Расширенная модель Take-Grant
Модель матрицы доступов HRU: анализ системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. Модель распространения прав доступа Take-Grant. Основные положения расширенной модели Take-Grant, примеры.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 12.04.2021 |
Размер файла | 660,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
МИНИСТЕРСТВО ВЫСШЕГО И СРЕДНЕ СПЕЦИАЛЬНОГО ОБРАЗОВАНИЯ РЕСПУБЛИКИ УЗБЕКИСТАН
НАЦИОНАЛЬНЫЙ УНИВЕРСИТЕТ УЗБЕКИСТАНА ИМЕНИ МИРЗО УЛУГБЕК
КУРСОВАЯ РАБОТА
ТЕМА: Расширенная модель Take-Grant
ПРИНЯЛ:
АЛОЕВ Р.Д.
ВЫПОЛНИЛА:
РАХИМОВА К.М.
Ташкент-2020
Содержание
Введение
Модель матрицы доступов HRU
Модель распространения прав доступа TAKE-GRANT
Расширенная модель TAKE-GRANT
Заключение
Список использованной литературы
Введение
Информационная защита есть насущная необходимость. Организации постепенно осознают это и переходят к внедрению или, по крайней мере, исследованию различных программ безопасности, охватывающих такие области компьютерных технологий, как коммуникации, операционные системы, информационное управление. Проблема отчасти заключается в том, что у разных организаций существуют весьма разнообразные потребности в информационной защите. Для некоторых коммерческих организаций случайные утечки информации не составляют большой угрозы (если не считать осложнений, связанных с Законом о конфиденциальности). Такие компании значительно больше озабочены проблемами доступности систем, предотвращением порчи приложений, вызванной вирусами, Троянскими конями, червями и проч. и, возможно, недопущением несанкционированных изменений данных (в особенности, финансовой информации, такой как балансы банковских счетов).
В то же время в других организациях - например, в военных ведомствах - раскрытие данных высокого уровня секретности может нанести значительный ущерб. Разглашение имен агентов, планов военных кампаний и тому подобных сведений может серьезно нарушить способность военного формирования успешно решать свои задачи.
Доказательство того факта, что соблюдение политики безопасности обеспечивает то, что траектории вычислительного процесса не выйдут в неблагоприятное множество, проводится в рамках некоторой модели системы. В данной курсовой работе рассматривается модель Take-Grant и приводятся примеры результатов, которые доказываются в данной области, а также рассматривается модель распространения прав доступа в системе с дискреционной политикой безопасности.
Модель матрицы доступов HRU
Основные положения модели
Модель HRU используется для анализа системы защиты, реализующей дискреционную политику безопасности, и ее основного элемента - матрицы доступов. При этом система защиты представляется конечным автоматом, функционирующим согласно определенным правилам перехода.
Модель HRU была впервые предложена в 1971 г. В 1976 г. появилось формальное описание модели которым мы и будем руководствоваться.
Обозначим: О - множество объектов системы; S-множество субъектов системы (SНO); R- множество прав доступа субъектов к объектам, например права на чтение (read), на запись (write), владения (own); М-матрица доступа, строки которой соответствуют субъектам, а столбцы - объектам; М [s, о]НR - права доступа субъекта s к объекту о.
Отдельный автомат, построенный согласно положениям модели HRU, будем называть системой. Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью примитивными операторами:
* "Внести" право rОR в M[s, о] - добавление субъекту s права доступа r объекту о. При этом в ячейку M[s,o] матрицы доступов добавляется элемент r.
* "Удалить" право rО R из М [s, о] - удаление у субъекта s права доступа r к объекту о. При этом из ячейки M[s,o] матрицы доступов удаляется элемент r.
* "Создать" субъекта s'-добавление в систему нового субъекта s'. При этом в матрицу доступов добавляются новые столбец и строка.
* "Создать" объект о' - добавление в систему нового объекта о'. При этом в матрицу доступов добавляется новый столбец.
* "Уничтожить" субъекта s'-удаление из системы субъекта s'. При этом из матрицы доступов удаляются соответствующие столбец и строка.
* "Уничтожить" объект о' - удаление из системы объекта о'. При этом из матрицы доступов удаляется соответствующий столбец.
