ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4247
Скачиваний: 25
ший правила модели Белла—Лападула. Можно привести приме
ры и других скрытых каналов, образуемых как по памяти, так и
по времени.
Для преодоления ограничений в модели Белла—Лападулы были
разработаны специализированные модели. Рассмотрим, например,
модель системы военных сообщений (СВС). Она построена на
основе модели Белла—Лападулы и ориентирована прежде всего
на системы приема, передачи и обработки почтовых сообщений,
реализующих мандатную политику безопасности. В данной моде
ли делается различие между одноуровневым объектом и много
уровневым контейнером, содержащим в себе объекты. Контейнер
и объекты называют сущностями, которые имеют идентификато
ры. У контейнера есть атрибут, определяющий порядок обраще
ния к его содержимому. На объект можно ссылаться либо непо
средственно, либо косвенно — через контейнеры, в которых он
содержится.
В модели СВС рассматриваются операции над входящими и
исходящими сообщениями, а также операции хранения и получе
ния сообщений. Сообщение, как правило, является контейнером,
состоящим из сущностей, описывающих его параметры: кому, от
кого и т. п.
В модели СВС описываются четыре постулата безопасности,
обязательных для выполнения:
1. Администратор корректно разрешает доступ пользователей
к сущностям и назначает уровни конфиденциальности устройств
и множества прав.
2. Пользователь верно назначает уровни конфиденциальности
модифицируемых им сущностей.
3. Пользователь корректно направляет сообщения по адресам
и определяет множества доступа к созданным им сущностям.
4. Пользователь правильно определяет атрибут контейнера.
В модели СВС описываются такие свойства, как авторизация,
иерархия уровней конфиденциальности, безопасный перенос ин
формации, безопасный просмотр, доступ к сущностям, безопас
ное понижение уровня конфиденциальности, отправление сооб
щений и др.
Недостатком модели СВС является то, что в ней отсутствует
описание механизмов администрирования. Предполагается, что
создание сущностей, присвоение им уровней конфиденциально
сти, задание множества доступов происходят корректно.
Так же, как и во всех моделях мандатного доступа, в СВС есть
угроза утечки информации по скрытым каналам.
Попытки распространить мандатную модель на низкоуровне
вые механизмы, реализующие управляемые взаимодействия, при
водят к нарушению политики безопасности. Например, ее нельзя
применить для сетевых взаимодействий: нельзя построить рас
пределенную систему, в которой информация передавалась бы
только в одном направлении, всегда будет существовать обратный
поток информации, содержащий ответы на запросы, подтвержде
ния получения и т. п.
В
модели ролевого разграничения доступа
(РРД) права до
ступа субъектов к объектам группируются с учетом специфики их
применения, образуя роли. Модель РРД является развитием по
литики дискреционного разграничения доступа, но ее фундамен
тальное отличие состоит в том, что пользователи не могут переда
вать права на доступ к информации, как это было в моделях дис
креционного доступа. Некоторые авторы полагают, что модель
РРД нельзя отнести ни к дискреционным, ни к мандатным, так
как управление доступом в ней осуществляется как на основе мат
рицы прав доступа для ролей, так и с помощью правил, регламен
тирующих назначение ролей пользователям и их активацию во
время сеансов.
РРД активно применяется в существующих АС. В данной мо
дели субъект замещается понятиями «пользователь» и «роль»,
пользователь — человек, работающий с системой, выполняющий
определенные служебные обязанности. Роль — активно действу
ющая в системе абстрактная сущность, с которой связана сово
купность прав доступа. Количество ролей в системе может не со
ответствовать количеству пользователей. Один пользователь мо
жет выполнять несколько ролей, а несколько пользователей мо
гут выполнять одну и ту же роль.
Основными элементами модели РРД являются множества
пользователей, ролей, прав доступа на объекты АС, сессий пользо
вателей, а также функции, определяющие для каждой роли мно
жества прав доступа, для каждого пользователя — множество ро
лей, на которые он может быть авторизован, для каждой сессии —
пользователя, от имени которого она активизирована, для каждо
го пользователя — множество ролей, на которые он авторизован в
данной сессии.
