Представление политики мандатного разграничения доступа через модель Харрисона-Руззо-Ульмана
Мандатная политика безопасности, представленная классической моделью Белла-ЛаПадула и описываемая элементами классической модели Харрисона-Руззо-Ульмана. Безопасность применения данного подхода, определение перспективного направления исследования.
Рубрика | Коммуникации, связь, цифровые приборы и радиоэлектроника |
Вид | статья |
Язык | русский |
Дата добавления | 20.05.2017 |
Размер файла | 629,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru//
Размещено на http://www.allbest.ru//
мандатный разграничение доступ
Представление политики мандатного разграничения доступа через модель Харрисона-Руззо-Ульмана
Интегральную совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает состояние защищенности информации в заданном пространстве угроз, называется политикой безопасности. Выделяют две основные (базовые) политики безопасности - дискреционная и мандатная. Формальное выражение политики безопасности (математическое, схемотехническое, алгоритмическое и т.д.) называется моделью безопасности [1].
Согласно основной аксиомы теории защиты информации, все вопросы безопасности информации описываются доступами субъектов к объектам [2]. Из основных критериев оценки безопасности следует, что все системы разграничения доступа (СРД) должны быть спроектированы на основе математических моделей.
В защищенной системе принятую модель разграничения доступа осуществляет монитор безопасности. Рассмотрение моделей безопасности, как правило, позиционируются в отношении системы, которая представляет из себя единое целое (монолитная система) и имеет единый монитор безопасности. Тем не менее, архитектура реальных автоматизированных информационных систем и процессы их функционирования могут характеризоваться распределенностью. Распределенной автоматизированной информационной системой называется система, состоящая более чем из одного локального сегмента, представляющего собой обособленную совокупность субъектов и объектов доступа [2]. В распределенной системе локальные сегменты могут быть реализованы как на основе дискреционных, так и на основе мандатных моделей безопасности (т.е. являться разнородными). Одним из направлений обеспечения безопасности в данном случае является реализация общего монитора безопасности, обеспечивающего единую (согласованную) политику разграничения доступа.
Для безопасного взаимодействия разнородных систем необходимо сведение их к единой модели. Следовательно, при объединении информационных систем неизменно становиться проблема организации их взаимодействия [1].
Т. к. объединяемые автоматизированные информационные системы могут реализовывать разные политики безопасности, изучение взаимодействия разнородных моделей безопасности является актуальной задачей.
В моделях, реализующих мандатную политику безопасности, разграничение доступа осуществляется на основе присвоенных всем субъектам и объектам системы меток конфиденциальности. При этом ограничения не распространяются на сущности одного уровня. Для разграничения доступа в пределах одной степени конфиденциальности (доступа) применяется дискреционная политика безопасности. Из данного утверждения можно сделать вывод, что дискреционное разграничение доступа можно рассматривать, как частный случай мандатной политики безопасности информационной системы, в которой все сущности одинаковой степени конфиденциальности (уровня доступа). Следовательно, описание объединения разнородных моделей безопасности возможно приведением мандатного разграничения доступа к дискреционному. Однако, устранение негативного информационного потока от объектов с большим уровнем конфиденциальности к меньшим - выполняется в мандатном разграничении доступа. Следовательно, для автоматизированных информационных систем, обрабатывающих информацию разного уровня конфиденциальности, приемлемым является мандатное разграничение доступа.
Для сведения разнородных моделей к мандатному разграничению доступа необходимо выразить его через модель, описывающую дискреционную политику безопасности.
Для анализа взаимодействия разнородных систем в качестве примера реализации дискреционного разграничения доступа рассмотрим классическую модель Харрисона-Руззо-Ульмана (ХРУ), мандатного - классическую модель Белла-ЛаПадула (БЛП).
Цель работы - представить классическую модель БЛП элементами классической модели ХРУ.
Объектом исследования при этом является классическая модель безопасности ХРУ.
Предметом исследования являются свойства модели ХРУ позволяющие описать мандатное разграничение доступа.