В результате выполнения примитивного оператора a осуществляется переход системы из состояния Q = (S,O,M) в новое состояние Q'= (S', О', М').
Из примитивных операторов могут составляться команды c. Каждая команда состоит из двух частей:
* условия, при котором выполняется команда;
* последовательности примитивных операторов.
Безопасность системы
Согласно требованиям большинства критериев оценки безопасности, системы защиты должны строиться на основе определенных математических моделей, с помощью которых должно быть теоретически обосновано соответствие системы защиты требованиям заданной политики безопасности. Для решения поставленной задачи необходим алгоритм, осуществляющий данную проверку. Однако, как показывают результаты анализа модели HRU, задача построения алгоритма проверки безопасности систем, реализующих дискреционную политику разграничения прав доступа, не может быть решена в общем случае.
Определение 1. Будем считать, что возможна утечка права rОR в результате выполнения команды с, если при переходе системы в состояние Q' выполняется примитивный оператор, вносящий r в элемент матрицы доступов М, до этого r не содержавший.
Определение 2. Начальное состояние Q0 называется безопасным по отношению к некоторому праву r, если невозможен переход системы в такое состояние Q, в котором может возникнуть утечка права r.
Определение 3. Система называется монооперационной, если каждая команда выполняет один примитивный оператор.
Теорема 1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права r.
Теорема 2. Задача проверки безопасности произвольных систем алгоритмически неразрешима.
Приведенные выше теорема 1 и теорема 2 определяют два пути выбора систем защиты. С одной стороны, общая модель HRU может выражать большое разнообразие политик дискреционного разграничения доступа, но при этом не существует алгоритма проверки их безопасности. С другой стороны, можно использовать монооперационные системы, для которых алгоритм проверки безопасности существует, но данный класс систем является слишком узким. Например, монооперационные системы не могут выразить политику, дающую субъектам права на созданные ими объекты, так как не существует одной операции, которая и создает объект, и помечает его как принадлежащий создающему субъекту одновременно.
Дальнейшие исследования модели HRU велись в основном в направлении определения условий, которым должна удовлетворять система, чтобы для нее задача проверки безопасности была алгоритмически разрешима. Так, в 1976 г. было доказано, что эта задача разрешима для систем, в которых нет операции "создать". В 1978 г. показано, что таковыми могут быть системы монотонные и моноусловные, т. е. не содержащие операторов "уничтожить" или "удалить" и имеющие только команды, части условия которых имеют не более одного предложения. В том же году показано, что задача безопасности для систем с конечным множеством субъектов разрешима, но вычислительно сложна.
Модель распространения прав доступа Take-Grant
Модель распространения прав доступа Take-Grant, предложенная в 1976 г., используется для анализа систем дискреционного разграничения доступа, в первую очередь для анализа путей распространения прав доступа в таких системах. В качестве основных элементов модели используются граф доступов и правила его преобразования. Цель модели - дать ответ на вопрос о возможности получения прав доступа субъектом системы на объект в состоянии, описываемом графом доступов. В настоящее время модель Take-Grant получила продолжение как расширенная модель Take-Grant, в которой рассматриваются пути возникновения информационных потоков в системах с дискреционным разграничением доступа.
Перейдем к формальному описанию модели Take-Grant. Обозначим: О - множество объектов (например, файлов или сегментов памяти); S Н О - множество активных объектов - субъектов (например, пользователей или процессов); R = {r1, r2,..., rm} И {t,g}-множество прав доступа, где t(take)-право брать права доступа, g(grant)-право давать права доступа; G = (S, О, E)-конечный помеченный ориентированный граф без петель, представляющий текущие доступы в системе; множества S, О соответствуют вершинам графа, которые обозначим: Д-объекты (элементы множества O\S); ·-субъекты (элементы множества S); элементы множества EНOxOxR представляют дуги графа, помеченные непустыми подмножествами из множества прав доступа R.
Состояние системы описывается его графом доступов. Переход системы из состояния в состояние определяется операциями или правилами преобразования графа доступов. Преобразование графа G в граф G' в результате выполнения правила ор обозначим через G +opG'.
В классической модели Take-Grant правило преобразования графа может быть одним из четырех, перечисленных ниже.
