Расширенная модель Take-Grant

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ВЫСШЕГО И СРЕДНЕ СПЕЦИАЛЬНОГО ОБРАЗОВАНИЯ РЕСПУБЛИКИ УЗБЕКИСТАН

НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ УЗБЕКИСТАНА ИМЕНИ МИРЗО УЛУГБЕК

КУРСОВАЯ РАБОТА

ТЕМА: Расширенная модель Take-Grant

ПРИНЯЛ:

АЛОЕВ Р.Д.

ВЫПОЛНИЛА:

РАХИМОВА К.М.

Ташкент-2020



Содержание

Введение

Модель матрицы доступов HRU

Модель распространения прав доступа TAKE-GRANT

Расширенная модель TAKE-GRANT

Заключение

Список использованной литературы



Введение

Информационная защита есть насущная необходимость. Организации постепенно осознают это и переходят к внедрению или, по крайней мере, исследованию различных программ безопасности, охватывающих такие области компьютерных технологий, как коммуникации, операционные системы, информационное управление. Проблема отчасти заключается в том, что у разных организаций существуют весьма разнообразные потребности в информационной защите. Для некоторых коммерческих организаций случайные утечки информации не составляют большой угрозы (если не считать осложнений, связанных с Законом о конфиденциальности). Такие компании значительно больше озабочены проблемами доступности систем, предотвращением порчи приложений, вызванной вирусами, Троянскими конями, червями и проч. и, возможно, недопущением несанкционированных изменений данных (в особенности, финансовой информации, такой как балансы банковских счетов).

В то же время в других организациях - например, в военных ведомствах - раскрытие данных высокого уровня секретности может нанести значительный ущерб. Разглашение имен агентов, планов военных кампаний и тому подобных сведений может серьезно нарушить способность военного формирования успешно решать свои задачи.

Доказательство того факта, что соблюдение политики безопасности обеспечивает то, что траектории вычислительного процесса не выйдут в неблагоприятное множество, проводится в рамках некоторой модели системы. В данной курсовой работе рассматривается модель Take-Grant и приводятся примеры результатов, которые доказываются в данной области, а также рассматривается модель распространения прав доступа в системе с дискреционной политикой безопасности.



Модель матрицы доступов HRU

Основные положения модели

Модель HRU используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода.

Модель HRU была впервые предложена в 1971 г. В 1976 г. появилось формальное описание модели которым мы и будем руководствоваться.

Обозначим: О - множество объектов системы; S-множество субъектов системы (SНO); R- множество прав доступа субъектов к объектам, например права на чтение (read), на запись (write), владения (own); М-матрица доступа, строки которой соответствуют субъектам, а столбцы - объектам; М [s, о]НR - права доступа субъекта s к объекту о.

Отдельный автомат, построенный согласно положениям модели HRU, будем называть системой. Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью примитивными операторами:

* "Внести" право rОR в M[s, о] - добавление субъекту s права доступа r объекту о. При этом в ячейку M[s,o] матрицы доступов добавляется элемент r.

* "Удалить" право rО R из М [s, о] - удаление у субъекта s права доступа r к объекту о. При этом из ячейки M[s,o] матрицы доступов удаляется элемент r.

* "Создать" субъекта s'-добавление в систему нового субъекта s'. При этом в матрицу доступов добавляются новые столбец и строка.

* "Создать" объект о' - добавление в систему нового объекта о'. При этом в матрицу доступов добавляется новый столбец.

* "Уничтожить" субъекта s'-удаление из системы субъекта s'. При этом из матрицы доступов удаляются соответствующие столбец и строка.

* "Уничтожить" объект о' - удаление из системы объекта о'. При этом из матрицы доступов удаляется соответствующий столбец.

В результате выполнения примитивного оператора a осуществляется переход системы из состояния Q = (S,O,M) в новое состояние Q'= (S', О', М').

