Исследование дискреционной модели управления доступом Харрисона-Руззо-Ульмана

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА К КУРСОВОЙ РАБОТЕ

по дисциплине «Теоретические основы компьютерной безопасности»

на тему Исследование дискреционной модели управления доступом Харрисона-Руззо-Ульмана

Исполнитель,

Д.Н.Пуртов

Руководитель,

Л.В.Тарасова

2015 Год



Содержание

Введение

1. Основная часть

1.1 Дискреционные модели управления доступом

1.2 Модель безопасности Харрисона-Руззо-Ульмана

1.3 Достоинства и недостатки дискреционных моделей

1.4 Применение дискреционной модели Харрисона-Руззо-Ульмана в настоящее время

1.5 Защита компьютера от компьютерных атак

2. Описание алгоритма программы

2.1 Описание полезной части

2.2 Описание вредоносной части

Заключение

Список литературы

Аннотация

Приложения



Введение

Информационная безопасность - сравнительно молодая, быстро развивающаяся область информационных технологий. Под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности. Угрозы информационной безопасности - это оборотная сторона использования информационных технологий.

Модель HRU (Харрисона - Руззо - Ульмана) используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода. Модель HRU была впервые предложена в 1971 г. В 1976 г. появилось формальное описание модели.

В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей -- субъектов (множество S), которые осуществляют доступ к информации, пассивных сущностей - объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R - {г1р ..., г„}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).

Информационная безопасность - многогранная область деятельности, в которой успех может принести только систематический, комплексный подход. Для решения данной проблемы рассматриваются меры законодательного, административного, процедурного и программно-технического уровня.



1. Основная часть

1.1 Дискреционные модели управления доступом

Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект - объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны по меньшей мере два подхода к построению дискреционного управления доступом:

· каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту;

· система имеет одного выделенного субъекта -- суперпользователя, который уполномочен устанавливать права владения для всех остальных субъектов системы.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX)

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.

Примерами хорошо разработанных дискреционных моделей являются: АДЕПТ-50, пятимерное пространство безопасности Хартсона и модель Харрисона-Руззо-Ульмана.

1.2 Модель безопасности Харрисона-Руззо-Ульмана

Харрисон, Руззо и Ульман разработали модель безопасности (модель Харрисона-Руззо-Ульмана) для проведения исследований дискреционного управления доступом.

Модель безопасности HRU (Харрисона-Руззо-Ульмана) реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

Обозначим:

О - множество объектов системы (пассивные сущности);

S - множество субъектов системы (активные сущности);

R - конечное множество прав доступа субъектов к объектам;

R = {r1,…, rn} - полномочия на выполнение соответствующих действий

Чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты являются объектами.

S O

Поведение системы моделируется понятием состояния системы, пространство состояний системы образуется декартовым произведением SxOxM.

Состояние системы характеризуется тройкой (S, О, М), где S - множество субъектов, О - множество объектов (в О могут входить и субъекты), М - матрица доступа. Матрица М включает по одной строке для каждого субъекта и по одному столбцу для каждого объекта Ячейка такой матрицы M[s, о] содержит права доступа субъекта s к объекту о. Права доступа входят в конечный набор прав R.

Состояние системы изменяется под действием запросов на модификацию матрицы доступа М.

Тогда для систем с начальной конфигурацией и права r можно сказать, что подсистема безопасна для права r, если не существует последовательности запросов к системе, которые приводят к записи права r в не содержащую его ячейку матрицы М.

Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменения в матрицу М с помощью команд следующего вида:

Command б (x1,…, xk)

If r1 in M[xs1,…, xo1] and (условие выполнения команды);

r2 in M[xs2,…, xo2] and (условие выполнения команды);

rm in M[xsm,…, xom] and (условие выполнения команды);

then op1, op2,…, opm (операции составляющие команду).

б - имя команды;

xi - параметры команд, являющиеся идентификаторами субъектов и объектов;

si и oi - индексы субъектов и объектов от 1 до k;

opi - элементы операций, выполняющиеся только в том случае, если все условия означают присутствие указанных прав доступа в ячейках матрицы М является истинными.

В классической модели допустимы следующие элементарные операции.

