4.Модели безопасности многопользовательских компьютерных систем. Матричная модель

Модель безопасности(Security Model). Формальное представление политики безопасности.

Дискреционноеили произвольное, избирательное управление доступом (Discretionary Access Control). Управление доступом, осно­ванное на заданном администратором множестве разрешенных отношений доступа (на­пример, в виде троек <объект, субъект, тип доступа>).

Мандатноeили нормативное, управление доступом (Mandatory Access Control). Управление доступом, осно­ванное на совокупности правил предоставления доступа. определенных на множестве атрибутов безопасности субъектов и объектов, например в зависимости от грифа секретности информации и уровня допуска пользователя.

Ядро безопасности {Trusted Computing Base. TCB). Со­вокупность аппаратных, программных и специальных компонент ВС. реализующих функции защиты и обеспечения безопасности.

Объект - пассивный компонент системы, единица ресурса системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.

Субъект - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.

Доступ к информации - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление).

Доступ к ресурсу - получение субъектом возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.

Разграничение доступа к ресурсам системы - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.

Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).

Несанкционированный доступ (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.

Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации.

МОДЕЛИ БЕЗОПАСНОСТИ

Политика безопасности. Совокуп­ность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.

Основу политики безопасностисистемы составляетлогическийспособ управления доступом, определяющий порядок доступа субъектов системы к объектам системы.Логическое управление доступом – это механизм, призванный обеспечить конфиденциальность и целостность объектов, а также их доступность - путем запрещения обслуживания неавторизованных пользователей.

На сегодняшний день создан ряд типовых моделей управления доступом, которые можно использовать при разработке системы безопасности, из них лучше всего изучены:

• избирательная/дискреционная/произвольная (Discretionary Access Control) или матричная модель

• полномочная/мандатная/принудительная (Mandatory Access Control) или модель уровней безопасности

• смешанная модель – атрибутные схемы (Attribute-Based Access Control - ABAC)

1. Матричная модель - это метод разграничения доступа к объектам, основанный на учете идентификатора субъекта или группы, в которую входит субъект. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.

Поведение этой модели описывается простыми правилами:

1. пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей

2. пользователю разрешен доступ к консоли (терминал или ПК, выступающий в роли устройства ввода команд для ЭВМ, удаленной ЭВМ, локальной сети и т. п.), если он входит в подмножество пользователей, закрепленных за данной консолью

3. пользователю разрешен доступ к файлу, если:

• пользователь входит в подмножество допущенных к файлу пользователей

• режим доступа задания пользователя включает режим доступа к файлу

• уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла

Отношение “субъекты-объекты” можно представить в виде матрицы доступа, в строках которой перечислены субъекты, а в ячейках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа и дополнительные условия (например, время и место действия).

Фрагмент матрицы, может выглядеть, например, так:

объекты субъекты	Файл	Программа	Линия связи	Реляционная таблица
пользователь1	prw с системной консоли	x	rwс 8:00 до 18:00
пользователь2				а

p- (passpermission) разрешение на передачу прав другим пользователям

r– (read) чтение

w- (write) запись

x– (eXecute) выполнение

a– (add) добавление

Модель Лэмпсона (~1970), усовершенствованная позднееГрэхемом иДеннингом. Основу их модели составляет матрица (таблица) доступаA(m×n), в которой столбцыO1,O2,…Onпредставляют объекты доступа, а строкиS1,S2,…Sm– субъекты доступа. Элемент таблицыA[Si,Oj] содержит список видов доступаT1,T2,…Tk,..Tl, который определяет привилегии доступа субъектаSiпо отношению к объектуOj.

Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом. Таким образом, субъект Siполучит соответствующий доступTkк объектуOjтолько в случае, если составной элемент матрицыA[Si,Oj] содержит значениеTk.

O1…………………….Oj………………On

S1
Si		A[Si,Oj]={T1,T2Tk,..Tl}
Sm

Harrison, Ruzoи Ullman (1976) - Состояния безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одному столбцу для каждого субъекта и объекта. Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы.

Субъекты	Объекты			Субъекты
	1	2		1	2
1	Чтение Запись	Чтение	1	Чтение Запись	Чтение	1
2	Чтение	Чтение Исполне-ние	2	Чтение	Чтение Исполне-ние	2
3		Чтение Запись	3		Чтение Запись	3

------------------------------------------------------------------------------------------------------------------

Модель матрицы доступа может быть дополнена набором функций перехода. Элементы матрицы доступа в этом случае содержат указатели на специальные процедуры, которые должны выполняться при обращении субъекта к объекту. Решение о доступе принимается на основании результатов выполнения процедур. Например:

• решение о доступе в данный момент основывается на анализе предыдущих доступов к другим объектам;

• решение о доступе основывается на динамике состояния системы (права доступа субъекта зависят от текущих прав доступа других субъектов):

• решение о доступе основывается на значении определенных переменных, например, на значении системного времени.

Размерность матрицы доступа зависит от количества субъектов и объектов в системе и может быть достаточно большой. К тому же, матрицу, ввиду ее разреженности (большинство ячеек – пустые) неразумно хранить в виде двумерного массива. Для уменьшения размерности матрицы могут применяться различные методы: