Мандатная модель политики безопасности

Описанные выше модели дискретного доступа обеспечивают хорошо сегментированную защиту, но обладают рядом недостатков. В частности, в системах, построенных на основе DAC, существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Например, пользователь ожидает, что программа является текстовым редактором, а она кроме функций редактора способна выполнить перехват и передачу по сети пароля пользователя.

Для того, чтобы понять, как может работать такой троянский конь, вспомним, что когда пользователь вызывает какую-либо программу на компьютере, в системе инициируется некоторая последовательность операций, зачастую скрытых от пользователя. Эти операции обычно управляются операционной системой. Троянские программы рассчитывают на то, что когда пользователь инициирует такую последовательность, то он обычно верит в то, что система произведет ее как полагается. При этом, нарушитель может написать версию троянской программы, которая будучи запущенной от имени пользователя-жертвы, передаст его информацию пользователю нарушителю.

 

В отличие от DAC, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный принцип управления доступом (Mandatory Access Control; МАС) накладывает ограничения на передачу прав доступа от одного пользователя другому (что, в частности позволяет успешно решать проблему троянских коней).

Классической моделью, лежащей в основе построения многих систем MAC и породившей остальные модели MAC, является модель Белла и Лападула.

Модель Белла и Лападула

Модель, получившая название модели Белла и Лападула (БЛМ) до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности. Данная модель лежит в основе построения MAC. Идеи, заложенные в БЛМ, используются при реализации различных политик безопасности.

Основным наблюдением, сделанным авторами модели является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями безопасности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретные). Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам, этим субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности. Это ведет к первому правилу БЛМ.

Модель Белла и Лападула имеет в своей основе несколько базовых принципов, именуемых свойствами.

Простое свойство безопасности, также известное, как правило «нет чтения вверх» (NRU), гласит, что субъект с уровнем безопасности x_s может читать информацию из объекта с уровнем безопасности x_o, только если x_s преобладает над x_o. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ, субъект с уровнем доступа «секретно» попытается прочитать информацию из объекта, классифицированного как «совершенно секретно», то такой доступ не будет разрешен.

Белл и Лападула сделали дополнительное наблюдение при построении своей модели: субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень безопасности. Например, когда совершенно секретный документ помещается в неклассифицированное мусорное ведро, может произойти утечка информации. Это ведет ко второму правилу БЛМ.

*Свойство (еще одно его название – ограничительное свойство безопасности), известное, как правило "нет записи вниз" (NWD), гласит, что субъект безопасности x_s может писать информацию в объект с уровнем безопасности x_o только если x_o преобладает над x_s. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ, субъект с уровнем доступа «совершенно секретно» попытается записать информацию в неклассифицированный объект или объект с более низким уровнем доступа, то такой доступ не будет разрешен.

Правило запрета по записи является большим упрощением некоторых реализаций БЛМ. Так, некоторые описания включают более детальное понятие типа доступа (например, такие как добавление и выполнение). Помимо этого, многие модели БЛМ включают понятие дискреционной защиты с целью обеспечения хорошо гранулированной защиты при сохранении всех преимуществ БЛМ. Правила запрета по записи и чтению БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным источникам.

Рассмотрим формализацию БЛМ. В соответствии с определениями:

S — множество субъектов;

О — множество объектов;

L — решетка уровней безопасности;

F: SÈO®L — функция, применяемая к субъектам и объектам; определяет уровни безопасности своих аргументов в данном состоянии;

V — множество состояний — множество упорядоченных пар (F, М), где М — матрица доступа субъектов системы к объектам.

Система представляется начальным состоянием v, определенным множеством запросов R и функцией переходов T: (V´R)®V, такой, что система переходит из состояния в состояние после исполнения запроса.

Определения, необходимые для доказательства основной теоремы безопасности (ОТБ), доказанной для БЛМ:

Определение 1. Состояние (F, М) безопасно по чтению (RS) тогда и только тогда, когда для "sÎS и для "oÎO, чтение Î M[s, о] ® F(s)³F(o).

Определение 2. Состояние (F, М) безопасно по записи (WS, *-свойство) тогда и только тогда, когда для "sÎS и для "oÎO, запись Î M[s, о] ® F(o)³F(s)

Определение З. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.

Определение 4. Система (v_o, R, Т) безопасна тогда и только тогда, когда состояние v_o безопасно и любое состояние, достижимое из v_o после исполнения конечной последовательности запросов из R безопасны в смысле определения 3.

Основная теорема безопасности: Система (v_o, R, Т) безопасна тогда и только тогда, когда состояние v_o безопасно и Т таково, что для любого состояния v, достижимого из v_o после исполнения конечной последовательности запросов из R безопасны, если T(v, c)=v*, где v=(F, М) и v*=(F*, М*), такие что для "sÎS и для "oÎO

— если чтение Î M*[s, о] и чтение Ï M[s, о], то F* (s)³F*(o);

— если чтение Î M[s, о] и F*(s)<F*(o), то чтение Î M*[s, о];

— если запись Î M*[s, о] и запись Ï M[s, о], то F*(o)³F*(s);

— если запись Î M[s, о] и F*(o)<F*(s), то запись Î M*[s, о].

