- •Теоретические основы компьютерной безопасности
- •090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
- •Оглавление
- •Введение
- •2. Указания к выполнению
- •2.1. Выполнение лабораторной работы
- •2.2. Оформление отчета по лабораторной работе
- •2.1 Лабораторная работа № 1. Дискреционные модели управления доступом. Модель Харрисона-Руззо-Ульмана
- •Теоретические сведения
- •Выполнение работы
- •Содержание отчета
- •Пример отчета
- •Контрольные вопросы по лабораторной работе
- •2.2 Лабораторная работа № 2. Модели мандатного управления доступом. Модель Белла-ЛаПадула
- •Теоретические сведения
- •Выполнение лабораторной работы
- •Содержание отчета
- •Пример отчета
- •Выполнение работы
- •Содержание отчета
- •Контрольные вопросы по лабораторной работе
- •Лабораторная работа № 4. Дискреционная модель, основанная на «типизированной матрице доступа
- •Теоретические сведения
- •Выполнение работы
- •Содержание отчета
- •Пример отчета
- •Порядок выполнения работы
- •Содержание отчета
- •Порядок выполнения работы
- •Содержание отчета
- •Пример отчета
- •Контрольные вопросы по лабораторной работе
- •Подготовка к экзамену
- •Вопросы итогового контроля
- •Учебники и учебные пособия:
- •Порядок создания исполняемого файла описания модели
- •Expert.Exe файл описания модели
- •Последовательность работы с интерфейсом «Монитора безопасности»
- •Теоретические основы компьютерной безопасности
- •090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем»
Теоретические сведения
Модель, основанная на типизированной матрице доступа
Безопасности систем использующих Модель Харрисона-Руззо-Ульмана серьезно ограничена уязвимостью дискреционного управления доступом для троянских коней. Это обстоятельство привело к созданию модели, основанной на типизированной матрице доступа (ТАМ - Type Access Matrix). Суть нововведения - дополнение модели Харрисона - Руззо - Ульмана сильной организацией типов, которая обеспечивает определенную защиту от подобных угроз.
Ключевым понятием ТАМ являются типы безопасности (или типы). Каждый элемент ТАМ (т.е. субъект или объект) создается с конкретным типом, который впоследствии не меняется. Это и называют сильной организацией типов субъектов и объектов.
Первым этапом в определении системы ТАМ является определение прав доступа и типов:
Определение 1. Существует конечное множество R прав доступа.
Определение 2. Существует конечное множество Т типов объекта. Существует множество Ts типов субъекта, Ts Т.
Типы и права определяются при инициализации системы, и в дальнейшем Т и R не изменяются. Например, T={user, so, file} указывает, что в системе существует три типа: «пользователь», «служащий безопасности» и «файл», и, скажем, Тs = {user, so). Примером прав будет R={r, w, e, о}, соответственно обозначающие «чтение», «запись», «выполнение» и «владение».
В ТАМ распределение прав в системе реализуется с помощью матрицы доступа. Матрица имеет строку для каждого субъекта и столбец для каждого объекта. Ячейка [X, У] содержит права, которыми субъект X обладает относительно объекта У.
Это позволяет ввести в рассмотрение понятие защищенного состояния системы.
Определение 3. Защищенным состоянием системы называется четверка (SUB, OBJ, t, AM), где:
• SUB - множество субъектов;
• OBJ -множество объектов (SUSOSJ);
• t:OBJSUBТ- функция типа, сопоставляющая тип каждому объекту или объекту;
• AM - матрица доступа. Обозначим содержимое ячейки (S, О) матрицы AM как [S, О], [S, O]R.
Модель Харрисона - Руззо - Ульмана является частным случаем ТАМ, в котором имеется только два типа, скажем, subject и object. Каждый субъект из SUB имеет тип subject, а объект - object.
Защищенное состояние системы изменяется с помощью команд, определенных ниже.
Определение 4. Команда ТАМ имеет формат:
command (X1: t1, X2: t2 ..., Xk :tk)
if [Xs1 ,Xo1] r2 [Xs2,Xo2 ] … rm [Xsm,Xom ]
then op1 ; op2 , ..., орn
end
где - имя команды; Х1 , Х2, ..., Хk - формальные параметры, имеющие соответственно типы t1 , t2, ..., tk,; r1, r2, ..., rm - праваR; s1 ,s2, ..., sm и o1 ,o2, ..., om - целые числа между 1 и k. Каждое орi - одна из элементарных операций:
enter r into [Xs, Х0],
create subject Хs of type ts;
create object X0 of type t0;
delete r from [Xs, X0 ];
destroy subject Xs;
destroy object X0.
Предикат, следующий за частью if, называется условием команды a, a последовательность операций op1; ор2; ...; орп - телом команды . Если условие опускается, то говорят, что команда является безусловной командой, в противном случае говорят, что команда является условной командой.
Команда ТАМ вызывается подстановкой фактических параметров подходящего типа вместо формальных параметров. В ТАМ не имеет значения, кто именно инициирует команду. Это согласуется с анализом безопасности наихудшего случая. Условная часть команды оценивается в соответствии с ее фактическими параметрами. Тело выполняется только в том случае, если условие является истинным. Команды выполняются последовательно.
Модель монотонной типизированной матрицы доступа (МТАМ) идентична ТАМ за исключением того, что в ней опущены элементарные операции delete, destroy subject и destroy object. Такая модель не может реализовать некоторые желательные немонотонные аспекты управления доступом. Например, в монотонной модели не может быть представлена следующая команда передачи:
command transfer-r(S1 : s, S2 : s, O : о)
if r [S1 , O]then
enter r in [S2, O];
delete r from [S1 , O];
end
Общая неразрешимость безопасности МТАМ следует из результатов неразрешимости монотонной модели Харрисона - Руззо - Ульмана.
Однако, для МТАМ существуют разрешимые случаи безопасности, определяемые на основе типов субъектов и объектов, участвующих в операциях создания. Эти случаи нельзя сформулировать в рамках модели Харрисона - Руззо - Ульмана, поскольку в ней отсутствует организация типов.
Недостатки модели, построенной на типизированной матрице доступа
Среди недостатков отметим следующее:
• отсутствие контроля типов и, как следствие:
• возможность косвенного получения доступа к конфиденциальной информации
• возможность создания субъекта, наделенного большими полномочиями, чем его создатель.
Оценивая наихудшие ситуации распространения прав, рассмотрим политику контролируемого источника, реализующую контроль информации в документах в качестве примера политики военного сектора (которая трудно воплощается в рамках классической модели Белл-ЛаПадула).
Политика контролируемого источника требует, чтобы создатель (источник) документа поддерживал контроль за доступом к этому документу. Например, субъект S1 , является создателем документа, и он разрешает субъекту S2 его чтение. Политика контролируемого источника требует, чтобы S2 не мог передать информацию кому-то еще, скажем, субъекту S3: ни прямо, разрешая S3 доступ чтения документа, ни косвенно, разрешая S3 доступ чтения копии документа.
Решение проблемы контролируемого источника основано на том, что в ТАМ несколько предков могут совместно создавать дочерний субъект. Поэтому наделение правами и создание копий должно происходить совместно двумя субъектами: S2 запрещается работа, выходящая за рамки собственного типа (тип S2 разрешает только чтение), без получения на то согласия S1 как создателя документа.
Еще одна проблема возникает в том случае, когда субъект-родитель (как создатель) наделяет субъекта-потомка большими полномочиями, чем имеет сам. С целью компенсации данного недостатка можно ввести запрет на операции подобного рода, что приводит к ослаблению выразительных свойств ТАМ.