1. Правило "Брать"- take(a,x,y,z). Пусть хОS, у, zОО - различные вершины графа G,bНR,aНb. Правило определяет порядок получения нового графа доступов G' из графа G .
G G'
Субъект х дает объекту у права aНbна объект z
2. Правило "Давать"- grant(a,x,y,z). Пусть хОS, у, zОО -различные вершины графа G,bНR,aНb. Правило определяет порядок получения нового графа G' из графа G (рис.4.2)
Субъект х дает объекту у права aНb на объект z
Правило "Создать"- create(b,х.у). Пусть xОS, bНR, b№0. Правило определяет порядок получения нового графа G' из графа G; уО О- новый объект или субъект.
Субъект х создает новый b-доступный объект у
4. Правило "Удалить"-remove(a,х,у). Пусть xОS,yОО - различные вершины графа G.bНR,aНb. Правило определяет порядок получения нового графа G' из графа G.
Субъект х удаляет права доступа a на объект у.
Перечисленные правила "Брать", "Давать", "Создать", "Удалить" для отличия от правил расширенной модели Take-Grant будем называть де-юре правилами (табл.)
Таблица
Правила де-юре модели Take-Grant |
Условия |
Результирующее состояние системы G'=(S',E',E') |
|
"Брать" take (a, х, у, z) |
xОS, (х,у,t) ОE, (y,z,b) ОE, x№z, аНb |
S'=S, O'=О, E'=EИ{(x,z,a)} |
|
"Давать" grant (a, х, у, z) |
xОS, (x,y,g) ОE, (х,y, b)ОE, у№z, аНb |
S'=S, O'=O, E'=EИ{(y,z,a)} |
|
"Создать" create (b,x, у) |
xОS, у№О |
O'=OИ{y}. S'=SИ{y}, если у субъект, Е'=EИ{(х,у,b)} |
|
"Удалить" remove (a, х, у) |
xОS, yОO, (x,z. b)ОE, аНb |
S'=S, О'=O, E=E\{(х,y, a)} |
В модели Take-Grant основное внимание уделяется определению условий, при которых в системе возможно распространение прав доступа определенным способом. Мы рассмотрим условия реализации:
* способа санкционированного получения прав доступа;
* способа похищения прав доступа.
Санкционированное получение прав доступа
Данный способ характеризуется тем, что при передаче прав доступа не накладываются ограничения на кооперацию субъектов системы, участвующих в этом процессе.
Пусть х, уОО - различные объекты графа доступа G0=(S0,O0,E0), aНR. Определим предикат "возможен доступ" (a,х,у,G0), который будет истинным тогда и только тогда, когда существуют графы G1=(S1,O1,E1),.... GN=(SN,ON,EN), такие, что:
G0+op1 G1+op2…+opN GN и (x,y,a)ОEN.
Определение 1. Говорят, что вершины графа доступов являются tg-связными или что они соединены tg-путем, если (без учета направления дуг) в графе между ними существует такой путь, что каждая дуга этого пути помечена t или g. Будем говорить, что вершины непосредственно tg-связны, если tg-путъ между ними состоит из единственной дуги.
Теорема 1. Пусть G0=(S0,O0,E0) - граф доступов, содержащий только вершины-субъекты. Тогда предикат "возможен доступ" (a,х,у,G0) истинен тогда и только тогда, когда выполняются следующие условия 1 и 2.
Условие 1. Существуют субъекты sl .... sm, такие, что
(si,y,gi,)ОE0 для i=1,...,m и a = g1И…И gm.
Условие 2. Субъект х соединен в графе G0 tg-путем с каждым субъектом si, для i=1,...,m.
Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай
При m =1 условия 1 и 2 формулируются следующим образом:
Условие 1. Существует субъект s, такой, что справедливо (s,y,a)ОE0.
Условие 2. Субъекты х и s соединены tg-путем в графе G0. Необходимость. Пусть истинен предикат "возможен доступ" (a,x,y,G0). По определению истинности предиката существует последовательность графов доступов G1=(S1,O1,E1), ...., GN=(SN,ON,EN), такая, что: G0+op1 G1+op2…+opN GN и (x,y,a)ОEN, при этом N является минимальным, т.е. (x,y,a)ПEN-1. Докажем необходимость условий 1 и 2 индукцией по N.
