В чем достоинства дискреционной политики безопасности
Модели безопасности на основе дискреционной политики
Рубрика: 1. Информатика и кибернетика
Дата публикации: 05.11.2017
Статья просмотрена: 1781 раз
Библиографическое описание:
Жилин, В. В. Модели безопасности на основе дискреционной политики / В. В. Жилин, И. И. Дроздова. — Текст : непосредственный // Технические науки в России и за рубежом : материалы VII Междунар. науч. конф. (г. Москва, ноябрь 2017 г.). — Москва : Буки-Веди, 2017. — С. 21-23. — URL: https://moluch.ru/conf/tech/archive/286/13234/ (дата обращения: 29.11.2021).
Для начала стоит отметить, для чего необходима так называемая модель безопасности. Её целью является формулировка требований к безопасности, которой должна обладать рассматриваемая система. Модель безопасности анализирует свойства системы и определяет те потоки информации, которые в ней разрешены.
При рассмотрении модели безопасности используются такие понятия как доступ к информации, правила разграничения доступа, объект и субъект доступа. Дадим точные определения каждого из них.
Доступ к информации подразумевает ознакомление с информацией и проведение над информацией таких операций как обработка, копирование, модификация и уничтожение информации.
Правила разграничения доступа — набор правил, регламентирующих права доступа субъектов к объектам доступа.
Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Сами модели безопасности различают по используемой в ней политики безопасности. Политика безопасности может зависеть от конкретной технологии обработки информации, используемых технических и программных средств и от расположения организации, в которой описана данная политика безопасности.
Рассмотрим основные модели безопасности, среди которых можно выделить, пятимерное пространство Хартсона, модели на основе матрицы доступа, модель Харисона-Руззо-Ульмана, а также модель take-grant и её модификация.
Своё название пятимерное пространство Хартсона получила из количества основных наборов:
Таким образом, область безопасности в данной модели будет представлять собой декартово произведение данных наборов. В данном случае, в качестве доступа будут считаться запросы, введённые пользователями для выполнения каких-либо операций над ресурсами системы.
Пользователи запрашивают доступ к ресурсам. Если у них это удаётся, система переходит в новое для неё состояние. Запрос в данном случае выглядит как четырёхмерный кортеж вида q = (u, e, R’, s), где u ∈ U, e ∈ E, s∈ S, R’ ⊆ R (R’- требуемый набор ресурсов).
После формирования кортежа происходит выполнение следующего алгоритма:
Однако по мнению самого автора модели Хартстона данный алгоритм не всегда требуется осуществлять в полном объеме. Другими словами, некоторые их этих шагов можно опустить при решении задачи доступа к ресурсам.
Следует отметить, что в связи с трудоёмким алгоритмом модель безопасности Хартсона не получила широкого практического применения в отличие от модели на основе матрицы доступа. Она представляет собой прямоугольную таблицу строки которой соответствуют субъектам доступа, а столбцы — объектам доступа соответственно.
В ячейках такой таблицы 1 описаны все операции над объектам, которые разрешены субъекту.
Матрица доступа
O1
O2
Дискреционная политика безопасности для компьютерных систем: сущность, достоинства и недостатки, примеры реализации
Существуют два типа политики безопасности: дискретная (дискреционная) и мандатная (полномочная). Основой дискретной политики безопасности является дискреционное управление доступом, которое определяется двумя свойствами:
· все субъекты и объекты должны быть идентифицированы;
· права доступа субъекта к объекту определяются на основе некоторого задаваемого набора правил.
Мандатная политика безопасности для компьютерных систем: сущность, достоинства и недостатки.
Мандатная модель политики безопасности основывается на том, что:
· все субъекты и объекты должны быть идентифицированы;
· задан линейно упорядоченный набор меток секретности;
В отличие от дискретной политики, которая требует определения прав доступа для каждой пары субъект-объект, мандатная политика, назначением метки секретности объекту, однозначно определяет круг субъектов, имеющих права доступа к нему. И. наоборот, назначением метки секретности субъекту, однозначно определяется круг объектов, к которым он имеет права доступа.
Дискреционная политика безопасности.
Существуют следующие типы политик безопасности: дискреционная, мандатная и
Основой дискреционной(дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:
1) все субъекты и объекты должны быть идентифицированы;
2) права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.
Т.е. администратором задается набор троек следующего вида (Sj,Oj,Tk), где Si € S – субъекты компьютерной системы. Oj € O – объекты компьютерной системы. Tk 
T – множество прав доступа, которое разрешено выполнять Si над объектом Oj.
Для формального описания данной политики часто используется дискреционная матрица доступа, строки которой соответствуют S, столбцы соответствуют O, а на пересечений i-строки и j-ого столбца перечисляются все права доступа.