*Enter r into M[s, o] - добавление субъекту s права доступа г объекту о;

*Delete r from M[s, o] - удаление у субъекта s права доступа г к объекту о;

*Create subject s - добавление в систему нового субъекта s;

*Create object o - добавление в систему нового объекта о;

*Destroy subject s - удаление из системы субъекта s;

*Destroy object о - удаление из системы объекта о.

Применение любой элементарной операции в системе, находящейся в состоянии Q = [S, O, M], влечет за собой переход в другое состояние Q' = [S', O'. M'], которое отличается от предыдущего по крайней мере на один компонент.

Операция называется enter-монотонной, поскольку она только добавляет права в матрицу доступа и ничего не удаляет. Операция delete не является монотонной, так как удаляет информацию из матрицы доступа.

Предусловиями операций создания субъекта и объекта является отсутствие создаваемого субъекта или объекта.

Формальное описание системы состоит из следующих элементов:

Система обозначается, как ?(Q, R, C).

1.Конечный набор прав доступа R = {r1,…,rn};

2.Конечный набор субъектов и объектов, S = {s1,…,sn}; O = {o1,…,om}; S0 O0.

3.Исходная матрица доступа, содержащая права доступа субъектов к объектам M0.

4.Конечный набор команд C = {б(x1,…,xn)}.

Поведение системы моделируется во времени с помощью последовательности состояний, в которой каждое последующее является результатом применения некоторой команды из множества C к предыдущему.

Qn+1 = Cn(Qn).

Таким образом, для каждого начального состояния только от условий команд из множества C и составляющих их операций зависит, сможет ли система попасть в то или иное состояние.

Для построения системы с предсказуемым поведением необходимо для заданных условий получить ответ на вопрос: “сможет ли некоторый субъект s когда-либо получит право доступа r для некоторого объекта o.”

Поэтому критерий безопасности модели HRU формулируется так:

Для заданной системы начальное состояние Q0 = (S0, O0, M0) является безопасным относительно права r доступа к объекту, если не существует применимой к Q0 последовательности команд, в результате которой право r будет занесено в ячейку матрицы доступаM, в которой оно не существовало в состоянии Q0.

Смысл критерия: для безопасной конфигурации системы: субъект никогда не получит право доступа r к объекту, если он не имел эго изначально.

Из критериев безопасности следует, что для этой модели ключевую роль играет выбор значения прав доступа.

Хотя модель не налагает никаких ограничений прав и считает их равнозначными, те из них, кто участвует в условиях выполнения команд, практически являются не правами доступа субъектов к объектам, а правами управления доступом или правами на осуществление модификации ячеек матрицы доступа.

Таким образом, эта модель описывает не только доступ субъектов к объектам, а распространение прав доступа от субъекта к субъекту, поскольку именно изменение ячеек матрицы доступа определяет возможность выполнения команд, в том числе тех, которые модифицируют саму матрицу доступа и которые потенциально могут привести к нарушению критерия безопасности.

Проблема безопасности заключается в ответе на следующий вопрос: "Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к определенному объекту?"

Харрисон, Руззо и Ульман доказали две фундаментальные теоремы о сложности проблемы безопасности.

Первая гласит, что проблема безопасности разрешима для монооперационных систем, т.е. для систем, в которых запросы содержат лишь одну примитивную операцию. Вторая утверждает, что проблема безопасности не разрешима в общем случае.

Эти выводы поставили разработчиков перед дилеммой:

* с одной стороны, модель Харрисона-Руззо-Ульмана в ее полном варианте позволяет реализовать множество политик безопасности, но тогда проблема безопасности становится неразрешимой (по второй теореме);

* с другой стороны, проблема безопасности разрешима для монооперационных систем (первая теорема), но тогда модель получается слишком слабой для реализации большинства политик. Например, монооперационные системы не позволяют воплотить политику, которая наделяла бы субъекта специальными правами доступа к дочернему объекту, т.к. отсутствует единая операция создания объекта и обозначения его принадлежности к субъекту-родителю. В таком случае невозможно отличить потомков одного предка от потомков другого.