При N=0 очевидно (x,y,a)ОE0. Следовательно, условия 1, 2 выполнены.
Пусть N>0, и утверждение теоремы истинно для "k<N. Тогда (x,y,a)ПE0 и дуга (x,y,a) появляется в графе доступов GN в результате применения к графу GN-1 некоторого правила opN. Очевидно, это не правила "Создать" или "Удалить". Если opN правило "Брать" ("Давать"), то по его определению
$s' ОEN-1: (x,s',t) О EN-1 ((s',x,g)О EN-1 ), (s',y,a)О EN-1 и opN = take(a,x,s',y)(opN= = grant(a,s',x,y)).
Возможны два случая: s'ОS0 и s'П S0.
Пусть s'ОS0. Тогда истинен предикат "возможен доступ" (a,s',у,G0), при этом число преобразований графов меньше N. Следовательно, по предположению индукции $sОS0: (s,y,a)ОE0 и s' соединен с s tg-путем в графе G0. Кроме этого, истинен предикат "возможен доступ" (t,x,s',G0) ("возможен доступ" (g,s',x,G0)), при этом число преобразований графов меньше N. Следовательно, по предположению индукции $s"ОS0:(s",s',t)ОE0 и s" соединен с х tg-путем в графе G0((s",x,g)ОE0 и s" соединен с s' tg-путем в графе G0). Таким образом, $sОS0:(s,y,a)ОE0 и субъекты х, s соединены tg-путем в графе G0. Выполнение условий 1 и 2 для случая s'ОE0 доказано.
Пусть s'П S0. Заметим, что число преобразований графов N минимально, поэтому новые субъекты создаются только в тех случаях, когда без этого невозможна передача прав доступа. Следовательно, преобразования графов отвечают следующим требованиям:
1) субъект-создатель берет на созданный субъект максимально необходимый набор прав {t,g};
2) каждый имеющийся в графе G0 субъект не создает более одного субъекта;
3) созданный субъект не создает новых субъектов;
4) созданный субъект не использует правило "Брать для получения
прав доступа на другие субъекты.
Из перечисленных требований следует, что $М<N-1, $s"ОS0:opM =
= create ({g,f},s",s'), opN=take(a,x,s',y) и истинен предикат "возможен доступ" (a,s",y,G0). Отсюда - истинен предикат "возможен доступ" (t,x,s',GM), а так как s"-единственный субъект в графе GM, имеющий права на субъект s', то по предположению индукции s" соединен с х tg-путем в графе G0. Из истинности предиката "возможен доступ" (a,s",y,G0) и по предположению индукции $sОS0:(s,y,a)ОE0 и s", s соединены tg-путем в графе G0. Следовательно, $sОS0:(s,y,a)ОE0 и х, s соединены tg-путем в графе G0. Выполнение условий 1 и 2 для случая s'П S0 доказано. Индуктивный шаг доказан.
Достаточность. Пусть выполнены условия 1 и 2. Доказательство проведем индукцией по длине tg-пути, соединяющего субъекты х и s.
Пусть N=0. Следовательно, x=s, (x,y,a)ОE0 и предикат "возможен доступ" (a,x,y,G0) истинен.
Пусть N=1, т.е. существует $(s,y,a)ОE0 и субъекты х, s непосредственно tg-связны. Возможны четыре случая такого соединения х и s (рис.4.5), для каждого из которых указана последовательность преобразований графа, требуемая для передачи прав доступа.
Пусть N>1. Рассмотрим вершину z, находящуюся на tg-пути между х и s и являющуюся смежной с s в графе G0. Тогда по доказанному для случая N=1 существует последовательность преобразований графов доступов
G0+op1 G1+op2…+opK GK (z,y,a)ОEK и длина tg-пути между z и х равна N-1, что позволяет применить предположение индукции.
Теорема доказана.
Для определения истинности предиката "возможен доступ" в произвольном графе необходимо ввести ряд дополнительных понятий.
Определение 2. Островом в произвольном графе доступов G0 называется его максимальный tg-связный подграф, состоящий только из вершин субъектов.
