- •Теоретические основы компьютерной безопасности
- •090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
- •Оглавление
- •Введение
- •2. Указания к выполнению
- •2.1. Выполнение лабораторной работы
- •2.2. Оформление отчета по лабораторной работе
- •2.1 Лабораторная работа № 1. Дискреционные модели управления доступом. Модель Харрисона-Руззо-Ульмана
- •Теоретические сведения
- •Выполнение работы
- •Содержание отчета
- •Пример отчета
- •Контрольные вопросы по лабораторной работе
- •2.2 Лабораторная работа № 2. Модели мандатного управления доступом. Модель Белла-ЛаПадула
- •Теоретические сведения
- •Выполнение лабораторной работы
- •Содержание отчета
- •Пример отчета
- •Выполнение работы
- •Содержание отчета
- •Контрольные вопросы по лабораторной работе
- •Лабораторная работа № 4. Дискреционная модель, основанная на «типизированной матрице доступа
- •Теоретические сведения
- •Выполнение работы
- •Содержание отчета
- •Пример отчета
- •Порядок выполнения работы
- •Содержание отчета
- •Порядок выполнения работы
- •Содержание отчета
- •Пример отчета
- •Контрольные вопросы по лабораторной работе
- •Подготовка к экзамену
- •Вопросы итогового контроля
- •Учебники и учебные пособия:
- •Порядок создания исполняемого файла описания модели
- •Expert.Exe файл описания модели
- •Последовательность работы с интерфейсом «Монитора безопасности»
- •Теоретические основы компьютерной безопасности
- •090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
Порядок выполнения работы
Получить доступ к набору служебных программ «Монитор безопасности»:
expert.exe (программа преобразования файла описания модели в ехе- файл);
security.exe (основная программа «Монитора безопасности»).
Создать файл описания модели доменов и типов при помощи языка задания. Исходные данные выдаются преподавателем. Особенности языка определения модели приведены в Приложении 2.
Используя программу expert.exe, получить ехе-файл. Последовательность работы с утилитой expert.exe определена в Приложении 3.
Запустить программу security.exe. Описание ее возможностей приведено в Приложении 4.
Выбрать в меню FILE созданный ехе- файл.
Убедиться в защите информации в системе с реализованным навязыванием домена и типа. Для этого необходимо проверить возможность выполнения объявленных в файле описания модели действий для авторизованных субъектов и невозможность для неавторизованных.
Выйти из программы security.exe.
Реализовать одну из проблем политики DTE, которая может возникнуть в результате некорректного администрирования при разрастании матриц доступа. Для этого необходимо изменить файл описания модели так, чтобы один субъект одновременно принадлежал нескольким доменам, предоставляющим различные права доступа (например, read и write) к одному и тому же типу объекта или другому домену.
Выполнить пункты 3 - 5.
Убедиться в том, что одновременное вхождение субъекта в несколько доменов приводит к нарушению безопасности системы. Выполнить объявленные в файле описания операции для субъекта, созданного или модифицированного в пункте 8.
Выйти из программы security.exe.
Переопределить файл описания модели таким образом, чтобы реализовать взаимоисключение доменов.
Повторить исполнение пунктов 3-5.
Убедиться в восстановлении защиты, предоставляемой DTE. Для этого необходимо повторить действия из пункта 6.
Выйти из программы security.exe.
Реализовать проблему упрощенной политики DTE. возникающую при некорректном администрировании. Для этого следует доопределить файл описания таким образом, чтобы субъект-нарушитель входил в домен, позволяющий порождать субъекты, более сильные, чем родитель. Повторить выполнение пунктов 3-5. С помощью программы security.exe убедиться в нарушениях защиты системы, выполняя действия от имени порожденного субъекта с сильным типом.
Содержание отчета
В отчете необходимо привести
1. Исходные данные
набор субъектов и объектов, а также соответствующие атрибуты,
файл описания модели домена и типа,
содержимое prefile и postfile, если они применялись.
2. Результаты, подтверждающие оба варианта обхода защиты обеспеченной DTE.
3. Способ восстановления полной защиты DTE и результаты его применения.
4. Выводы по лабораторной работе.
Пример отчета
Так как проблемы упрощенной модели домена и типа аналогичны проблемам моделей с RBAC и ТАМ, то пример отчета по модели доменов и типов содержит элементы отчетов соответствующих работ.
Контрольные вопросы по лабораторной работе
Что послужило причиной использования в UNIX-системах политики DTE?
Каким образом можно сделать UNIX-системы устойчивыми к угрозам?
Что составляет основу политики DTE?
Для чего был предложен специальный язык DTEL?
Каковы проблемы упрощенной политики DTE?
Лабораторная работа №6
Информационные модели безопасности. Модель невмешательства. Модель невыводимости
Цель работы: освоить методику формирования информационных моделей, изучить возможности, предоставляемые информационными моделями на примере моделей невмешательства и невыводимости.
Средства: методика проведения лабораторной работы, теоретический материал, персональный компьютер.
Время: 4 часа.
Теоретические сведения
Информационные модели
Наряду с неоспоримыми достоинствами рассмотренных ранее моделей в них присутствует один серьезный недостаток - возможность образования скрытых каналов утечки информации, перекрытие которых составляет нетривиальную задачу.
Информационные модели определяют ограничения на интерфейс программных модулей системы. Данные модели являются результатом применения теории информации к проблеме безопасности систем. К информационным моделям относятся модели невмешательства и невыводимости. Достоинства данных моделей:
• отсутствие скрытых каналов утечки информации;
• естественная приближенность к использованию в сетевых защищенных системах.
Теория данных моделей в настоящее время активно формируется.
Модель невмешательства
Невмешательство - это ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого.
Рассмотрим систему, вывод которой пользователю и определен функцией out(u, hist.read(u)), где hist.read(u) - история ввода системы, чей последний ввод был read(u), т.е. чтение пользователем и.
Для определения безопасности системы необходимо определить очищение историй ввода (purge), выполнение которого приводит к удалению из истории команд, выполненных пользователями, чей уровень безопасности меньше уровня и.
Считается, что система удовлетворяет требованию невмешательства, если и только если для всех пользователей и, всех историй ввода Т и всех команд вывода с выполняется равенство
оut(u, T.c(u)) = out(u, purge(u, T).c(u)).
Модель невыводимости
Модель невыводимости выражается в терминах пользователей и информации, связанных с одним из двух возможных уровней секретности: высокий и низкий.
Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем секретности в результате любых действий высокоуровневых пользователей. Данное определение просто требует, чтобы низкоуровневые пользователи не были способны использовать доступную им информацию для получения высокоуровневой информации (это объясняет, почему определение названо невыводимостью).
В терминах историй ввода, рассматриваемых в модели невмешательства, система считается невыводимо безопасной, если высокоуровневые выводы могут быть всегда удалены из истории, и это не повлияет на то, что видят низкоуровневые пользователи. Кроме того, низкоуровневые пользователи не должны получать новую информацию, основываясь на видимом ими поведении системы (вводы/выводы), если на входе системы есть дополнительные высокоуровневые пользователи.
Недостатки информационных моделей
Информационные модели обладают следующими недостатками:
модель невмешательства разрешает низкоуровневым пользователям копировать один высокоуровневый файл в другой высокоуровневый (в этом смысле она слабее модели Белла - ЛаПадула);
модель невыводимости не предохраняет информацию высокоуровневого пользователя от просмотра низкоуровневым.