Главная страница
Навигация по странице:

  • Объект / Субъект Файл_1 Файл_2 Файл_3 CD-RW

  • Пользователь_1

    		•

    Лекции ЗИ_Э. Самарский государственный архитектурностроительный университет


    Скачать 1.6 Mb.
    НазваниеСамарский государственный архитектурностроительный университет
    АнкорЛекции ЗИ_Э.doc
    Дата28.01.2017
    Размер1.6 Mb.
    Формат файлаdoc
    Имя файлаЛекции ЗИ_Э.doc
    ТипДокументы
    #870
    страница6 из 26
    1   2   3   4   5   6   7   8   9   ...   26

    Дискреционные политики безопасности



    Возможны следующие подходы к построению дискреционного управления доступом:

    1. Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту

    2. Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

    3. Смешанный вариант построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца.


    Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.

    Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.

    Исходная политика избирательного разграничения доступа к информации (дискреционная модель) формируется путем задания администратором набора троек следующего вида:
    ,
    где - субъект доступа, - объект доступа, - множество прав доступа, которыми наделен субъект к объекту (например, чтение, запись, исполнение и т.д.) [7].

    При формировании дискреционной политики безопасности обычно формируют дискреционную матрицу доступов , строки которой соответствуют субъектам системы, столбцы – объектам, а в ячейках матрицы хранят множество типов доступов. Пример данной матрицы представлен в таблице 2.1.

    Табл. 2.1. Дискреционная матрица доступа


    Объект / Субъект
    Файл_1
    Файл_2
    Файл_3
    CD-RW

    Администратор
    Полные права
    Полные права
    Полные права
    Полные права

    Гость
    Запрет
    Чтение
    Чтение
    Запрет

    Пользователь_1
    Чтение, передача прав
    Чтение, запись
    Полные права
    Полный запрет


    Для матрицы доступа, представленной в таблице 2.1, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать эти права другому пользователю он не может, но может передавать права на чтение файла 1, имеет полные права при работе в файлом 3 и не имеет доступа к лиску CD-RW.

      1. Мандатные политики безопасности



    Мандатные модели управления доступом были созданы по результатам анализа правил секретного документооборота, принятых в государственных и правительственных учреждениях многих стран.

    Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Мандатная модель управления доступом, помимо дискреционной, является основой реализации разграничительной политики доступа к ресурсам при защите секретной информации. При этом данная модель доступа практически не используется "в чистом виде", обычно на практике она дополняется элементами дискреционной модели доступа.

    Источник — «http://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BD%D0%B4%D0%B0%D1%82%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC»
    Исходная мандатная политика безопасности строится на базе следующей совокупности аксиом, определяющих правило разграничения доступа субъектов к обрабатываемой информации:

    1. Вводится множество атрибутов (уровней) безопасности A, элементы которого упорядочены с помощью установленного отношения доминирования. Например, для России характерно использование следующего множества уровней безопасности A={открыто (О), конфиденциально (К), секретно (С), совершенно секретно (СС), особая важность (ОВ)}.

    2. Каждому объекту КС ставится в соответствие атрибут безопасности , который соответствует ценности объекта и называется его уровнем (грифом) конфиденциальности.

    3. Каждому субъекту КС ставится в соответствие атрибут безопасности , который называется уровнем допуска субъекта и равен максимальному из уровней конфиденциальности объектов, к которому субъект будет иметь допуск.

    4. Если субъект имеет уровень допуска , а объект имеет уровень конфиденциальности , то будет иметь допуск к тогда и только тогда, когда .

    Основным недостатком исходной мандатной политики безопасности является то, что в ней не различаются типы доступа вида «чтение» и «запись». Это создает потенциальную возможность утечки информации сверху вниз, например, путем запуска в КС программной закладки с максимальным уровнем допуска, способной записывать информацию из объектов с верхних уровней конфиденциальности в объекты с более низкими уровнями, откуда она может быть прочитана субъектами с низким уровнем допуска.
    Пример 2.1

    Пусть для компьютерной системы задано 4 субъекта доступа S={Administrator, User1, User2, Guest} и 5 объектов O={File1.dat, File2.txt, File3.txt, CD-ROM, FDD}. Множество атрибутов безопасности определено как A={NONCONFIDENTIAL, CONFIDENTIAL, SECRET, TOP SECRET}.

    Пусть уровни допуска cубъектов определены следующим образом:


    Administrator
    User1
    User2
    Guest

    TOP SECRET
    SECRET
    CONFIDENTIAL
    NONCONFIDENTIАL


    Пусть уровни конфиденциальности объектов определены следующим образом:


    FDD
    CD-ROM
    File1.dat
    File2.txt
    File3.txt

    NONCONFIDENTIАL
    CONFIDENTIAL
    SECRET
    SECRET
    TOP SECRET


    Тогда, согласно правилам исходной мандатной модели:

    • субъект Administrator будет иметь допуск ко всем объектам;

    • субъект User1 будет иметь допуск к объектам FDD, CD-ROM, File1.dat, File2.txt;

    • субъект User2 будет иметь допуск к объектам FDD, CD-ROM;

    • субъект Guest будет иметь допуск только к объекту FDD (flash).

    Поставим вопрос, сможет ли субъект Guest в качестве злоумышленника получить доступ к объекту File1.dat ? Путь к этому просматривается такой. Завербовав пользователя User1, он сможет получить доступ к информации из объекта File1.dat следующим путем. User1 записывает из объекта File1.dat информацию в объект FDD, что будет ему разрешено, а субъект Guest после этого может этой информацией пользоваться в обход мандатной политики безопасности за счет приема социальной инженерии.
    Как можно устранить подобные действия злоумышленника? Для этого в мандатную политику вносят реализацию принципа политики безопасности Белла-ЛаПадулы (БЛП), который устраняет данный недостаток исходной мандатной политики безопасности и осуществляет контроль доступа субъектов к объектам компьютерной системы в зависимости от уровня допуска субъекта и уровня конфиденциальности объекта на основании двух следующих правил:

    1. Правило NRU (нет чтения вверх). Согласно данному правилу субъект с уровнем допуска может читать информацию из объекта с уровнем безопасности тогда и только тогда, когда . Формально данное правило можно записать как (рис. 2.1)

    2. Правило NWD (нет записи вниз). Согласно данному правилу субъект с уровнем допуска может записывать информацию в объект с уровнем безопасности тогда и только тогда, когда . Формально данное правило можно записать как (рис. 2.1).


    Особой важности чтение

    Совершенно секретно

    Секретно

    Конфиденциально

    Запись Открыто
    Рис. 2.1. Демонстрация правил политики безопасности Белла-ЛаПадулы
    Введение свойства NWD разрешает проблему программных закладок, так как угроза записи информации на более низкий уровень, типичная для них, запрещена.

    Пример 2.2.

    Рассмотрим пример компьютерной системы, введенной в примере 2.1.

    При ее реализации в рамках политики БЛП возможно выполнение следующих операций:

    1. Cубъект Administrator будет иметь допуск по чтению из всех объектов, и допуск по записи в объект File3.txt;

    2. Cубъект User1 будет иметь допуск по чтению из объектов FDD, CD-ROM, File1.dat, File2.dat и допуск по записи в объекты File1.dat, File2.txt, File3.txt;

    3. Cубъект User2 будет иметь допуск по чтению из объектов CD-ROM, FDD и допуск по записи в объекты File1.dat, File2.txt, File3.txt, CD-ROM;

    4. субъект Guest будет иметь допуск по чтению из объекта FDD и допуск по записи во все объекты.

      1. 1   2   3   4   5   6   7   8   9   ...   26

    написать администратору сайта