Определение 3. Мостом в графе доступов G0 называется tg-путь, концами которого являются вершины-субъекты; при этом словарная запись tg-пути должна иметь вид >t*. <t*, >t*>g<t*, >t*<g<t*,, где символ * означает многократное (в том числе нулевое) повторение.
!!!!( < и>должны быть над t и g )!!!!! .
Определение 4. Начальным пролетом моста в графе доступов G0 называется tg-путь, началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид >t*>g.
Определение 5. Конечным пролетом моста в графе доступов G0 называется tg-путь, началом которого является вершина-субъект; при этом словарная запись tg-пути должна иметь вид >t*.
Теорема 2. Пусть G0=(S0,O0,E0) - произвольный граф доступов. Предикат "возможен доступ"(a,х,у, G0) истинен тогда и только тогда, когда выполняются условия 3, 4 и 5.
Условие 3. Существуют объекты s1,...,sm, такие, что (si,y,gi)ОE0, i=1,...,m, и
a = g1И…И gm.
Условие 4. Существуют вершины-субъекты x1,...,xm и s1,...,sm, такие, что:
· х=хi или хi, соединен с х начальным пролетом моста для i=1,...,m;
· si=si или si соединен с а конечным пролетом моста для i=1,.... m.
Условие 5. Для каждой пары (хi, si), i=1, ...,m, существуют острова li,1… li,ui, uiі1, такие, что хiО li,1, siО li,ui и мосты между островами li,j и li,j+1,ui>jі1.
Доказательство. Проведем доказательство теоремы для m=1, так как схему доказательства для этого случая легко продолжить на случай m>1.
При m=1 условия 3, 4, 5 формулируются следующим образом:
Условие 3. $sОO0: (s,y,a) ОE0s.
Условие 4. $х', s'ОS0:
* х =х' или х' соединен с х начальным пролетом моста;
* s = s' или s' соединен с s конечным пролетом моста.
Условие 5. Существуют острова li,...,lu, u>1, такие, что x'Оli, s'Оlu, и мосты между островами lj и lj+1 для j=1,...,u-1.
Необходимость. Пусть истинен предикат "возможен доступ" (a,x,y,G0). По определению истинности предиката существует последовательность графов доступов G1=(S1,O1,E1),...,GN=(SN,ON,EN), такая, что, G0+op1 G1+op2…+opN GN (x,y,a)ОEN при этом N является минимальным, т.е(x,y,a)ПEN-1. Докажем необходимость условий 3, 4. 5 индукцией по N.
При N=0 очевидно (x,y,a)ОE0. Следовательно, условия 3, 4, 5 выполнены.
Пусть N>0 и утверждение теоремы истинно для "k<N. Тогда (x,y,a)ПE0 и дуга (x,y,a)появляется в графе доступов GN в результате применения к графу GN-1 некоторого правила орN. Возможны два случая xОS0 и xПS0
Если xПS0, то $x1ОSN-1= grant(a,x1,x,y). С учетом минимальности N и замечаний, сделанных при доказательстве теоремы 1, можно считать, что x1ОS0. Следовательно:
1. Истинен предикат "возможен доступ" (g, x1,x G0) с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 3, 4, 5:
* $x2ОO0:(х2,х,g) ОЕ0;
* $x'ОS0, соединенный с х2 конечным пролетом моста;
* существуют острова l1,…,lt tі1, такие, что x1Оlt, x'Оl1, и мосты между островами lj и lj+1 для j=1,.... t-1;
2. Истинен предикат "возможен доступ" (a,x1,y,G0) с числом преобразований графов, меньшим N. Тогда по предположению индукции выполнены условия 3, 4, 5:
* sОO0: (s,y, a)ОЕ0;
* $s'ОS0: s=s' или s' соединен с s конечным пролетом моста;
* существуют острова lt,...., lu,t-uі1, такие, что x1Оlt, s'Оlu, и между островами lj и lj+1 для j=t,...., u-1.
Заметим, что путь, соединяющий вершины х',х2,х, есть начальный пролет моста. Таким образом, для случая xПS0 условия 3, 4, 5 выполняются, и индуктивный шаг доказан.
Если xОS0, то п.1 условия 4 теоремы 2 очевидно выполняется. Многократно применяя технику доказательства, использованную выше, можно доказать индуктивный шаг и в данном случае. Достаточность. Условия 3,4, 5 конструктивны.
