82. Математические методы анализа политики безопасности. Модель Low-water-mark (Lwm).
Данная модель является конкретизацией модели Б-Л, а также дает пример того, что происходит, когда изменения уровня секретности объекта возможны. Политика безопасности прежняя: все объекты системы классифицированы по узлам решетки ценностей (MLS) и поток информации разрешен только "снизу вверх" .
В рассматриваемой системе один объект (неактивный), три операции с объектом, включающие запросы на доступ:
read,write,reset.
Эти операции используются несколькими субъектами (процессами), имеющими фиксированные уровни секретности (для простоты - классы секретности образуют линейный порядок). Напомним формальное требование политики о том, что информация может двигаться только "снизу вверх". Поток информации возможен тогда и только тогда, когда реализуется доступ субъекта к объекту вида w или r. При помощи r поток считается разрешенным, если fs(S)>fo(0).
При команде w поток считается разрешенным, еслисубъект S не может прочитать информацию в объекте уровня fs(S)<f0(0) и записать в объект, для которого fs(S)>f0(O), причем хотя бы в одном из этих соотношений неравенство строгое (напомним, что по условию текущие уровни субъектов fc(S)=fs(S) для любого S). Из этих свойств следует, что в системе должны выполняться условия ss и *. Условие ds автоматически выполняется, так как нет ограничений на доступ, кроме перечисленных.
Таким образом, условия ss в данной системе выглядят стандартно: если X=w или r, то могут быть разрешены доступы (S, 0, X) при выполнении fs(S)>f0(0).
Условие *:
если X=w, то fs(S)=f0(0),
если X=r, то fs(S)>fo(0).
Опишем функционирование системы и докажем,что выполняются условия ss и *. Уровень объекта О в LWM может меняться: при команде write может снизиться, а при команде reset подняться следующим образом. По команде reset класс объекта поднимается и становится максимальным в линейном порядке. После этого все субъекты приобретают право w, но read имеют право только субъекты, находящие на максимальном уровне решетки. При команде write гриф объекта снижается до уровня субъекта, давшего команду w. При снижении уровня секретности объекта вся прежняя информация в объекте стирается и записывается информация процессом, вызвавшем команду write. Право write имеет любой субъект, у которого fs(S)<fo(0), где f0(О) - текущий уровень объекта. Право reset имеет только тот субъект, который не имеет право write. Право read имеет любой субъект, для которого fs(S)>fo(0).Суммируем вышесказанное в следующей таблице.
| Операция | Организация доступа | Результат операции |
| Read | fs(S)>fo(0) | Процесс S получает содержимое объекта O |
| Write (данные) | fs(S)<fo(0) | Уровень объекта становится равным уровню S. Данные от S записываются в O. |
| Reset | fs(S)>fo(0) | Уровень объекта устанавливается выше всех уровней процессов. |
Лемма. Для любого состояния системы LWMвыполнены условия ss и *.
Доказательство. Если fs(S)>fo(0), то r доступ S к О разрешен. Если fs(S)=fo(0), то w доступ S к О разрешен. Таким образом ss и * выполнены. Что и требовалось доказать.
Однако все рассуждения останутся теми же, если отказаться от условия, что при команде write в случае снижения уровня объекта все стирается. То есть здесь также будут выполняться условия * и ss, но ясно, что в этом случае возможна утечка информации. В самом деле, любой процесс нижнего уровня, запросив объект для записи, снижает гриф объекта, а получив доступ w, получает возможность r. Возникает канал утечки (w, r), при этом в предыдущей модели свойство * выбрано для закрытия канала ( r, w). Данный пример показывает, что определение безопасного состояния в модели Б-Л неполное и смысл этой модели только в перекрытии каналов указанных видов. Если "доверенный" процесс снижения грифа объекта работает неправильно, то система перестает быть безопасной.
- 2. Системообразующие основы моделирования. Модель действия.
- 3. Системообразующие основы моделирования. Модель объекта.
- 4. Системообразующие основы моделирования. Эффективность применения эвм.
