раздел 1_ЗИ. Тематический план курса
 Скачать 3.71 Mb.
|
Дискреционная модельМодель Харрисона- Руззо-Ульмана Take-Grand Программная модель Автоматная модель Дискреционное разграничение доступа
Субъекты Объекты Атрибуты доступа Матрица доступов Разработана в 1971, используется для анализа систем защиты, реализующих дискреционную политику безопасности. Функционирование системы рассматривается с точки зрения изменений в матрице доступа. Возможные изменения определяются следующими примитивными операторами: - «Внести» право rR в M[s,o] - «Удалить» право rR из M[s,o] - «Создать» субъект s’ - «Удалить» субъект s’ - «Создать» объект o’ - «Удалить» объект o’ В результате выполнения примитивного оператора осуществляется переход из состояния q=(S,O,M) в результирующее состояние q’=(S’,O’,M’). Переход обозначается: q├q’() Из примитивных операторов составляются команды. Каждая команда состоит из:
command (x1,…,xn) If r1 in M[xs1, xo1] and r2 in M[xs2, xo2] and … rm in M[xsm, xom] then 1 2 … k end Пример: Команда передачи субъекту s’ права read на файл f его владельцем субъектом s command «передать право чтения» (s,s’,f) If (own in M[s,f]) then «внести» право read в M[s’,f] end Модель ориентирована на анализ путей распространения прав доступа в системах дискреционного разграничения доступа.
Субъекты Объекты Атрибуты доступа Граф доступов Право брать права доступа (take) Право давать права доступа (grant) Состояние системы описывается соответствующим ему графом доступов. В отличие от модели ХРУ в данной модели возможно наличие прав доступа не только у субъектов на объекты, но и у объектов на объекты. Порядок перехода системы данной модели из состояния в состояние определятся правилами преобразования графа доступов (де-юре правила):
Дискреционная модельДостоинства: относительно простая реализация системы разграничения доступа. Недостатки: статичность определенных правил разграничения доступа. Данная политика безопасности не учитывает динамику изменений состояний компьютерной системы. Мандатная модельМандатное управление доступом – разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. СС — совершенно секретно; С — секретно; К — конфиденциально; ДСП — для служебного пользования. СС С К ДСП User 1 User 2 Объект Уровень доступа Уровень конфиденциальности Цель данной политики – предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа. Мандатная модельПолитика определяется следующими условиями:
Мандатная модельМодель Белла-ЛаПадула Модель безопасности переходов Модель целостности Биба Модель Кларка-Вилсона Вероятностная модель Мандатное разграничение доступа Модель Белла-ЛаПадулаМодель была предложена в 1975 для формализации механизмов мандатного управления доступом.
Субъекты Объекты Атрибуты доступа Уровни конфиденциальности Модель Белла-ЛаПадулаУровни безопасности – определенное дополнение к субъектам и объектам, определяющее возможность их взаимодействия:
Модель Белла-ЛаПадулаКомпоненты - структуры, полностью описывающие состояние системы:
субъект-объект-атрибуты доступа. - Главный объект имеет уровень допуска >= уровню допуска последующего объекта. Модель Белла-ЛаПадула- Матрица допустимого доступа: субъекты по строкам, объекты по столбцам, текущие состояния доступа на соответствующих пересечениях. - Функция уровня определяет уровень доступа для субъектов и объектов. Модель Белла-ЛаПадула
1. Простое свойство безопасности (нет чтения вверх)
2. *свойство (нет записи вниз)
3. Свойство самостоятельной защиты Система работает по принципу: текущее состояние -> запрос -> решение -> последующее состояние. Модель Белла-ЛаПадула (диаграмма информационных потоков)Shigh Ohigh Slow Olow read read write write read read write write Аксиомы Объекты Субъекты Разработана в 1977 как модификация модели Белла-ЛаПадулы, ориентированная на обеспечение целостности данных
1. Простое свойство целостности (нет чтения вниз)
2. *свойство (нет записи вверх) Модель целостности информации Биба (диаграмма информационных потоков)Shigh Ohigh Slow Olow read read write write read read write write Модель Кларка-ВилсонаПредложена в 1987. Основные компоненты: S – Множество субъектов D – Множество объектов CDI – данные, целостность которых контролируется UDI – данные, целостность которых не контролируется D=CDIUDI, CDIUDI= TP – процедура преобразования IVP – процедура проверки целостности Модель Кларка-Вилсона1
2
3
4
5
Модель Кларка-Вилсона6
7
8
9
Достоинства: более высокая степень надежности (по сравнению с дискреционной). Недостатки: реализация систем с политикой безопасности данного типа довольно сложна и требует значительных ресурсов вычислительной системы. . Мандатная модель Ролевое разграничение доступаРолевое разграничение доступа позволяет реализовывать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа. Ролевое разграничение доступаЭлементы модели: U – множество пользователей R – множество ролей Р – совокупность полномочий на доступ к объектам S – множество сеансов работы пользователей с системой. Управление доступом осуществляется следующим образом:
Критерий безопасности системы при использовании ролевой модели звучит следующим образом: система считается безопасной, если любой пользователь в системе, работающий в сеансе s ∈ S , может осуществлять действия, требующие полномочий p ∈ P , только в том случае, если p ∈ permissions(s). Модели разграничения доступаОсновные характеристики моделей управления доступом: Дискреционная – владельцы данных решают, кто имеет доступ к ресурсам. Политика безопасности реализуется с помощью списков доступа. Мандатная – политика безопасности реализуется операционной системой посредством меток безопасности. Ролевая – решения о предоставлении доступа принимаются системой на основании ролей и/или должностей субъектов. |