По условию 3 существует объект s, который обладает правами a на объект y. По п. 2 условия 4 существует субъект s', который, либо совпадает с s, либо по конечному пролету моста может забрать у субъекта s права a на объект у.
По теореме 1 права доступа, полученные одним субъектом, принадлежащим острову, могут быть переданы любому другому субъекту острова. По условию 5 между островами существуют мосты, по которым возможна передача прав доступа. В качестве примера на рис.4.7 разобрана последовательность преобразований графа доступов при передаче прав по мосту вида >t>g<t. По п.1 условия 4 теоремы 2 существует субъект х', который или совпадает с х, или, получив права доступа, может передать их х по начальному пролету моста. Теорема доказана.
Расширенная модель “Take-Grant”
Кратко без доказательств рассмотрим основные положения расширенной модели Take-Grant. В этой модели рассматриваются пути и стоимости возникновения информационных потоков в системах с дискреционным разграничением доступа.
В классической модели Take-Grant по существу рассматриваются два права доступа: t и g, а также четыре правила (правила де-юре) преобразования графа доступов: take, grant, create, remove.
В расширенной модели дополнительно рассматриваются два права доступа: на чтение r(read) и на запись w(write), а также шесть правил (правила де-факто) преобразования графа доступов: post, spy, find, pass и два правила без названия.
Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе.
Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия.
В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые г или w и изображаемые пунктиром (рис.8).
Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе.
1
Рис..8. Правила де-факто (везде вместо реальных дуг могут быть мнимые дуги)
Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.
Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров.
Пример 1. Пусть субъект x не имеет право r на объект z, но имеет это право на субъект у. Пусть, кроме этого, x имеет право r на у. Тогда х может, просматривая информацию в у, пытаться искать в нем информацию из z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х, что и демонстрирует правило де-факто spy. Очевидно что, если бы у был объектом, т. е. пассивным элементом системы, то информационный канал от z к х возникнуть не мог.
Пример 2. Пусть субъект у имеет право г на объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следовательно, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass.
Центральный вопрос при похищении прав доступа - проблемы взаимодействия. Мы коснемся их только в постановочном плане.
Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализации правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обязательно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматривая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содержать дуги, соответствующие всем информационным каналам системы.
Однако, если граф доступов большой, то найти его замыкание весьма сложно.
Можно рассмотреть проблему поиска и анализа информационных каналов в ином свете. Допустим, факт нежелательной передачи прав или информации уже состоялся. Каков наиболее вероятный путь его осуществления?
В классической модели Take-Grant прямого ответа на этот вопрос не дается. В классической мы можем говорить, что есть возможность передачи прав или информации, но не можем определить, какой из путей при этом использовался.
Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути. Например, на рис.9 видно, что интуитивно наиболее вероятный путь передачи информации от субъекта z к субъекту х лежит через объект у.
В тоже время злоумышленник для большей скрытности может специально использовать более длинный путь.
Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь.
Рис. 9. Пути возникновения информационного канала от z к х
Есть два основных подхода к определению стоимости путей.
1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов.
В этом случае стоимость дуги определяется в зависимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг.
2. Подход, основанный на присваивании стоимости каждому используемому правилу де-юре или де-факто.
Стоимость правила при этом можно выбрать, исходя из сферы применения модели Take-Grant.
Стоимость может:
1) быть константой;
2) зависеть от специфики правила;
3) зависеть от числа участников при применении правила;
4) зависеть от степени требуемого взаимодействия объектов.
Стоимость пути в этом случае определяется как сумма стоимостей примененных правил.
Mодель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности.
В этой модели определены условия, при которых происходит передача или похищение прав доступа. На практике редко возникает необходимость в использовании указанных условий, так как при анализе большинства реальных систем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике.
В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись.
Именно поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей возникновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.
ЗАКЛЮЧЕНИЕ
матрица доступ модель take grant безопасность
Ни в одном западном материале по информационной безопасности вы не встретите термин «концепция информационной безопасности». По отношению к отдельным компаниям его просто не существует. Если это понятие и встречается, то только по отношению к целым государствам. Любая уважающая себя компания или государственное ведомство тратит немалые ресурсы на разработку этого документа, который, согласно общепринятому толкованию, излагает систему взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации. На Западе никто не спорит, что такая единая система нужна, но там она носит название «политика безопасности» (Security Policy).
