Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Дискреционная модель политики безопасности
При использовании в политике информационной безопасности дискреционного управления доступом (Discretionary Access Control; DAC) система защиты представляется в виде декартова произведения множеств, составными частями которых являются составные части системы защиты (например: субъекты, объекты, уровни доступа, операции и т.д.). В качестве математического аппарата используется аппарат теории множеств. Дискреционное (избирательное) управление доступом подразумевает, что: · все субъекты и объекты системы должны быть идентифицированы; · права доступа субъекта к объекту системы определяются на основании некоторого внешнего (по отношению к системе) правила (свойство избирательности). Для описания свойств дискреционного управления доступом применяется модель системы на основе матрицы доступа (МД), которую иногда называют матрицей контроля доступа. В матрице доступа объекту системы соответствует столбец, а субъекту - строка. На пересечении столбца и строки указывается тип (или типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как доступ на чтение, доступ на запись, доступ на исполнение и др.
Модель матрицы доступа
Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей дискреционного управления доступом. Например, доступ субъекта к конкретному объекту может быть разрешен только в определенные дни (дата-зависимое условие), часы (время-зависимое условие), в зависимости от других характеристик субъекта (контекстно-зависимое условие) или в зависимости от характера предыдущей работы. Такие условия на доступ к объектам обычно используются в СУБД. Кроме того, субъект с определенными полномочиями может передать их другому субъекту (если это не противоречит правилам политики безопасности). Решение на доступ субъекта к объекту принимается в соответствии с типом доступа, указанный в соответствующей ячейке матрицы доступа. Обычно, дискреционное управление доступом реализует принцип «что не разрешено, то запрещено», предполагающий явное разрешение доступа субъекта к объекту.
Матрица доступа - наиболее примитивный подход к моделированию систем, который, однако, является основой для более сложных моделей, наиболее полно описывающих различные стороны реальных АС. Вследствие больших размеров и разреженности МД хранение полной матрицы представляется нецелесообразным, поэтому во многих средствах защиты используют более экономные представления МД: 1. Профиль (profile). Профилем называется список защищаемых объектов системы и прав доступа к ним, ассоциированный с каждым субъектом. При обращении к объекту профиль субъекта проверяется на наличие соответствующих прав доступа. Таким образом, МД представляется своими строками. В системах с большим количеством объектов профили могут иметь большие размеры и, вследствие этого, ими трудно управлять; изменение профилей нескольких субъектов может потребовать большого количества операций и привести к трудностям в работе системы. Поэтому профили обычно используются лишь администраторами безопасности для контроля работы субъектов, и даже такое их применение весьма ограничено. 2. Список контроля доступа (access control list). Это представление МД по столбцам - каждому объекту соответствует список субъектов вместе с их правами. В современных условиях списки контроля доступа - наиболее перспективное направление реализации дискреционной модели доступа, поскольку это очень гибкая структура, предоставляющая пользователям много возможностей. 3. Мандат или билет (capability или ticket). Это элемент МД, определяющий тип доступа определенного субъекта к определенному объекту (т.е. субъект имеет билет на доступ к объекту). Каждый раз билет выдается субъекту динамически - при запросе доступа, и так же динамически билет может быть изъят у субъекта. Поскольку распространение билетов происходит динамично и, они могут размещаться внутри объектов, то контроль за ними затруднен. В чистом виде билетный механизм хранения и передачи привилегий используется редко. Однако реализация других механизмов присвоения привилегий (например, с использованием ACL) часто осуществляется с помощью билетов.