При реализации дискреционной политики безопасности необходимо исходить из принципа минимизации привилегий, т.е. администратор ни в коем случае не должен наделять избыточными правами на доступ к объекту. Ему должны быть предоставлены только те права, которые необходимы ему для выполнения им своих служебных полномочий.
При хранении матриц доступов в компьютерной системе это можно делать централизованно и распределено.
При распределенном хранении, эта матрица храниться не в виде единого объекта, а распределяется по объектам файловой системы, с каждым из которых вместе храниться соответствующий им столбец матрицы. Эти списки называться столбцы доступа (ACL-списки).
Также данная матрица может разбиваться и храниться построчно, в этом случае с каждым субъектом связывается строка с матрицей доступа, называемая списком привилегий, в котором указывается какие виды доступа имеет S. (Win 2000,XP).
По принципу создания и управления матрицы доступа выделяют два подхода:
1. Принудительное управление доступом.
2. Добровольное управление доступом.
В 1-ом случае правами создания изменения матрицы доступов имеет непосредственно только администратор КС. Во втором случае (используется когда количеств объектов очень велико), в этом случае изменять матрицу доступа S к искомому O может владелец этого объекта. Под владельцем данного объекта понимают S который инициализировал операцию создания данного объекта.
К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты.
К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменений состояния, не накладывает ограничений на состояния системы.
Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить − приведут ли его действия к нарушению безопасности или нет.
Мандатная политика безопасности.
Основу мандатной(полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:
− все субъекты и объекты системы должны быть однозначно идентифицированы;
− задан линейно упорядоченный набор меток секретности;
− каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности ;
− каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в системе – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.
Данные модели строятся на основе следующих положений:
1. Имеется множество атрибутов безопасности. A=
Эти атрибуты упорядочены между собой, на данном множестве введено отношение доминирования, с помощью которого атрибуты можно сравнивать между собой. Самый низкий – открыто, наивысший – гос.тайна.
2. С каждым объектом компьютерной системы Oj связывается атрибут безопасности Ai € A который называется грифом секретности объекта и соответствует его ценности, чем более ценен объект тем более высокий гриф ему назначается.
(в рамках вышеприведенных атрибутов безопасности, ценность определяется ущербом, который будет нанесен владельцу информационного ресурса при нарушении его конфиденциальности.
3. Каждому субъект КС ставиться в соответствие атрибут безопасности Ai, который называется уровнем допуска субъекта. Максимальный уровень допуска равен максимальному из грифов секретности объектов, к которым субъект будет иметь доступ.
4. Если объект Oj имеет гриф секретности Aj а субъект Ai, то субъект Si получит доступ к Oj тогда и только тогда, когда Ai ≥ Aj
Представленная выше исходная мандатная модель имеет канал утечки информации заключающийся в том что S с наивысшим уровнем допуска могут случайно либо преднамеренно читать информацию из объектов с высоким грифом секретности и записывать в менее секретные объекты. Для устранения этого недостатка исходной мандатной политики безопасности было введено расширение этой модели: Бэлла-Лападулы. В этой модели вводиться два правила разграничения субъектов к объектам:
1. Нельзя читать сверху – Not read up (NRU).
2. Нельзя записывать вниз – Not write down (NWD).
Существуют и другие политики – Модель Биба:
В данной политике вместо грифов секретности вводят уровни целостности объекта:
— Совершенно нецелостные (объекты, целостность которых ничем не контролируется и ничем не подтверждена).
— Немного целостные (целостность информации подтверждена путем расчета и проверки контрольных сумм).
— Довольно целостные (целостность информации подтверждена путем расчета стойких контрольных сумм).
— Совершенно целостные (целостность объекта подтверждена с помощью имитовставок и контрольных сумм).
Информация находиться с уровнем целостности: совершенно целостный может рассматриваться как «чистая» информация, которой мы можем доверять, когда в такие объекты попадает информация с уровнем целостности совершенно нецелостная – грязная «информация», это есть нарушение свойств целостности, поэтому попадание информации из объектов менее целостных в объекты более целостные необходимо запретить, т.е. необходимо запретить чтение снизу и записи наверх. Это мандатная модель (В ней работает NRD и NRW).
Возможно отклонение от правил этой модели. Известна модель Бибо с понижением уровня субъекта и модель Бибо с понижением уровня объекта.
В первом варианте чтение снизу может быть разрешено, но при выполнении такого чтения субъектом, субъект автоматически получает уровень целостности того объекта из которого он прочитал информацию.
В модели понижения уровня объекта разрешается запись наверх, однако, после выполнения такой записи целостность объекта понижается до уровня целостности S, который производил эту запись.
Ролевое управление доступом.
В 2001 г. Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом.
Ролевое разграничение доступа (РРД) представляет собой развитие политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. РРД является составляющей многих современных систем и применяется в системах защиты СУБД, сетевых ОС.
