- •1. Свойства безопасности информации.
- •Угрозы безопасности вычислительных систем.
- •Модель защиты с полным перекрытием.
- •2. Нарушители информационной безопасности (иб) вс. Методы нарушений иб.
- •3. Политика безопасности (пб): основные понятия. Способы описания пб, их преимущества и недостатки.
- •4. Типы контроля доступа
- •Отличия.
- •Примеры.
- •5. Модели безопасности: основные понятия. Монитор безопасности пересылок.
- •6. Доверенное программное обеспечение (тсв), его свойства. Принципы разработки тсв.
- •7. Дискреционный контроль доступа.
- •Модель Харрисона-Руззо-Ульмана.
- •Формулировка теоремы о разрешимости проблемы безопасности в некоторых частных случаях.
- •Формулировка теоремы о разрешимости проблемы безопасности в общем случае.
- •8. Доказательство теоремы о разрешимости проблемы безопасности для модели Харрисона-Руззо-Ульмана в общем случае.
- •10. Модель Take-Grant. Кража права. Троянская программа в терминах Take-Grant. Сговор в терминах модели Take-Grant
- •11. Схематическая модель защиты (spm). Основные определения. Цели. Примеры описания различных моделей безопасности в терминах spm (пб владельца, Take-Grant).
- •12. Схематичная модель защиты (spm). Анализ безопасности с использованием spm. Теорема о максимально достижимом состоянии. Объявлено уг.
- •13. Выразительная мощность моделей дискреционного контроля доступа. Сравнение spm и модели хру. Расширенная схематическая модель защиты (espm). Сравнение spm, espm и хру.
- •14. Модель типизированной матрицы доступа (tam).
- •15. Мандатный кд. Основные определения. Модель Белла и Лападула: основные определения
- •16. Модель Белла и Лападула
- •Модель Белла и Лападула.
- •Формальное описание модели Белла и Лападула.
- •Основная теорема безопасности.
- •17. Примеры реализации модели Белла и Лападула, Проблемы реализации и пути их решения.
- •18. Критика модели Белла и Лападулы
- •19. Модели целостности. Различие коммерческой и военной пб. Модель Биба: описание, теорема о пути передачи информации.
- •20. Критика модели Биба. Способы объединения моделей Биба и Белла и Лападулы.
- •21. Особенности обеспечения безопасности в среде разработки. Модель Липнера: область применения, цели, описание
- •22. Модель Кларка-Вилсона: область применения, цели, описание. Сравнение модели Кларка-Вилсона и модели Биба, композиция моделей.
- •Сравнение модели Кларка-Вилсона и модели Биба.
- •23. Модель Китайской стены: область применения, цели, описание. Сравнение моделей Белла-Лападуллы и моделей Китайской стены. Сравнение моделей Кларка-Вилсона и модели Китайской стены.
- •24. Контроль доступа, базирующийся на ролях. Описание, особенности кдбр в сравнении с дискреционным и мандатным кд
- •25. Ролевая модель контроля доступа. Достоинства и недостатки. Основные понятия и принципы ролевой модели
- •26. Сравнительный анализ дискреционных, мандатных и специальных моделей безопасности.
- •Модель систем дискреционного разграничения доступа
- •Мандатное управление доступом
- •Ролевое разграничение
- •27. Механизмы безопасности, соотношение с политикой безопасности. Понятие адекватности. Методы доказательства адекватности на различных этапах жц разработки системы
- •28. Основные принципы разработки механизмов безопасности.
- •30. Идентификация и аутентификация
- •31. Аудит
- •32. Резервное копирование
- •33. Механизмы ограждения данных. Механизмы виртуализации.
- •34. Свойства монитора виртуальных машин.
- •35. Уязвимости. Основные источники проблем с компьютерной безопасностью по Ньюману. Определения , характеристики уязвимостей, базы данных уязвимостей.
- •36. Классификация ошибок, приводящих к уязвимостям. Ошибки на этапе проектирования. Ошибки на этапе администрирования.
- •39. Методы поиска ошибок кодирования. Динамический анализ программного обеспечения
- •40. Аудит безопасности.
- •43. Разрушающие программные средства: классификация, определения. Локальные и удаленные атаки с использованием рпс
- •44. Компьютерные вирусы, определениие и свойства. Методы обнаружения компьютерных вирусов.
Формулировка теоремы о разрешимости проблемы безопасности в общем случае.
Теорема 6. В общем случае проблема определения безопасности компьютерной системы является неразрешимой.
8. Доказательство теоремы о разрешимости проблемы безопасности для модели Харрисона-Руззо-Ульмана в общем случае.