Система считается безопасной, если любой ее пользователь, ра
ботающий в некотором сеансе, может осуществлять действия, тре
бующие определенные полномочия, лишь в том случае, если эти
полномочия доступны для его роли (назначается только одна из
всей совокупности доступных ролей для сеанса) в данном сеансе.
Для обеспечения соответствия реальным компьютерным си
стемам на множестве ролей строится иерархическая структура.
Это позволяет пользователю, авторизованному на некоторую роль,
быть автоматически авторизованным на все роли, меньшие ее в
иерархии.
Ролевая политика обеспечивает удобное администрирование
безопасности АС, так как пользователям даются не индивидуаль
ные права, а предоставляются права, связанные с конкретной ро
лью. Понятие роли используется в ГОСТ Р ИСО МЭК 15408 —
2002, а также в стандарте SQL3.
Несмотря на то что в рамках модели РРД формально доказать
безопасность системы невозможно, она позволяет получить про
стые и понятные правила контроля доступа, которые легко могут
быть применимы на практике. Кроме того, возможно объедине
ние модели РРД мандатной и дискреционными моделями. На
пример, полномочия ролей могут контролироваться правилами
этих политик, что позволяет строить иерархические схемы конт
роля доступа.
В автоматной модели безопасности информационных потоков
система защиты представляется детерминированным автоматом,
на вход которого поступает последовательность команд пользова
телей. Элементами данной системы являются множества состоя
ний системы, пользователей, матриц доступов, команд пользова
телей, изменяющих матрицу доступа, команд пользователей, из
меняющих состояние, выходных значений, а также функция пе
рехода системы.
Существуют два типа команд пользователей: изменяющие со
стояние системы либо модифицирующие матрицу доступа. Для
каждого пользователя в матрице доступа определены команды,
которые он может выполнять (дискреционное разграничение до
ступа).
Для каждого пользователя задается функция выходов, опреде
ляющая, что каждый из них видит при данном состоянии системы.
Политика безопасности в автоматной модели безопасности —
это набор требований информационного невмешательства. Не
вмешательство — ограничение, при котором ввод высокоуровне
вого пользователя не может смешиваться с выводом низкоуров
невого пользователя. Модель невмешательства рассматривает си
стему, состоящую из четырех объектов: высокий ввод (high-in),
низкий ввод (low-in), высокий вывод (high-out), низкий вывод
(low-out).
Главное достоинство данной модели по сравнению с моделью
Белла—Лападула — отсутствие в ней скрытых каналов. Недоста
ток заключается в высокой сложности верификации модели.
Модель невыводимости также основана на рассмотрении ин
формационных потоков в системе. Система считается невыводи
мо безопасной, если пользователи с низким уровнем безопасно
сти не могут получить информацию с высоким уровнем безопас
ности в результате любых действий пользователей с высоким уров
нем безопасности.
Требования информационной невыводимости более строгие, чем
требования безопасности модели Белла—Лападула, и предполага
ют изоляцию друг от друга высокоуровневых и низкоуровневых
объектов системы, что практически нереализуемо на практике.
11.2.3. Модели обеспечения целостности
Цель политики безопасности в данных моделях — защита от
нарушения целостности информации. Наиболее известны в этом
классе моделей мандатная модель целостности Биба и модель Клар
ка—Вильсона. В основе модели Биба лежат уровни целостности,
аналогичные уровням модели Белла—Лападула. В отличие от модели
Белла—Лападула чтение разрешено теперь только вверх (от субъекта
к объекту, уровень ценности которого превосходит уровня субъек
та), а запись — только вниз. Правила данной модели являются пол
ной противоположностью правилам модели Белла—Лападула.
В модели Биба рассматриваются следующие доступы субъек
тов к объектам и другим субъектам: доступ субъекта на модифи
кацию объекта, доступ субъекта на чтение объекта, доступ субъекта
на выполнение и доступ субъекта к субъекту.