Для достижения поставленной цели определим следующие задачи:
представить мандатное разграничение доступа (модель БЛП) элементами модели ХРУ;
определить перспективы применения данного подхода при объединении автоматизированных информационных систем, реализующих разнородные модели безопасности;
определить дальнейшее направление исследования.
Применение механизмов изменения матрицы доступов ХРУ для описания мандатного разграничения доступов обладает научной новизной.
Классическая модель Белла-ЛаПадула состоит из следующих элементов [3]:
- множество объектов системы;
- множество субъектов системы;
- множество видов прав доступа субъектов на объекты;
М - матрица доступов, строки которой соответствуют субъектам, а столбцы - объектам. М[s,o]?R, где R - права доступа субъекта на
объект ;
- множество возможных множеств текущих доступов в системе, где - множество текущих доступов в системе;
- решетка уровней конфиденциальности, например , где ;
- тройка функций , определяющих - уровень доступа субъекта ; - уровень конфиденциальности объекта ; - текущий уровень доступа субъекта , при этом для любого справедливо неравенство;
- множество состояний системы;
- множество запросов системе;
- множество ответов системы по запросам, например: ;
- множество действий системы, где четверка означает, что система по запросу с ответом перешла из состояния в состояние ;
- множество значений времени;
В классической модели Белла-ЛаПадула рассматривается три вида запросов системе:
- запросы изменения множества текущих доступов ;
- запросы изменения функций ;
- запросы изменения текущей структуры разрешения доступа в матрице М.
Безопасность системы определяется с помощью трех свойств:
ss - свойства простой безопасности, при этом:
;
.
* - свойство «звезда», при этом:
;
и ;
и ;
и .
ds - свойство дискреционной безопасности, при этом:
.
Основываясь на базовой теории безопасности [3], можно сделать вывод, что система будет безопасной, если каждый доступ в системе обладает всеми тремя свойствами одновременно.
Элементами модели ХРУ являются [2]:
- множество объектов системы;
- множество субъектов системы, где ;
- множество видов прав доступа субъектов на объекты;
М - матрица доступов, строки которой соответствуют субъектам, а столбцы - объектам. . где R - права доступа субъекта на объект .
- множество состояний системы ХРУ.
В результате выполнения примитивного оператора б осуществляется переход из состояния в результирующее состояние
. Указанный переход обозначается через . Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью видами примитивных операторов б. Т. к. модель БЛП не описывает администрирование системы, то для ее представления будут применяться только два из них:
«внести» право в ;
«удалить» право из .
Из примитивных операторов составляются команды, состоящие из двух частей:
условия, при которых выполняется команда;
последовательности примитивных операторов.
Таким образом каждая команда может на основе заданных в ней условий выполнять несколько примитивных операторов. Следовательно, необходимо обеспечить выполнение всех запросов системе, реализующей модель БЛП и действия системы по ним с соблюдением всех свойств безопасности в рамках выполнения примитивных операторов в командах с определенными условиями.
Т. к. модель БЛП включает в себя дискреционную составляющую, некоторые элементы присущи также и модели ХРУ и не нуждаются в дополнительном представлении:
О - множество объектов системы, S - множество субъектов системы и М - матрица доступов, строки которой соответствуют субъектам, а столбцы - объектам. М[s,o]?R, где R - права доступа субъекта на объект . При реализации дискреционного разграничения доступа в автоматизированной информационной системе матрица доступа не храниться в явном виде, поскольку очень велика. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права группы предоставляются каждому субъекту группы. Ввиду большой градации в рамках СРД существуют противоречия (группе разрешен доступ, а одному субъекту группы нет), что приводит к наличию на пересечении строк и столбцов матрицы как разрешающего, так и запрещающего права доступа. При использовании дискреционного разграничения доступа автоматизированная система всегда содержит правила разрешения подобных противоречий.
В указанном подходе на практике фактически применяются как права разрешающие доступ, так и запрещающие его (активно применяется в операционных системах Windows) [5]. Исходя из этого, во множество прав доступа включим права, разрешающие доступ всем кроме указанного и обозначим , тогда, , при этом назначаются владельцем объекта и выполняют функцию дискреционного «ужесточения» модели БЛП, а R - предоставляются в соответствии со свойствами безопасности и выполняют функцию мандатного разграничения доступа. В автоматизированной системе при возникновении противоречия на запрещение и предоставление права доступа - запрещение будет являться приоритетным, т. е. ds-свойство безопасности соблюдается во всех командах.
Представим остальные элементы модели БЛП элементами модели ХРУ.
- в виде , где ,
при этом ;
для реализации применим сегмент матрицы доступов ХРУ [4], в котором степени конфиденциальности (уровни доступа) выражены доступом (например, read) субъекта к определяемому объекту (включая оставшиеся S). Данные субъекты - часть системы безопасности, не хранят в себе информацию и являются доверенными. При этом для выражения , в данном сегменте можно использовать еще одно право доступа из возможных (например, write), что позволит избежать расширения матрицы доступов. Однако, для упрощения понимания работы модели для каждого зададим субъект , доступ субъекта к которому выражает значение . Применяемый сегмент матрицы доступов будет иметь вид, представленный в таблице.
Таблица - СЕГМЕНТ МАТРИЦЫ ХРУ РЕАЛИЗУЮЩИЙ ТРОЙКУ ФУНКЦИЙ .
- |
… |
… |
|||||||||
read |
0 |
0 |
0 |
… |
0 |
0 |
read |
… |
r |
||
0 |
read |
read |
0 |
… |
read |
read |
0 |
… |
r |
||
0 |
0 |
0 |
read |
… |
0 |
0 |
0 |
… |
r |
||
0 |
0 |
0 |
0 |
… |
0 |
0 |
0 |
0 |
r |
||
Например: в указанном случае .
- множество состояний системы БЛП, в виде - состояний системы ХРУ;
Текущие доступы в модели ХРУ предоставляются субъектам системы в рамках прав, заданных в матрице доступов, а множество всех множеств доступов зададим аналогично БЛП .
множество запросов системе, в виде множества команд ;
- множество реакций системы, реализующей модель ХРУ, предусматривает выполнение оператора при соблюдении условий команды множества Х и невыполнение в обратном случае;
- множество действий системы, в виде примитивных операторов . При этом действия системы описанной БЛП полностью реализуемы действиями системы описанной ХРУ, т.е. представим в виде .
Реализация мандатного разграничения доступа моделью ХРУ будет выполнена при соблюдении двух условий:
- все запросы системе реализованы;
- при выполнении действий в соответствии с запросами система остается безопасной относительно условий безопасности модели БЛП.
Т. к. все элементы модели БЛП сведены к множествам , все запросы системе (рассматриваемые в БЛП) реализуемы:
- запрос изменения матрицы возможных доступов М осуществляется в рамках модели ХРУ всеми примитивными операторами б, но для осуществления дискреционной функции будут применяться права доступа ;
- запрос на изменение тройки функций выполняется примитивными операторами «внести» право в , «удалить» право из ;
- запросы изменения множества текущих доступов реализуется в объеме прав доступа в матрице М, устанавливаемых примитивными операторами «внести» право в , «удалить» право из .
При этом система будет безопасной лишь в том случае, если все команды формируемые в ней по запросам будут безопасны. Выполнение данного условия можно доказать проверкой соблюдения свойств безопасности каждой командой. Доказательство становиться разрешимой задачей, если запросы системе будут выполняться командами, являющимися универсальными (выполняют весь спектр запросов, не изменяясь в условиях и примитивных операторах).
Запрос на изменение матрицы возможных доступов М является дискреционной составляющей и не требует дополнительного анализа [4].
Представим остальные запросы командой модели ХРУ.
Запрос на изменение тройки функций необходимо рассматривать в виде двух видов команд:
команда на изменение () присваивает заданному объекту системы определенную администратором степень конфиденциальности. Рассмотрим присвоение на примере метки - TSc.
