Учебно-методический комплекс теоретические основы компьютерной безопасности

Download 6,35 Mb.

bet	70/83
Sana	13.12.2022
Hajmi	6,35 Mb.
	#884776
Turi	Учебное пособие

1 ... 66 67 68 69 70 71 72 73 ... 83

Bog'liq
ТОКБ книга

u, причем z = f_user(u) ;
s⁽^z⁾_t, s⁽^z^'⁾_t– системные телекоммуникационные субъекты зон z и z', соответственно;
o⁽^z⁾_t, o⁽^z^'⁾_t– объекты, ассоциированные с телекоммуникационными субъектами s⁽^z⁾_t, s⁽^z^'⁾_t зон z и z', соответственно;
o_i(z) – объект зоны z (f_iobject(o_i)= z), в том числе не обязательно ассоциированный с субъектом s_m(z) ;
o_j(z') – объект зоны z' (f_iobject(o_j)= z').
7. Общесистемная политика безопасности складывается из совокупности политики внутризонального и межзонального разграничения доступа, регламентирующей множество разрешенных (легальных) доступов:
PL = P inL(z1) ∪ P inL(z2) ∪…∪ PinL(zK) ∪ PoutL(z1) ∪ PoutL(z2) ∪ …∪ ∪ P outL(zK)
(2.8.7)
При этом:
K
P ^out_L P ^out_L(z_i→ z_k) U U P ^out_L(z_i← z_k). (2.8.8) i k i≠k k=1 k=1
Справедливо следующее утверждение.
Утверждение 2.8.1. (Теорема безопасности зонально-распределенной системы). Совокупность внутризональных мониторов безопасности, санкционирующих не выходящие за множество (2.8.1) доступы к объектам своих зон субъектам, которые порождаются на основе процедур вхождения по определениям 2.8.6, 2.8.7 и 2.8.8 с учетом предположений 2.8.2, 2.8.3, 2.8.4, реализует общезональный монитор безопасности и общезональное множество безопасных доступов (2.8.7).
Доказательство.
В соответствии с предположениями 2.8.1, 2.8.2, а также с учетом предположения 2.8.3, регламентирующих процедуры вхождения пользователей в "свои" зоны, любые субъекты любых пользователей в своих зонах находятся под полным контролем соответствующих внутризональных мониторов безопасности, санкционирующих по условиям теоремы только подмножества безопасных (разрешенных) доступов (2.8.1). Иначе говоря, внутризональные мониторы безопасности, организующие по определению 2.8.6 процедуры вхождения пользователей в свои зоны, гарантируют отсутствие в своих зонах субъектов, осуществляющих доступы вне подмножеств разрешенных внутризональных доступов.
Что касается субъектов доступа к объектам зон от удаленных пользователей, то они порождаются по определению 2.8.8 и также находятся под полным контролем соответствующих внутризональных мониторов безопасности, так как процедурами вхождения в зоны пользователей других зон (удаленных пользователей) управляют мониторы безопасности зоны вхождения. При этом процедуры вхождения удаленных пользователей и инициализация в зонах их субъектов производится при выполнении условия (2.8.6):

зона вхождения доверяет зоне удаленного пользователя;
пользователь уполномочен работать в данной зоне, входящей в подмножество доверенных зон.

