7.2. субъектно-объектные модели разграничения доступа

 

Основы моделирования процессов защиты информации рассмотрены, например, в работах В. А. Герасименко, одно- го из наиболее известных отечественных исследователей те- оретических и практических аспектов защиты информации в автоматизированных системах, автора системно-концепту- ального подхода к информационной безопасности. В. А. Гера- сименко представил общую модель процессов защиты инфор- мации, структурировав ее на взаимосвязанные компоненты и выделив в отдельный блок модели систем разграничения до- ступа к ресурсам.

Разграничение доступа к информации — разделение инфор- мации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользовате- лей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей.

Разграничение доступа непосредственно обеспечивает кон- фиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграниче- ние доступа можно рассматривать среди других методов обе- спечения информационной безопасности как комплексный программно-технический метод защиты информации. Раз- граничение доступа является также необходимым условием обеспечения информационной безопасности.

Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объ- ектов доступа.

Рассмотрим основные положения наиболее распространен- ных политик безопасности, основанных на контроле досту- па субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются

 

безопасными, а другие — нет [7]. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:

1. В системе действует дискретное время.

2. В каждый фиксированный момент времени система пред- ставляет собой конечное множество элементов, разделяемых на два подмножества:

· подмножество субъектов доступа S;

· подмножество объектов доступа О.

Субъект доступа — активная сущность, которая может изме- нять состояние системы через порождение процессов над объ- ектами, в том числе порождать новые объекты и инициализи- ровать порождение новых субъектов.

Объект доступа — пассивная сущность, процессы над кото- рой могут в определенных случаях быть источником порожде- ния новых субъектов.

При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управле- ния доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют полити- ку безопасности. Общим подходом для всех моделей являет- ся именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами опре- деления понятий «объект» и «субъект» в разных моделях мо- гут различаться.

В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, пред- полагается также, что в любой момент времени t_k, в том числе и в начальный, множество субъектов доступа не пусто.

3. Пользователи представлены одним или некоторой сово- купностью субъектов доступа, действующих от имени конкрет- ного пользователя.

Пользователь — лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколь- кими субъектами, воспринимающий объекты и получающий

 

информацию о состоянии системы через субъекты, которыми он управляет.

Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Пред- полагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не со- ответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Од- нако подобная идеализация позволяет построить четкую схе- му процессов и механизмов доступа.

4. Субъекты могут быть порождены из объектов только ак- тивной сущностью (другим субъектом).

Объект о_i называется источником для субъекта s_m, если су- ществует субъект s_j, в результате воздействия которого на объ- ект о_i возникает субъект s_m. Cубъект s_j является активизирую- щим для субъекта s_m.

Для описания процессов порождения субъектов доступа вво- дится следующая команда:

Create (s_j, o_i) ® s_m — из объекта о_i порожден субъект s_m, при активизирующем воздействии субъекта s_j.

Create называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздей- ствием активизирующего субъекта в момент времени t_k новый субъект порождается в момент времени t_k+1.

Результат операции Create зависит как от свойств активизи- рующего субъекта, так и от свойств объекта-источника.

Активная сущность субъектов доступа заключается в их спо- собности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации.

5. Все взаимодействия в системе моделируются установле- нием отношений определенного типа между субъектами и объ- ектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

 

6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации.

Потоком информации между объектом о_i и объектом о_j на- зывается произвольная операция над объектом о_j, реализуемая в субъекте s_m и зависящая от объекта о_i.

Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д. Объекты, участвующие в потоке, могут быть как источника- ми, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объ- ектами, а не между субъектом и объектом.

Доступом субъекта s_m к объекту о_j называется порождение субъектом s_m потока информации между объектом о_j и некото- рым объектом о_i.

Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосред- ственно к описанию процессов безопасности информации в за- щищенных системах. С этой целью вводится множество пото- ков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (мно- жество Р является объединением потоков по всем моментам времени функционирования системы).

Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р.

7. Политика безопасности задается в виде правил, в соответ- ствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с пра- вилами политики безопасности.

 

9. Совокупность множеств субъектов, объектов и отноше- ний между ними (установившихся взаимодействий) опреде- ляет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предло- женным в модели критерием безопасности.

10. Основной элемент модели безопасности — это доказа- тельство утверждения (теоремы) о том, что система, находяща- яся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и огра- ничений.

 

⇐ Предыдущая21222324252627282930Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: