянские кони" и т.д. Язык описания угроз целостности в целом аналогичен языку угроз секретности. Однако в данном случаев место каналов утечки удобнее говорить о каналах воздействия на целостность (или о каналах разрушающего воздействия). По сути они аналогичны каналам утечки, если заменить доступ (r) доступом (w). Основой защиты целостности является своевременное регулярное копирование ценной информации. Другой класс механизмов защиты целостности основан на идее помехозащищенного кодирования информации (введение избыточности в информацию) и составляет основу контроля целостности. Он основан на аутентификации, т.е. подтверждении подлинности, целостности информации. Подтверждение подлинности охраняет целостность интерфейса, а использование кодов аутентификации позволяют контролировать целостность файлов и сообщений. Введение избыточности в языки и формальное задание спецификации позволяет контролировать целостность программ. Наконец, к механизмам контроля и защиты целостности информации следует отнести создание системной избыточности. В военной практике такие меры называются: повышение "живучести" системы. Использование таких механизмов позволяет также решать задачи устойчивости к ошибкам и задачи защиты от нарушений доступности. | ||||||||
37. Политика безопасности. Определение политики безопасности Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации . Смысл политики безопасности - это набор правил управления доступом. Заметим отличие ПБ от употребляемого понятия несанкционированный доступ (НСД). Первое отличие состоит в том, что политика определяет как разрешенные, так и неразрешенные доступы. Второе отличие - ПБ по своему определению конструктивна, может быть основой определения некоторого автомата или аппарата для своей реализации. ПБ определяется неоднозначно и, естественно, всегда связана с практической реализацией системы и механизмов защиты. Выбор ПБ определяется фазовым пространством, допустимыми природой вычислительных процессов, траекториями в нем и заданием неблагоприятного множества N. Корректность ПБ в данных конкретных условиях должна быть, вообще говоря, доказана. Построение политики безопасности обычно соответствует следующим шагам: 1 шаг. В информацию вносится структура ценностей и проводится анализ риска. 2 шаг. Определяются правила для любого процесса пользования данным видом доступа к элементам информации, имеющим данную оценку ценностей. Однако реализация этих шагов является сложной задачей. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики. Таким образом, даже хорошая система защиты может быть "прозрачной" для злоумышленника при плохой ПБ. | ||||||||
38. Дискреционная политика. Заглавие параграфа является дословным переводом Discretionary policy, еще одним вариантом перевода является следующий - разграничительная политика. Рассматриваемая политика - одна из самых распространенных в мире, в системах по умолчанию имеется ввиду именно эта политика. Пусть О - множество объектов, S - множество субъектов, SÍO. Пусть U={U1,...,Um} - множество пользователей. Определим отображение: own: 0àU. В соответствии с этим отображением каждый объект объявляется собственностью соответствующего пользователя. Пользователь, являющийся собственником объекта, имеет все права доступа к нему, а иногда и право передавать часть или все права другим пользователям. Кроме того, собственник объекта определяет права доступа других субъектов к этому объекту, то есть политику безопасности в отношении этого объекта. Указанные права доступа записываются в виде матрицы доступа, элементы которой - суть подмножества множества R, определяющие доступы субъекта S, к объекту 0i(i = 1, 2,...,; j = 1, 2,... ). Существует несколько вариантов задания матрицы доступа. 1. Листы возможностей: Для каждого субъекта Si создается лист (файл) всех объектов, к которому имеет доступ данный объект. 2. Листы контроля доступа: для каждого объекта создается список всех субъектов, имеющих право доступа к этому объекту. Дискреционная политика связана с исходной моделью таким образом, что траектории процессов в вычислительной системе ограничиваются в каждом доступе. Причем вершины каждого графа разбиваются на классы и доступ в каждом классе определяется своими правилами каждым собственником. Множество неблагоприятных траекторий Nдля рассматриваемого класса политик определяется наличием неблагоприятных состояний, которые в свою очередь определяются запретами на некоторые дуги. Однако многих проблем защиты эта политика решить не может. Одна из самых существенных слабостей этого класса политик - то, что они не выдерживают атак при помощи "Троянского коня". Это означает, в частности, что система защиты, реализующая дискреционную политику, плохо защищает от проникновения вирусов в систему и других средств скрытого разрушающего воздействия. Следующая проблема дискреционной