Формальні моделі доступу

Доступом будемо називати взаємодію 2-х об’єктів у системі, в результаті якої один з них може змінити стан іншого. Доступ буває санкціонований і несанкціонований.

Несанкціонованим називають такий тип доступу, який виконується з порушеннями політики безпеки.

Фізичний несанкціонований доступ це доступ з подоланням фізичного захисту.

Логічний несанкціонований доступ виконується за допомогою програмних засобів через мережу.

Активний об’єкт (суб’єкт) - об’єкт, який намагається здійснити доступ. Пасивний об’єкт (об’єкт) - той, до якого намагаються здійснити доступ.

Як бачимо, взаємодія об’єктів (доступ) завжди породжує інформаційний потік. У випадку читання інформаційний потік напрямлений від об’єкта до суб’єкта. У випадку запису - навпаки, від суб’єкта до об’єкта.

Дискреційна модель доступу

1. Всі об’єкти та суб’єкти системи - поіменовано: {S}- множина суб’єктів.

{O}- множина об’єктів.

{R,W,E}- список типів доступу.

2. Дозвіл на доступ до об’єкта визначається за допомогою зовнішніх правил.

Приклад:

Модель: Харрісона-Руззо-Ульмана:

Стан системи повністю описується матрицею М для кожного об’єкта М={S,O,R} - матриця доступу.

Дискреційна модель доступу реалізована в найбільш розповсюджених версіях ОС.

Переваги:

1. Простота реалізації.

2. Можливість детального опису прав всіх суб’єктів та об’єктів системи.

Недоліки:

1) Система не в стані слідкувати за зміною рівня секретності інформації оскільки доступ регламентується ззовні.

2) Складність в адмініструванні такої системи.

Мандатна модель доступу (модель Белла-ЛаПадули)

Властивості моделі:

1. Усі об’єкти та суб’єкти поіменовано: {S}- мн. суб’єктів

{O}- мн. об’єктів

{R,W, Е}- список доступу.

2. Визначено рівні секретності об’єктів:

Lo={U,SU,S,TS} (Unclassified - несекретно; SU - Sensitive but Unclassified - ДСК; S - Secret - Таємно; TS - Top Secret - цілком таємно).

3. Визначено рівні доступу до суб’єктів: Ls={U,SU,U,TS}

4. Визначено внутрішні правила згідно з якими надається доступ:

а) Don’t read up.(Заборонено читати інформацію вищого рівня секретності)

б) Don’t write down. (Суб’єктам заборонено зберігати інформацію у нижчих рівнях секретності)

Приклад: Модель Белла-ЛаПадули Lo={1,2}

Ls={1,2}

S={S1,S2};

O={O1,O2};

R={R,W};

Нехай в нас є 2-рівнева система доступу з високим і низьким рівнем доступу (1 - високий, 2 - низький).

1. Основними перевагами мандатної моделі є те, що система сама слідкує за збереженням рівня секретності і перешкоджає його зниженню.

2. Система простіша в адмініструванні.

Недоліки:

1. Модель не дозволяє розмежувати права доступу до файлів одного рівня безпеки;

2. Простота формальної моделі призводить до парадоксів (записати можемо, а прочитати потім - ні, тощо).

Подальшим розвитком моделі Белла-ЛаПадула є модель ватерлінії (Low Water Mark, LWM). В цій моделі атрибути доступу об'єктів та суб'єктів можуть змінюватись у процесі роботи системи. Так, якщо суб'єкт S читає об'єкт O, рівень конфіденційності якого l_s<l_o, то рівень конфіденційності суб'єкта підвищується, так що l_s=l_o. І навпаки, якщо суб'єкт пише в об'єкт, коли l_s>l_o, то рівень конфіденційності об'єкта підвищується таким чином, що l_s=l_o.

Моделі Белла-ЛаПадула та ватерлінії сконцентровані на питаннях захисту обчислювальних систем від загрози конфіденційності інформації. Інша група моделей безпеки (адміністративного управління доступом) розглядає питання захисту обчислювальних систем від загроз цілісності інформації. Так, в моделі Біба існують рівні цілісності І та категорії С. При цьому доступ суб'єкта до об'єкта на читання можливий тоді, коли і_s≤і_о та с_s⊆с_о. Доступ на запис, в свою чергу, можливий тоді і лише тоді, коли і_s≥і_о та с_о⊆с_s. Ці два правила, по аналогії з моделлю Белла-ЛаПадула, носять назву просте правило цілісності та *-правило цілісності. Існують також моделі Біба з пониженням рівня цілісності об'єкта та Біба з пониженням цілісності суб'єкта. В першій після операції запису суб'єктом S в об'єкт О рівень цілісності об'єкта падає до рівня цілісності суб'єкта (і_s=і_о). В другій внаслідок операції читання рівень цілісності суб’єкта падає до рівня цілісності прочитаного об'єкта (і_s=і_о).

Композитна модель адміністративного управління доступом об'єднує в собі модель конфіденційності Белла-ЛаПадула та модель цілісності Біба.