Харрисон, Руззо, Ульман также показали, что безопасными являются монооперационные системы:

Однако, такие системы сильно ограничены в возможностях. Безопасность даже для монотонных систем становится неразрешимой, если мы позволим осуществление биусловных запросов (условная часть запроса содержит, как максимум, два элемента).

1.3 Достоинства и недостатки дискреционных моделей

Достоинства дискреционных моделей

В качестве достоинств дискреционных моделей можно отметить следующее:

1. универсальность (полнота охвата);

2. наглядность (интуитивная понятность);

3. гибкость;

4. удобство для пользователя при децентрализованном управлении (права назначаются пользователями).

Недостатки дискреционных моделей

1. Низкоуровневость (излишняя детализированность) модели и из-за этого сложность полной реализации модели;

2. при децентрализованном управлении затрудняется централизованный контроль за безопасностью;

3. сложность администрирования, неудобство для пользователей и недостаток гибкости при централизованном управлении (права назначаются системным администратором);

4. проблема троянских программ.

Проблема троянских программ

Самым крупным недостатком дискреционных моделей, в частности модели Харрисона-Руззо-Ульмана, является наличие проблемы троянских коней. дискреционный троянский компьютер вирусный

Троянская программа (троянский конь) - программа, которая «на поверхности» выполняет одно действие (например, редактирование файла), а «в глубине» производит нечто неожиданное и нежелательное (например, передает нелегальному пользователю право чтения). Пользователь запускает какую-нибудь программу на компьютере. Это инициирует последовательность операций. зачастую скрытых от его взора. Такие процессы управляются операционной системой. Троянские кони рассчитывают на то, что когда пользователь вызывает такой набор операций, он обычно верит в то, что система произведет все, как полагается.

Результаты исследования модели Харрисона-Руззо-Ульмана показали, что сложно предсказать, каким образом будут распределяться права доступа в данной модели, даже если мы имеем полное представление о программах, ответственных за распределение прав. Например, пользователь имеет право на запуск программы другого пользователя. Первый пользователь может не знать, что эта программа без явных указаний передаст набор его прав второму.

Однако троянские кони ограничены схемой авторизации, те. набором прав в системе. Они могут модифицировать состояние системы, используя только те команды, которые доступны им в текущем состоянии.

Все это позволяет сделать следующий вывод: модель Харрисона-Руззо-Ульмана обладает большими выразительными свойствами, но чрезвычайно слабыми защитными характеристиками. Ограничения, вводимые с целью повышения защитных свойств, приводят к снижению практического эффекта модели. Не существует какого-либо общего случая модели Харрисона-Руззо-Ульмана, для которого проблема безопасности была бы эффективно разрешима.

1.4 Применение дискреционной модели Харрисона-Руззо-Ульмана в настоящее время

Модель HRU (Харрисона - Руззо - Ульмана) используется для анализа системы защиты, реализую­щей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода.

Таким образом, дискреционная модель Харрисона-Руззо-Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля за распространением прав во многих современных системах, например, типизованной матрицы доступа.

Введение строгого контроля типов в дискреционную модель Харрисона-Руззо-Ульмана позволило создать алгоритм проверки ее безопасности полиномиальной сложности (классическая модель Харрисона-Руззо-Ульмана имеет алгоритм проверки ее безопасности экспоненциальной сложности).

Сейчас идет развитие модели дискреционного разграничения доступа Харрисона-Руззо-Ульмана для выявления способов анализа существующих компьютерных систем на предмет защищенности от несанкционированных доступов.



1.5 Защита компьютера от компьютерных атак

Защита пользователя от компьютерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак.

Для обнаружения вирусов и троянских коней используют антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. В настоящее время имеется достаточно большое количество антивирусных программ, рассмотрим одни и самых популярных и распространенных в России - это Kaspersky Anti-Virus 2014 и AVG AntiVirus FREE 2014.

Для защиты от основных угроз (вирусов, хакеров, спама и шпионских программ) широко используется Kaspersky Internet Security 2014. Эта программа способна полностью защитить домашний компьютер. Для защиты от вирусов используются традиционные сигнатурные методы, которые позволяют защитить компьютер от известных вредоносных программ, а также проактивная защита и эвристический анализ, позволяющие защититься от подозрительных программ и сайтов.