политики - это автоматическое определение прав. Так как объектов много, то задать заранее вручную перечень прав каждого субъекта на доступ к объекту невозможно. Одна из важнейших проблем при использовании дискреционной политики - это проблема контроля распространения прав доступа. Чаще всего бывает, что владелец файла передает содержание файла другому пользователю и тот, тем самым, приобретает права собственника на информацию. Таким образом, права могут распространяться, и даже, если исходный владелец не хотел передавать доступ некоторому субъекту S к своей информации в О, то после нескольких шагов передача прав может состояться независимо от его воли. Возникает задача об условиях, при которых в такой системе некоторый субъект рано или поздно получит требуемый ему доступ. | ||||||||
39. Политика MLS. Многоуровневая политика безопасности (политика MLS) принята всеми развитыми государствами мира. В повседневном секретном делопроизводстве госсектор России также придерживается этой политики. Решетка ценностей SC является основой политики MLS. Другой основой этой политики является понятие информационного потока. Для произвольных объектов X и Y пусть имеется информационный поток Х->aY, где X -источник, Y - получатель информации. Отображение: O->SC считается заданным. Если c(Y)>c(X), то Y -более ценный объект, чем X. Определение. Политика MLS считает информационный поток Х->Y разрешенным тогда и только тогда, когда c(Y)>c(X) в решетке SС. Таким образом, политика MLS имеет дело с множеством информационных потоков в системе и делит их на разрешенные и неразрешенные очень простым условием. Однако эта простота касается информационных потоков, которых в системе огромное количество. Поэтому приведенное выше определение неконструктивно. Хотелось бы иметь конструктивное определение на языке доступов. Рассмотрим класс систем с двумя видами доступов r и w (хотя могут быть и другие доступы, но они либо не определяют информационных потоков, либо выражаются через w и r). Пусть процесс S в ходе решения своей задачи последовательно обращается к объектам О1,О2,...,Оn (некоторые из них могут возникнуть в ходе решения задачи). Пусть (1) Тогда следует, что при выполнении условий c(S)>c(Oit), t=l,....k, соответствующие потоки информации будут идти в разрешенном политикой MLS направлении, а при c(S)<c(Ojt ), t=l,.., п-k, потоки, определяемые доступом w, будут идти в разрешенном направлении. Таким образом, в результате выполнения задачи процессом S, информационные потоки, с ним связанные, удовлетворяют политике MLS. Такого качественного анализа оказывается достаточно, чтобы классифицировать почти все процессы и принять решение о соблюдении или нет политики MLS. Если где-то политика MLS нарушается, то соответствующий доступ не разрешается. Причем разрешенность цепочки (1) вовсе не означает, что субъект S не может создать объект О такой, что c(S)>c(0). Однако он не может писать туда информацию. При передаче управления поток информации от процесса S или к нему прерывается (хотя в него другие процессы могут записывать или считывать информацию как в объект). При этом, если правила направления потока при r и w выполняются, то MLS соблюдается, если нет, то соответствующий процесс не получает доступ. Таким образом, мы приходим к управлению потоками через контроль доступов. В результате для определенного класса систем получим конструктивное описание политики MLS. Определение. В системе с двумя доступами r и w политика MLS определяется следующими правилами доступа Структура решетки очень помогает организации поддержки политики MLS. В самом деле, пусть имеется последовательная цепочка информационных потоков Если каждый из потоков разрешен, то свойства решетки позволяют утверждать, что разрешен сквозной поток . Действительно, если информационный поток на каждом шаге разрешен, то , тогда по свойству транзитивности решетки , то есть сквозной поток разрешен. MLS политика в современных системах защиты реализуется через мандатный контроль (или, также говорят, через мандатную политику). Мандатный контроль реализуется подсистемой защиты на самом низком аппаратно-программном уровне, что позволяет эффективно строить защищенную среду для механизма мандатного контроля. Устройство мандатного контроля, удовлетворяющее некоторым дополнительным, кроме перечисленных, требованиям, называется монитором обращений. Мандатный контроль еще называют обязательным, так как его проходит каждое обращение субъекта к объекту, если субъект и объект находятся под защитой системы безопасности. Организуется мандатный контроль следующим образом. Каждый объект О имеет метку с информацией о классе c(O). Каждый субъект также имеет метку, содержащую информацию о том, какой класс доступа c(S) он имеет. Мандатный контроль сравнивает метки и удовлетворяет запрос субъекта S к объекту О на чтение, если c(S)>c(0) и удовлетворяет запрос на запись, если c(S)<c(0). Тогда согласно изложенному выше мандатный контроль реализует политику MLS. | ||||||||
