Практика 6. Практика Политика и модели безопасности

1
Практика 6. Политика и модели безопасности
Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от определенного множества угроз и составляет необходимое условие безопасности системы. Формальное выражение политики безопасности называют моделью безопасности.
Основная цель создания политики безопасности – это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.
Модели безопасности обеспечивают системотехнический подход, включающий решение следующих задач:
• выбор и обоснование базовых принципов архитектуры защищенных систем, определяющих механизмы реализации средств и методов защиты информации;
• подтверждение свойства защищенности разрабатываемых систем путем формального доказательства соблюдения политики безопасности;
• составление формальной спецификации политики безопасности как важнейшей составной части организационного и документационного обеспечения разрабатываемых защищенных систем.
Производители защищенных информационных систем используют модели безопасности в следующих случаях:
• при составлении формальной спецификации политики безопасности разрабатываемой системы;
• при выборе и обосновании базовых принципов архитектуры защищенной системы, определяющих механизмы реализации средств защиты;
• в процессе анализа безопасности системы, при этом модель используется в качестве эталонной модели;
• при подтверждении свойств разрабатываемой системы путем формального доказательства соблюдения политики безопасности.
Потребители путем составления формальных моделей безопасности получают возможность довести до сведения производителей свои требования, а также оценить соответствие защищенных систем своим потребностям.
Эксперты в ходе анализа адекватности реализации политики безопасности в защищенных системах используют модели безопасности в качестве эталонов.
По сути, модели безопасности являются связующим элементом между производителями, потребителями и экспертами.
Субъектно-объектные модели разграничения доступа
Разграничение доступа к информации – разделение информации, циркулирующей в информационной системе, на части, элементы, компоненты, объекты и т. д. и организация системы работы с информацией, предполагающей доступ пользователей к той части (к тем компонентам) информации, которая им необходима для выполнения функциональных обязанностей.
Разграничение доступа непосредственно обеспечивает конфиденциальность информации, а также снижает вероятность реализации угроз целостности и доступности. Разграничение доступа можно рассматривать среди других методов обеспечения информационной безопасности как комплексный программно-технический метод защиты информации. Разграничение доступа является также необходимым условием обеспечения информационной безопасности.
Большинство моделей разграничения доступа основывается на представлении системы как совокупности субъектов и объектов доступа.

2
Рассмотрим основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам и моделирующих поведение системы с помощью пространства состояний, одни из которых являются безопасными, а другие – нет. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:
1. В системе действует дискретное время.
2. В каждый фиксированный момент времени система представляет собой конечное множество элементов, разделяемых на два подмножества:
• подмножество субъектов доступа S;
• подмножество объектов доступа О.
Субъект доступа – активная сущность, которая может изменять состояние системы через порождение процессов над объектами, в том числе порождать новые объекты и инициализировать порождение новых субъектов.
Объект доступа – пассивная сущность, процессы над которой могут в определенных случаях быть источником порождения новых субъектов.
При таком представлении системы безопасность обработки информации обеспечивается путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Общим подходом для всех моделей является именно разделение множества сущностей, составляющих систему, на множества субъектов и объектов, хотя сами определения понятий «объект» и «субъект» в разных моделях могут различаться.
В модели предполагается наличие механизма различения субъектов и объектов по свойству активности. Кроме того, предполагается также, что в любой момент времени
t
k
, в том числе и в начальный, множество субъектов доступа не пусто.
3. Пользователи представлены одним или некоторой совокупностью субъектов доступа, действующих от имени конкретного пользователя.
Пользователь – лицо, внешний фактор, аутентифицируемый некоторой информацией и управляющий одним или несколькими субъектами, воспринимающий объекты и получающий информацию о состоянии системы через субъекты, которыми он управляет.
Таким образом, в субъектно-объектной модели понятия субъектов доступа и пользователей не тождественны. Предполагается, что пользовательские управляющие воздействия не могут изменить свойств самих субъектов доступа, что не соответствует реальным системам, в которых пользователи могут изменять свойства субъектов через изменение программ. Однако подобная идеализация позволяет построить четкую схему процессов и механизмов доступа.