К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. К недостаткам относится «статичность» моделей - не учитывается динамика изменений состояния АС, в этой связи и не накладываются ограничения на состояния системы. Кроме того, при использовании данной политики перед диспетчером доступа (монитором обращений), который при санкционировании доступа субъекта к объекту руководствуется определенным набором правил, стоит алгоритмически неразрешимая задача: проверить приведут ли его действия к нарушению принятых правил безопасности или нет. Избирательное управление доступом является основой требований к классам защищенности СВТ 6 и 5 по РД ГТК; С2 и С1 по «Оранжевой книге». Дискреционная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость и небольшие накладные расходы. Одной из первых моделей DAC была модель АДЕПТ-50. В ней представлено четыре типа сущностей: пользователи (u), задания (j), терминалы (t) и файлы (f), причем каждая сущность описывается тройкой (L, F, М), включающей параметры безопасности: Уровень безопасности L — скаляр — элементы из набора иерархически упорядоченных уровней безопасности. Полномочия F — группа пользователей, имеющих право на доступ к определенному объекту. Режим М — набор видов доступа, разрешенных к определенному объекту или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ПРИСОЕДИНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ. Если U={u} обозначает набор всех пользователей, известных системе, a F (i) — набор всех пользователей, имеющих право использовать объект i, то для модели формулируются следующие правила: 1. Пользователь u получает доступ к системе Û uÎY. 2. Пользователь и получает доступ к терминалу t Û uÎF(t), т.е. в том и только в том случае, когда пользователь и имеет право использовать терминал t. 3. Пользователь и получает доступ к файлу j Û A(j)³A(f), C(j)ÊC(f), M(j)ÊM(f) и uÎF(f), т.е. только в случае, если привилегии выполняемого задания шире привилегий файла или равны им; пользователь является членом F(f). Трехмерный кортеж безопасности, полученный на основе прав задания, а не прав пользователя, используется в модели для управления доступом. Такой подход обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов. Например, наивысшим полномочием доступа к файлу для пользователя «СОВ. СЕКРЕТНО», выполняющего задание с «КОНФИДЕНЦИАЛЬНОГО» терминала будет «КОНФИДЕНЦИАЛЬНО». Одну из реализаций DAC на основе пятимерного пространства безопасности называют по фамилии автора моделью Хартсона. В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании. Модель имеет пять основных наборов: А — установленных полномочий; U — пользователей; Е — операций; R — ресурсов; S — состояний.
Область безопасности будет выглядеть как декартово произведение: A´U´E´R´S. Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции e над ресурсами R, в то время, когда система находится в состоянии s. Например, запрос на доступ представляется четырехмерным кортежем q =(u, e, R, s), u ÎU, е ÎЕ, s ÎS, r ÎR. Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ — подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства. Процесс организации доступа можно описать алгоритмически следующим образом. Для запроса q, где q (u, e, R, s), набора U' вполне определенных групп пользователей, набора R' вполне определенных единиц ресурсов и набора Р правильных (установленных) полномочий, процесс организации доступа будет состоять из следующих процедур: 1. Вызвать все вспомогательные программы, необходимые для «предварительного принятия решений». 2. Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u. 3. Определить из Р набор F(e) полномочий, которые устанавливают e как основную операцию. Этот набор называется привилегией операции е. 4. Определить из Р набор F(R) (привилегию единичного ресурса R) — полномочия, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R. Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4 образуют D(q), так называемый домен полномочий для запроса q: D(q)=F(u)ÇF(e)F(R) 5. Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q). 6. Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса. Новый набор полномочий — один на каждую единицу ресурса, указанную в D(q), есть F(u, q) — фактическая привилегия пользователя и по отношению к запросу q.