«присвоить метку конфиденциальности TSc» :
«удалить» право read из ;
«внести» право read в ;
Endif
«удалить» право read из ;
«внести» право read в ;
endif
end.
В данном случае присвоением уровней конфиденциальности (доступа) в системе занимается специально выделенный доверенный субъект (администратор). Представленная команда «присвоить уровень конфиденциальности TSc» универсальна, т. к. в качестве , могут выступать любые субъекты и объекты системы. Неформально выполнение представленной команды можно описать так: проверяется уровень конфиденциальности объекта, исключая TSc, т. к. в этом случае исходное состояние совпадет с последующим. При выполнении условия удаляется текущая метка конфиденциальности и присваивается - TSc. Аналогично составляются команды на присвоение метки Sc и Un.
Т. к. субъект (администратор) и множество субъектов (элементы описанного сегмента матрицы ХРУ - часть системы безопасности) являются доверенными субъектами, команда на изменение функций безопасна. Запрос же на изменение функции неразрывно связан с запросом на изменение множества текущих доступов, и будет рассматриваться совместно с ним.
Запрос на изменение текущих доступов рассмотрим на примере предоставления права доступа read субъекту на объект .
Доступы предоставляются субъекту в рамках прав доступа . Следовательно, если соблюдаются требования безопасности при предоставлении прав доступа, текущие доступы, реализующие данное право, также будут безопасны. Условия команды формируются путем проверки всех возможных комбинаций прав доступа субъектов множества на объекты основания команды. Удалив условия, нарушающие свойства безопасности, обеспечим безопасную реализацию мандатного разграничения доступа при предоставлении права чтения. Следует особо отметить, что система, реализующая мандатное разграничение доступа, в рамках свойств безопасности может вести себя по-разному [1]. Для доказательства корректности выражения БЛП элементами ХРУ установим: для предоставления доступа текущий уровень субъекта принимает необходимое значение, но , доступы, нарушающие свойства безопасности, при изменении текущего доступа субъекта удаляются. Описанное действие системы будет выражено командой:
«предоставить доступ read» :
«внести» право read в ;
endif
«внести» право read в ;
«удалить» право read из ;
«внести» право read в ;
«удалить» право append из ко всем О-Sc;
«удалить» право write из ко всем О-Sc;
endif
«внести» право read в ;
«удалить» право read из ;
«внести» право read в ;
«удалить» право append из ко всем О-Sc, Un;
«удалить» право write из ко всем О-Un;
endif
«внести» право read в ;
endif
«внести» право read в ;
endif
«внести» право read в ;
«удалить» право read из ;
«внести» право read в ;
«удалить» право append из ко всем О-Un;
«удалить» право write из ко всем О-Un;
endif
«внести» право read в ;
endif
«внести» право read в ;
endif
«внести» право read в ;
endif
«внести» право read в ;
endif
«внести» право read в ;
«удалить» право read из ;
«внести» право read в ;
«удалить» право append из ко всем О-Un;
«удалить» право write из ко всем О-Un;
endif
«внести» право read в ;
endif
«внести» право read в ;
endif
«внести» право read в ;
endif
end.
Т. к. все условия различны, соблюдение возможно лишь одного из них. Если в запрос не подпадает ни под одно из заданных условий, то он противоречит свойствам безопасности, и выполнен не будет. Особое внимание необходимо обратить на оператор «удалить» право из ко всем О-Un (Sc, TSc). В данном случае система должна проверить все объекты обладающие определенной степенью конфиденциальности на предмет наличия права доступа, противоречащего свойствам безопасности, и удалить его. Т. к. в этом случае объекты в основании команды будут меняться, то одним примитивным оператором это выполнить невозможно. Следовательно, необходимо производить запуск дополнительной команды по поиску и удалению прав доступа, нарушающих свойства безопасности системы, а указанный примитивный оператор будет выполнять лишь «флаговую» функцию (т. е. сигнализировать системе имеющимися средствами о необходимости запуска команды). Например:
«удалить» право write из ко всем О-Un» :
«удалить» право write из ;
endif
end.