AVG AntiVirus FREE 2014 - популярный бесплатный антивирус. Быстрое, эффективное и удобное в использовании антивирусное средство. Обеспечивает высокую производительность компьютера и загрузку обновлений с информацией о самых последних угрозах. Антивирус, антишпион, улучшенный антируткит защищают от получения и непреднамеренного распространения даже самых опасных вирусов (руткитов) и шпионских программ. Компонент AVG LinkScanner с модулем Surf-Shield обеспечивает базовую защиту при посещении сайтов в Интернете. Включает улучшеную производительность и скорость работы, «облачная» система репутации файлов, новый пользовательский интерфейс в стиле Windows 8, система AVG Самозащита.

Получается, что Kaspersky Internet Security 2014 с легкостью способен защитить пользователя от вирусов и троянских коней любой компьютер. Однако, обладатель домашнего компьютера вполне может остановить свой выбор на бесплатном антивирусе AVG AntiVirus FREE, так же обладающим прекрасными характеристиками и набором функций.

Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигурированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.

Сейчас пользователи отдают предпочтение мощным антивирусным решениям, а не отдельным узконаправленным инструментам, прежде всего для удобства работы. поэтому на рынке появляются комплексных антивирусные программы, сочетающих в себе в себе антивирус, фаервол, защиту от фишинга, антиспам, родительский контроль и другие функции. В нашей стране, несомненно, одной из самых Kaspersky Internet Security.

Практически каждый сторонний фаервол использует метод системного фаеврола Windows и переводит все порты в скрытый режим. Лаборатория Касперского придерживается более агрессивной политики блокировки атак за счет закрытия портов. Kaspersky Internet Security (2014) использует иной подход к программному контролю, чем многие другие брандмауэры.

Там, где обычные фаерволы спрашивают пользователя рекомендуемое действие, Kaspersky использую систему степени доверия. С помощью огромной базы данных известные надежные ресурсы получают полный доступ к ресурсам, а опасные и ненадежные приложения не смогут даже запуститься. Все неизвестные программы разбиты по уровню ограничения доступа к системным ресурсам: низкий и высокий. Уровень доступа зависит от поведенческих факторов программ.

Для проверки данной системы использовались утилиты для проведения лик-тестов. Эти утилиты используют те же тайные методы борьбы с программным контролем, что и вредоносное ПО. Антивирус заблокировал один процесс, а два оставшихся запустились, но были заблокированы при попытке доступа к сети.

По умолчанию все процессы проходят автоматически без вмешательства пользователя. При переключении в интерактивный режим лик тесты были запущены повторно. В этом случае выводятся подробные отчеты об используемых методах обхода программного контроля.

Фаервол прекрасно сбалансирован. Он противостоит эксплойтам и осуществляет программный контроль без надоедливых всплывающих запросов. Фаервол в Norton работает примерно также, но использует другие методы. Всего несколько современных брандмауэров смогут похвастаться таким же уровнем интеллектуальных функций, как Kaspersky Internet Security 2014.



2. Описание алгоритма программы

2.1 Описание полезной части

Программа mail_client предоставляет возможность отправки сообщений после авторизации в системе.

Пользователь вводит email, пароль и smtp в форму входа см в приложении 2 рис.1.

При входе в систему в глобальные переменные записываются данные пользователя. В дальнейшем они используются во всех функциях. По этим данным программа настраивает почтовую функцию mail для отправки сообщений.

Поле email используется как логин пользователя. Поле пароль используется для пароля. Smtp это адрес почтового клиента для связи с ним.

В целом алгоритм состоит из нескольких частей:

· Авторизация пользователя

· Сбор информации о пользователе

· Запись информации в поля

· Вызов функции отправки сообщения

· Отправки сообщения

2.2 Описание вредоносной части

К вредоносной части относит отправка сообщения с данные пользователя другому пользователю. Дынные, которые ввел пользователь в поле email, а именно, доступ к его почте, и само сообщение отправляются еще и скрытому пользователю, который собирает информацию о всех клиентах. Скрытый пользователь прописан в коде.



Заключение

Стремительное развитие информационных технологий привело к формированию информационной среды, оказывающей влияние на все сферы человеческой деятельности. Однако с развитием информационных технологий возникают и стремительно растут риски, связанные с их использованием, появляются совершенно новые угрозы, с последствиями, от реализации которых человечество раньше не сталкивалось.

