Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Это правило можно рассматривать как свойство скрытия применения ПП над CDI. То есть, любое применение ПП над CDI не приведет к нарушению целостности CDI.Содержание книги
Поиск на нашем сайте
Обратите внимание, что это правило не указыает как каждый ПП поддерживает скрытие в пределах множества CDI. Это потому что ничего не говорится о том, как применение ПП влияет на целостность других CDI. Более сильным способом определения правила является гарантия того, что каждый ПП сохраняет целостность каждого CDI, а не только того CDI, который изменяет данный ПП. Это бы гарантировало, что никакой ПП не влияет на целостность, но это гораздо труднее реализовать. Третье правило определяет защитное ограничение на то, какие процедуры могут влиять на множество CDI: Правило 3: только ПП может вносить изменения в CDI. Другими словами, процедуры и действия, не являющиеся ПП, не могут изменить ПП. Это обеспечивает замкнутость в пределах набора CDI. Обратите внимание на отличия от модели Биба понижения уровня объектов. Модель Биба позволяет субъектам с меньшей целостностью изменять объекты с более высокой целостностью, что нарушает их целостность. Данное правило модели КВМ не позволяет субъектам с низкой целостностью (то есть, не использующим ПП) изменять объекты с высокой целостностью (то есть, CDI). В этом плане модель КВМ подобна мандатной модели целостности Биба. Четвертое правило определяет какие субъекты могут инициировать ПП над какими данными в CDI. Правило 4: Субъекты могут инициировать только определенные ПП над определенными CD1. Это правило заявляет, что система должна определять и поддерживать некоторые отношения между субъектами, TP и CDI, так называемые КВМ-тройки. Каждая такая определяет возможность данного субъекта применить данный ТР к данному CDI. Например, если (s, t, d) является элементом отношения, то субъекту s разрешается npименить ПП t к CDI d. Если же эта тройка не является элементом отношения, то такой тип применения ПП будет запрещен. Это правило гарантирует, что всегда можно определить кто может изменить CDI и как это изменение может произойти. Пятое правило накладывает дополнительное ограничение на отношения КВМ-троек: Правило 5: КВМ — тройки должны проводить некоторую соответствующую политику разделения обязанностей субъектов. Это правило предусматривает, что компьютерная система определяет такую политику, чтобы не позволять субъектам изменять CDI без соответствующего вовлечения других субъектов. Это предотвращает субъектов от возможности наносить ущерб целостности CDI. Некоторые системы управления конфигурацией предоставляют уровень разделения обязанностей. Например, в некоторых системах разработчики ПО должны представить свои модули на просмотр менеджеру по разработке ПО перед тем, как они смогут включить их в конфигурацию. Этот подход защищает целостность конфигурации ПО. Однако, ничто в модели КВМ не предотвращает от использования неграмотной политики разделения обязанностей. Шестое правило предоставляет способ модернизации UDI в CDI: Правило 6: некоторые специальные ТР могут превращать UDI в CDI. Это правило позволяет определенным ПП получать на вход UDI и после соответствующего повышения целостности выдавать на выходе CDI. Однако, как и для IVP остаются неясными способы реализации этого механизма. Седьмое правило накладывает требование, что все случаи применения ПП регистрируются в специально предназначенном для этого CDI: Правило 7: каждое применение CDI должно регистрироваться в специальном CDI, в который может производиться только добавление информации, достаточной для восстановления картины о процессе работы этого CDI. Это правило требует ведения специального регистрационного журнала, который хранится в определенном CDI. Восьмое правило накладывает требование аутентификации субъектов, желающих инициировать ПП: Правило 8: Система должна распознавать субъекты, пытающиеся инициировать ПП. Это правило определяет механизмы предотвращения атак, при которых один субъект пытается выдать себя за другого. Последнее правило накладывает административное требование о том, кому дозволено менять списки авторизации (например, КВМ- тройки): Правило 9: Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, офицерам безопасности). Это правило гарантирует, что основная защита, определяемая КВМ-тройкой, не будет обойдена злоумышленником, пытающимся изменить содержание такого списка. Можно сказать, что указанные выше девять правил определяют, как может быть проверена целостность, как и кем могут изменяться CDI, и как UDI могут быть превращены в CDI. Следует заметить, что некоторые исследователи ставят под сомнение необходимость включения в модель регистрационных,административных, и аутентификационных правил на том основании, что они не дают никакой выгоды с логической точки зрения. Например, если в модель включена интерактивная регистрация (например, запись всех действий в защищенное расписание) для обеспечения корректного использования ПП, то это может привести к невыполнению одного из других правил. Это остается областью активных исследований и дебатов. Основным преимуществом модели КВМ является то, что она основана на проверенных временем бизнес-методах обращения с бумажными ресурсами. Поэтому модель КВМ не следует рассматривать как академическое исследование, а скорее как комплекс существующих методов. Модель КВМ также предоставляет исследователям методы работы с целостностью, отличные от традиционных уровне-ориентированных подходов, таких как модели БЛМ и Биба. Фактически, публикация оригинальной модели КВМ пробудила интерес к исследованиям в области защиты и моделирования