Но не только этим отличаются российские и зарубежные специалисты. Мы очень большое внимание уделяем форме, а не содержанию этого документа. У нас политику сам заказчик пишет редко - обычно ее за большие деньги заказывают интегратору, который не без основания полагает, что его работу будут оценивать по объему. Поэтому на свет регулярно появляются фолианты по 100-200 страниц, которые можно почти без изменений издавать как учебные пособия по информационной безопасности. Практической ценности подобные документы почти не имеют.
Для специалистов же есть набор конкретных документов, рассматривающих отдельные вопросы обеспечения информационной безопасности предприятия: политика аудита, парольная политика, политика оценки рисков, политика защиты web-сервера, политика работы с электронной почтой и т. п. Все по делу, никакой «воды», исключительно конкретика. Чем хорош такой подход? Малейшие изменения в какой-либо из политик не требуют пересмотра всех в целом. Изменения касаются только одного документа и не затрагивают остальных аспектов обеспечения безопасности информационных ресурсов. По российской практике необходим пересмотр огромного документа в целом. С учетом того, что обычно его визирует руководство ведомства (в частности, МВД России) или компании, любые коррективы подчас приводят к длительному ожиданию подписи непонятного, но внушающего уважение многостраничного «труда».
Концепция должна содержать систему взглядов на достаточно высоком уровне. Цели и задачи в области ИБ, никаких инструкций, нормативов, описания продуктов, имен ответственных и т. п. Политика должна представлять общий подход к ИБ без специфичных деталей. Что касается математических моделей политик безопасности информации, то они являются руководством для разработчиков продуктов информационных технологий в части обеспечения их безопасности в АС.
ЛИТЕРАТУРА
1. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
2. ГОСТ Р 50922-2006. от 12.07.2008 года. Защита информации. Основные термины и определения. Защита информации.
3. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М. Издательство «Яхтсмен» 1996.
4. Девянин Михальский и др. Теоретические основы компьютерной безопасности /Учебное пособие./ М. Издательство “Радио и связь” - 2000.
5. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем.- М.: Горячая линия - Телеком, 2000.
6. Теория и практика обеспечения информационной безопасности М.: Издательство “Яхтсмен”,- 1996.
7. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. Учебное пособие. - М.: Книжный мир, 2009.
Размещено на Allbest.ru
...Подобные документы
Модель распространения прав доступа Take-Grant, применяемая для систем защиты, использующая дискреционное разграничение доступа. Матрица смежности графа доступов. Возможность получения некоторого права субъектом на объект. Алгоритм работы программы.
лабораторная работа [846,2 K], добавлен 21.01.2014Відомості про дискреційну політику безпеки. Модель Харрісона-Руззо-Ульмана та Take-Grant. Базова система рольового розмежування прав доступу. Права доступу до файлів в операційній системі типу Windows. Індивідуально-групове розмежування прав доступу.
курсовая работа [53,8 K], добавлен 08.09.2012Современные системы управления базами данных (СУБД). Анализ иерархической модели данных. Реляционная модель данных. Постреляционная модель данных как расширенная реляционная модель, снимающая ограничение неделимости данных, хранящихся в записях таблиц.
научная работа [871,7 K], добавлен 08.06.2010Метод интегральных многообразий. Теория дифференциальных уравнений. Разбиение матрицы Якоби. Математическая модель процесса распада комплекса фермент-продукта. Построение интегрального многообразия. Составление матрицы Гурвица. Фазовые портреты системы.
дипломная работа [1,4 M], добавлен 27.06.2013Общее понятие, поддержка и основные свойства транзакций. Модели плоских транзакций и их хроники. Модель вложенных транзакций: сущность и примеры. Модель многоуровневых транзакций и рабочих потоков. Классификация различных систем обработки транзакций.
курсовая работа [1,2 M], добавлен 08.02.2011Выделение подсистем на основе некоторой меры. Выбор типов шкал. Метод логического ранжирования. Построение моделей систем. Динамическая модель системы в виде сети Петри. Элементарные контуры графа системы. Расчет энтропии системы и матрицы приоритетов.