7. Вычислить ЕАС — условие фактического доступа, соответствующего запросу q, осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q).Это И (или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса. 8. Оценить ЕАС и принять решение о доступе: разрешить доступ к R, если R перекрывается и отказать в доступе в противном случае. 9. Произвести запись необходимых событий. 10. Вызвать все программы, необходимые для организации доступа после «принятия решения». 11. Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8. 12. Если решение о доступе было положительным — завершить физическую обработку. Автор модели, Хартсон, отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2 и 6 осуществляются во время регистрации пользователя в системе. Модель HRU (Харрисона, Руззо, Уллмана) используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента-матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода. Модель HRU была впервые предложена в 1971 г, а в 1976 г. появилось формальное описание модели которым мы и будем руководствоваться. Обозначим: О - множество объектов системы; S - множество субъектов системы (S O); R - множество прав доступа субъектов к объектам, например права на чтение (read), на запись (write), владения (own); М - матрица доступа, строки которой соответствуют субъектам, а столбцы - объектам; M [s,о] R- права доступа субъекта s к объекту о. Отдельный автомат, построенный согласно положениям модели HRU, будем называть системой. Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью примитивными операторами: 1. "Внести" право r R в М [s,о] - добавление субъекту s права доступа г объекту о. При этом в ячейку M[s,o] матрицы доступов добавляется элемент г. 2. "Удалить" право r R из М [s,о] - удаление у субъекта s права доступа г к объекту о. При этом из ячейки M [s,o] матрицы доступов удаляется элемент г. 3. "Создать" субъект s’ - добавление в систему нового субъекта s'. При этом в матрицу доступов добавляются новый столбец и строка. 4. "Создать" объект о' - добавление в систему нового объекта о'. При этом в матрицу доступов добавляется новый столбец. 5. "Уничтожить" субъект s' - удаление из системы субъекта s'. При этом из матрицы доступов удаляются соответствующие столбец и строка. 6. "Уничтожить" объект о' - удаление из системы объекта о'. При этом из матрицы доступов удаляется соответствующий столбец.
В результате выполнения примитивного оператора α осуществляется переход системы из состояния Q = (S,O,M) в новое состояние Q'= = (S', О', М’).
Из примитивных операторов могут составляться команды. Каждая команда состоит из двух частей:
• условия, при котором выполняется команда; • последовательности примитивных операторов.
Таким образом, запись команды имеет вид: command С (xi,..., хk) if r1 M [xs1, xo1] and... and rm М [xsm, xom] then α1; … αn1; end Согласно требованиям большинства критериев оценки безопасности, системы защиты должны строиться на основе определенных математических моделей, с помощью которых должно быть теоретически обосновано соответствие системы защиты требованиям заданной политики безопасности. Для решения поставленной задачи необходим алгоритм, осуществляющий данную проверку. Однако, как показывают результаты анализа модели HRU, задача построения алгоритма проверки безопасности систем, реализующих дискреционную политику разграничения прав доступа, не может быть решена в общем случае. Это утверждение опирается на факт, доказанный в теории машин Тьюринга: не существует алгоритма проверки для произвольной машины Тьюринга и произвольного начального слова, т.е. однозначно не возможно определить, остановится ли машина Тьюринга в конечном состоянии или нет (под машиной Тьюринга понимается способ переработки слов в конечных алфавитах, слова записываются на бесконечную в обе стороны ленту, разбитую на ячейки). В этой связи очевидны два пути выбора систем защиты: · с одной стороны, общая модель HRU может выражать большое разнообразие политик дискреционного разграничения доступа, но при этом не существует алгоритма проверки их безопасности, · с другой стороны, можно использовать монооперационные системы, для которых алгоритм проверки безопасности существует, но данный класс систем является слишком узким. Например, монооперационные системы не могут выразить политику, дающую субъектам права на созданные ими объекты, так как не существует одной операции, которая и создает объект, и помечает его как принадлежащий создающему субъекту одновременно. Дальнейшие исследования модели HRU велись в основном в направлении определения условий, которым должна удовлетворять система, чтобы для нее задача проверки безопасности была алгоритмически разрешима. Так, в 1976 г. было доказано, что эта задача разрешима для систем, в которых нет операции «создать». В 1978 г. обосновано, что таковыми могут быть системы монотонные и моноусловные, т.е. не содержащие операторов «уничтожить» или «удалить» и имеющие только команды, части условия которых имеют не более одного предложения. В том же году в показано, что задача безопасности для систем с конечным множеством субъектов в принципе разрешима, но вычислительно очень сложна. Для анализа адекватности систем на основе DAC, в 1976 года была предложена модель распространения прав доступа Take-Grant. Цель модели – дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в определенном состоянии безопасности. Формальное описание модели: · О – множество объектов (например, файлов); · S О – множество субъектов (т.