целостности. Основным недостатком модели КВМ является то, что IVP и методы предотвращения CDI от искажения целостности нелегко реализовать в реальных компьютерных системах. Конечно, эти принципы легко реализовать в ограниченном наборе приложений. Например, в случае стекового приложения IVP можно реализовать путем анализа длины стека на основании всех операций push и pop для определения правильной длины стека. Кроме того, ограничения на ПП можно реализовать за счет использования абстрактного типа данных для которых единственно возможными операциями являются push и pop. Однако, в менее тривиальных приложениях, таких как разработка ПО, использование IVP и ПП затруднительно. Мы уже упоминали ограничения на просмотр кода как проблему при создании IVP для ПО. Подобные ограничения существуют для других потенциальных методов проверки ПО, таких как контрольная сумма, синтаксическая проверка, анализатор качества ПО, и т.д. Заметьте, однако, что даже если эти методы и не гарантируют целостность полностью, они предоставляют дополнительный уровень обеспечения целостности. Все недостатки данной модели вытекают из ее неформализованности. Ее можно применять при проектировании систем для спецификации пользовательских приложений и применяться на соответствующем уровне иерархии рассмотрения защищенной вычислительной системы. Данная модель может использоваться в сочетании с другими моделями и применяться в качестве "дискретной" модели целостности в сочетании с мандатной моделью целостности Биба, что и рассмотрено в следующем пункте. Объединение модели КВМ с моделью Биба. Дополнительным преимуществом модели КВМ является возможность ее объединения с другими моделями безопасности. Мы рассмотрим один из многих потенциальных подходов объединения моделей в терминах разработки ПО, в котором ПО можно разделить на (1) разработанный исходный код и (2) другие вспомогательные данные, файлы и т.д. Предположим, что компьютерная система, в которой будут защищаться это ПО и данные, предоставляет многоуровневую целостность. Однако, для наших целей достаточно использования только двух уровней целостности. То есть, мы будем считать, что разрабатываемое ПО расположено на высоком уровне целостности, а все что не относится к нему — на низком уровне. Субъекты верхнего уровня называются администраторами. Мы также будем считать, что субъекты могут располагаться на обоих уровнях целостности и что администрирование ПО включает в себя обычный набор действий (например, управление конфигурацией, учет состояния конфигурации, запросы на модификацию, и т.д.). Также необходимо расположить основные инструменты разработки ПО, включая компиляторы, ассемблер, и т.д. на верхнем уровне целостности. Используя эти предположения мы можем теперь рассмотреть специфический подход к защите целостности на основе моделей КВМ и Биба. Защита по модели Биба между уровнями целостности. Первый тип защиты в нашей модели основан на мандатной модели целостности Биба. То есть, мы гарантируем что уровни целостности обрабатываются в соответствии с правилами no read down и по write up. Кроме того, выполнение мы рассматриваем также как чтение, следовательно действует правило no execute down ("нет исполнения снизу"). Эти методы имеют те же преимущества, что и модель Биба. В контексте нашего примера пользователи с низким уровнем не могут изменять ПО никаким образом, будь то злонамеренным или случайным. Таким образом система оказывается защищенной от вирусов и троянских коней, расположенных на низком уровне целостности. Однако, один из видов атак подразумевает пoдcтpoeнное выполнение администратором скрытой программы, что может иметь разрушительные последствия. Этот тип атак также предотвращается моделью Биба поскольку правило no execute down не позволяет системным администраторам с высоким уровнем целостности выполнять программы нижнего уровня. Защита по модели Clark-Wilson в пределах уровней целостности. Модель Биба эффективно защищает ПО от атак субъектов, находящихся на другом уровне целостности. Однако, не предоставляется никакой защиты ПО от атак в пределах уровня целостности. То есть, если злоумышленник находится на высоком уровне целостности (возможно в результате ошибки при определении уровня целостности для данного субъекта), то этот субъект может стать причиной различных проблем с целостностью ПО. В результате мы можем выработать некоторые механизмы, которые связаны с моделью КВМ. Точнее, мы можем рассматривать каждый уровень целостности как состоящий из множества субъектов и множества объектов, которые мы будем интерпретировать как набор CDI. Наша цель — установить контроль по модели КВМ над множеством CDI на верхнем уровне целостности, чтобы обеспечить защиту этих СDI от субъектов. Данные типы управления обеспечивают защиту целостности в соответствии с моделью КВМ: КВМ-тройки. Для субъектов должны быть определены отношения КВМ-троек, ПП (которые осуществляют чтение и запись ПО), и CDI в пределах каждого из уровней целостности, чтобы обеспечить соблюдение подходящей политики. Эта политика будет реализовывать множество защитных требований, соответствующих группам субъектов, ПП, и СDI в пределах каждого уровня. Разделение обязанностей. Подходящая политика разделение обязанностей должна быть определена и проводиться для КВМ-троек в пределах уровней для обеспечения повышенного уровня защиты целостности. Примером разделенияния обязанностей может послужить требование на то, что никакой субъект не может изменить CDI без вовлечения другого субъекта.
|
||||
Последнее изменение этой страницы: 2016-08-14; просмотров: 198; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.220.94.189 (0.007 с.) |