Пространство отношений доступа к объектам ВС.

 

Обозначим через О множество всех объектов ВС. Согласно предложенной в разделе 2.3.1. объектно-концептуальной модели, это множество образуют следующие подмножества:

RS={rs_i | i=1..N} — множество ресурсов ВС;

DS={ds_j | j=1..М} — множество данных ВС;

PS={ps_k | k=1..L} — множество программ ВС.

Введем отношения доступа, связывающие выполняющиеся программы с объектами ВС. Любая программа в своей работе использует некоторые ресурсы, осуществляет запись или чтение каких-либо данных и может запускать другие программы. Обозначим эти отношения

U={u_i(rs_i)|i=1..N} — множество отношений доступа к ресурсам;

R={r_j(ds_j)| j=1..М} — множество отношений доступа по чтению к данным;

W={w_j{ds_j}| j=1..М} — множество отношений доступа по

записи к данным;

 

E={e_k (ps_k) | k=1..L} — множество отношений доступа по исполнению к программам;

Объединение этих множеств — множество A= U⋃R⋃W⋃E представляет собой пространство отношений доступа, или полное множество отношений доступа к объектам ВС, которое потенциально может установить программа в данной ВС.

В процессе своего выполнения программа р устанавливает некоторое конкретное подмножество отношений А_рÌА, состоящее из объединения подмножеств U_р, R_p,W_р и Е_р, где U_pÌU, R_pÌR, W_pÌW, E_pÌЕ. Очевидно, что состав множества А_p зависит от параметров, с которыми была запущена программа, ее интерактивного взаимодействия с пользователем и состояния ВС. Обозначим через Х вектор условий запуска программы (ее аргументы, параметры ВС и т.д.) Тогда α_p(Х)ÌА, — множество отношений доступа программы р к объектам ВС при запуске в условиях X;

 

Объединение всех множеств α_p (X) по всем возможным Х образует множество

 

α_p^*(Х)=⋃α_p(Х),ÌА,

"X

— рабочее пространство программы р. По-видимому, данное множество является неперечислимым — не представляется возможным создать алгоритм, порождающий все элементы этого множества. Это означает, что его невозможно построить с помощью какой-либо процедуры, моделирующей поведение программы, — его можно получить только экспериментальным путем.

Как отмечалось в предыдущем разделе, отношения, устанавливаемые программой с объектами ВС, могут быть санкционированными и несанкционированными, легитимными и нелегитимными. Легитимность и санкционированность отношений зависит от назначения программы и условий конкретного запуска.

Рассмотрим смысл этих понятий для всех типов отношений. Несанкционированный доступ означает, что программа пытается совершить действия, на которые она не имеет полномочий. Эти действия не допускаются политикой безопасности ВС и должны пресекаться системой разграничения доступа ВС. Нелегитимный доступ влечет за собой ущерб безопасности и/или целостности ВС. Как уже говорилось нелегитимный доступ является обобщением несанкционированного. Это означает, что множество легитимных отношений для программы р — β_p является подмножеством санкционированных отношений γ_p, а множество нелегитимных— β_p включает в себя множество несанкционированных — γ_p.

 

 

 

 

Обозначения:

Полное множество отношений доступа к объектам ВС- α

Несанкционированный доступ- γ

Нелегитимный доступ- β

Рис.2.4. Нелегитимный и несанкционированный доступ.

Для реализации методов анализа безопасности актуальным является вопрос о разрешимости этих множеств. Множество М называется разрешимым, если существует алгоритм А_М, который по любому объекту а дает ответ, принадлежит а множеству М или нет. Алгоритм А_М называется разрешающим алгоритмом[6]. Заметим, что множество γ_р является разрешимым — в качестве разрешающего алгоритма выступает политика безопасности ВС и ее реализация в виде системы разграничения доступа. Вопрос о формальной разрешимости множества β_р остается открытым, поскольку не существует механизма формальной оценки безопасности и целостности ВС.

Взаимоотношения между несанкционированным доступом и доступом нелегитимным, но санкционированным показаны на рисунке 2.4. и в таблице 2.2.

	Нелегитимный доступ
Тип отношения	Несанкционированный доступ	Нелегитимный но санкционированный доступ
Использование ресурсов	Попытка использования ресурсов недоступных для программы	Санкционированное расходование ресурсов, приводящее к нарушениям целостности и безопасности ВС
Чтение данных	Попытка обращения к данным на доступ к которым полномочия у программы отсутствуют	Санкционированное обращение к данным в результате которого нарушается безопасность ВС
Запись данных	Попытка модификации данных, на изменение которых полномочия у программы отсутствуют	Санкционированная модификация данных в результате которой нарушается безопасность и/или целостность ВС
Выполнение программ	Попытка выполнить программу на выполнение которой полномочия у программы отсутствуют	Санкционированное выполнение программы (порождение процесса) в результате которого нарушается безопасность и/или целостность ВС

Таблица 2.2. Взаимоотношения между несанкционированным и нелегитимным доступом.