- •Теоретические основы компьютерной безопасности
- •090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
- •Оглавление
- •Введение
- •2. Указания к выполнению
- •2.1. Выполнение лабораторной работы
- •2.2. Оформление отчета по лабораторной работе
- •2.1 Лабораторная работа № 1. Дискреционные модели управления доступом. Модель Харрисона-Руззо-Ульмана
- •Теоретические сведения
- •Выполнение работы
- •Содержание отчета
- •Пример отчета
- •Контрольные вопросы по лабораторной работе
- •2.2 Лабораторная работа № 2. Модели мандатного управления доступом. Модель Белла-ЛаПадула
- •Теоретические сведения
- •Выполнение лабораторной работы
- •Содержание отчета
- •Пример отчета
- •Выполнение работы
- •Содержание отчета
- •Контрольные вопросы по лабораторной работе
- •Лабораторная работа № 4. Дискреционная модель, основанная на «типизированной матрице доступа
- •Теоретические сведения
- •Выполнение работы
- •Содержание отчета
- •Пример отчета
- •Порядок выполнения работы
- •Содержание отчета
- •Порядок выполнения работы
- •Содержание отчета
- •Пример отчета
- •Контрольные вопросы по лабораторной работе
- •Подготовка к экзамену
- •Вопросы итогового контроля
- •Учебники и учебные пособия:
- •Порядок создания исполняемого файла описания модели
- •Expert.Exe файл описания модели
- •Последовательность работы с интерфейсом «Монитора безопасности»
- •Теоретические основы компьютерной безопасности
- •090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
Теоретические сведения
Дискреционные модели управления доступом доступа
Основой дискреционных моделей является идея создания системы защиты в виде некоторого декартова произведения множеств. При этом составные части системы защиты - субъекты, объекты, уровни доступа, операции и т.д. - это составные части множеств. В качестве математического аппарата выступает аппарат теории множеств.
Примерами хорошо разработанных дискреционных моделей являются: АДЕПТ-50, пятимерное пространство безопасности Харрисона и модель Харрисона-Руззо-Ульмана.
Модель Харрисона-Руззо-Ульмана
Харрисон, Руззо и Ульман разработали модель безопасности (модель Харрисона-Руззо-Ульмана) для проведения исследований дискреционного управления доступом.
Состояние системы характеризуется тройкой (S, О, М), где S - множество субъектов, О - множество объектов (в О могут входить и субъекты), М - матрица доступа. Матрица М включает по одной строке для каждого субъекта и по одному столбцу для каждого объекта. Ячейка такой матрицы M[s, о] содержит права доступа субъекта s к объекту о. Права доступа входят в конечный набор прав А.
Состояние системы изменяется под действием запросов на модификацию матрицы доступа М. Запросы к системе в модели Харрисона-Руззо-Ульмана выражаются в следующей форме:
if a1 in M[s1,o1] and
a2 in M[s2,o2] and
a3 in M[s3,o3] and
…………
am in M[sm,om]
then
op1,
op2,
op3,
……………
opn
Причем аiA, операция opi является одной из следующих примитивных операций:
enter a into (s, о);
delete a from (s, о);
create subject s;
create object o;
destroy subject s;
destroy object о
Тогда для систем с начальной конфигурацией Q0 и права а, можно сказать, что Q0 безопасна для а, если не существует последовательности запросов к системе, которые приводят к записи права а в не содержащую его ячейку матрицы М.
Проблема безопасности заключается в ответе на следующий вопрос: существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к определенному объекту? Харрисон, Руззо и Ульман доказали две фундаментальные теоремы о сложности проблемы безопасности.
Первая гласит, что проблема безопасности разрешима для монооперационных систем, т.е. для систем, в которых запросы содержат лишь одну примитивную операцию. Вторая утверждает, что проблема безопасности не разрешима в общем случае.
Эти выводы поставили разработчиков перед дилеммой:
с одной стороны, модель Харрисона-Руззо-Ульмана в ее полном варианте позволяет реализовать множество политик безопасности, но тогда проблема безопасности становится неразрешимой (по второй теореме);
с другой стороны, проблема безопасности разрешима для монооперационных систем (первая теорема), но тогда модель получается слишком слабой для реализации большинства политик. Например, монооперационные системы не позволяют воплотить политику, которая наделяла бы субъекта специальными правами доступа к дочернему объекту, т.к. отсутствует единая операция создания объекта и обозначения его принадлежности к субъекту-родителю. В таком случае невозможно отличить потомков одного предка от потомков другого. Это приводит к тому, что операция create становится, по существу, бесполезной.
Харрисон, Руззо, Ульман также показали, что безопасными помимо монооперационных являются системы, которые:
не содержат операций create;
являются или монотонными (не содержат операций destroy и delete), или моноусловными (условная часть запроса содержит, как максимум, один элемент) одновременно.
Однако такие системы сильно ограничены в возможностях. Безопасность даже для монотонных систем становится неразрешимой, если мы позволим осуществление биусловных запросов (условная часть запроса содержит, как максимум, два элемента).
Достоинства дискреционных моделей
В качестве достоинств дискреционных моделей можно отметить следующее:
• хорошая гранулированность защиты;
• простота реализации.
Недостатки дискреционных моделей
Самым крупным недостатком дискреционных моделей, в частности модели Харрисона-Руззо-Ульмана, является наличие проблемы троянских коней.
Троянская программа (троянский конь) - программа, которая «на поверхности» выполняет одно действие (например, редактирование файла), а «в глубине» производит нечто неожиданное и нежелательное (например, передает нелегальному пользователю право чтения). Пользователь запускает какую-нибудь программу на компьютере. Это инициирует последовательность операций, зачастую скрытых от его взора. Такие процессы управляются операционной системой. Троянские кони рассчитывают на то, что когда пользователь вызывает такой набор операций, он обычно верит в то, что система произведет все, как полагается.
Результаты исследования модели Харрисона-Руззо-Ульмана показали, что сложно предсказать, каким образом будут распределяться права доступа в данной модели, даже если мы имеем полное представление о программах, ответственных за распределение прав. Например, пользователь имеет право на запуск программы другого пользователя. Первый пользователь может не знать, что эта программа без явных указаний передаст набор его прав второму.
Однако троянские кони ограничены схемой авторизации, т.е. набором прав в системе. Они могут модифицировать состояние системы, используя только те команды, которые доступны им в текущем состоянии.
Все это позволяет сделать следующий вывод: модель Харрисона-Руззо-Ульмана обладает большими выразительными свойствами, но чрезвычайно слабыми защитными характеристиками. Ограничения, вводимые с целью повышения защитных свойств, приводят к снижению практического эффекта модели. Не существует какого-либо общего случая модели Харрисона-Руззо-Ульмана, для которого проблема безопасности была бы эффективно разрешима.