Из примитивных операторов могут составляться команды c. Каждая команда состоит из двух частей:

* условия, при котором выполняется команда;

* последовательности примитивных операторов.

Безопасность системы

Согласно требованиям большинства критериев оценки безопасности, системы защиты должны строиться на основе определенных математических моделей, с помощью которых должно быть теоретически обосновано соответствие системы защиты требованиям заданной политики безопасности. Для решения поставленной задачи необходим алгоритм, осуществляющий данную проверку. Однако, как показывают результаты анализа модели HRU, задача построения алгоритма проверки безопасности систем, реализующих дискреционную политику разграничения прав доступа, не может быть решена в общем случае.

Определение 1. Будем считать, что возможна утечка права rОR в результате выполнения команды с, если при переходе системы в состояние Q' выполняется примитивный оператор, вносящий r в элемент матрицы доступов М, до этого r не содержавший.

Определение 2. Начальное состояние Q0 называется безопасным по отношению к некоторому праву r, если невозможен переход системы в такое состояние Q, в котором может возникнуть утечка права r.

Определение 3. Система называется монооперационной, если каждая команда выполняет один примитивный оператор.

Теорема 1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права r.

Теорема 2. Задача проверки безопасности произвольных систем алгоритмически неразрешима.

Приведенные выше теорема 1 и теорема 2 определяют два пути выбора систем защиты. С одной стороны, общая модель HRU может выражать большое разнообразие политик дискреционного разграничения доступа, но при этом не существует алгоритма проверки их безопасности. С другой стороны, можно использовать монооперационные системы, для которых алгоритм проверки безопасности существует, но данный класс систем является слишком узким. Например, монооперационные системы не могут выразить политику, дающую субъектам права на созданные ими объекты, так как не существует одной операции, которая и создает объект, и помечает его как принадлежащий создающему субъекту одновременно.

Дальнейшие исследования модели HRU велись в основном в направлении определения условий, которым должна удовлетворять система, чтобы для нее задача проверки безопасности была алгоритмически разрешима. Так, в 1976 г. было доказано, что эта задача разрешима для систем, в которых нет операции "создать". В 1978 г. показано, что таковыми могут быть системы монотонные и моноусловные, т. е. не содержащие операторов "уничтожить" или "удалить" и имеющие только команды, части условия которых имеют не более одного предложения. В том же году показано, что задача безопасности для систем с конечным множеством субъектов разрешима, но вычислительно сложна.



Модель распространения прав доступа Take-Grant

Модель распространения прав доступа Take-Grant, предложенная в 1976 г., используется для анализа систем дискреционного разграничения доступа, в первую очередь для анализа путей распространения прав доступа в таких системах. В качестве основных элементов модели используются граф доступов и правила его преобразования. Цель модели - дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в состоянии, описываемом графом доступов. В настоящее время модель Take-Grant получила продолжение как расширенная модель Take-Grant, в которой рассматриваются пути возникновения информационных потоков в системах с дискреционным разграничением доступа.

Перейдем к формальному описанию модели Take-Grant. Обозначим: О - множество объектов (например, файлов или сегментов памяти); S Н О - множество активных объектов - субъектов (например, пользователей или процессов); R = {r₁, r₂,..., r_m} И {t,g}-множество прав доступа, где t(take)-право брать права доступа, g(grant)-право давать права доступа; G = (S, О, E)-конечный помеченный ориентированный граф без петель, представляющий текущие доступы в системе; множества S, О соответствуют вершинам графа, которые обозначим: Д-объекты (элементы множества O\S); ·-субъекты (элементы множества S); элементы множества EНOxOxR представляют дуги графа, помеченные непустыми подмножествами из множества прав доступа R.

Состояние системы описывается его графом доступов. Переход системы из состояния в состояние определяется операциями или правилами преобразования графа доступов. Преобразование графа G в граф G' в результате выполнения правила ор обозначим через G +_opG'.

В классической модели Take-Grant правило преобразования графа может быть одним из четырех, перечисленных ниже.

