Модели дискретного доступа
В основе моделей дискретного доступа (DAC) с различными модификациями лежат следующие идеи. Система защиты представляется в виде некоторого декартова произведения множеств, составными частями которых
являются интересующие автора модели составные части системы защиты, например: субъекты, объекты, уровни доступа, операции и т.д. В качестве математического аппарата выбирается аппарат теории множеств. Рассмотрим эти модели подробнее.
Одна из первых моделей безопасности была модель АДЕПТ-50. В ней представлено четыре типа сущностей: пользователи (u), задания (j), терминалы (t) и файлы(f), причем каждая сущность описывается тройкой (L,F, М), включающим параметры безопасности:
Уровень безопасности L —скаляр —элементы из набора иерархически упорядоченных уровней безопасности.
Полномочия F—группа пользователей, имеющих право на доступ к определенному объекту.
Режим М —набор видов доступа, разрешенных к определенному объекту или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ПРИСОЕДИНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ.
Если U={u} обозначает набор всех пользователей, известных системе,aF(i) —набор всех пользователей, имеющих право использовать объектi, то для модели формулируются следующие правила:
1.Пользовательuполучает доступ к системеuY.
2.Пользователь и получает доступ к терминалуt uF(t), т.е. в том и только в том случае, когда пользователь и имеет право использовать терминал t.
3.Пользователь и получает доступ к файлуjA(j)A(f),C(j)C(f),M(j)M(f) иuF(f), т.е. только в случае:
привилегии выполняемого задания шире привилегий файла или равны им; пользователь является членом F(f). Трехмерный кортеж безопасности, полученный на основе прав задания, а не прав пользователя, используется в модели для управления доступом. Такой подход обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов, пользователей и терминалов. Например, наивысшим полномочием доступа к файлу для пользователя "СОВ. СЕКРЕТНО", выполняющего задание с "КОНФИДЕНЦИАЛЬНОГО" терминала будет "КОНФИДЕНЦИАЛЬНО".
Теперь рассмотрим модель, называемую пятимерным пространством безопасности Хартстона. В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании. Модель имеет пять основных наборов:
А —установленных полномочий;
U —пользователей;
Е —операций;
R —ресурсов;
S —состояний;
Область безопасности будет выглядеть как декартово произведение: AUERS.
Доступ рассматривается как ряд запросов, осуществляемых пользователями uдля осуществления операцииeнад ресурсами R,в то время, когда система находится в состоянииs. Например, запрос на доступ представляется четырехмерным кортежемq=(u,e,R,s),uU, еЕ,sS,rR. Величиныuиsзадаются системой в фиксированном виде. Таким образом, запрос на доступ — подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.
Процесс организации доступа можно описать алгоритмически следующим образом. Для запроса q, гдеq(u,e,R,s), набора U'вполне определенных групп пользователей, набора R'вполне определенных единиц ресурсов и набора Р правильных (установленных) полномочий, процесс организации доступа будет состоять из следующих процедур:
1.Вызвать все вспомогательные программы, необходимые для "предварительного принятия решений".
2.Определить из Uте группы пользователей, к которым принадлежитu. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочийF(u) определяет привилегию пользователяu.
3.Определить из Р наборF(e) полномочий, которые устанавливаютeкак основную операцию. Этот набор называется привилегией операции е.
4.Определить из Р наборF(R) (привилегию единичного ресурса R) —полномочия, которые определяют поднабор ресурсов из R',имеющего общие элементы с запрашиваемой единицей ресурса R.
Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4образуютD(q), так называемый домен полномочий для запроса
q:D(q)=F(u)F(e)F(R)
5.Удостовериться, что запрашиваемый ресурс R полностью включается в D(q),т.е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).
6.Осуществить разбиение набора D(q)на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса.
Новый набор полномочий —один на каждую единицу ресурса, указанную в D(q),есть F(u, q) —фактическая привилегия пользователя и по отношению к запросу q.
7.Вычислить ЕАС —условие фактического доступа, соответствующего запросу q,осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q).Это И (или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса.
8.Оценить ЕАС и принять решение о доступе: разрешить доступ к R,если Rперекрывается;
- отказать в доступе в противном случае.
9.Произвести запись необходимых событий.
10.Вызвать все программы, необходимые для организации доступа после "принятия решения".
11.Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8.
12.Если решение о доступе было положительным — завершить физическую обработку.
Автор модели, Хартстон, отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2и 6 осуществляются во время регистрации пользователя в системе.
К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. В качестве примера реализаций данного типа моделей можно привести так называемую матрицу доступа, строки которой соответствуют субъектам системы, а столбцы —объектам; элементы матрицы характеризуют права доступа.
К недостаткам относится "статичность моделей. Это означает то, что модель не учитывает динамику изменений состояния ВС, не накладывает ограничений на состояния системы.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.