4. Субъекты могут быть порождены из объектов только активной сущностью (другим субъектом).
Объект
o
i
называется источником для субъекта
s
m
, если существует субъект
s
j
, в результате воздействия которого на объект
o
i
возникает субъект
s
m
. Cубъект
s
j
является активизирующим для субъекта
s
m
Для описания процессов порождения субъектов доступа вводится следующая команда:
Create (s
j
, o
i
)
® s
m
– из объекта
o
i
порожден субъект
s
m
, при активизирующем воздействии субъекта
s
j
Create называют операцией порождения субъектов. Ввиду того, что в системе действует дискретное время, под воздействием активизирующего субъекта в момент времени
t
k
новый субъект порождается в момент времени
t
k+1
Результат операции Create зависит как от свойств активизирующего субъекта, так и от свойств объекта-источника.

3
Активная сущность субъектов доступа заключается в их способности осуществлять определенные действия над объектами, что приводит к возникновению потоков информации.
5. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.
6. Все процессы в системе описываются доступом субъектов к объектам, вызывающим потоки информации.
Потоком информации между объектом
о
i
и объектом
о
i
называется произвольная операция над объектом
о
i
, реализуемая в субъекте
s
m
и зависящая от объекта
о
i
Поток может осуществляться в виде различных операций над объектами: чтение, изменение, удаление, создание и т. д. Объекты, участвующие в потоке, могут быть как источниками, так и приемниками информации, как ассоциированными с субъектом, так и неассоциированными, а также могут быть пустыми объектами (например, при создании или удалении файлов). Потоки информации могут быть только между объектами, а не между субъектом и объектом.
Доступом субъекта
s
m
к объекту
о
i
называется порождение субъектом
s
m
потока информации между объектом
о
i
и некоторым объектом
о
i
Формальное определение понятия доступа дает возможность средствами субъектно-объектной модели перейти непосредственно к описанию процессов безопасности информации в защищенных системах. С этой целью вводится множество потоков Р для всей совокупности фиксированных декомпозиций системы на субъекты и объекты во все моменты времени (множество Р является объединением потоков по всем моментам времени функционирования системы).
Правила разграничения доступа субъектов к объектам есть формально описанные потоки, принадлежащие множеству Р.
7. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.
8. Все операции контролируются монитором безопасности и либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности.
9. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.
10. Основной элемент модели безопасности – это доказательство утверждения (теоремы) о том, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.
Аксиомы политики безопасности.
Анализ опыта защиты информации, а также основных положений субъектно-объектной модели позволяет сформулировать несколько аксиом, касающихся построения политик безопасности.
Аксиома 1. В защищенной информационной системе в любой момент времени любой субъект и объект должны быть идентифицированы и аутентифицированы.
Данная аксиома определяется самой природой и содержанием процессов коллективного доступа пользователей к ресурсам. Иначе субъекты имеют возможность выдать себя за других субъектов или подменить одни объекты доступа на другие.
Аксиома 2. В защищенной системе должна присутствовать активная компонента (субъект, процесс и т. д.) с соответствующим объектом-источником, которая осуществляет управление доступом и контроль доступа субъектов к объектам, – монитор или ядро безопасности.
Монитор безопасности – механизм реализации политики безопасности в информационной системе, совокупность аппаратных, программных и специальных компонентов системы, реализующих

4 функции защиты и обеспечения безопасности (общепринятое сокращение – ТСВ – Trusted Computing
Base).
В большинстве информационных систем можно выделить ядро (ядро ОС, машина данных
СУБД), в свою очередь разделяемое на компоненту представления информации (файловая система
ОС, модель данных СУБД), компоненту доступа к данным (система ввода–вывода ОС, процессор запросов СУБД) и надстройку (утилиты, сервис, интерфейсные компоненты) (рис.1).