Монооперационные команды - команды в которых присутствует одна операция, к примеру:
enter r into a[p,q]
Запросы общего вида содержат несколько монооперационных команд, например:
command create (p, f)
create object f;
enter own into a[p,f]
enter r into a[p,f]
enter w into a[p,f]
end
Есть модель Харрисона-Руззо-Ульмана, встает вопрос о том является ли система с запросами общего вида безопасной? (под безопасностью для права r подразумевается как я понял то, что не существует последовательности команд, которые запишут это право в ячейку, хотя его не было в исходной матрице доступа)
В ответ на этот вопрос добрые люди предложили теорему о разрешимости, доказав её не без помощи Алана Тьюринга, а именно его машины смерти.
Теорема о разрешимости.
Проблема определения безопасности для данного права r в системе с запросами общего вида является неразрешимой.
Доказательство.
Есть Машина Тьюринга, далее именуемая как МТ.
Она бесконечна только вправо. Изначальное состояние q0, головка указывает на самую левую ячейку.
Каждая ячейка пронумерована и соответствует субъекту {s1,s2,...sn), здесь мы объединяем множество субъектов и объектов в одно понятие субъект!
Правами для МТ будут состояния и символы МТ.
Введены три операции:
Эти операции грубо говоря моделируют модель ХРУ, остановка данной МТ означает утечку прав, но поскольку проблема остановки произвольной МТ не разрешима, значит и проблема безопасности для права r неразрешима.
9. Модель Take-Grant. Основные определения. Разделение права доступа в терминах модели Take-Grant, необходимые и достаточные условия разделения права, сложность задачи определения разделения права субъектами в модели Take-Grant.
Господа Харрисон, Рузо и Ульман, доказали, что, в общем случае, основной вопрос безопасности является неразрешимым. Но он разрешим в частных случаях. Для того, чтобы определить условия, в которых данный вопрос разрешим, господа Джонс, Липтон и Шнайдер разработали модель Take-Grant. В этой модели основной вопрос безопасности не только разрешим, но и разрешим за линейное время(относительно кол-ва объектов и прав).
В данной модели система представляется в виде направленного графа. Вершинами являются субъекты(черные кружки) и объекты(белые кружки).
Направленные дуги обозначают права. Множество прав R, помимо стандартных прав, содержит еще 2 права — Take(t) и Grant(g).
Модель обеспечивает множество правил переписывания графа, позволяющих изучать изменение системы.
Правила переписывания графа:
Take
Субъект X имеет право take на Z. Z имеет какое-то право b на y. Тогда право take определяет новый граф (который справа).
Простыми словами, если у X есть право t на что-то, то он может забирать у него права.
"X берет право b по отношению к Y от Z"
Grant
Если X имеет право g на что-то, то он этому "что-то" может дать свои права.
"X дает Z право b по отношению к Y"
Create
"X создает вершину Y с правом b по отношению к Y"
Remove
"X удаляет право a для Y"
Разделение прав в терминах модели take-grant
Если существует последовательность графов G0,G1,...,Gn : G0 |-* Gn (Gn выводится из G0 за конечное число шагов), и в Gn есть стрелка с правом a от X к Y, то выполнен предикат canshare(a,X,Y,G0).
Данный предикат показывает, может ли вершина X получить право a кY.
tg-путь — непустая последовательность направленных дуг графа G такая, что для любых i от 1 до n-1 vi соединена с vi-1 стрелкой take и/или grant.
Лемма
2 субъекта, связанные tg-путем длины 1 разделяют права.
Доказательство:
Я заебусь рисовать его.
Остров — максимальный tg-связанный подграф, состоящий из субъектоа
Из леммы следует теорема:
Теорема: Все субъекты в острове разделяют права
Мост — tg-путь между V0 и V1 субъектами. Имеет вид:
{t*->, <-*t, t*->g-><-*t, t*-><-g<-*t } (лучше это посмотреть в тетрадке)
Добавим еще парочку штук:
Говорят, что x initially spans y, если x — субъект и между x и y существует tg-путь вида {t*->g*->}
Говорят, что x terminally spans y, если x — субъект и между x и y существует tg-путь вида {t*->}
И теперь главная теорема:
Т (видимо необходимое и достаточное условие разделения прав)
Предикат canshare(a,x,y,G0) истинен тогда и только тогда, когда существует tg-путь {a->} от x к y (примитивный случай) либо выполнено:
Существует s из G0: s a-> y. (стрелка a из s в y)
Существует субъект x': x'=x или x' initially spans x.
Существует s': s'=s или s' terminally spans s
Существуют острова J1,...Jn: x' из J1, s' из Jn и, для любых y от 1 до n-1, существует мост между J1 и Jn