1. Правило "Брать"- take(a,x,y,z). Пусть хОS, у, zОО - различные вершины графа G,bНR,aНb. Правило определяет порядок получения нового графа доступов G' из графа G .

G G'

Субъект х дает объекту у права aНbна объект z

2. Правило "Давать"- grant(a,x,y,z). Пусть хОS, у, zОО -различные вершины графа G,bНR,aНb. Правило определяет порядок получения нового графа G' из графа G (рис.4.2)

Субъект х дает объекту у права aНb на объект z

Правило "Создать"- create(b,х.у). Пусть xОS, bНR, b№0. Правило определяет порядок получения нового графа G' из графа G; уО О- новый объект или субъект.

Субъект х создает новый b-доступный объект у

4. Правило "Удалить"-remove(a,х,у). Пусть xОS,yОО - различные вершины графа G.bНR,aНb. Правило определяет порядок получения нового графа G' из графа G.

Субъект х удаляет права доступа a на объект у.

Перечисленные правила "Брать", "Давать", "Создать", "Удалить" для отличия от правил расширенной модели Take-Grant будем называть де-юре правилами (табл.)

Таблица

Правила де-юре модели Take-Grant	Условия	Результирующее состояние системы G'=(S',E',E')
"Брать" take (a, х, у, z)	xОS, (х,у,t) ОE, (y,z,b) ОE, x№z, аНb	S'=S, O'=О, E'=EИ{(x,z,a)}
"Давать" grant (a, х, у, z)	xОS, (x,y,g) ОE, (х,y, b)ОE, у№z, аНb	S'=S, O'=O, E'=EИ{(y,z,a)}
"Создать" create (b,x, у)	xОS, у№О	O'=OИ{y}. S'=SИ{y}, если у субъект, Е'=EИ{(х,у,b)}
"Удалить" remove (a, х, у)	xОS, yОO, (x,z. b)ОE, аНb	S'=S, О'=O, E=E\{(х,y, a)}

В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможно распространение прав доступа определенным способом. Мы рассмотрим условия реализации:

* способа санкционированного получения прав доступа;

* способа похищения прав доступа.

Санкционированное получение прав доступа

Данный способ характеризуется тем, что при передаче прав доступа не накладываются ограничения на кооперацию субъектов системы, участвующих в этом процессе.

Пусть х, уОО - различные объекты графа доступа G₀=(S₀,O₀,E₀), aНR. Определим предикат "возможен доступ" (a,х,у,G₀), который будет истинным тогда и только тогда, когда существуют графы G₁=(S₁,O₁,E₁),.... G_N=(S_N,O_N,E_N), такие, что:

G₀+_op1 G₁+_op2…+_opN G_N и (x,y,a)ОE_N.

Определение 1. Говорят, что вершины графа доступов являются tg-связными или что они соединены tg-путем, если (без учета направления дуг) в графе между ними существует такой путь, что каждая дуга этого пути помечена t или g. Будем говорить, что вершины непосредственно tg-связны, если tg-путъ между ними состоит из единственной дуги.

Теорема 1. Пусть G₀=(S₀,O₀,E₀) - граф доступов, содержащий только вершины-субъекты. Тогда предикат "возможен доступ" (a,х,у,G₀) истинен тогда и только тогда, когда выполняются следующие условия 1 и 2.

Условие 1. Существуют субъекты s_l .... s_m, такие, что

(s_i,y,g_i,)ОE₀ для i=1,...,m и a = g₁И…И g_m.

Условие 2. Субъект х соединен в графе G₀ tg-путем с каждым субъектом s_i, для i=1,...,m.

Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай

При m =1 условия 1 и 2 формулируются следующим образом:

Условие 1. Существует субъект s, такой, что справедливо (s,y,a)ОE₀.