Рис. 1. Незащищенная система
В защищенной системе появляется дополнительный компонент, обеспечивающий процессы защиты информации, прежде всего процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безопасности (разграничения доступа) (рис. 2).
Рис. 2. Защищенная система
С учетом нормативных требований по сертификации защищенных систем к реализации монитора безопасности предъявляются следующие обязательные требования:
1. Полнота. Монитор безопасности должен вызываться при каждом обращении за доступом любого субъекта к любому объекту, и не должно быть никаких способов его обхода.
2. Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата работы.
3. Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешнетестируемым) на предмет выполнения своих функций.
4. Непрерывность. Монитор безопасности должен функционировать при любых, в том числе и аварийных ситуациях. Монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие модели безопасности.
Аксиома 3. Для реализации принятой политики безопасности, управления и контроля доступа субъектов к объектам необходима информация и объект, ее содержащий.
Следствие 3.1. В защищенной системе существует особая категория активных сущностей, которые не инициализируют и которыми не управляют пользователи системы, – системные процессы
(субъекты), присутствующие в системе изначально.
Следствие 3.2. Ассоциированный с монитором безопасности объект, содержащий информацию о системе разграничения доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной информационной системе.
Следствие 3.3. В защищенной системе может существовать доверенный пользователь
(администратор системы), субъекты которого имеют доступ к ассоциированному с монитором

5 безопасности объекту – данным для управления политикой разграничения доступа.
Принципы, способы представления и реализация ассоциированных с монитором безопасности объектов определяются типом политики безопасности и особенностями конкретной системы.
К настоящему времени разработано большое количество различных моделей безопасности, все они выражают несколько исходных политик безопасности. При этом имеет значение критерий безопасности доступов субъектов к объектам, т. е. правило разделения информационных потоков, порождаемых доступом субъектов к объектам, на безопасные и небезопасные. Система безопасна тогда и только тогда, когда субъекты не имеют возможностей нарушать (обходить) установленную в системе политику безопасности.
Субъектом обеспечения политики безопасности выступает монитор безопасности. Его наличие в структуре системы соответственно является необходимым условием безопасности. Что касается условий достаточности, то они заключены в безопасности самого монитора безопасности.
Политика и модели дискреционного доступа.
Политика дискреционного (избирательного) доступа реализована в большинстве защищенных систем и исторически является первой проработанной в теоретическом и практическом плане.
Модели дискреционного доступа непосредственно основываются на субъектно-объектной модели и развивают ее как совокупность некоторых множеств взаимодействующих элементов
(субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дискретным набором троек «пользователь (субъект) – поток (операция) – объект».
В модели, исходя из способа представления области безопасного доступа и механизма разрешений на доступ, анализируется и доказывается, что за конечное число переходов система останется в безопасном состоянии.
На практике наибольшее применение получили дискреционные модели, основанные на матрице доступа. В данных моделях область безопасного доступа строится как прямоугольная матрица (таблица), строки которой соответствуют субъектам доступа, столбцы — объектам доступа, а в ячейках записываются разрешенные операции (права) субъекта над объектом (рис. 3). В матрице используются следующие обозначения: w — «писать», r — «читать», e — «исполнять».
Рис. 3. Матрица доступа

6
Парольные системы разграничения доступа.
В документальных информационных системах, в системах автоматизации документооборота широкое распространение получили так называемые парольные системы разграничения доступа, представляющие отдельную разновидность механизмов реализации дискреционного принципа разграничения доступа.
1. Система представляется следующим набором сущностей:
• множеством информационных объектов (документов)
О(о
1
, …, о
m
);
• множеством пользователей S(s
1
, …, s
n
);
• множеством паролей доступа к объектам К(k
1
, …, k
р
).
2. В системе устанавливается отображение множества О
на множество К, задаваемое следующей функцией:
f
ko
: O → К.