При этом в основание команды подставляются попеременно все объекты множества O. Из условий наглядно видно, что право записи субъекта во все объекты имеющие степень конфиденциальности Un будет удалено.
Т. к. все условия команды обладают свойствами безопасности, а все исключенные условия создают угрозу, то команда безопасна.
Аналогично строятся универсальные команды для предоставления остальных заданных в системе прав доступов. Т. к. любой запрос может быть представлен универсальными и соблюдающими свойства безопасности командами, представление является безопасным.
Выводы
1. Через модель ХРУ возможно выразить политику МРД, при этом полученная модель будет безопасной.
2. Данный подход применим при анализе безопасности информации при объединении автоматизированных информационных систем, реализующих разнородные модели безопасности.
3. Если обозначить полученное развитие модели ХРУ, как активное состояние, то дальнейшим направлением исследования будет являться создание алгоритма безопасного автоматического перехода системы в активное состояние и обратно.
Список литературы
Гайдамакин Н.А. Теоретические основы компьютерной безопасности: Учеб. пособие / Н.А. Гайдамакин - Екатеринбург 2008 - 212 с.
Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин - М.: Издательский центр «Академия», 2005 - 144 с.
Девянин П.Н. Модели безопасности компьютерных систем: Учеб.пособие для студ. высш. учеб. заведений. 2-е издание / П.Н. Девянин - М.: Горячия линия - Телеком, 2013 - 337 с.
Поддубный М.И. Применение сегмента матрицы доступов ХРУ в анализе информационной безопасности систем, реализующих мандатное разграничение доступа / Королев И.Д., Поддубный М.И., Носенко С.В. //Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2014. - №07(101). - IDA [article ID]: 1011407042. - Режим доступа: http://ej.kubagro.ru/2014/07/pdf/119.pdf, 0,813 у.п.л.
Проскурин В.Г. Защита в операционных системах: Учеб.пособие для высш. учеб. заведений / В.Г. Проскурин, С.В. Крутов, И.В. Мацкевич - М.: «Радио и связь», 2000 - 168 с.
Размещено на Allbest.ru
...Подобные документы
Решение задачи ограничения перемещения людей по территории объекта с помощью систем контроля и управления доступом. Принцип работы, функции и основные составляющие данного средства безопасности. Преимущества применения видеонаблюдения. Схема сетевых СКУД.
презентация [546,3 K], добавлен 22.03.2017- Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO
Проведение инфологической модели информационной системы организации. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия. Реализация требований политики доступа на уровне подсетей.
курсовая работа [872,9 K], добавлен 24.06.2013 Определение параметров и переменных модели. Алгоритмизация модели и ее машинная реализация. Выбор инструментальных средств моделирования. Получение и интерпретация результатов моделирования системы. Планирование машинного эксперимента с моделью системы.
курсовая работа [382,1 K], добавлен 20.02.2015Аппаратура, используемая в составе комплексов технических средств, применяемых для охраны объектов. Принципы действия различных охранных сигнализаций (контроля доступа, пожаротушения, сейсмических). Направления деятельности службы безопасности объекта.
курсовая работа [2,4 M], добавлен 27.08.2009Специфика применения периметральных систем. Технические характеристики радиоволновых систем. Оценка рисков и возможностей при использовании радиоволной системы для обеспечения безопасности периметра объекта. Модель угроз, классификация нарушителей.
дипломная работа [2,6 M], добавлен 29.05.2013Способы организации систем безопасности, их характеристика. Система контроля и регистрации доступа. Оборудование для безопасного хранения ценностей. Проверка безопасности отделения почтовой связи г. Омска. Защита секретной информации и оборудования.
