Вопрос 06. Модели безопасности. Расширенная модель распространения прав доступа Take-Grant.

Модель используется для анализа системы защиты реализующей дискретную политику безопасности и её основного элемента матрицы доступов. Основные обозначения. O – множество объектов системы. S – множество субъектов системы. R – множество прав доступа субъектов к объектам. В ней 3 вида прав: – владение. M – матрица доступа. Строки соответствуют субъектам, столбцы – объектам. права доступа субъекта S к объекту O из всего множества прав R. Автомат построенный в соответствии с положениями модели называется системой.

Примитивный оператор . Всего 6 примитивных операторов.

1. Внести rR в матрицу M[S,O] – означает добавление субъекту право многоправного доступа к объекту.2. Удалить право, т.е. удаление у субъекта некоторого права доступа. 3. Создать субъект, т.е. в матрицу добавляется строка соответствующая субъекту. 4. Создать объект, т.е. в матрицу добавляется столбец соответствующий объекту. 5. Удаление субъекта. 6. Удаление объекта.

Состояние системы Q=(S,O,M). При выполнении примитивного оператора  система из Q переходит в Q^’ Q├_Q^’. Q^’=(S^’,O^’,M^’). Из примитивного оператора составляются команды. Каждая команда состоит из двух частей: 1) Условие, при котором выполняется команда; 2) Последовательность примитивных операторов.

Безопасность системы: 1) Считается, что возможна утечка прав в результате выполнения команды содержащей примитивный оператор, вносящий в матрицу доступа некоторое право доступа, которое ранее отсутствовало; 2) Начальное состояние Q₀ называется безопасным по отношению к некоторому праву r, если невозможен переход системы в такое состояние q, в котором может возникнуть утечка прав; 3) Система называется монооперационной, если каждая команда выполняет один примитивный оператор.

В модели применяются две основных теоремы для доказательства безопасности системы: 1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права; 2. Задача проверки безопасности произвольных систем алгоритмически неразрешима. Доказательство на основе машины Тьюринга. Суть – Определяют пути выбора системы защиты: 1) Общая модель может выражать большое количество политик дискреционного разграничения доступа, но при этом не существует алгоритма проверки безопасности; 2) Выбор монооперационной системы. Возможно доказать безопасность системы.

Расширенная модель Take-Grand.

В расширенной модели рассматриваются пути и стоимости возникновения информационных потоков в системах с дискреционным разграничении доступа.

Отличия. В расширенной модели дополнительно рассматриваются два права доступа (read,write). В расширенной модели 6 правил преобразования доступа. И она называется де-факто. Pass, Spy, Post, Find. 4 правила имеют названия, а 2 не имеют.

Правила де-факто служат для поиска возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому. В результате применяют граф доступа правил де-факто, в него добавляются мнимые дуги. А в графическом представлении они обозначаются пунктиром и указывают на направление информационных потоков.

1. нет названия.

2.нет названия.

3.post.

4.spy.

5.find.

6.pass.

К мнимым дугам нельзя применять правило де-юре.

Многократно просматривая граф доступа и применяя к нему все возможные правила де-юре и де-факто можно найти замыкание графа доступа, которое будет содержать дуги соответствующие всем информационным каналам системы. В расширенной модели T-G возможно включение понятие вероятности или стоимости путей передачи прав или информации. Подходы: 1) Стоимость присваивается каждой дуге на пути графа доступа; 2) Присвоение стоимости каждого правила (де-юре, де-факто).