Значением функции f
ko
(о) = k
o
является пароль k
o
доступа к документу о.
3. Область безопасного доступа задается множеством троек (s, k, о), каждый элемент которого соответствует владению пользователем паролем доступа к объекту. В результате устанавливается отображение множества S на множество К:
f
ks
: S → К.
Значением f
ks
(s) = K
s
является набор паролей доступа к документам системы, известных пользователю s.
4. Процессы доступа пользователей к объектам системы организуются в две фазы:
• фаза открытия документа;
• фаза закрытия (сохранения) документа.
При открытии документа о пользователь s предъявляет (вводит, передает) монитору безопасности AС пароль k
s0
доступа к данному документу.
Запрос в доступе удовлетворяется, если
k
s0
= f
k0
(о).
В случае успешного открытия пользователю предоставляются права работы по фиксированному набору операций с объектом.
Политика и модели мандатного доступа.
Политика мандатного доступа является примером использования технологий, наработанных во внекомпьютерной сфере, в частности принципов организации секретного делопроизводства и документооборота, применяемых в государственных структурах большинства стран.
Основным положением политики мандатного доступа является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки, например секретно, сов. секретно и т. д., получившей название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования, например, уровень сов. секретно считается более высоким, чем уровень секретно. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил:
1. No read up (NRU) — нет чтения вверх: субъект имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.
2. No write down (NWD) — нет записи вниз: субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более доверенными
(высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых). Второе

7 правило предотвращает утечку информации (сознательную или несознательную) от высокоуровневых участников процесса обработки информации к низкоуровневым.
Теоретико-информационные модели.
Одной из самых труднорешаемых проблем безопасности в информационных системах, в том числе и основанных на моделях мандатного доступа, является проблема скрытых каналов утечки информации.
Скрытым каналом утечки информации называется механизм, посредством которого в системе может осуществляться информационный поток (передача информации) между сущностями в обход политики разграничения доступа.
Например, к скрытым каналам утечки информации относятся рассмотренные ранее потоки, возникающие за счет «троянских» программ, и неявные информационные потоки в системах на основе дискреционных моделей.
Скрытые каналы утечки информации можно разделить на три вида:
• скрытые каналы по памяти (на основе анализа объема и других статических параметров объектов системы);
• скрытые каналы по времени (на основе анализа временных параметров протекания процессов системы);
• скрытые статистические каналы (на основе анализа статистических параметров процессов системы).
Требования по перекрытию и исключению скрытых каналов впервые были включены вспецификацию уровней защиты автоматизированных систем, предназначенных для обработки сведений, составляющих государственную тайну в США (Оранжевая книга).
Сущность данного подхода заключается в отказе от рассмотрения процесса функционирования информационной системы как детерминированного процесса. При рассмотрении моделей конечных состояний (HRU, TAKE-GRANT, Белла — ЛаПадулы) предполагалось, что функция перехода в зависимости от запроса субъекта и текущего состояния системы однозначно определяет следующее состояние системы. В системах коллективного доступа (много пользователей, много объектов) переходы, следовательно, и состояния системы обусловливаются большим количеством самых разнообразных, в том числе и случайных, факторов, что предполагает использование аппарата теории вероятностей для описания системы.
При таком подходе политика безопасности требует определенной модификации и, в частности, теоретико-вероятностной трактовки процессов функционирования систем и опасных информационных потоков:
1. Информационная система рассматривается как совокупность двух непересекающихся множеств сущностей:
• множества высокоуровневых объектов Н;
• множества низкоуровневых объектов L.
Информационная система представляется мандатной системой с решеткой, состоящей всего из двух уровней безопасности – высокого и низкого и соответственно определяющей невозможность обычных (read/write) информационных потоков «сверху вниз».
2. Состояние любого объекта является случайным. Понятие информационной невыводимости основывается на определении «опасных» потоков: в системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если некое возможное значение переменной в некотором состоянии низкоуровневого объекта невозможно одновременно с определенными возможными значениями переменных состояний высокоуровневых объектов.