дипломная работа [44,6 K], добавлен 14.05.2015Информационная безопасность, режим коммерческой тайны и обработка персональных данных в ОАО "Ростелеком". Требования безопасности во время работы, в аварийных ситуациях. Внутренний аудит, тест на проникновение в информационную систему организации.
отчет по практике [243,8 K], добавлен 18.01.2015Основные понятия безопасности информационной системы. Свойства конфиденциальности, доступности и целостности данных. Защита данных в момент их передачи по линиям связи, от несанкционированного удаленного доступа в сеть. Базовые технологии безопасности.
презентация [279,4 K], добавлен 18.02.2010Формы собственности и вид деятельности объекта защиты, расположение помещений на плане, общедоступная информация и ограниченного доступа, возможные угрозы, их предупреждение. Политика безопасности каналов, утечка, матрица доступа и блокирование.
дипломная работа [1,0 M], добавлен 22.03.2011Исследование интегрированной системы безопасности (ИСБ), ее состава, функций и особенностей применения в авиапредприятии. Классификация технических средств и системы обеспечения безопасности авиапредприятия. ИСБ OnGuard 2000 с открытой архитектурой.
дипломная работа [79,0 K], добавлен 07.06.2011Широкополосный доступ в Интернет. Технологии мультисервисных сетей. Общие принципы построения домовой сети Ethernet. Моделирование сети в пакете Cisco Packet Tracer. Идентификация пользователя по mac-адресу на уровне доступа, безопасность коммутаторов.
дипломная работа [4,5 M], добавлен 26.02.2013Угроза безопасности – потенциальное нарушение безопасности, любое обстоятельство, которое может явиться причиной нанесения ущерба предприятию. Нарушитель – лицо, предпринявшее попытку выполнения запрещенных операций при помощи различных методов.
реферат [866,7 K], добавлен 15.12.2008Размещение и подключение оборудования системы охранной и пожарной сигнализации. Электропитание и заземление комплексной системы безопасности. Система охранного телевидения. Оценка вероятности несанкционированного доступа на конкретный участок объекта.
курсовая работа [1,3 M], добавлен 29.06.2014Основные характеристики радиоканала. Модель распространения радиоволн в свободном пространстве и в реальных условиях. Модели радиоканалов внутри зданий. Расчет электромагнитного поля. Исследование изменения уровня затухания сигнала. Оценка результатов.
дипломная работа [4,5 M], добавлен 21.06.2012Основные формы собственности: материальные и информационные ресурсы. Интересы личности, общества и государства в информационной сфере. Влияние особенностей на безопасность создания, хранения и использования материальных и информационных ресурсов.
реферат [19,1 K], добавлен 10.12.2008Информатизация общества и проблема информационной безопасности. Цели и объекты информационной безопасности страны. Источники угроз для информационной безопасности. Основные задачи по предотвращению и нейтрализации угроз информационной безопасности.
реферат [20,9 K], добавлен 16.12.2008История обеспечения безопасности в открытых и закрытых компьютерных сетях. Применение административных и технических средств ее защиты, аппаратное обеспечение. Проблемы информационной безопасности в интернете. Построение системы хранения данных.
контрольная работа [108,0 K], добавлен 14.01.2014Способы представления группы однотипных устройств. Обоснование выбора модели. Проверка условия загрузки узкого места. Взвешенная длина записей файлов, проходящих через селекторный канал. Построение графа сети. Число обращений к информационным файлам.
лабораторная работа [88,1 K], добавлен 20.03.2013Методы решения задач комплексной безопасности и конфиденциальности информации; категории объектов, режимы доступа. Технические средства системы контроля и управления; устройства идентификации, организация пропускного режима. Автономные и сетевые системы.
реферат [29,7 K], добавлен 29.10.2012Общие сведения о предприятии. Анализ угроз безопасности. Обзор сети ОАО "ППГХО". Обзор систем видеонаблюдения. Выбор технологии доступа к видеокамерам. Разработка мероприятий по обеспечению безопасных и комфортных условий труда оператора видеонаблюдения.
дипломная работа [2,2 M], добавлен 23.11.2014