Модели предоставления прав
Эти модели могут быть двух типов: дискретного и мандатного доступа.
Модели дискретного доступа предоставляют пользователю право доступа к объекту. Неформально право доступа может быть описано как "билет" в том смысле, что владение "билетом" разрешает доступ к некоторому объекту, описанному в "билете", осуществляя дискретный подход к нему.
Таблица 6.1
Модели безопасности по разграничению доступа, их характеристики и операции доступа к объектам
Модель |
Характеристика типа "субъект – объект" |
Используемая операция |
Особенность доступа субъектов к объектам |
Комментарий |
Модель секретности, представитель класса |
Модель целостности, представитель класса |
Предоставления прав |
Унитарный субъект – унитарный объект |
READ, WRITE |
Обеспечивается хорошее разделение субъектов друг от друга |
Модели дискретного доступа |
Модель Кларка – Вилсона |
|
Множество унитарных субъектов и множество унитарных объектов упорядочены в соответствии с уровнями безопасности сущностей |
READ, WRITE |
Ограничения накладываются на простейшие операции READ, WRITE |
Модель мандатного доступа Белла – Лападула |
Модель Биба |
||
Во множестве субъектов имеются доверенные субъекты |
READ, WRITE |
Доверенные субъекты не подчиняются ограничениям на операции READ, WRITE, определенные в модели 2 |
Модель доверенных субъектов |
|||
Субъекты выполняются на нескольких устройствах обработки |
READ, WRITE |
Операции READ, WRITE могут быть удаленными |
Удаленный характер операций READ, WRITE может вызвать противоречия в модели 2 |
Модели распределенных систем (синхронные и асинхронные) |
||
Переход системы из состояния в состояние в один момент времени может осуществляться под воздействием более одного субъекта |
READ, WRITE |
В один момент времени несколько субъектов могут получить доступ к нескольким объектам |
Модели распределенных систем (асинхронные) |
|||
Субъекты модели имеют сложную структуру |
READ, WRITE. SET ACTIVE SUBJECT |
Субъект может получить доступ к другому субъекту как к объекту |
Субъекты модели включают в свое описание обьектную часть. По данному принципу строятся системы, основанные на передаче сообщений |
|||
Предоставления прав |
Мощность объединения множества субъектов и объектов постоянна. Мощность множества субъектов и объектов не постоянна |
|||||
Мощность множества субъектов и объектов, модели динамически изменяются |
READ, WRITE, CREATE, DELETE |
В описании модели включены операции CREATE и DELETE |
Мощность объединения множества субъектов и объектов не постоянна |
|||
Субъекты могут выполнять специализированные операции над объектами сложной структуры |
READ, WRITE, CREATE, DELETE, операции над объектами специфической структуры |
Кроме простейших операций в модели могут появиться операции, направленные на специфичную обработку информации |
Модель защищенности сети. Модель MMS |
|||
По Шеннону |
Накладываются ограничения на ввод и вывод информации субъектов системы |
READ, WRITE |
Ограничения накладываются на поток информации |
Модели невмешательства. Модель невыводимости |
||
Вероятностные |
Субъекты и объекты модели имеют вероятностные характеристики |
READ, WRITE |
Вероятностные характеристики операций доступа |
В основе моделей дискретного доступа с различными модификациями лежат следующие положения. Система защиты представляется в виде некоторого декартова произведения множеств, составными частями которых являются интересующие автора модели составные части системы защиты, например субъекты, объекты, уровни доступа, операции. В качестве математического аппарата выбирается аппарат теории множеств.
К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. В качестве примера реализации данного типа моделей можно привести так называемую матрицу доступа, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа.
К недостаткам относится "статичность модели". Это означает, что модель не учитывает динамику изменений состояния вычислительной системы и не накладывает ограничений на состояние системы.
Модели дискретного доступа обеспечивают хорошо гранулированную защиту, но обладают рядом недостатков. В частности, в системах, построенных на основе моделей дискретного доступа, существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Так, троянская программа может выглядеть как вполне хороший продукт, но реально может оказаться даже более опасной, чем можно было бы ожидать.
Для того чтобы понять, как может работать такой троянский конь, вспомним, что когда пользователь вызывает какую-либо программу на компьютере, в системе инициируется некоторая последовательность операций, зачастую скрытых от пользователя. Эти операции обычно управляются ОС. Троянские программы рассчитаны на то, что когда пользователь инициирует такую последовательность, он обычно верит в то, что система произведет ее как полагается. При этом нарушитель может написать версию троянской программы, которая будучи запущенной от имени пользователя-жертвы, передаст его информацию пользователю нарушителю.
В отличие от моделей дискретного доступа, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный доступ (MAC) накладывает ограничения на передачу прав доступа от одного пользователя другому. Это позволяет разрешить проблему троянских коней.
Классической моделью мандатного доступа, лежащей в основе построения многих систем MAC и породившей остальные модели MAC, является модель Белла – Лападула. К сожалению, данная модель не лишена недостатков и с целью их устранения были порождены некоторые специфичные модели.
В данном учебнике не рассматриваются модели распределенных систем. Их подробное изложение читатель может найти в работах [4], [12] списка литературы.
Другой модификацией моделей представления прав может быть модель защищенности сети. Данная модель описывает требования безопасности для построения защищенной сети. Предполагается, что имеется множество защищенных и незащищенных станций, связанных в сеть. При этом компонентами сети являются хосты, устройства ввода/вывода и устройства вывода (принтеры).
Каждый компонент сети имеет классификацию защищенности; каждый пользователь сети имеет уровень благонадежности. Предполагается, что на множестве классов защищенности установлен частичный порядок "≥". Отношение частичного порядка рефлексивно, антисимметрично и транзитивно. Для двух классов безопасности sd и sc2, если sd ≥ sc2, говорят, что sc1 доминирует над sc2. Для двух элементов sd и sc2 множество классов безопасности, доминирующее над sc 1 и sc2, – непустое и содержит наибольшую внешнюю границу (sup), доминирующую над всеми классами; множество классов безопасности, над которыми доминируют sd и sc2, – непустое и содержит наименьшую внешнюю границу (inf), над которой доминируют все классы.
Модель сети содержит следующие предположения безопасности:
1) на хостах сети существует надежная схема пользовательской аутентификации. Каждый пользователь и процесс в сети имеет уникальный идентификатор;
2) только пользователь с ролью "Офицер безопасности сети" может присваивать классы безопасности субъектам и компонентам сети и роли пользователям;
3) все элементы сети имеют сравнимые классы безопасности;
4) имеет место надежная передача данных по сети;
5) в сети реализована надежная криптозащита.