курсовая работа [1,2 M], добавлен 06.08.2013Написание программы на языке SAS для построения модели скалярной динамической дискретной стохастической системы, анализ этой системы. Особенности использования фильтра Ф.К.1 с резервированием. Построение схемы резервирования датчиков для матрицы.
контрольная работа [32,7 K], добавлен 28.09.2013Разработка программы для решения системы линейных уравнений методом Крамера и с помощью расширенной матрицы на языке С++. Описание метода Крамера. Структура программы: заголовочные файлы, типы данных, переменные, идентификаторы, операторы, массивы.
курсовая работа [32,3 K], добавлен 19.01.2009Модель взаимодействия открытых систем Open Systems Interconnection Reference Model. Основные особенности модели ISO/OSI. Характеристики физических сигналов, метод кодирования, способ подключения. Канальный уровень модели ISO/OSI. Передача и прием кадров.
презентация [52,7 K], добавлен 25.10.2013Построение логической модели определенного вида по выборке данных указанного объема, которая содержит информацию о трех входах системы и одном выходе, и представлена в виде матрицы размерностью 30х4. Поверка адекватности этой модели по заданному критерию.
дипломная работа [20,0 K], добавлен 13.08.2010Основные концепции объединения вычислительных сетей. Базовая эталонная модель взаимодействия открытых систем. Обработка сообщений по уровням модели OSI: иерархическая связь; форматы информации; проблемы совместимости. Методы доступа в ЛВС; протоколы.
презентация [81,9 K], добавлен 13.08.2013Составление процедуры для матрицы, разложения матрицы на множители, решения системы линейных уравнений, нахождения определителя матрицы и матрицы с транспонированием. Суть метода квадратного корня. Разложение матрицы на множители. Листинг программы.
лабораторная работа [39,4 K], добавлен 18.09.2012Составление исходной модели на основании описания объекта управления "Общежитие": структура в виде графа, матрицы смежностей, инциденций, основных контуров, расстояний, достижимостей и другое. Декомпозиция и связность структур и баз объекта системы.
курсовая работа [378,2 K], добавлен 17.12.2009Проблема защиты информации. Корпоративная локальная сеть ООО "Диалог ИТ" как объект защиты. Структура системы факторов риска. Алгоритмизация матрицы отношений. Синтез системы защиты информации, оценка их результативности. Основные цели безопасности.
курсовая работа [3,8 M], добавлен 22.03.2014Системный анализ и анализ требований к базе данных. Концептуальная и инфологическая модель предметной области. Типы атрибутов в логической модели базы. Физическая модель проектируемой базы данных в методологии IDEF1X. Требования к пользователям системы.
курсовая работа [2,3 M], добавлен 21.11.2013Модели конвертирования образовательного контента. Основные объекты разрабатываемой автоматизированной системы. Диаграмма деятельностей для прецедента "Извлечение структуры документа". Структурная модель системы конвертирования контента, модель интерфейса.
реферат [3,6 M], добавлен 30.03.2011Основные понятия серверов. Модель клиент-сервер. Классификация стандартных серверов. Недостатки файл-серверной системы. Криптографические методы защиты информации. Серверы удаленного доступа. Методы и средства обеспечения безопасности информации.
контрольная работа [36,3 K], добавлен 13.12.2010Системный анализ и краткая характеристика предметной области. Функции для работы с буферизованной таблицей. Описание предметной области и инфологическое моделирование. Модель "сущность-связь". Проектирование баз данных на основе принципов нормализации.
курсовая работа [112,9 K], добавлен 27.02.2009Составление математической модели движущегося человека. Выбор и обоснование программного решения. Разработка интерфейса и состава необходимых средств в виде свойств, событий и методов. Добавление иконки компоненты на панель инструментов. Тексты программ.
контрольная работа [877,0 K], добавлен 10.01.2012Анализ проблемных аспектов построения и функционирования системы физической защиты информации предприятия. Модель угроз информационной безопасности. Разработка и обоснование модели и процедур выбора средств СФЗИ на основе метода анализа иерархий.
дипломная работа [2,6 M], добавлен 01.07.2011