|
Command α(x1, x2, …, xk) if r1 in A[xs1, xo1] and (условия выполнения команды) r2 in A[xs2, xo2] and
.
. (2.1.3)
.
rm in A[xsm, xom]
then
op1, op2, …, opn (операторы, составляющие команду)
Каждое состояние системы Qi является результатом выполнения некоторой команды αl , применимой по ее условиям к предыдущему состоянию Qi -1
Qi = αl(Qi -1), (2.1.4)
и определяет отношения доступа, которые существуют между сущностями системы в виде множества субъектов, объектов и матрицы прав доступа.
Таблица 2.1
Примитивный оператор модели HRU
|
Условия выполнения
|
Новое состояние системы
|
Enter r into A[s,o]
|
s∈ S, o∈ O
|
S'=S, O'=O, A'[s, o] = A[s, o]∪{r}, если (s',o')≠( s,o) ⇒ A'[s',o']=A[s,o]
|
Delete r from A[s,o]
|
s∈ S, o∈ O
|
S'=S, O'=O, A'[s,o]= A[s,o] \ {r}, если (s',o')≠(s,o) ⇒ A'[s',o']=A[s,o]
|
Create subject s'
|
s'∉ S
|
S'=S ∪{s'}, O'=O ∪{s'}, если (s,o)∈S×O ⇒ A'[s,o]=A[s,o], если o∈O' ⇒ A'[s',o] = ∅, если s∈S' ⇒ A'[s, s'] = ∅
|
Create object o'
|
o'∉ O
|
S'= S, O'=O ∪{o'}, если (s,o)∈S×O ⇒ A'[s,o]=A[s,o], если s∈S' ⇒ A'[s,o] = ∅
|
Destroy subject s'
|
s'∈ S
|
S'=S \ {s'}, O'=O \ {s'}, если (s,o)∈S'×O' ⇒ A'[s,o]=A[s,o]
|
Destroy object o'
|
o'∈ O \ S
|
S'=S, O'=O \ {o'},
|
|
|
если (s,o)∈ S'×O' ⇒ A'[s,o]=A[s,o]
|
4. Безопасность системы определяется некоторыми условиями на начальное состояние системы Q0, а также особенностями системы команд α . Формулируется следующий критерий безопасности:
Определение 2.1.2. (Критерий безопасности в модели HRU). Система является безопасной относительно права r, если для заданного начального состояния Q0= (S0,O0,A0) не существует применимой к Q0 последовательности команд, в результате которой право r будет занесено в ячейку матрицы A[s,o], в которой оно отсутствовало в начальном состоянии Q0 .
Действительно из самого понятия разграничения доступа вытекает необходимость наложения ограничений на определенные отношения доступа (определенных субъектов к определенным объектам по определенным операциям). Очевидно, что безопасность (состояние защищенности информации) в системе, заключается в том, чтобы эти ограничения соблюдались все время функционирования системы, и, в том числе, в начальном состоянии Q0. Иначе говоря, в неформальном выражении безопасность системы будет определяться тем, возможно или нет в процессе функционирования системы получение некоторым субъектом определенного права доступа к некоторому объекту, которым он изначально (т. е. в начальном состоянии Q0) не обладал.
Для рассмотрения условий, при которых выполняется данный критерий, вводится понятие монооперационных систем.
Определение 2.1.3. Система называется монооперационной, если каждая команда α выполняет один примитивный оператор opi .
Авторы модели HRU представили следующие теоремы, доказательство которых не приводится ввиду их громоздкости и доступности в литературе.
Теорема 2.1.1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права r .
Из теоремы 2.1.1 следует, что проблема безопасности может быть решена для монооперационных систем. К сожалению, теорема доказывает только само существование проверяющего алгоритма, но не дает какихлибо рекомендаций или других оснований для его разработки и построения.
Харрисон, Руззо и Ульман показали также, что безопасными могут быть монотонные системы (не содержащие операций Delete и Destroy), системы, не содержащие операций Create, и моно-условные системы (в которых запросы содержат только одно условие). Вместе с тем, все подобные системы существенно ограничены в функциональности.
Теорема 2.1.2. Задача определения безопасности для данного права r в системах с запросами произвольного вида (2.1.3) является алгоритмически неразрешимой.
Говоря иными словами, теорема 2.1.2 утверждает, что поведение систем на основе модели HRU с точки зрения безопасности является непредсказуемым!!!
Помимо проблем с неопределенностью распространения прав доступа в системах на основе модели HRU была подмечена еще одна серьезная проблема – отсутствие контроля за порождением потоков информации, и, в частности, контроля за порождением субъектов, следствием чего могут быть так называемые "троянские" программы. В модели HRU "правильность", легитимность инициируемых из объектов-источников субъектов доступа никак не контролируется. В результате, злоумышленник в системе может осуществить неправомерный доступ к информации на основе подмены свойств субъектов доступа.
Данные результаты, опубликованные в середине 70-х годов, вызвали обескураживающий эффект среди исследователей теории компьютерной безопасности, но, вместе с тем, стимулировали поиски других подходов к обеспечению проблемы безопасности.
В частности, для смягчения условий, в которых можно производить формальное доказательство безопасности, а также для введения контроля за порождением объектов была предложена модель "типизованной матрицы доступа" (модель Type Access Matrix – TAM).
2.1.3.2. Модель типизованной матрицы доступа
КС представляется четверкой сущностей:
множеством исходных объектов O (o1, o2, …, oM );
множеством исходных субъектов S (s1, s2, …, sN ) , при этом
Do'stlaringiz bilan baham: |
