 |
Формальные модели управления доступом
|
|
|
|
Данная модель в 1971 году, описывает понятие матрицы доступа- таблица описывающая права доступа субъектов к объектам. Строки матрицы доступа соответствуют субъектам, а столбцы объектам. На пересечении строки и столбца указаны права доступа соответствующего субъекта к данному объекту.
1. Модель предусматривает наличия 6 элементарных операций. Добавление субъекту С право Р по отношению к объекту О.
2. Удаление у субъекта С право Р по отношению с объекту.
3. Создание нового субъекта С.
4. Удаление существующего субъекта С
5. Создание нового объекта О.
6. Удаление существующего объекта О.
Формальное описание системы в модели Харрисона-Руззо-Ульмана выглядит следующим образом. Система состоит из следующих элементов:
1. Конечный набор прав доступа R.
2. Конечный набор исходных субъектов.
3. Конечный набор исходных объектов.
4. Исходная матрица доступа М.
5. Конечный набор команд.
Поведение системы во времени рассматривается как последовательность состояний каждое последующее состояние является результатом применения некоторой команды к предыдущему. Для заданной системы начальное состояние называется безопасным относительно права r.
Теорема №1. Существует алгоритм который проверяет является ли исходное состояние много операционной системы безопасным для данного права А.
Теорема №2. Для систем общего вида задача определения того является ли исходное состояние системы безопасным для данного права, является вычислительно не разрешимой.
Классическая модель Харрисона-Руззо-Ульмана широко используется при: построении систем разграничения доступа высоко защищенных АИС.
Модель бэлла-лападулы. Данная модель разработана в 1975 году. Была предложена для формализации механизмов мандатного управления доступом. В этой модели по грифам секретности распределяются субъекты и объекты действующие в системе и при этом выполняется следующие правила.
|
|
|
1. Простое правило безопасности: субъект с уровнем секретности х с индексом с, может читать информацию из объекта с индексом секретности Х0, тогда и только тогда, когда Хс преобладает над Х0.
2. Свойстыва. Субъект с уровнем секретности Хс может писать информацию в объект, с уровнем секретности Х0, в том случаи, когда Х0 преобладает над Хс. S-множество субъектов, О-множество объектов, R- множество прав доступа,L-множество уровней секретности, А- решетка уровней секретностей, V-множество состояний системы, представленных в виде набора упорядоченных пар, F-функции уровня уровня секретности, М- матрица текущих прав доступа,V0малое- начальное состояние системы.
Состояние системы называется безопасным для чтения если для каждого субъекта осуществляющего для этого в этом состоянии доступ по чтению к объекту, уровень безопасности субъекта, доминирует над уровнем безопасности объекта.
Состояние системы называется безопасным по записи, в случаи если для каждого субъекта, существующего в этом состоянии доступ по записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности субъекта.
Состояние называется безопасным если её начальное состояние безопасно и все состояния достижимые из этого также безопасны.
Теорема: система безопасна тогда и только тогда, когда выполняется следующее условие:
1. Начальное состояние безопасно.
2. Для любого состояние V достижимого из V0 значение безопасности постоянно
Недостатки этой модели:
1. Не ограничивается вид функций перехода.
2. Возможность организации скрытых каналов передачи информации.
Модель данного типа широко используется при построении и верификации автоматизированных систем предназначенных для работы с государственной тайной.
|
|
|
Формальные модели целостности.
1. Кларка вилксона. Была предложена в 1987 году. Модель является описательной и не содержит математических конструкций. Её можно рассматривать как рекомендации, по построению системы обеспечения целостности АС. S- множество субъектов, D- множество данных в АС, CDI- данные целостность которых контролируется, UDI- данные целостность которых не контролируется, TP- процедура преобразования, IVP- процедура проверки целостности.
Правила модели Кларка вилксона.
1. В системе должны иметься процедуры проверки целостности, способные подтвердить целостность любого объекта.
2. Применение процедуры преобразования к любым данным целостность которых контролируется должно сохранять целостность этих данных.
3. Только процедура преобразования может вносить изменения в данные целостность которых контролируется.
4. Субъекты могут инициировать только определенные процедуры преобразования над данными целостность которых контролируется.
5. Должна быть обеспечена политика разделения обязанностей субъектов.
6. Специальные процедуры преобразования могут превращать данные целостность которых не контролируется в данные целостность которых контролируется.
7. Каждое применения процедуры преобразования должно регистрироваться специальных данных целостность которых контролируется. При этом: а) данные целостность которых контролируется должны быть доступны только для добавления информации. б) в данные необходимо записывать информацию достаточную для восстановления полной картины функционирования системы.
8. Система должна распознавать субъекты пытающиеся инициировать процедуру преобразования.
9. Система должна разрешать производить изменения в списках авторизации только специальным субъектом.
Достоинства: простота и легкость совместного использования с другими моделями безопасности.
Модель Биба. Разработана в 1977 году как модификация модели бэлла-лападулы. Использует решетку класса целостности.
Базовые правила:
1. Простое правило целостности. Субъект с уровнем целостности Хs может читать информацию из объекта с уровнем целостности Х0, тогда и только тогда, когда Х0 преобладает над Хs.
|
|
|
2. Свойства. Субъект с уровнем целостности Хs. Может писать информацию в объект с уровнем целостности Х0, тогда и только тогда, когда Xs преобладает над Х0.
Достоинства: простота использования изученного математического аппарата.
Варианты совместного использования модели бэлла-лападулы и Биба.
1. Две модели могут быть реализованы в системе независимо друг от друга, в этом случаи субъектам и объектам независимо присваиваются уровни секретности и уровни целостности.
2. Возможно логическое объединение моделей зачет выделения общих компонентов, у этих моделей общим компонентом является порядок разграничения доступа в пределах одного уровня секретности.
3. Возможно использование одной и той же решетки уровней как для секретности так и для целостности. При этом субъекты и объекты с высоким уровнем целостности будут располагаться на низких уровнях секретности, а субъекты и объекты с низким уровнем целостности на высоких уровнях секретности.
Данная реализация позволяет разместить системные файлы на нижнем уровне иерархии, что обеспечит их максимальную целостность без использования секретности.
|
|
|
