
- •5 Сентября 2012 г.
- •12 Сентября 2012г.
- •19 Сентября 2012г.
- •26 Сентября 2012г.
- •3 Октября 2012г.
- •9 Октября 2012г.
- •20 Октября 2012г.
- •24 Октября 2012г.
- •31 Октября 2012
- •7 Ноября 2012г. Лекции нет.
- •14 Ноября 2012г.
- •21 Ноября 2012г.
- •28 Ноября 2012г.
- •5 Декабря 2012г.
- •12 Декабря 2012г. Лекции, к сожалению, нет
- •26 Декабря 2012г.
9 Октября 2012г.
//продолжение...
Пользователю разрешен доступ к системе, если он входит во множество известных системе пользователей.
Пользователю разрешается доступ к терминалу, если он входит в подмножество пользователей, закрепленных за данным терминалом.
Пользователю разрешен доступ к файлу, если:
Уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла
Прикладная область файла включается в прикладную область задания пользователя.
Режим доступа задания пользователя включает режим доступа к файлу.
Пользователь входит в подмножество допущенных к файлу пользователей.
Характеристики безопасности объекта получаются на основе прав задания, а не на основе прав пользователя, и используются в модели для управления доступом, что обеспечивает однородный контроль права на доступ над неоднородным множеством программ и данных, файлов и пользователей.
В модели, предложенной Хартсоном, в качестве основных характеристик используется множество т.н. пятимерного пространства безопасности:
Установленных полномочий
Пользователей
Операций
Ресурсов
Состояний
При этом область безопасных состояний системы представляется в виде декартового произведения перечисленных множеств. Каждый запрос на доступ представляется под пространством четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующее подпространство.
В модели безопасности с «полным перекрытием» предусматривается по крайней мере одно средство защиты для обеспечения безопасности на каждом возможном пути проникновения в систему, или нарушения защиты охраняемых объектов. Модель имеет более простой вид за счет удаления из рассмотрения области пользователя и внешних ограничений. В модели точно определяется каждая область, требующая защиты; оцениваются средства обеспечения, с точки зрения их эффективности и их вклад в обеспечение безопасности всей автоматизированной системы.
Одна из первых фундаментальных моделей защиты информации была разработана Лэмпсоном, и затем усовершенствована Грехемом и Деннингом. Основу их модели составляет правило доступа, которое определяет возможный вид доступа субъекта по отношению к объекту доступа.
В данной модели, в контексте операционной системы, объектами доступа могут являться страницы оперативной памяти, программы, устройство внешней памяти и файлы. Субъектами обычно являются пары, вида «процесс—домен». Процесс — выполняющаяся программа, домен — окружение, в котором выполняется процесс.
Примерами доменов являются состояния процессора, супервизора, прикладной программы.
Видами доступа могут быть: выполнение, выделение памяти, чтение, запись.
Множество всех возможных правил доступа, можно представить в виде некоторой таблицы доступа А, в которой строки S1, S2...Sn представляют субъекта доступа, а столбцы Q1, Q2...Qn объекты доступа, а каждый элемент матрицы содержит список видов доступа — T1, T2...Tk, которые определяют привилегии субъекта Si к объекту Oj. Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом — монитором. Следовательно, когда субъект инициирует некоторый доступ Tk к объекту Oj монитор проверяет наличие Tk в соответствующем элементе матрицы A[Si, Oj]. Так как во время выполнения программы возможна передача управления от одного процесса к другому, то правило доступа должны динамически изменяться таким образом, чтобы права доступа одного субъекта могли бы передаваться другому. Субъекту, не находящемуся в процессе отладки можно запретить передавать свои права. Ценность такого подхода в ограничении воздействия ошибок. Ошибки в этом случае не могут бесконтрольно распространяться по всей системе. Поэтому увеличивается надежность и упрощается отладка.
В такой модели безопасность всех объектов системы рассматривается единообразно, однако, при рассмотрении безопасности баз данных такая модель обеспечивает безопасность только части объектов систем, а именно операционных систем. Безопасность баз данных предполагает включение в матрицу доступа не только страниц памяти, внешних устройств и файлов, но также и объектов присущих самим СУБД, таких как записи и поля записей. Поэтому, модель может быть расширена для исследования всех аспектов безопасности в автоматизированной системе.
Существует несколько принципиальных различий между безопасностью операционной системы и безопасностью баз данных:
В базах данных имеет место большее число защищаемых объектов.
Безопасность баз данных связана с большим числом уровней укрупненности данных, таких как файлы, записи, поля записей и их значения.
Операционные системы связаны защитой физических ресурсов, а в БД объекты могут представлять собой сложные логические структуры, определенное множество которых может отображаться на одни и те же физические объекты данных.
Возможно существование различных требований по безопасности для разных уровней рассмотрения внутреннего, концептуального и внешнего для БД и ОС.
Безопасность баз данных связана с семантикой данных, а не их физическими характеристиками.