3. Формулируется следующий критерий информационной невыводимости: система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные

8 потоки вида, задаваемого в п. 2.
Анализ критерия информационной невыводимости показывает, что его требования являются чрезвычайно жесткими и достижимы, в частности, при полной изоляции высокоуровневых объектов от низкоуровневых.
Требование отсутствия выводимости высокоуровневой информации на основе анализа состояний низкоуровневых объектов одновременно приводит и к обратному, т. е. отсутствию возможностей выводимости низкоуровневой информации из анализа состояний высокоуровневых объектов. Данное свойство является избыточным и противоречит основным положениям мандатной политики, а именно — неопасности и допустимости потоков «снизу вверх» от низкоуровневых сущностей к сущностям с более высокими уровнями безопасности. Другой подход основывается на идее информационного невмешательства. Понятие опасных потоков имеет здесь следующий смысл: в системе присутствует информационный поток от высокоуровневых объектов к низкоуровневым, если информация (состояние) низкоуровневых объектов зависит от информации высокоуровневых объектов. Это значит, что на состояние высокоуровневых объектов в текущий момент времени не влияет состояние низкоуровневых объектов в предшествующий момент времени и наоборот.
Разноуровневые объекты не имеют возможности влиять на последующие состояния объектов другого уровня. Анализ процессов функционирования информационной системы показывает, что такие требования являются чрезвычайно жесткими, фактически совпадающими с требованиями полной изоляции разноуровневых сущностей.
Несмотря на то, что понятия информационной невыводимости и информационного невмешательства непосредственно не применимы для разграничения доступа, они послужили основой широко применяемых в современных информационных системах технологий представлений и разрешенных процедур. Эти технологии исторически возникли как политика разграничения доступа в
СУБД.
Представлением информации в информационной системе называется процедура формирования и представления пользователю (после его входа в систему и аутентификации) необходимого подмножества информационных объектов, в том числе с возможным их количественным и структурным видоизменением исходя из задач разграничения доступа к информации.
В технологиях представлений пользователи, входя и работая в системе, оперируют не с реальной, а с виртуальной системой, формируемой индивидуально для каждого. В результате задача разграничения доступа решается автоматически. Проблемы безопасности при этом сводятся к скрытым каналам утечки информации, рассмотрение и нейтрализация которых осуществляется на основе анализа условий и процедур, обеспечивающих выполнение критериев безопасности.
Технология представлений решает проблему скрытых каналов утечки первого вида. Часть каналов второго и третьего вида перекрывается техникой разрешенных процедур. Системой разрешенных процедур называется разновидность интерфейса системы, когда при входе в систему аутентифицированным пользователям предоставляется только возможность запуска и исполнения конечного набора логико-технологических процедур обработки информации без возможности применения элементарных методов доступа (read, write, create и т. п.) к информационным объектам системы. Следовательно, в системах с интерфейсом разрешенных процедур пользователи не видят информационные объекты, а выполняют операции на уровне логических процедур.
Автоматизированная система при этом для пользователей превращается в дискретный автомат, получающий команды на входе и выдающий обработанную информацию на выходе.
Впервые подобный подход к представлению информационной системы был рассмотрен
Гогеном (J. Goguen) и Мезигером (J. Meseguer), предложившими автоматную модель информационного невлияния (невмешательства) – GM-модель.
Политика и модели тематического разграничения доступа.
Политика тематического разграничения доступа близка к политике мандатного доступа.
В ряде случаев основанием для классификации информации и субъектов доступа к ней выступают не конфиденциальность данных и доверие к субъектам доступа, как в мандатных моделях,

9 а тематическая структура предметной области информационной системы. Стремление расширить мандатную модель для отражения тематического принципа разграничения доступа, применяемого в государственных организациях многих стран, привело к использованию более сложных структур, чем линейная решетка уровней безопасности, именуемых MLS- решетками. MLS-решетка является произведением линейной решетки уровней безопасности и решетки подмножеств множества категорий (тематик).
