2. Разграничение доступа к ресурсам асои

1. Политика безопасности. Классификация политик безопасности

Под политикой безопасности понимается совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от заданного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности компьютерной системы [Error: Reference source not found].

Основная цель создания политики безопасности информационной системы – это определение условий, которым должно подчиняться поведение подсистемы безопасности.

Наиболее исследованными на практике моделями безопасности являются модели, защищающие информацию от нарушения свойств конфиденциальности и целостности. Эти модели могут быть на верхнем уровне подразделены на два больших класса – формальные модели политик безопасности и неформальные модели. Возможная классификация моделей политик безопасности представлена на рис. 2.1.

Рис. 2.1. Классификация моделей политик безопасности

Формальные модели политик безопасности позволяют описать поведение подсистемы безопасности в рамках строгих математических моделей, правил. С их помощью можно доказать безопасность системы, опираясь при этом на объективные и неопровержимые постулаты математической теории. Формирование данных политик предполагает выработку критерия безопасности системы и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.

Неформальные модели политик безопасности предполагают описание поведения подсистемы безопасности в рамках вербальных (словесных) утверждений, не обладающих математической строгостью. Утверждения в неформальных моделях, как правило, формируют требования к поведению подсистемы безопасности на общем уровне без указания особенностей их реализации.

Достоинством формальных моделей является их математическая строгость и возможность формального доказательства того, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.

Недостатком формальных моделей является их большая абстрактность, что, зачастую, не позволяет использовать правила данных моделей ко всем субъектам и объектам компьютерной системы.

2. Политики избирательного разграничения доступа

Исходная политика избирательного разграничения доступом к информации (дискреционная модель) формируется путем задания администратором набора троек следующего вида , где - субъект доступа, - объект доступа, - множество прав доступа, которыми наделен субъект к объекту (например, чтение, запись, исполнение и т.д.) [Error: Reference source not found].

При формировании дискреционной политики безопасности обычно формируют дискреционную матрицу доступов , строки которой соответствуют субъектам системы, столбцы – объектам, а в ячейках матрицы хранят множество типов доступов. Пример данной матрицы представлен в таблице 2.1.

Таблица 2.1. Дискреционная матрица доступов.

Объект / Субъект	Файл_1	Файл_2	CD-RW	Флоппи-дисковод
Администратор	Полные права	Полные права	Полные права	Полные права
Гость	Запрет	Чтение	Чтение	Запрет
Пользователь_1	Чтение, передача прав	Чтение, запись	Полные права	Полный запрет

Для матрицы доступа, представленной в таблице 2.1, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать эти права другому пользователю он не может.

Модель безопасности Харрисона-Руззо-Ульмана (HRU) [Error: Reference source not found] является классической дискреционной моделью реализующей произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

Здесь поведение системы безопасности моделируется с помощью автоматной модели, путем перехода автомата из состояния в состояние. Состояние системы безопасности в некоторый момент характеризуется состоянием автомата и описывается тройкой Q=(S,O,M), где S – множество субъектов системы, O – множество объектов системы, M=M[s,o] – матрица доступов. Права доступа берутся из некоторого конечного множества T. Переход автомата из состояния в состояние осуществляется согласно запросам на изменение матрицы доступов.

Вводятся следующие операции op изменяющие матрицу доступов.

• enter t into (s,o) – внести право t в (s,o);

• delete t from (s,o) – удалить право t в (s,o);

• create subject s – создать субъект s;

• create object o – создать объект o;

• destroy subject s – уничтожить субъект s;

• destroy object o – уничтожить объект o;

В модели HRU запросы на изменение матрицы доступов осуществляются в следующей форме:

ЕСЛИ

t₁ in M[s₁,o₁] and

t₂ in M[s₂,o₂] and

…

t_m in M[s_m,o_m]

ТО

op₁

op₂

…

op_n

В начальное время система находится в начальном состоянии Q₀.

Имея начальное состояние Q₀ и право t, говорят, что Q₀ безопасна по отношению к t, если отсутствует последовательность запросов на изменение матрицы доступов, при которой t запишется в ячейку матрицы доступов, где она отсутствует в настоящий момент. В модели HRU исследуется вопрос, сможет ли некоторый субъект s приобрести право t для объекта o, если система стартует из состояния Q₀.

Для данной модели доказано 2 теоремы –

Теорема 2.1. Существует алгоритм для монооперациональных систем (систем, у которых в заключении запроса – одна операция), определяющий, является либо не является данная система безопасной в состоянии Q₀ относительно операции t.

Теорема 2.2. Проблема определения безопасности системы в состоянии Q₀ относительно t в общем виде неразрешима.

Доказано, что проблема определения безопасности может быть решена для систем, не имеющих в заключении операторов create. Может быть решена, не имеющих в заключении операторов destroy либо delete.