Единая модель защиты ОС и БД значительно усложняет рассмотрение вопросов безопасности, поэтому разработаны специальные модели защиты баз данных. Одним из примеров моделей защиты баз данных является модель Фернандеза, Саммерса, Колмана.
Эта модель относится к классу матричных, и получила наибольшее распространение, т.к. успешно поддаётся реализации в конкретных программных системах. Так как программы выступают в правилах доступа в качестве субъектов, то они могут при необходимости расширять права конкретных пользователей. Например, программа может иметь права на сортировку файла, чтение которого пользователю запрещено.
В модели Хартсона и Сяо каждое правило может имет расширение, которое определяет права программ. В других случаях может потребоваться сужение прав пользователей правами используемых ими программ. Все программы могут выступать и в качестве объектов доступа, типичными операциями для которых являются исполнение и использование (execute & use).
Многоуровневые модели защиты.
Другим видом моделей являются многоуровневые модели. Они отличаются от матричных моделей по нескольким аспектам. Во первых, они рассматривают управление доступом не в рамках задаваемых неким администратором прав пользователям, а в рамках рассмотрения всей системы таким образом, чтобы данные одной области не были доступны пользователям другой категории.
Первый вид управления получил название дискреционного контроля доступа, а второй не дискреционного, хотя возможны и сочетания.
Например, администратор может установить дискреционные правила доступа внутри персонала, и не дискреционные правила доступа для исключения доступа к данным подразделения со стороны сотрудников из другого подразделения.
Модель рассматривает состояние системы безопасности, которая определяется:
Текущим множеством доступов, представляемых в виде триад (субъект—объект—вид доступа).
Матрицей доступа
Уровнем безопасности каждого объекта
Максимальным и текущим уровнями безопасности каждого субъекта.
Любой запрос вызывает изменение состояния системы. При этом запросы могут быть на доступ объекта, на изменение уровня безопасности, на создание/удаление объектов. Реакция системы на запросы называется решением. При данном запросе и текущем состоянии решение и новое состояние определяется правилами. Эти правила поведения системы предписывают как будет обрабатываться каждый вид запроса. Доказательство безопасности системы включает доказательство того, что каждое правило выполняется безопасным образом. Если состояние системы безопасно, то любой новый запрос вызывает переход системы в новое безопасное состояние. Безопасное состояние определяется двумя свойствами: простым условием безопасности и ограничительным условием.
Простое условие безопасности — для каждого текущего доступа (субъект—объект—вид доступа) связанного с чтением объекта уровень безопасности субъекта должен доминировать над уровнем безопасности объекта. Иначе, такое условие можно сформулировать как запрет чтения из более высоких уровней. Простое условие не исключает рассмотрение безопасности при сочетании безопасных доступов.
Ограничительное условие предотвращает потоки информации из объектов более высокого уровня в объекты более низкого уровня. Это условие определяется следующим образом:
Если запрос на чтение, то уровень субъекта должен доминировать над уровнем объекта. Если запрос на изменение, то наоборот, уровень объекта должен доминировать над уровнем субъекта.
Если запрос и на чтение и на запись, то уровень объекта должен быть равен текущему уровню субъекта.
Ценность не дискреционных моделей в возможности проведения формального заключения об их безопасности, в то время как для дискреционных моделей невозможно установить являются ли они безопасными.
Многоуровневые модели рассматривают не только сам факт доступа к информации, но и потоки информации внутри системы.
Подобно матричным моделям многоуровневые модели были разработаны для рассмотрения объектов безопасности ОС, и в дальнейшем распространены на безопасность БД.
Наибольшее распространение получила многоуровневая модель, разработанная Бэллом и Ла Падулом. В этой модели вводятся понятия уровня и категории. Каждому субъекту приписывается уровень допуска (форма допуска), а каждому объекта приписывается уровень конфиденциальности (гриф секретности). Субъект обычно представляет собой процесс, выполняющийся по запросу пользователя, и имеющий тот же уровень допуска, что и пользователь. Объектами могут выступать области памяти, переменные программ, файлы, устройства ввода-вывода, сами пользователи, и другие элементы системы, содержащие информации. Каждому субъекту приписывается множество категорий в виде прикладных областей. Тогда уровень безопасности представляется в виде сочетания: уровень конфиденциальности множества категорий. Одиниуровень безопасности доминирует над другим тогда и только тогда, когда его уровень конфиденциальности или допуска больше, либо равен, второму, и его множествр категорий включает соответствующее множество второго. Уровни допуска и конфиденциальности являются упорядоченными, в то время как уровни безопасности упорядочены частично. Некоторые субъекты и объекты могут быть несравнимы. Доступ к объекту может рассматриваться либо как чтение, либо как изменение. Тогда виды доступа определяются любыми возможными сочетаниями таких операций, то есть:
Не чтение, не изменение
Только чтение
Только изменение
И чтение, и изменение