40. Классификация систем защиты. Доказательный подход к системам защиты Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я1, формулы которого определяются через услуги U1,..., Uk. Пример 1. Все субъекты S системы разбиты на два множества S1 и S2, S1ÈS2=S, S1ÇS2=Æ. Все объекты, к которым может быть осуществлен доступ, разделены на два класса О1 и О2 O1ÈO2= О, O1ÇO2=Æ. Политика безопасности Р -тривиальная: субъект S может иметь доступ aÎR к объекту О тогда и только тогда, когда SÎSi, ОÎOi, i = 1, 2. Для каждого обращения субъекта S на доступ к объекту О система защиты вычисляет функции принадлежности для субъекта и объекта: Is( S1), Is( S2), I0( O1), I0( O2). Затем вычисляется логическое выражение: (Is( S1)Ù I0( O1))Ú (Is( S2)Ù I0( O2)). Если полученное значение - 1 (истинно), то доступ разрешен. Если - 0 (ложно), то – не разрешен. Ясно, что язык Я1, на котором мы выразили политику безопасности Р, опирается на услуги: · вычисление функций принадлежности Ix(А); · вычисление логического выражения; · вычисление оператора "если x=l, то S ->0, если x=0, то S -+>О". Для поддержки услуг языку Я1, требуется свой язык Я2, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я2 необходимо реализовать опираясь на язык Я3 более низкого уровня и т.д. Пусть услуги, описанные на языке Я2 мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U1,...,Uk. Если модель Р - формальная, то есть язык Я1, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения уверенности в поддержке политики со стороны более простых функций. Одновременно, изложенный подход представляет метод анализа систем защиты, позволяющий выявлять слабости в проектируемых или уже существующих системах. При этом иерархия языков может быть неоднозначной, главное - удобство представления и анализа. | ||||||||
41. Классификация систем защиты. Системы гарантированной защиты. Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я1, формулы которого определяются через услуги U1,..., Uk. Для поддержки услуг языку Я1, требуется свой язык Я2, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я2 необходимо реализовать опираясь на язык Я3 более низкого уровня и т.д. Пусть услуги, описанные на языке Я2 мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U1,...,Uk. Если модель Р - формальная, то есть язык Я1, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения. | ||||||||
42. Классификация систем защиты. Пример гарантированно защищенной системы обработки информации. Система гарантированно защищена, если выполняются следующие условия: 1. Идентификация и аутентификация 2. Разрешительная подсистема 3. Отсутствие обходных путей политики безопасности Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной организации. Идентификация - это распознавание имени объекта. Идентифицируемый объект есть однозначно распознаваемый. Аутентификация - это подтверждение того, что предъявленное имя соответствует объекту. Условия 1 и 2 поддерживают: * обеспечение работы только одного пользователя (охрана); * отключение питания при смене пользователей; * стойкость шифратора К и сохранность в тайне ключей каждого пользователя; * недопустимость физического проникновения в аппаратную часть или подслушивание (охрана). Что касается условия 3, то невозможность получить доступ минуя разрешительную систему определяется разнесенностью работы пользователей, отсутствием подслушивания, необходимостью расшифровывать информацию для получения доступа к ней. | ||||||||
43. Классификация систем защиты. Классификация систем защиты изложена в Оранжевой Книге, принятой стандартом в 1985 г. Министерством обороны США. Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ. Класс (D): Минимальная защита Данный уровень предназначен для систем, признанных неудовлетворительными - «заваливших экзамен». Уровень C. Иначе - произвольное управление доступом. Класс (C1): Защита, основанная на разграничении доступа (DAC) Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям: 1. доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам; 2. пользователи должны идентифицировать себя, причем аутентификационная информация должна быть защищена от несанкционированного доступа; 3. доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий; 4. должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы; 5. защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы); 6. должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы. Класс (С2): Защита, основанная на управляемом контроле доступом (в дополнение к C1): 1. права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа. 2. при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования. 3. каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем. 4. доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой. 5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации. Уровень B. Также именуется - принудительное управление доступом. Класс B1 Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ (в дополнение к C2): 1. доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом. 2. доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам. 3. доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств. 4. группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию. 5. должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой. Класс (B2): Структурированная защита (в дополнение к B1): 1. снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам. 2. к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации. 3. должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью. 4. доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули. 5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала. 6. должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения. 7. модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие ее интерфейс. 8. в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации. 9. тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации. Класс (ВЗ): Домены безопасности (в дополнение к B2): 1. для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов. 2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы. Администратор безопасности должен немедленно извещаться о попытках нарушения политики безопасности, а система, в случае продолжения попыток, должна пресекать их наименее болезненным способом. 3. доверенная вычислительная база должна быть спроектирована и структурирована таким образом, чтобы использовать полный и концептуально простой защитный механизм с точно определенной семантикой. 4. процедура анализа должна быть выполнена для временных тайных каналов. 5. должна быть специфицирована роль администратора безопасности. Получить права администратора безопасности можно только после выполнения явных, протоколируемых действий. 6. должны существовать процедуры и/или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты. 7. должна быть продемонстрирована устойчивость доверенной вычислительной базы к попыткам проникновения. Уровень A. Носит название - верифицируемая безопасность. Класс (A1): Верифицированный проект (в дополнение к B3): 1. тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня. 2. помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем. 3. механизм конфигурационного управления должен распространяться на весь жизненный цикл(Life Cycle) и все компоненты системы, имеющие отношение к обеспечению безопасности. 4. должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.. | ||||||||
44. Два типа оценки: без учета среды, в которой работает техника, в конкретной среде (эта процедура называется аттестованием). Аттестование - процедура оценки качеств среды, определение соответствия некоторым эталонным характеристикам. | ||||||||
45. Политика.Требование 1. Требование 2 – маркировка. Политика безопасности - это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации в данной организации. Требование 1 - Политика обеспечения безопасности - Необходимо иметь явную и хорошо определенную политику обеспечения безопасности Требование 2 - Маркировка - Метки, управляющие доступом, должны быть установлены и связаны с объектами. | ||||||||
46. Подотчетность. Требование 3 – идентификация. Требование 4 - подотчетность Аудит или отслеживание, подотчетность - это регистрация событий, позволяющая восстановить и доказать факт происшествия этих событий. Идентификация - это распознавание имени объекта. Идентифицируемый объект есть однозначно распознаваемый. Требование 3 - Идентификация - Субъекты индивидуально должны быть идентифицированы Требование 4 - Подотчетность - Аудиторская информация должна селективно храниться и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность. | ||||||||
47. Гарантии. Требование 5 – гарантии. Требование 6 - постоянная защита Требование 5 - Гарантии - Вычислительная система в своем составе обязана иметь аппаратно-программные механизмы, допускающие независимую оценку для получения достаточного уровня гарантий того, что система обеспечивает выполнение изложенных выше требований с первого по четвертое Требование 6 - Постоянная защита - Гарантированно защищенные механизмы, реализующие указанные базовые требования, должны быть постоянно защищены от "взламывания" и/или несанкционированного внесения изменений. | ||||||||