Роль является совокупностью прав доступа на объекты системы. Вместе с тем РРД не является частным случаем дискреционного разграничения доступа, так как правила РРД определяют порядок предоставления прав доступа субъектам системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. В то же время правила РРД являются более гибкими, чем правила мандатного разграничения доступа, построенные на основе жестко определенной решетки (шкалы) ценности информации. Суть ролевого разграничения доступа состоит в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.
Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.
Ролевое управление доступом оперирует следующими основными понятиями:
− пользователь (человек, интеллектуальный автономный агент и т.п.);
− сеанс работы пользователя;
− роль (определяется в соответствии с организационной структурой);
− объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);
− операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.;
для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут
быть более сложными);
− право доступа (разрешение выполнять определенные операции над определенными объектами).
Ролям приписываются пользователи и права доступа; можно считать, что они (роли) именуют отношения «многие ко многим» между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько
Дата добавления: 2018-05-12 ; просмотров: 3281 ; Мы поможем в написании вашей работы!
Модели контроля конфиденциальности
В основе дискреционный ПБ лежит дискреционное управление доступом (англ. Discretionary Access Control (DAC)), определяющими для которого являются два свойства:
Явным достоинством дискреционной ПБ является относительно простая реализация механизмов защиты, которые ей соответствуют. Это и послужило причиной того, что большая часть современных автоматизированных систем организуют свою защиту на основе положений именно этой ПБ. Примером реализации дискреционной ПБ в автоматизированных системах является матрица доступа. Строки и столбцы такой матрицы соответствуют субъектам и объектам системы, а все права доступа характеризуются ее элементами.
Одним из основных недостатков этой модели является ее статичность. Другими словами, в этой ПБ не учитывается динамика изменения состояния автоматизированной системы, не накладываются ограничения на состояние АС. Помимо этого, использование дискреционной ПБ подразумевает решение вопроса о надлежащем распространении прав доступа, а также анализ оказываемого ими влияния на безопасность автоматизированной системы. Обычно применение дискреционной ПБ ставит монитору безопасности объектов (МБО), пользующемуся для санкционирования доступа субъекту определенным набором правил, алгоритмически неразрешимую задачу: проведение проверки на предмет нарушения безопасности его действиями.
Одновременно с этим существуют модели автоматизированных систем, в которых при реализации дискреционной ПБ (пример такой модели: Таке-Grant) предоставляются алгоритмы проверки безопасности.
Поскольку матрица доступов не в состоянии реализовать ясную и четкую систему ЗИ в автоматизированных системах, ведется поиск более совершенных ПБ.
3.2.1. Модель матрицы доступов Харрисона-Руззо-Ульмана (HRU)
Впервые модель была предложена в 1971 г., формальное же ее описание появилось только в 1976-м. Целью ее применения стал анализ систем защиты, реализующих дискреционную ПБ, и их основного компонента, которым является матрица доступов. Сама система защиты при этом представлена как конечный автомат, функционирование которого определяется строгим следованием некоторым правилам перехода.
Примитивный оператор модели HRU
Новое состояние системы
«Внести» право г є R в
«Удалить» право Г єКиз m[s,o]
«Уничтожить» субъект 5′
«Уничтожить» объект о’
Простые операторы могут стать основой для построения команд. Все команды состоят из двух частей:
Впервые эта модель была предложена в 1976 г. В качестве ее первоочередной задачи выступает анализ путей распространения прав доступа в системах с дискретным разграничением доступа. Основными элементами такой модели являются граф доступов и правила, по которым осуществляется его преобразование. Целью модели Таке-Grant является ответ на вопрос о том, возможно ли получение права доступа субъектом системы в том состоянии, которое описывает граф доступов. В наши дни эта модель развилась в расширенную модель Таке-Grant. С ее помощью рассматривают пути возникновения потоков информации в тех системах, в которых используется дискреционное разграничение доступа.
субъекты (ими являются элементы множества 5); в качестве дуг графа, которые помечены непустыми подмножествами из множества прав доступа R, выступают элементы множества ЕсО *O*R.
Граф доступов используется при описании состояния системы. В определении порядка перехода системы из одного состояния в другое решающим фактором являются операции или же правила преобразования графа доступов. Результатом выполнения некоторого правила является процесс преобразования графа G в граф G’, который обозначается как G |-Oj7G’.
Можно выделить четыре правила преобразования графа, которые характерны для классической модели Таке-Grant.
Рис. 3.2. Субъект х дает объекту у права a cz[3 на объект z
Рис. 3.3. Субъект х берет у объекта управа а ср на объект z
Рис. 3.4. Субъект х создает новый ft-доступный объект у
Рис. 3.5. Субъект худаляет права доступа а на объекту
Все приведенные выше правила можно свести в табл. 3.2.