Еще одним фактором, обусловливающим необходимость построения специальных моделей тематического разграничения доступа, является то, что в большинстве случаев на классификационном множестве в документальных информационных системах устанавливается не линейный порядок (как на множестве уровней безопасности в мандатных моделях), а частичный порядок, задаваемый определенного вида корневыми деревьями (иерархические и фасетные рубрикаторы).
Важным аспектом, присутствующим в практике разграничения доступа к «бумажным» ресурсам, является тематическая «окрашенность» информационных ресурсов предприятий, учреждений по организационно-технологическим процессам и профилям деятельности. Организация доступа сотрудников к информационным ресурсам (в библиотеках, архивах, документальных хранилищах) осуществляется на основе тематических классификаторов. Все документы информационного хранилища тематически индексируются, т. е. соотносятся с теми или иными тематическими рубриками классификатора.
Сотрудники предприятия согласно своим функциональным обязанностям или по другим основаниям получают права работы с документами определенной тематики. Данный подход в сочетании с дискреционным и мандатным доступом, обеспечивает более адекватную и гибкую настройку системы разграничения доступа на конкретные функционально-технологические процессы, предоставляет дополнительные средства контроля и управления доступом.
Ролевая модель безопасности.
Ролевая модель безопасности представляет собой существен-но усовершенствованную модель
Харрисона–Руззо–Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандатным, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов. Поэтому ролевая модель представляет собой совершенно особый тип политики, которая основана на компромиссе между гибкостью управления доступом, характерной для дискреционных моделей, и жесткостью правил контроля доступа, присущей мандатным моделям. В ролевой модели классическое понятие «субъект» замещается понятиями «пользователь» и «роль».
Пользователь – это человек, работающий с системой и выполняющий определенные служебные обязанности.
Роль – это активно действующая в системе абстрактная сущность, с которой связан набор полномочий, необходимых для осуществления определенной деятельности.
Самым распространенным примером роли является присутствующий почти в каждой системе административный бюджет (например, root для UNIX и Administrator для Windows NT), который обладает специальными полномочиями и может использоваться несколькими пользователями.
Ролевая политика распространена очень широко, потому что она, в отличие от других более строгих и формальных политик, очень близка к реальной жизни. Ведь на самом деле работающие в системе пользователи действуют не от своего личного имени, они всегда осуществляют определенные служебные обязанности, т. е. выполняют некоторые роли, которые никак не связаны с их личностью.
Поэтому вполне логично осуществлять управление доступом и назначать полномочия не реальным пользователям, а абстрактным (неперсонифицированным) ролям, представляющим участников определенного процесса обработки информации. Такой подход к политике безопасности позволяет учесть разделение обязанностей и полномочий между участниками прикладного информационного процесса, т. к. с точки зрения ролевой политики имеет значение не личность пользователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.

10
Контрольные вопросы:
1) Что понимается под политикой безопасности?
2) Какая основная цель создания политики безопасности?
3) Модели безопасности обеспечивают системотехнический подход, включающий решение
следующих задач… (написать задачи)
4) Разграничение доступа к информации – это?
5) Что такое субъект и объект доступа?
6) Пользователь – это?
7) Операция Create – это? От чего зависит результат операции Create?
8) Что называют потоком информации?
9) Что называется доступом субъекта?
10) Перечислите аксиомы безопасности.
11) Что такое монитор безопасности? Чем выступает монитор безопасности?
12) Зарисуйте схемы незащищенной и защищенной системы.
13) На чем основываются модели дискреционного доступа?
14) Что такое парольные системы разграничения доступа?
15) Что является основным положением политики мандатного доступа?
16) Что называетсяскрытым каналом утечки информации? И на какие виды можно
разделить?
17) Что представляет собой ролевая модель безопасности? Дайте определение пользователя
и роли в рамках понятия ролевая модель безопасности.