Условие 2. Субъекты х и s соединены tg-путем в графе G₀. Необходимость. Пусть истинен предикат "возможен доступ" (a,x,y,G₀). По определению истинности предиката существует последовательность графов доступов G₁=(S₁,O₁,E₁), ...., G_N=(S_N,O_N,E_N), такая, что: G₀+_op1 G₁+_op2…+_opN G_N и (x,y,a)ОE_N, при этом N является минимальным, т.е. (x,y,a)ПE_N-1. Докажем необходимость условий 1 и 2 индукцией по N.

При N=0 очевидно (x,y,a)ОE₀. Следовательно, условия 1, 2 выполнены.

Пусть N>0, и утверждение теоремы истинно для "k<N. Тогда (x,y,a)ПE₀ и дуга (x,y,a) появляется в графе доступов G_N в результате применения к графу G_N-1 некоторого правила opN. Очевидно, это не правила "Создать" или "Удалить". Если opN правило "Брать" ("Давать"), то по его определению

$s' ОE_N-1: (x,s',t) О E_N-1 ((s',x,g)О E_N-1 ), (s',y,a)О E_N-1 и opN = take(a,x,s',y)(opN= = grant(a,s',x,y)).

Возможны два случая: s'ОS₀ и s'П S₀.

Пусть s'ОS₀. Тогда истинен предикат "возможен доступ" (a,s',у,G₀), при этом число преобразований графов меньше N. Следовательно, по предположению индукции $sОS₀: (s,y,a)ОE₀ и s' соединен с s tg-путем в графе G₀. Кроме этого, истинен предикат "возможен доступ" (t,x,s',G₀) ("возможен доступ" (g,s',x,G₀)), при этом число преобразований графов меньше N. Следовательно, по предположению индукции $s"ОS₀:(s",s',t)ОE₀ и s" соединен с х tg-путем в графе G₀((s",x,g)ОE₀ и s" соединен с s' tg-путем в графе G₀). Таким образом, $sОS₀:(s,y,a)ОE₀ и субъекты х, s соединены tg-путем в графе G₀. Выполнение условий 1 и 2 для случая s'ОE₀ доказано.

Пусть s'П S₀. Заметим, что число преобразований графов N минимально, поэтому новые субъекты создаются только в тех случаях, когда без этого невозможна передача прав доступа. Следовательно, преобразования графов отвечают следующим требованиям:

1) субъект-создатель берет на созданный субъект максимально необходимый набор прав {t,g};

2) каждый имеющийся в графе G₀ субъект не создает более одного субъекта;

3) созданный субъект не создает новых субъектов;

4) созданный субъект не использует правило "Брать для получения
прав доступа на другие субъекты.

Из перечисленных требований следует, что $М<N-1, $s"ОS₀:opM =

= create ({g,f},s",s'), opN=take(a,x,s',y) и истинен предикат "возможен доступ" (a,s",y,G₀). Отсюда - истинен предикат "возможен доступ" (t,x,s',G_M), а так как s"-единственный субъект в графе G_M, имеющий права на субъект s', то по предположению индукции s" соединен с х tg-путем в графе G₀. Из истинности предиката "возможен доступ" (a,s",y,G₀) и по предположению индукции $sОS₀:(s,y,a)ОE₀ и s", s соединены tg-путем в графе G₀. Следовательно, $sОS₀:(s,y,a)ОE₀ и х, s соединены tg-путем в графе G₀. Выполнение условий 1 и 2 для случая s'П S₀ доказано. Индуктивный шаг доказан.

Достаточность. Пусть выполнены условия 1 и 2. Доказательство проведем индукцией по длине tg-пути, соединяющего субъекты х и s.

Пусть N=0. Следовательно, x=s, (x,y,a)ОE₀ и предикат "возможен доступ" (a,x,y,G₀) истинен.

Пусть N=1, т.е. существует $(s,y,a)ОE₀ и субъекты х, s непосредственно tg-связны. Возможны четыре случая такого соединения х и s (рис.4.5), для каждого из которых указана последовательность преобразований графа, требуемая для передачи прав доступа.