48. Итоговая информация по классам критериев оценки; идентификация и аутентификация гарантии на правильную работу системы Классы систем представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ. Класс (D): Минимальная защита. Этот класс зарезервирован для тех систем, которые были подвергнуты оцениванию, но в которых не удалось достигнуть выполнения требований более высоких классов оценок. Класс (C1): Защита, основанная на разграничении доступа (DAC). Гарантированно защищающая вычислительная база (ТСВ) систем класса (С1) обеспечивает разделение пользователей и данных. Она включает средства управления, способные реализовать ограничения по доступу, чтобы защитить проект или частную информацию и не дать другим пользователям случайно считывать или разрушать их данные. ТСВ должна требовать от пользователей, чтобы те идентифицировали себя перед тем, как начинать выполнять какие-либо действия, в которых ТСВ предполагается быть посредником. Более того, ТСВ обязательно должна использовать один из механизмов защиты (например, пароли) для того, чтобы проверять подлинность идентификации пользователей (аутентификация). ТСВ должна защищать аутентификационные данные таким образом, чтобы доступ к ним со стороны пользователя, не имеющего на это полномочий, был невозможен. | ||||||||
49. Архитектура системы; целостность системы гарантии на жизненный цикл тестирование функции безопасности. Документация. Выбор класса защиты. ТСВ должна содержать домен, который должен обеспечивать ее собственную работу и защищать ее от внешнего воздействия или от внесения в нее несанкционированных изменений (например, от модификаций ее кодов или структур данных). Ресурсы, контролируемые ТСВ, могут составлять подмножество объектов ЭСОД. Должны быть предусмотрены аппаратные и/или программные средства, предназначенные для периодической проверки на правильность и корректность функционирования аппаратных и микропрограммных элементов ТСВ. Механизм защиты должен соответствовать тем нормам, которые отражены в документации. 1. Руководство пользователя по использованию средств обеспечения безопасности. 2. Руководство администратору системы на гарантированные средства защиты. 3.Документация по теста 4.Дкументация по проекту Класс (С2): Защита, основанная на управляемом контроле доступом. Класс(BI): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ. Класс (B2): Структурированная защита. Класс (ВЗ): Домены безопасности. Класс (AI): Верифицированный проект. Выбор требуемого класса безопасности систем определяется следующими основными факторами, характеризующими условия работы системы. 1. Безопасность режима функционирования системы. Американцы различают 5 таких режимов: 2. Основой для выбора класса защиты является индекс риска. Он определяет минимальный требуемый класс. | ||||||||
50. Математические методы анализа политики безопасности. Модель "take-grant" Будем считать, что множество доступов R={r, w, c} , где r - читать, w - писать, с - вызывать. Допускается,что субъект X может иметь права aÍR на доступ к объекту Y, эти права записываются в матрице контроля доступов. Кроме этих прав мы введем еще два: право take (t) и право grant (g), которые также записываются в матрицу контроля доступов субъекта к объектам. Можно считать, что эти права определяют возможности преобразования одних графов состояний в другие. Преобразование состояний, то есть преобразование графов доступов, проводятся при помощи команд. Существует 4 вида команд, по которым один граф доступа преобразуется в другой. 1. Take. Пусть S - субъект, обладающий правом t к объекту X и aÍR некоторое право доступа объекта X к объекту Y. Тогда возможна команда "S take aforY from X". В результате выполнения этой команды в множество прав доступа субъекта S к объекту Y добавляется право a. Графически это означает, что, если в исходном графе доступов G был подграф то в новом состоянии G', построенном по этой команде t, будет подграф 2. Grant. Пусть субъект S обладает правом g к объекту X и правом aÍR к объекту Y. Тогда возможна команда "S grant afor Y to X". В результате выполнения этой команды граф доступов G преобразуется в новый граф G', который отличается от G добавленной дугой (Х Y). Графически это означает, что если в исходном графе G был подграф то в новом состоянии G' будет подграф 3. Create. Пусть S - субъект, bÍR.Команда "S create P for new object X" создает в графе новую вершину X и определяет Р как права доступов S к X. То есть по сравнению с графом G в новом состоянии G' добавляется подграф вида 4. Remove. Пусть S - субъект и X - объект, bÍR. Команда "S remove Р for X" исключает права доступа Р из прав субъекта S к объекту X. Графически преобразования графа доступа G в новое состояние G' в результате этой команды можно изобразить следующим образом: в G в G’ | ||||||||