е. активных объектов: пользователей, процессов); · R= {r1, r2, …rm} {t,g} – множество прав доступа, где · t (take) – право брать права доступа, g (grant) – право давать права доступа; · G = (S,O,E) – конечный граф, представляющий текущие доступы в системе; · элементы множества E О´О´R – дуги графа, помеченные непустыми подмножествами из множества прав доступа R. Состояние системы описывается графом доступов. Переход системы из состояния в состояние определяется операциями или правилами преобразования графа доступов. В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможно распространение прав доступа (способа санкционированного получения прав и способа похищения прав). Санкционированный способ передачи прав доступа предполагает идеальное сотрудничество объектов. В случае перехвата прав доступа предполагается, что передача прав доступа объекту осуществляется без содействия субъекта, изначально обладавшего правами. В расширенной модели Take-Grant рассматриваются пути и стоимости возникновения информационных потоков в системах с DAC. В классической модели Take-Grant no существу рассматриваются два права доступа: t и g, а также четыре правила (правила де-юре) преобразования графа доступов: take, grant, create, remove. В расширенной модели дополнительно рассматриваются два права доступа: на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразования графа доступов: post, spy, find, pass и два правила без названия. Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия. В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w. Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе. К мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы. Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров. Пример 1. Пусть субъект х не имеет право r на объект z, но имеет это право на субъект у. Пусть, кроме этого, х имеет право r на у. Тогда х может, просматривая информацию в у, пытаться искать в нем информациюиз z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х, что демонстрирует правило де-факто spy. Очевидно также, если бы у был объектом, т. е. пассивным элементом системы, то информационный канал от z к х возникнуть не мог. Пример 2. Пусть субъект у имеет право r на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следовательно, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass. Проблемы взаимодействия - центральный вопрос при перехвате прав доступа. Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализации правиладе-факто необходимы один или два субъекта. Например, в де-фактоправилах post, spy, find обязательно взаимодействие двух субъектов. Желательново множестве всех субъектов выделить подмножество такназываемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматривая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содержать дуги, соответствующие всем информационным каналам системы. Однако, если граф доступов большой, то найти его замыкание весьма сложно. Можно рассмотреть проблему поиска и анализа информационных каналов в ином аспекте. Допустим, факт нежелательной передачи прав или информации уже состоялся. Каков наиболее вероятный путь его осуществления? В классической модели Take-Grant не дается прямого ответа на этот вопрос. Можно говорить, что есть возможность передачи прав или информации, но нельзя определить, какой из путей при этом использовался. Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути. Например, на рис. 1.3.1 видно, что интуитивно наиболее вероятный путь передачи информации от субъекта z к субъекту х лежит через объект у. В тоже время злоумышленник для большей скрытности может специально использовать более длинный путь.
Рис. 1.3.1 Пути возникновения информационного канала от Z к X
Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь.
Есть два основных подхода к определению стоимости путей. 1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов. В этом случае стоимость дуги определяется в зависимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг. 2. Подход, основанный на присваивании стоимости каждому используемому правилу де-юре или де-факто. Стоимость правила при этом можно выбрать, исходя из сферы применения модели Take-Grant. Стоимость может: • быть константой; • зависеть от специфики правила; • зависеть от числа участников при применении правила; • зависеть от степени требуемого взаимодействия объектов. Стоимость пути в этом случае определяется как сумма стоимостей примененных правил. Важно отметить, что модель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности. В модели определены условия, при которых происходит передача или перехват прав доступа. Однако на практике редко возникает необходимость в использовании указанных условий, так как при анализе большинства реальных систем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике. В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись. Поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей возникновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.
|
||||||||||||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2017-02-10; просмотров: 1037; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.226.34.117 (0.067 с.) |