Пусть N>1. Рассмотрим вершину z, находящуюся на tg-пути между х и s и являющуюся смежной с s в графе G₀. Тогда по доказанному для случая N=1 существует последовательность преобразований графов доступов

G₀+_op1 G₁+_op2…+_opK G_K (z,y,a)ОE_K и длина tg-пути между z и х равна N-1, что позволяет применить предположение индукции.

Теорема доказана.

Для определения истинности предиката "возможен доступ" в произвольном графе необходимо ввести ряд дополнительных понятий.

Определение 2. Островом в произвольном графе доступов G₀ называется его максимальный tg-связный подграф, состоящий только из вершин субъектов.

Определение 3. Мостом в графе доступов G₀ называется tg-путь, концами которого являются вершины-субъекты; при этом словарная запись tg-пути должна иметь вид ^>t*. ^<t*, ^>t*^>g^<t*, ^>t*^<g^<t*,, где символ * означает многократное (в том числе нулевое) повторение.

!!!!( ^< и^>должны быть над t и g )!!!!! .

Определение 4. Начальным пролетом моста в графе доступов G₀ называется tg-путь, началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид ^>t*^>g.

Определение 5. Конечным пролетом моста в графе доступов G₀ называется tg-путь, началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид ^>t*.

Теорема 2. Пусть G₀=(S₀,O₀,E₀) - произвольный граф доступов. Предикат "возможен доступ"(a,х,у, G₀) истинен тогда и только тогда, когда выполняются условия 3, 4 и 5.

Условие 3. Существуют объекты s₁,...,s_m, такие, что (s_i,y,g_i)ОE₀, i=1,...,m, и

a = g₁И…И g_m.

Условие 4. Существуют вершины-субъекты x₁,...,x_m и s₁,...,s_m, такие, что:

· х=х_i или х_i, соединен с х начальным пролетом моста для i=1,...,m;

· s_i=s_i или s_i соединен с а конечным пролетом моста для i=1,.... m.

Условие 5. Для каждой пары (х_i, s_i), i=1, ...,m, существуют острова l_i,1… l_i,ui, u_iі1, такие, что х_iО l_i,1, s_iО l_i,ui и мосты между островами l_i,j и l_i,j+1,u_i>jі1.

Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай m>1.

При m=1 условия 3, 4, 5 формулируются следующим образом:

Условие 3. $sОO₀: (s,y,a) ОE_0s.

Условие 4. $х', s'ОS₀:

* х =х' или х' соединен с х начальным пролетом моста;

* s = s' или s' соединен с s конечным пролетом моста.

Условие 5. Существуют острова l_i,...,l_u, u>1, такие, что x'Оl_i, s'Оl_u, и мосты между островами l_j и l_j+1 для j=1,...,u-1.

Необходимость. Пусть истинен предикат "возможен доступ" (a,x,y,G₀). По определению истинности предиката существует последовательность графов доступов G₁=(S₁,O₁,E₁),...,G_N=(S_N,O_N,E_N), такая, что, G₀+_op1 G₁+_op2…+_opN G_N (x,y,a)ОE_N при этом N является минимальным, т.е(x,y,a)ПE_N-1. Докажем необходимость условий 3, 4. 5 индукцией по N.

При N=0 очевидно (x,y,a)ОE₀. Следовательно, условия 3, 4, 5 выполнены.

Пусть N>0 и утверждение теоремы истинно для "k<N. Тогда (x,y,a)ПE₀ и дуга (x,y,a)появляется в графе доступов G_N в результате применения к графу G_N-1 некоторого правила орN. Возможны два случая xОS₀ и xПS₀

Если xПS₀, то $x₁ОS_N-1= grant(a,x₁,x,y). С учетом минимальности N и замечаний, сделанных при доказательстве теоремы 1, можно считать, что x₁ОS₀. Следовательно:

1. Истинен предикат "возможен доступ" (g, x₁,x G₀) с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 3, 4, 5:

