|
II. МОДЕЛИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ 2.1. МОДЕЛИ БЕЗОПАСНОСТИ НА ОСНОВЕ ДИСКРЕЦИОННОЙ ПОЛИТИКИ
Модели безопасности, строящиеся на субъектно-объектной модели КС, еще называют моделями конечных состояний. В данных моделях инициализация информационных потоков трактуется как запросы субъектов на доступ к объектам, которые в зависимости от политики безопасности разрешаются или запрещаются. Осуществление субъектом разрешенного доступа к объекту переводит систему в следующий момент времени в другое состояние, рассматриваемое как совокупность состояний субъектов и объектов системы.
Проблема безопасности в КС рассматривается с точки зрения анализа и исследования условий, правил, порядка и т. п. разрешений запросов на доступ, при которых система, изначально находясь в безопасном состоянии, за конечное число переходов перейдет также в безопасное состояние.
2.1.1. Общая характеристика моделей дискреционного доступа. Пятимерное пространство Хартсона
Политика дискреционного доступа охватывает самую многочисленную совокупность моделей разграничения доступа, реализованных в большинстве защищенных КС, и исторически является первой, проработанной в теоретическом и практическом плане.
Первые работы по моделям дискреционного доступа к информации в КС появились еще в 60-х годах и подробно представлены в литературе. Наиболее известные из них – модель АДЕПТ-50 (конец 60-х годов), пятимерное пространство Хартсона (начало 70-х годов), модель ХариссонаРуззо-Ульмана (середина 70-х годов), модель Take-Grant (1976 г.). Авторами и исследователями этих моделей был внесен значительный вклад в теорию безопасности компьютерных систем, а их работы заложили основу для последующего создания и развития защищенных КС.
Модели дискреционного доступа непосредственно основываются и развивают субъектно-объектную модель КС как совокупность некоторых множеств взаимодействующих элементов (субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дискретным набором троек "Пользователь (субъект)-поток (операция)-объект".
Конкретные модели специфицируют способ представления области безопасного доступа и механизм проверки соответствия запроса субъекта на доступ области безопасного доступа. Если запрос не выходит за пределы данной области, то он разрешается и выполняется. При этом постулируется, что осуществление такого доступа переводит систему в безопасное состояние.
Специфика и значение моделей заключается в том, что исходя из способа представления (описания) области безопасного доступа и механизма разрешений на доступ анализируется и доказывается, что за конечное число переходов система останется в безопасном состоянии.
Модель дискреционного доступа, предложенная Хартсоном, вероятно наиболее наглядно в формальном плане иллюстрирует дискреционный принцип разграничения доступа, выраженный языком реляционной алгебры. Приведем ее основные положения в кратком изложении.
Система представляется совокупностью пяти наборов (множеств):
множества пользователей U ;
множества ресурсов R ;
множества состояний S ;
множества установленных полномочий A; - множества операций E .
Область безопасности представляется декартовым произведением:
A × U × E × R × S . (2.1.1)
3. Пользователи подают запросы на доступ к ресурсам, осуществление которых переводит систему в новое состояние. Запросы на доступ представляются четырехмерными кортежами
q = (u, e, R', s) , (2.1.2)
где u ∈ U, e ∈ E, s∈ S, R' ⊆ R (R'- требуемый набор ресурсов).
Таким образом, запрос на доступ представляет собой подпространство четырехмерной проекции пространства безопасности. Запрос удовлетворяется, если он полностью заключен в области безопасности
(2.1).
4. Процесс организации доступа алгоритмически описывается следующим образом.
4.1. Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из A те спецификации, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.
4.2. Определить из множества A набор полномочий P =F(e), которые устанавливают e как основную операцию. Набор полномочий P =F(e) определяет привилегию операции e.
4.3. Определить из множества A набор полномочий P =F(R' ), разрешающих доступ к набору ресурсов R'. Набор полномочий P =F(R' ) определяет привилегию ресурсов R'.
Полномочия, которые являются общими для всех трех привилегий, образуют так называемый домен полномочий запроса D(q) D(q) = F(u) ∩ F(e) ∩ F(R' ) .
4.4. Убедиться, что запрашиваемый набор ресурсов R' полностью содержится в домене запроса D(q), т. е. любой r из набора R' хотя бы один раз присутствует среди элементов D(q).
4.5. Осуществить разбиение D(q) на эквивалентные классы так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'.
В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e.
В результате формируется новый набор полномочий на каждую единицу ресурса, указанного в D(q) - F(u, q). Набор F(u, q) называется фактической привилегией пользователя u по отношению к запросу q.
4.6. Вычислить условие фактического доступа (EAC), соответствующее запросу q , через операции логического ИЛИ по элементам полномочий F(u, q) и запрашиваемым ресурсам r из набора R', и получить тем самым набор R'' – набор фактически доступных по запросу ресурсов.
4.7. Оценить EAC и принять решение о доступе: - разрешить доступ, если R'' и R' полностью перекрываются;
- отказать в доступе в противном случае.
Заметим, что при всей своей наглядности модель Хартсона обладает одним, но существенным недостатком – безопасность системы на основе данной модели строго не доказана. Пользователи, осуществляя законный доступ к ресурсам, могут изменять состояния системы, в том числе, изменять множество ресурсов R. Тем самым может изменяться и сама область безопасности. Сохранится ли в таком случае безопасность системы? Модель ответа на данный вопрос не дает.
Do'stlaringiz bilan baham: |
