Вопрос 09. Модели безопасности. Модель Low-Water-Mark. Достоинства и недостатки модели Белла – ЛаПадула.

Модель безопасности Low-Water-Mark. Представляет собой близкую к модели Белла-Лападула подход к определению свойств системы безопасности реализующую мандатную политику. Модель предлагает порядок безопасного функционирования системы в случае когда по запросу субъекта ему всегда необходимо предоставлять доступ на запись в объект. . . . – операция. . – множество функций которые определяют – уровни доступа субъекта, – уровни секретности объекта.

В результате выполнения операции уровень секретности объекта понижаются до уровня доступа объекта. При выполнении reset уровень секретности объекта максимально высокий.

Вопрос 10. Политика mls.

В основе этой политики лежит SC-решётка. Информационный поток, т.е. выделяется источник и получатель информации. В дальнейшем потоки делятся на разрешённые (С(Y)>C(X)) и неразрешённые. Политика MLS реализуется через мандатный контроль, который реализуется на самом низком программно-аппаратном уровне, а устройство контроля называется монитором обращения. Политика предназначена для обеспечения конфиденциальности и целостности информации

Вопрос 11. Модели безопасности информационных потоков. Модель Goguen-Meseger (gм).

Модель безопасности информационных потоков.

Модель рассматривает общую систему защиты для которой предполагается: 1) В системе используется 2 уровня секретности; а) Высокий; б) Низкий; 2) Все объекты системы делятся на две непересекающиеся группы: а) Высокоуровневые объекты; б) Низкоуровневые объекты; 3) Взаимодействие между объектами высокоуровневыми и низкоуровневыми через систему защиты информации.

Для описания и анализа информационных потоков используется понятие независимости и условное распределение.

Подходы: 1) Информационное невмешательство; 2) Информационная не выводимость.

Первый заключается в том, что низкоуровневая информация должна быть независима от высокоуровневой информации. Второй – в системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если некоторые возможные значения переменной в некотором возможном состоянии низкоуровневого объекта невозможно одновременно с возможными значениями переменных состояний высокоуровневых объектов. Система безопасна в смысле информационной не выводимости если в ней отсутствуют информационные потоки вида описанных в определении 1.

Модель Goguen – Meseger (GM). В модели GM - информация не вмешательства рассматривается как частный случай информации не вмешательства модели информационных потоков. GM: 1) с фиксированной защитой (“V” - множество состояний системы, “C” – множество команд системы, которые вызывают изменение состояния, “S” – множество всех пользователей безопасной системы. do: V*S*C – “V” вся информация о том, что разрешено пользователям, сводится к “C” таблице, (t) do (V,S,C) — V) out: V*S -> out). 2) Системы с изменяющимися возможностями (такая система описывается множествами: V, S, VC (множество команд состояний), out, CC (C - команды), Cap.t (множество С таблиц)). Функции: 1) функция вывода V*Cap.t *S -> out; 2) функция переходов do: V*S*VC*Cap.t -> V; 3) функция изменения С – таблиц cdo: Cap.t*S*CC -> Cap.t. Политика безопасности модели GM – это набор утверждений по не влиянию (пол-ка MLS, деление пользователей на группы).