Отсюда, с учетом условия утверждения относительно соотношения (2.8.1), санкционирование внутризональными мониторами безопасности доступов субъектов удаленных пользователей вызывает только те доступы, которые не могут выйти за множество доступов, регламентируемых доверительными отношениями (2.82), (2.8.3) и (2.8.4).
С учетом предположения 2.8.4 (безопасности каналов связи) не могут также возникнуть и любые другие вне рамок доверительных отношений доступы (потоки) при прохождении информации через канал связи.
Объединяя множества доступов, регламентируемых каждым внутризональным монитором безопасности по соотношению (2.8.1) в отдельности, получаем общезональное множество разрешенных доступов, выражаемое соотношением (2.8.7).
Таким образом, совокупность внутризональных мониторов безопасности, работающих на основе предположений 2.8.1, 2.8.2, 6.3 и по определениям 2.8.6, 2.8.7 и 2.8.8 реализует общезональный монитор безопасности, обеспечивающий единую и согласованную общезональную политику безопасности. ▄
Заканчивая рассмотрение зональной модели, отметим два обстоятельства.
Утверждение 2.8.1 доказывает общезональную безопасность, вообще говоря, на основе априорно заданной внутризональной безопасности и определенных процедур, отношений, регламентаций по взаимодействию зон (локальных сегментов). Отсюда следует, что изъяны и бреши в системе безопасности зонально-распределенной КС могут возникнуть либо на основе изъянов внутризональной безопасности, либо на основе ошибок при реализации правил и регламентаций межзонального взаимодействия.
В этом плане представляет также интерес анализ выполнения положений и ограничений представленной зональной модели безопасности по отношению к модели безопасности, реализуемой ОС Windows NT/2000. Можно отметить несколько изъянов в системе безопасности Windows NT/2000.
Первое – канал связи в сетях на основе Windows NT/2000 не защищен в смысле предположения 2.8.4.
Второе – процедуры вхождения удаленных пользователей в "не свои" домены (зоны) не требуют дополнительной аутентификации. Иначе говоря, мониторы безопасности доменов доверяют друг другу по процедурам аутентификации пользователей, что с учетом незащищенности каналов связи создает ряд сетевых угроз безопасности.
И третье (изъян файловой системы NTFS) – информационные объекты не имеют зональной (доменной) окрашенности. Любой файл, каталог или диск отдельной вычислительной установки может управляться и контролироваться любым действующим на данной вычислительной установке системным процессом ядра Windows NT/2000 с правами администратора, т. к. вся информация о доступе находится в списках доступа вместе с объектами без привязки к конкретному монитору безопасности (монитору ссылок). Иначе говоря, нет однозначной связи (привязки) между внутризональным монитором безопасности (точнее базой учетных записей) и объектами доступа вычислительной установки и домена. В результате просматривать объекты файловой системы NTFS может любой субъект (процесс) с правами администратора, запущенный на соответствующей вычислительной установке.
Представленная зональная модель не накладывает никаких ограничений на политику безопасности внутри различных зон и, в том числе, не требует одинаковости внутризональных политик безопасности. Это означает, что субъекты удаленных пользователей получают доступ к объектам по правилам и регламентациям политики тех зон, в которых находятся объекты доступа. При этом информация по разрешенным доступам удаленных пользователей (списки доступа, уровни допуска, разрешенная тематика или роли) находится в объекте, располагаемом в зоне объектов доступа, т. е. под управлением того монитора безопасности, который обеспечивает процедуру вхождения и порождение субъектов доступа удаленных пользователей. В результате обеспечивается максимально возможная гибкость в общесистемной политике безопасности. Одни зоны могут основываться на дискреционной, другие на мандатной, третьи на тематической, а четвертые на ролевой политике разграничения доступа. При этом на основе системы доверительных отношений и определенных регламентаций межзонального доступа данные зоны могут взаимодействовать и совместно функционировать как единое целое.
Данное утверждение может показаться странным для случая, когда одна зона основана на дискреционной политике, а другая на мандатной политике. Удаленные доступы субъектов из первой зоны к классифицированным по грифам секретности объектам другой зоны могут вызывать недопустимые потоки "сверху вниз". Данная проблема удаленного доступа в мандатных системах была отмечена еще в ранних работах по анализу модели Белла-ЛаПадулы. Вместе с тем, в рамках зональной политики с доверительными отношениями она легко разрешается. В частности, определение доверительных отношений между зонами, часть из которых поддерживает мандатную политику, можно основывать на отображении самих зон на решетку уровней безопасности. Присвоение уровня безопасности какой-либо зоне с дискреционной политикой автоматически присваивает с точки зрения других зон с мандатной политикой всем субъектам данной зоны соответствующий допуск, а всем объектам соответствующий гриф секретности. Зоны же с исходной мандатной политикой в этом случае рассматриваются как групповые объекты с уровнями безопасности, задаваемыми гранями множества уровней безопасности субъектов и объектов зоны. Доверительные отношения соответственно задаются линейным порядком на решетке уровней безопасности по известным правилам NRU и NWD. Заметим также, что при одинаковости уровней безопасности всех субъектов и объектов зоны с учетом использования в модели БеллаЛаПадулы матрицы доступа, разграничивающей доступ внутри классов безопасности, сама политика мандатного доступа вырождается в дискреционную политику. Поэтому утверждение о возможности удаленных доступов между зоной с дискреционной политикой и зоной с мандатной политикой с учетом данного замечания имеет вполне обоснованный и непротиворечивый смысл.

Download 6,35 Mb.

Do'stlaringiz bilan baham:

1 ... 66 67 68 69 70 71 72 73 ... 83