Доказательство:

1. Необходимость. Предположим, что система безопасна. Состояние V_o безопасно по определению. Если имеется некоторое состояние v, достижимое из состояния v_o после исполнения конечной последовательности запросов из R, таких что T(v, c)=v*, хотя v* не удовлетворяет одному из двух первых ограничений для Т, то v* будет достижимым состоянием, но противоречащим ограничению по чтению. Если v* не удовлетворяет одному из двух последних ограничений для Т, то v* будет достижимым состоянием, но противоречащим ограничению по записи. В любом случае система небезопасна.

 

2. Достаточность. Предположим, что система небезопасна. В этом случае, либо v_o должно быть небезопасно, либо должно быть небезопасное состояние v, достижимое из состояния v_o после исполнения конечной последовательности запросов из R. Если Уд небезопасно — все доказано. Если v_o безопасно, допустим что v* — первое в последовательности запросов небезопасное состояние. Это означает, что имеется такое безопасное состояние v, такое что T(v, c)=v*, где v— небезопасно. Но это противоречит четырем ограничениям на Т.

Несмотря на все достоинства, оказалось, что при использовании БЛМ в контексте практического проектирования и разработки реальных компьютерных систем возникает ряд технических вопросов. Данные вопросы являются логическим следствием достоинства БЛМ — ее простоты. Проблемы возникают при рассмотрении вопросов построения политик безопасности для конкретных типов систем, т.е. на менее абстрактном уровне рассмотрения. Как следствие, в мире компьютерной безопасности ведется широкая полемика по поводу применимости БЛМ для построения безопасных систем.

Принципы БЛМ показывают, что важность или чувствительность субъектов и объектов повышается с ростом в иерархии уровней безопасности. При рассмотрении моделей контроля целостности запись наверх может представлять угрозу в том случае, если субъект с низким уровнем безопасности искажает или уничтожает данные в объекте, лежащем на более высоком уровне. Поэтому, исходя из задач целостности, можно потребовать чтобы такая запись была запрещена. Следуя подобным аргументам можно рассматривать чтение снизу как поток информации, идущий из объекта нижнего уровня и нарушающий целостность субъекта высокого уровня. Поэтому весьма вероятно, что и такое чтение необходимо запретить.

Эти наблюдения сделал в середине 1970-х Кен Биб а, и они были последовательно внесены в модель безопасности, которая с тех пор называется моделью целостности Биба (или просто моделью Биба).

Биба выразил свою модель таким же способом, каким была выражена БЛМ, за тем исключением, что правила его модели являются полной противоположностью правилам БЛМ. В настоящее время рассматривают три вариации модели Биба:

· мандатную модель целостности,

· модель понижения уровня субъекта,

· модель понижения уровня объекта.

Фактически, общий термин «модель Биба» используется для обозначения любой или сразу всех трех моделей. Для мандатной модели целостности предлагается формальное описание и дается пример системы, удовлетворяющей модели Биба для иллюстрации определения.

Мандатную модель целостности Биба часто называют инверсией БЛМ. Это довольно точное название, поскольку основные правила этой модели просто переворачивают правила БЛМ. Мы будем ссылаться на эти правила как «нет чтения снизу» (NRD) и «нет записи наверх» (NWU), и определим их в терминах субъектов, объектов, и нового типа уровней безопасности — уровней целостности, над которыми может быть введено отношение преобладания.

Правило NRD мандатной модели целостности Биба определяется как запрет субъектам на чтение информации из объекта с более низким уровнем целостности. NRD является полной противоположностью правила NRU БЛМ, за исключением того, что здесь используются уровни целостности, а не безопасности, как в БЛМ. Правило NWU мандатной модели целостности Биба определяется как запрет субъектам на запись информации в объект с более высоким уровнем целостности. Это правило является полной противоположностью правила NWD БЛМ, для случая уровней целостности, а не безопасности.

Одним из преимуществ этой модели является то, что она унаследовала многие важные характеристики БЛМ, включая ее простоту и интуитивность. Это значит, что проектировщики реальных систем могут легко понять суть этих правил и использовать их для принятия решений при проектировании. Кроме того, поскольку мандатная модель целостности Биба, подобно БЛМ, основана на простой иерархии, ее легко объяснить и изобразить пользователям системы.

С другой стороны, модель представляет собой очевидное противоречие с правилами NRU и NWD. Это значит, что если необходимо построить систему, которая предотвращает угрозы как секретности, так и целостности, то одновременное использование правил моделей БЛМ и Биба может привести к ситуации, в которой уровня безопасности и целостности будут использоваться противоположными способами.