|
Е1. Система должна контролировать допустимость применения TP к элементам CDI в соответствии со списками, указанными в правиле С2
Е2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования TP с указанием допустимого для каждой TP и данного пользователя набора обрабатываемых элементов
CDI (т.е. тройки «субъект-TP-объект CDI»)
С3. Список, определенный правилом С2, должен отвечать требованию разграничения функциональных обязанностей (в т.ч. совместного выполнения).
Е3. Система должна аутентифицировать всех пользователей, пытающихся выполнить какую-либо процедуру преобразования TP.
С4. Каждая TP должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой TP. Журнал регистрации – это специальный элемент CDI, предназначенный только для добавления в него информации.
С5. Специальные TP могут корректно обрабатывать UDI, превращая их в CDI .
Е4. Только специально уполномоченный субъект (пользователь) может изменять списки, определенные в правилах С2 и Е2. Этот субъект не имеет права выполнять какие-либо действия, если он уполномочен изменять регламентирующие эти действия списки.
2.6.3. Мандатная модель Кена Биба
В содержательном и формальном (математическом) плане модель К.Биба является инверсией мандатной модели Белла-ЛаПадулы. Ее основные положения сводятся к следующему.
Система защиты представляет совокупность
множества субъектов S
множества объектов O
множества операций над объектами доступа R (два элемента - read и write)
решетки уровней безопасности Λ субъектов и объектов (решетка уровней целостности данных)
функции F, отображающей элементы множеств S и O в Λ - множества состояний системы V, которое определяется множеством упорядоченных пар (F,A) - начального состояния v0
набора запросов Q
функции переходов T: (VxQ) → V, которая переводит систему из одного состояния в другое при выполнении запросов субъектов на доступ к объектам
Критерий безопасности (обеспечения целостности) заключается в недопустимости опасных потоков «снизу вверх», т.к. такие потоки могут нарушить целостность объектов более высокого уровня безопасности ("загрязнить" объекты более высокого уровня целостности/чистоты).
Правила безопасности доступов являются инверсными (обратными по отношению к соответствующим правилам в модели Белла-ЛаПадулы:
запись данных субъектом s ∈ S в объект o ∈ O с более высоким уровнем безопасности возможна тогда и только тогда, когда F(s) < F(o). Таким образом (no write up - NWU) – нельзя писать вверх, т.к. в результате может произойти нарушение целостности («загрязнение») объекта;
чтение данных субъектом s ∈ S из объекта o ∈ O с более низким уровнем безопасности возможно тогда и только тогда, когда F(o) < F(s). Таким образом (no read down - NRD) – нельзя читать вниз, т.к. в результате может произойти нарушение целостности («загрязнение») субъекта.
Соответственно, как и в модели Белла-ЛаПадулы, при данных правилах и ограничениях, накладываемых на функцию перехода, математически доказывается безопасность функционирования системы с т.зр. обеспечения целостности данных в рамках отмеченного выше критерия безопасности.
Основным критическим моментом в отношении модели К.Биба являются некоторые сомнения относительно адекватности и правомочности отображения такого свойства данных как "целостность" дискретноупорядоченным множеством. Во многих случаях интуитивное представление о целостности данных является бинарным – есть ли целостность или нет. Хотя, справедливости ради следует признать, что если целостность данных рассматривать в смысле их "чистоты", то модель К.Биба является совершенно адекватной алгебраической структурой.
Как и в случае модели Белла-ЛаПадулы, рассматривают разновидности модели К.Биба. Когда по некоторым соображениям нельзя отказывать субъектам в возможности чтения "вниз", предусматривается автоматическое понижение уровня целостности ("чистоты") субъекта до уровня объекта. Аналогично, когда по некоторым соображениям субъектам нельзя отказывать в возможности записи "вверх", то предусматривается автоматическое снижение уровня целостности объекта (его "чистоты") до уровня целостности субъекта. И в том и другом случае безопасность функционирования системы в смысле отмеченного ранее критерия сохраняется. При этом нетрудно увидеть, что системы с подобными расширениями модели К.Биба обладают, если так можно выразиться, тенденцией к деградации, или лучше сказать к "загрязнению", когда через некоторое время уровень целостности всех субъектов снизится до минимального, или во втором случае, до минимального может снизиться уровень целостности всех объектов доступа.
В практическом плане для создания защищенных компьютерных систем (и в смысле обеспечения конфиденциальности и в смысле обеспечения целостности данных) важным является объединение инверсных моделей Белла-ЛаПадулы и К.Биба.
Такое объединение может осуществляться в одном из трех вариантов.
На основе двух различных решеток. В таких системах у субъектов и объектов доступа две метки доступа – уровень конфиденциальности, и уровень целостности. Решение о безопасности доступа принимается одновременно по правилам модели Белла-ЛаПадулы и модели К.Биба. Нетрудно увидеть что, при таком подходе в организации доступа возможны тупики, когда по правилам модели БеллаЛаПадулы доступ может быть разрешен, а по правилам модели К.Биба – нет. И наоборот.
На основе одной общей решетки уровней безопасности (конфиденциальности/целостности). Опять-таки нетрудно видеть, что в таких системах разрешенными являются только доступы субъектов к объектам в пределах одного уровня безопасности (т.н. "равное чтение" и "равная запись").
На основе одной общей решетки, но с двумя метками безопасности – по конфиденциальности и по целостности с противоположным характером их назначения/присвоения. Субъекты и объекты с высокими требованиями конфиденциальности располагаются на высоких уровнях иерархии решетки (секретные данные и доверенные по секретам пользователи). Субъекты и объекты с высокими требованиями целостности располагаются на нижних уровнях иерархии решетки (системное ПО и программисты).
Отметим, что, несмотря на сложность классификации субъектов и объектов доступа, именно третий вариант находит применение в современных компьютерных системах, в частности, в СУБД, где реализуется мандатная политика безопасности.
Do'stlaringiz bilan baham: |