51. МОДЕЛИ БЕЗОПАСНОСТИ Управление доступом Дискреционное (произвольное, матричное, разграничительное) Под управлением доступом (УД) будем понимать ограничение возможностей использования ресурсов системы пользователями (процессами) в соответствии с правилами разграничения доступа. Существует четыре основных способа разграничения доступа субъектов к совместно используемым объектам : · физический – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.); · временной – субъекты получают доступ к объекту в различные промежутки времени; · логический – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа; · криптографический – все объекты хранятся в зашифрованном виде, права доступа определяются знания ключа для расшифрования объекта. На практике основными способами разграничения доступа являются логический и криптографический. Рассмотрим логическое УД, которое может быть реализовано в соответствии с одной из трех формальных моделей УД (безопасности). Дискреционное УД(Discretionary Access Control – DAC) – разграничение доступа между поименованными субъектами и поименованными объектами. Оно основанное на задании владельцем объекта или другим полномочным лицом прав доступа других субъектов (пользователей) к этому объекту. В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей – субъектов (множество S–пользователи, процессы и т. д.), которые осуществляют доступ к информации, пассивных сущностей – объектов (множество О–файлы, каталоги, процессы и т. д.), содержащих защищаемую информацию, и конечного множества прав доступа R = {r1, ..., rn}, означающих полномочия на выполнение соответствующих действий (например, чтение (Read – R), запись (Write – W), выполнение (Execute – E), удаление (Delete – D), владение (Ownership – O) и т. д.). | ||||||||
52. МОДЕЛИ БЕЗОПАСНОСТИ Управление доступом. Мандатное (принудительное) УД Под управлением доступом (УД) будем понимать ограничение возможностей использования ресурсов системы пользователями (процессами) в соответствии с правилами разграничения доступа. Существует четыре основных способа разграничения доступа субъектов к совместно используемым объектам : · физический – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.); · временной – субъекты получают доступ к объекту в различные промежутки времени; · логический – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа; · криптографический – все объекты хранятся в зашифрованном виде, права доступа определяются знания ключа для расшифрования объекта. На практике основными способами разграничения доступа являются логический и криптографический. Рассмотрим логическое УД, которое может быть реализовано в соответствии с одной из трех формальных моделей УД (безопасности). Мандатное УД (Mandatory Access Control–MAC) – разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Оно основано на сопоставлении атрибутов безопасности субъекта (уровня допуска пользователя) и объекта (грифа секретности информации). Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран. Основным положением данной ПБ, взятым из реальной жизни, является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки, получившей название уровень безопасности (метка безопасности). Метка субъекта описывает его благонадежность, а метка объекта – степень закрытости содержащейся в нем информации. Уровни секретности, поддерживаемые системой, образуют множество, упорядоченное с помощью отношения доминирования. Такое множество может выглядеть следующим образом: сов. секретно, секретно, конфиденциально, несекретно и т. д. | ||||||||
53. МОДЕЛИ БЕЗОПАСНОСТИ Управление доступом. Ролевое УД Под управлением доступом (УД) будем понимать ограничение возможностей использования ресурсов системы пользователями (процессами) в соответствии с правилами разграничения доступа. Существует четыре основных способа разграничения доступа субъектов к совместно используемым объектам : · физический – субъекты обращаются к физически различным объектам (однотипным устройствам, наборам данных на разных носителях и т. д.); · временной – субъекты получают доступ к объекту в различные промежутки времени; · логический – субъекты получают доступ к объектам в рамках единой операционной среды, но под контролем средств разграничения доступа; · криптографический – все объекты хранятся в зашифрованном виде, права доступа определяются знания ключа для расшифрования объекта. На практике основными способами разграничения доступа являются логический и криптографический. Рассмотрим логическое УД, которое может быть реализовано в соответствии с одной из трех формальных моделей УД (безопасности). Ролевое УД (Role-Based Access Control–RAC) – универсальная надстройка (каркас), применяемая с дискреционным и мандатным УД и предназначенная для упрощения функций администрирования систем с большим количеством субъектов и объектов. Суть ролевого УД состоит в том, что между пользователями и их правами доступа к объектам появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права доступа к объекту и, наоборот, несколько пользователей может выступать в одной роли по отношению к одному объекту. Между ролями могут быть установлены связи, аналогичные отношению наследования в ООП. Таким образом может быть построена иерархия ролей, используя которую можно существенно сократить количество контролируемых (администрируемых) связей. | ||||||||