В отличие от модели Белла—Лападула требования безопасно
сти в модели Биба динамические, так как для их описания исполь
зуются элементы текущего и последующего состояний системы.
Подобно модели Белла—Лападула, модель Биба простая и яс
ная для понимания, однако она унаследовала все ее недостатки.
Кроме того, одновременное применение моделей Биба и Белла—
Лападула затруднено в силу их противоречивости. Например, для
чтения субъектом информации из объекта в первой вышеуказан
ной модели его уровень должен быть ниже, а во второй модели —
выше, чем у объекта.
Основу модели Кларка — Вильсона составляют транзакции, ко
торые включают операции, переводящие систему из одного со
стояния в другое. Вся совокупность данных (объекты доступа)
делится на два класса: целостность одних контролируется, цело
стность других не контролируется. Субъекты в рамках данной мо
дели должны порождать лишь правильно сформулированные тран
закции, где субъект инициирует последовательность действий,
которая выполняется управляемым и предсказуемым образом.
В модели определено также понятие процедуры подтвержде
ния целостности, которая применяется по отношению к данным,
подлежащим контролю. По отношению к этим данным должны
применяться лишь правильно сформулированные транзакции,
которые не могут нарушить целостность данных. Все операции
разрешаются только авторизованным пользователям и регистри
руются. Кроме того, существуют процедуры постановки на конт
роль целостности ранее неконтролируемых данных.
Преимуществом модели является то, что она основана на про
веренных временем методах обращения с бумажными ресурсами.
К недостаткам можно отнести сложность практической реализа
ции в реальных системах, ее неформализованное^ и некоторую
противоречивость в правилах.
Известны подходы к объединению модели Кларка —Вильсона
с моделью Биба. Модель Биба реализует защиту от атак субъек
тов, находящихся на низшем уровне целостности, но неспособна
отразить атаки своего уровня целостности. Поэтому ее целесооб
разно объединять с моделью Кларка —Вильсона, которая может
задавать определенные отношения в пределах каждого уровня
целостности.
В качестве вывода необходимо констатировать высокую трудо
емкость применения теоретических моделей, неадекватное опи
сание большинством из них процессов, происходящих в АС. На
пример, большинство моделей не учитывают возможные действия
субъектов по изменению свойств АС. Описанию порядка без
опасного взаимодействия субъектов системы, описанию и обо
снованию необходимых условий реализации безопасности посвя
щена субъектно-ориентированная модель.
11.2.4. Субъектно-ориентированная модель
В данной модели считается, что субъекты порождаются други
ми субъектами (активными сущностями) из объектов (пассивная
сущность). Вводится понятие ассоциированности объекта и субъек
та. О ней говорят в случае, если состояние объекта влияет на со
стояние субъекта в следующий момент времени (считается, что в
системе дискретное время). Субъект осуществляет отображение
ассоциированных объектов в момент времени
t
на множество ас
социированных объектов в момент времени
t +
1. При этом мож
но выделить подмножество объектов (передатчиков), изменение
которых влечет за собой изменение субъектом других объектов
(приемников). В результате мы получаем информационный по
ток между двумя объектами. Этот поток обладает свойством тран
зитивности. Доступом субъекта к объекту называется порождение
потока информации между некоторым объектом и объектом до
ступа. Среди потоков есть легальные и несанкционированные.
Политика безопасности описывает разбиение потоков на эти два
множества. Правила разграничения доступа есть формально опи
санные легальные потоки.
Для разбиения всех потоков на множества законных и несанк
ционированных выделяется особый субъект, который активизи
руется при любом потоке и умеет выполнять классификацию по
токов — монитор обращений. Отсюда получается понятие мони
тора безопасности объектов (МБО) — это монитор обращений,
разрешающий только легальные потоки (операции над объектом).
Однако при изменении ассоциированных с МБО объектов может
измениться и сам МБО, поэтому вводят понятие корректности
субъектов, или их невлияния друг на друга. Два субъекта называ
ют взаимно корректными, если в любой момент времени отсут