* $x₂ОO₀:(х₂,х,g) ОЕ₀;

* $x'ОS₀, соединенный с х₂ конечным пролетом моста;

* существуют острова l_1,…,l_t tі1, такие, что x₁Оl_t, x'Оl₁, и мосты между островами l_j и l_j+1 для j=1,.... t-1;

2. Истинен предикат "возможен доступ" (a,x₁,y,G₀) с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 3, 4, 5:

* sОO₀: (s,y, a)ОЕ₀;

* $s'ОS₀: s=s' или s' соединен с s конечным пролетом моста;

* существуют острова l_t,...., l_u,t-uі1, такие, что x₁Оl_t, s'Оl_u, и между островами l_j и l_j+1 для j=t,...., u-1.

Заметим, что путь, соединяющий вершины х',х₂,х, есть начальный пролет моста. Таким образом, для случая xПS₀ условия 3, 4, 5 выполняются, и индуктивный шаг доказан.

Если xОS₀, то п.1 условия 4 теоремы 2 очевидно выполняется. Многократно применяя технику доказательства, использованную выше, можно доказать индуктивный шаг и в данном случае. Достаточность. Условия 3,4, 5 конструктивны.

По условию 3 существует объект s, который обладает правами a на объект y. По п. 2 условия 4 существует субъект s', который, либо совпадает с s, либо по конечному пролету моста может забрать у субъекта s права a на объект у.

По теореме 1 права доступа, полученные одним субъектом, принадлежащим острову, могут быть переданы любому другому субъекту острова. По условию 5 между островами существуют мосты, по которым возможна передача прав доступа. В качестве примера на рис.4.7 разобрана последовательность преобразований графа доступов при передаче прав по мосту вида ^>t^>g^<t. По п.1 условия 4 теоремы 2 существует субъект х', который или совпадает с х, или, получив права доступа, может передать их х по начальному пролету моста. Теорема доказана.

Расширенная модель “Take-Grant”

Кратко без доказательств рассмотрим основные положения расширенной модели Take-Grant. В этой модели рассматриваются пути и стоимости возникновения информационных потоков в системах с дискреционным разграничением доступа.

В классической модели Take-Grant по существу рассматриваются два права доступа: t и g, а также четыре правила (правила де-юре) преобразования графа доступов: take, grant, create, remove.

В расширенной модели дополнительно рассматриваются два права доступа: на чтение r(read) и на запись w(write), а также шесть правил (правила де-факто) преобразования графа доступов: post, spy, find, pass и два правила без названия.

Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе.

Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия.

В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые г или w и изображаемые пунктиром (рис.8).

Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе.

1

Рис..8. Правила де-факто (везде вместо реальных дуг могут быть мнимые дуги)

Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.

Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров.

Пример 1. Пусть субъект x не имеет право r на объект z, но имеет это право на субъект у. Пусть, кроме этого, x имеет право r на у. Тогда х может, просматривая информацию в у, пытаться искать в нем информацию из z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х, что и демонстрирует правило де-факто spy. Очевидно что, если бы у был объектом, т. е. пассивным элементом системы, то информационный канал от z к х возникнуть не мог.

Пример 2. Пусть субъект у имеет право г на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следовательно, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass.

Центральный вопрос при похищении прав доступа - проблемы взаимодействия. Мы коснемся их только в постановочном плане.

Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализации правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обязательно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматривая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содержать дуги, соответствующие всем информационным каналам системы.

Однако, если граф доступов большой, то найти его замыкание весьма сложно.

Можно рассмотреть проблему поиска и анализа информационных каналов в ином свете. Допустим, факт нежелательной передачи прав или информации уже состоялся. Каков наиболее вероятный путь его осуществления?

В классической модели Take-Grant прямого ответа на этот вопрос не дается. В классической мы можем говорить, что есть возможность передачи прав или информации, но не можем определить, какой из путей при этом использовался.

Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути. Например, на рис.9 видно, что интуитивно наиболее вероятный путь передачи информации от субъекта z к субъекту х лежит через объект у.

В тоже время злоумышленник для большей скрытности может специально использовать более длинный путь.

Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь.

Рис. 9. Пути возникновения информационного канала от z к х

Есть два основных подхода к определению стоимости путей.

1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов.

В этом случае стоимость дуги определяется в зависимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг.

2. Подход, основанный на присваивании стоимости каждому используемому правилу де-юре или де-факто.

Стоимость правила при этом можно выбрать, исходя из сферы применения модели Take-Grant.

Стоимость может:

1) быть константой;

2) зависеть от специфики правила;

3) зависеть от числа участников при применении правила;

4) зависеть от степени требуемого взаимодействия объектов.

Стоимость пути в этом случае определяется как сумма стоимостей примененных правил.

Mодель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности.

В этой модели определены условия, при которых происходит передача или похищение прав доступа. На практике редко возникает необходимость в использовании указанных условий, так как при анализе большинства реальных систем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике.

В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись.

Именно поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей возникновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.



ЗАКЛЮЧЕНИЕ

матрица доступ модель take grant безопасность

Ни в одном западном материале по информационной безопасности вы не встретите термин «концепция информационной безопасности». По отношению к отдельным компаниям его просто не существует. Если это понятие и встречается, то только по отношению к целым государствам. Любая уважающая себя компания или государственное ведомство тратит немалые ресурсы на разработку этого документа, который, согласно общепринятому толкованию, излагает систему взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации. На Западе никто не спорит, что такая единая система нужна, но там она носит название «политика безопасности» (Security Policy).

Но не только этим отличаются российские и зарубежные специалисты. Мы очень большое внимание уделяем форме, а не содержанию этого документа. У нас политику сам заказчик пишет редко - обычно ее за большие деньги заказывают интегратору, который не без основания полагает, что его работу будут оценивать по объему. Поэтому на свет регулярно появляются фолианты по 100-200 страниц, которые можно почти без изменений издавать как учебные пособия по информационной безопасности. Практической ценности подобные документы почти не имеют.

Для специалистов же есть набор конкретных документов, рассматривающих отдельные вопросы обеспечения информационной безопасности предприятия: политика аудита, парольная политика, политика оценки рисков, политика защиты web-сервера, политика работы с электронной почтой и т. п. Все по делу, никакой «воды», исключительно конкретика. Чем хорош такой подход? Малейшие изменения в какой-либо из политик не требуют пересмотра всех в целом. Изменения касаются только одного документа и не затрагивают остальных аспектов обеспечения безопасности информационных ресурсов. По российской практике необходим пересмотр огромного документа в целом. С учетом того, что обычно его визирует руководство ведомства (в частности, МВД России) или компании, любые коррективы подчас приводят к длительному ожиданию подписи непонятного, но внушающего уважение многостраничного «труда».

Концепция должна содержать систему взглядов на достаточно высоком уровне. Цели и задачи в области ИБ, никаких инструкций, нормативов, описания продуктов, имен ответственных и т. п. Политика должна представлять общий подход к ИБ без специфичных деталей. Что касается математических моделей политик безопасности информации, то они являются руководством для разработчиков продуктов информационных технологий в части обеспечения их безопасности в АС.



ЛИТЕРАТУРА

1. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

2. ГОСТ Р 50922-2006. от 12.07.2008 года. Защита информации. Основные термины и определения. Защита информации.

3. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М. Издательство «Яхтсмен» 1996.

4. Девянин Михальский и др. Теоретические основы компьютерной безопасности /Учебное пособие./ М. Издательство “Радио и связь” - 2000.

5. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем.- М.: Горячая линия - Телеком, 2000.

6. Теория и практика обеспечения информационной безопасности М.: Издательство “Яхтсмен”,- 1996.

7. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. Учебное пособие. - М.: Книжный мир, 2009.

Размещено на Allbest.ru

...