- 5.Анализ и синтез при создании эвм. Концепция синтеза. Структура множества q.
- Концепция синтеза
- Модель Системы ↔ Условие замыкания ↔ Модель Действия
- 6. Принцип системности. Задача а.
- 7. Принцип системности. Задача б.
- 8. Принцип системности. Задача в.
- 9. Принцип системности. Задача г.
- 10.Теория подобия при синтезе модели эвм
- 11.Синтез модели и способов её применения, осложненный конфликтной ситуацией.
- 12.Структурная схема взаимодействия трёх базовых подсистем при разрешении конфликта.
- 13. Алгоритм логической последовательности выполнения команд пс в условиях разрушения множества q
- 14. Компенсация разрушения программной системы изменением аппаратной части
- 15. Компенсация разрушения аппаратной части изменением программной системы
- 16. Язык, объекты, субъекты. Основные понятия.
- 17. Язык, объекты, субъекты. Аксиома
- 18. Иерархические модели и модель взаимодействия открытых систем .
- Модель osi/iso.
- 19. Модель osi/iso.Прикладной уровень (пУ).
- 20. Модель osi/iso.Уровень представления (уп).
- 21. Модель osi/iso.Уровень сеанса (ус).
- 22. Модель osi/iso.Транспортный уровень (ту).
- 23. Модель osi/iso.Сетевой уровень (су).
- 24. Модель osi/iso.Канальный уровень.
- 25. Модель osi/iso.Физический уровень.
- 26. Информационный поток. Основные понятия.
- 27. Информационные потоки в вычислительных системах.
- 28. Ценность информации. Аддитивная модель.
- 29. Ценность информации. Анализ риска.
- 30. Ценность информации. Порядковая шкала ценностей.
- 31. Ценность информации. Модель решетки ценностей.
- 32. Ценность информации. Решетка подмножеств х.
- 33. Ценность информации. Mls решетка
- 64. Угрозы информации
- 65. Угрозы секретности. Утрата контроля над системой защиты; каналы утечки информации.
- 66. Угрозы целостности
- 67. Политика безопасности. Определение политики безопасности
- 68. Дискреционная политика.
- 69. Политика mls.
- 70. Классификация систем защиты. Доказательный подход к системам защиты .
- 71. Классификация систем защиты. Системы гарантированной защиты.
- 72. Классификация систем защиты. Пример гарантированно защищенной системы обработки информации. Записывает во внешнюю память все объекты, которые он хочет сохранить для дальнейших сеансов;
- 74. Два типа оценки: без учета среды, в которой работает техника, в конкретной среде (эта процедура называется аттестованием).
- 75. Политика.Требование 1. Требование 2 - маркировка
- 76. Подотчетность. Требование 3 – идентификация. Требование 4 - подотчетность
- 77. Гарантии. Требование 5 – гарантии. Требование 6 - постоянная защита
- 78. Итоговая информация по классам критериев оценки; идентификация и аутентификация гарантии на правильную работу системы
- Политика обеспечения безопасности.
- Идентификация и аутентификация.
- 79. Архитектура системы; целостность системы гарантии на жизненный цикл тестирование функции безопасности. Документация. Выбор класса защиты.
- 4.4. Выбор класса защиты.
- 80. Математические методы анализа политики безопасности. Модель "take-grant"
- 81. Математические методы анализа политики безопасности. Модель Белла - Лападула (б-л).
- 82. Математические методы анализа политики безопасности. Модель Low-water-mark (Lwm).
- 83. Математические методы анализа политики безопасности. Модели j.Goguen, j.Meseguer (g-m).
- 84. Математические методы анализа политики безопасности.Модель выявления нарушения безопасности.
- 85. Синтез и декомпозиция защиты в распределенных системах.
- 86. Анализ компонент распределенной системы.
- 87. Проблема построения гарантированно защищенных баз данных. Иерархический метод построения защиты .
- 9.1. Иерархический метод построения защиты .
- 88. Математические методы анализа политики безопасности. Гарантированно защищенные базы данных.