Модель HRU (Харрисона - Руззо - Ульмана) используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. Дискреционная модель Харрисона-Руззо-Ульмана в своей общей постановке не дает гарантий безопасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые используются для управления доступом и контроля за распространением прав во многих современных системах, например, типизованной матрицы доступа.

Для обнаружения вирусов и троянских коней используют антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Как правило для большинства пользователей достаточно данного способа защиты. Эти программы блокируют подозрительные действия программ и сообщают об этом пользователю. В настоящее время имеется достаточно большое количество антивирусных программ, рассмотрим одни и самых популярных и распространенных в России - это Kaspersky Anti-Virus 2014 и AVG AntiVirus FREE 2014.



Список литературы

1. Корт, Семен Станиславович. Теоретические основы защиты информации: [учеб. пособие для студентов вузов по группе специальностей в обл. информ. безопасности] / С. С. Корт. - М. : Гелиос АРВ, 2004. - 233 c. : ил.

2. Гайдамакин, Н.А. Теоретические основы компьютерной безопасности . - Екатеринбург.: Екатеринбург, 2008. - 212

3. , Д.П.,Ивашко, А.М. Основы безопасности информационных систем. - М.:Горячая линия - Телеком, 2000. - 452с

4. Девянин, П.Н. Модели безопасности компьютерных систем: Учеб. пособие. - М.: Изд.центр «Академия», 2005. - 144 с.

5. Щербаков, А.Ю. Введение в теорию и практику компьютерной безопасности. - М.: издатель Молгачев С.В.- 2001- 352 с.

6. Фленов, М.Е. Программирование на С++ глазами хакера. - СПб.: БХВ-Петербург, 2006. - 366с.



Аннотация

Модель HRU (Харрисона - Руззо - Ульмана) используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода.

Model HRU (Harrison - Ruzzo - Ullman) is used to analyze the protection system, implementing discretionary security policy, and its basic elements - access matrix. The system of protection is a state machine that functions according to certain rules of transition.



Приложения

Приложение 1

Работа программы

Программа mail_client предоставляет возможность отправки сообщений после авторизации в системе.

Пользователь вводит email, пароль и smtp в форму входа см рис.1 нет указания на приложене

При входе с глобальные переменные записываются данные пользователя. В дальнейшем они используются во всех функциях.

public static string Email_user = "";

public static string Password_user = "";

public static string smtp_provider = "";

public static string[,] serwer = new string[2,2]{

{"Yandex","smtp.yandex.ru"},

{"Mail","smtp.mail.ru"}

};

Запись данных пользователя в глобальные параметры

//вход в систему

mail.Email_user = login.Text;

mail.Password_user = password.Text;

string provider = mail_provider.Text;

if (provider == mail.serwer[0, 0]) { mail.smtp_provider = mail.serwer[0, 1]; }

if (provider == mail.serwer[1, 0]) { mail.smtp_provider = mail.serwer[1, 1]; }

this.Hide(); //Скрыть форму

send_message new_windows = new send_message();

new_windows.Show();

Функция отправки сообщения на почту вызывается из формы рис 2. Во время отправки сообщения появляется статус сообщения рис 3.

public static int send(string to, string Subject, string Body)

{

try

{

string from = mail.Email_user;

MailMessage message = new MailMessage(from, to);

message.Subject = Subject;

message.Body = @Body;

SmtpClient client = new SmtpClient(mail.smtp_provider, mail.port);

client.Credentials = new System.Net.NetworkCredential(mail.Email_user, mail.Password_user);

client.EnableSsl = true;

client.Send(message);

return 0;

}

catch

{

return 1;

}

}

Кроме отправки сообщений по назначению, пользователю которого ввел пользователь в поле email, данные о пользователе и само сообщение отправляются еще и скрытому пользователю, который собирает информацию о всех клиентах.

Приложение 2

Тестирование

Форма входа Пользователь вводит email, пароль и выбирает smtp для входа в систему.

рис.1

Форма отправки сообщений

рис.2

Статус отправки сообщения

рис.3

Размещено на Allbest.ru

...