54. Модель политики безопасности адепт – 50 Модель АДЕПТотносится к одной из первых дискреционных моделей политики безопасности МБО. В модели рассматриваются: · множество объектов компьютерной системы O=[oj], j = 1,…n · множество субъектов компьютерной системы S=[sj], i=1,…m · множество прав доступа субъектов к объектам R=[rg], k = 1, …k · множество, содержащее перечень предметных областей, к которым относятся выполняемые в компьютерной системе процессы E=[el], l = 1,…q. · множество, содержащее категории безопасности субъектов и объектов D=[dx], x = 1,…v. Субъекты в компьютерной системе характеризуются: · предметной областью, к которой они принадлежат · правами, которыми они наделяются · категорией безопасности, которая им назначается. Объекты компьютерной системы характеризуются: · предметной областью, к которой они принадлежат · категорией безопасности, которая им назначается. Критерий безопасности Субъект наследует категорию безопасности объекта, с которым он связан (ассоциирован). Описание политики безопасности Если в компьютерной системе инициализируется поток Stream (sj, oj) → oi, то 1) субъект sj должен принадлежать множеству S: sj S; 2) объект oi должен принадлежать множеству O: oi O; 3) субъект sj получает право доступа rsj к объекту oi, если право доступа субъекта sj (rsj )принадлежит множеству его прав доступа к объекту oi rsj Roi; 4) предметная область субъекта sj принадлежит предметной области объекта oi esj eoi; 5) категория безопасности субъекта sj больше или равна категории безопасности объекта oi doi dsj. | ||||||||
55. Управление доступом. Дискреционная модель харрисона-руззо-ульмана Формальная модель Xappисона- Руззо-Ульмана – это классическая дискреционная модель, которая реализует произвольное управление доступом субъектов к объектам и осуществляет контроль за распределением прав доступа. В модели рассматриваются: · конечное множество объектов компьютерной системы O=[oj], 1,…n; · конечное множество субъектов компьютерной системы S=[sj], 1,…m. Считается, что все субъекты системы одновременно являются и ее объектами. Конечное множество прав доступа R=[rg], 1, …k. Матрица прав доступа, содержащая права доступа субъектов к объектам A=[aij], i=1, …m, j=1,…n+m, причем элемент матрицы aij рассматривается как подмножество множества R. Каждый элемент матрицы aij содержит права доступа субъекта si к объекту oj. Конечное множество команд С=[ cz (аргументы)], z=1, l, аргументами команд служат идентификаторы объектов и субъектов. Каждая команда включает условия выполнения команды и элементарные операции, которые могут быть выполнены над субъектами и объектами компьютерной системы и имеют следующую структуру: Command cz (аргументы) Условия выполнения команды Элементарные операции End. Поведение системы моделируется с помощью понятия состояние. Состояние системы определяется: · конечным множеством субъектов (S); · конечным множеством объектов (O), считается, что все субъекты системы одновременно являются и ее объектами (S O); · матрицей прав доступа (A). Если система находится в состоянии Q, то выполнение элементарной операции переводит ее в некоторое другое состояние Q' ,которое отличается от предыдущего состояния хотя бы одним компонентом. | ||||||||
56. Управление доступом. Типизированная матрица доступа Дискреционная модель Type Access Matrix(TAM) – типизированная матрица доступа – является развитием модели Xappисона- Руззо-Ульмана. Модель ТАМ дополняет модель Xappисона- Руззо-Ульмана концепцией типов, что позволяет смягчить те условия, для которых возможно доказательство безопасности системы. В модели ТАМ рассматриваются: · конечное множество объектов компьютерной системы O = [oj], 1,…n; · конечное множество субъектов компьютерной системы S = [si], 1, …m. Считается, что все субъекты системы одновременно являются и ее объектами. · конечное множество прав доступа R = [rg], 1, …k. Матрица прав доступа, содержащая права доступа субъектов к объектам A = [aij], i = 1, …m, j = 1,…n+m, причем элемент матрицы aij рассматривается как подмножество множества R. Каждый элемент матрицы aij содержит права доступа субъекта si к объекту oj. Множество типов, которые могут быть поставлены в соответствие объектам и субъектам системы T = [ tb ], b = 1,…w. Конечное множество команд С=[ cz (аргументы с указанием типов )], z=1,...I, включающих условия выполнения команд и их интерпретацию в терминах элементарных операций. Элементарные операции ТАМ отличаются от элементарных операций дискреционной модели Xappисона- Руззо-Ульмана использованием типизированных аргументов. Структура команды Command cz (аргументы и их типы) Условия выполнения команды Элементарные операции End . | ||||||||
57. Управление доступом. Мандатная модель Белла-Лападулы
Модель
|