Вопрос 34 Формальные модели безопасности. Модель Белла-Лападула как основа построения систем мандатного разграничения доступа. Основные положения модели.

Формальные модели используются, как основа при формировании ПИБ. Предназначен для анализа системы на обеспечение свойств безопасности, для анализа информационных потоков. Формальные модели делятся на 2 вида: дискреционные и мандатные.

К дискреционным относится матричная модель. Суть этой модели: существует множество объектов и множество субъектов, строится матрица доступа. На пересечении столбца и строки – права доступа. Субъект – пользователь, ПО. Объект – файл, программы. Матрица доступа явл разряженной.

Модель матрицы доступов HRU. Она используется для анализа системы защиты. Операции формально описываются на основе теории множеств. Автомат, построенный в соответствии с положениями модели называется системой. При выполнении примитивного оператора состояние системы меняется. Возможно использование нескольких примитивных операторов и составление из них команд.

Модель распространения прав доступа Take-Grant. Эта модель предусматривает присвоение некоторых прав доступа субъекту и их заимствование. Модель используется для анализа систем дискреционного разграничения доступа и для анализа путей распространения прав доступа. Основными элементами модели: граф доступа и правила его преобразования. Цель модели: дать ответ на вопрос о возможности получения прав доступа субъектам системы на объект, в состоянии, описываемом графом доступа. Есть классическая модель T-G, есть расширенная. Отличаются набором операций.

К мандатным относится модель Белла-Лападула (БЛМ). В основу положен мандатный принцип разграничения доступа. Эта модель рассматривает потоки информации, которые возможны между субъектами и объектами на различных уровнях секретности. В классической модели рассматриваются только операторы R/W. При построение формального описания используется теория множеств: S – множество субъектов; O – множество объектов; R – множество прав доступа; В – множество возможных прав (В={S×O×R}); L – множество уравнений секретности (L=U, C, S, TS); М –множество разрешенных прав; V – множество состояний системы; Q – множество запросов системе; D – множество ответов системы.

Когда субъект с высоким уровнем допуска получает доступ к объекту с низким уровнем безопасности его текущий уровень доступа понижается. Т.О. исключается один из возможных каналов утечки.

Свойства: 1) свойство простой безопасности (определяется тем что обращаться для чтения/записи к объекту, субъект может в том случае если уровень f_s(s)≥f_o(o) т.е. если уровень доступа субъекта больше или равен уровню секретности объекта), 2) свойство дискретной безопасности (состояние системы называется безопасным если есть множество всевозможных доступов) 3)свойство * (свойство показывает определить безопасность системы в случае изменения субъектом своего текущего доступа). Если система обладает свойством * то одновременно она обладает свойством простой безопасности. Система называется безопасной если она обладает всеми 3-мя свойствами одновременно.

Модель Low-Water-Mark (LWM) представляет собой модель, близкую к Белла-Лападула, реализующую мандатную политику. Модель предлагает порядок безопасного функционирования системы в случае, когда по запросу субъекта ему всегда необходимо предоставлять доступ на запись в объект.

П равило “нет чтения на вверх” - у субъекта есть некоторый уровень доступа, он может читать документы уровень секретности, которых равен или меньше. Второе правило “нет записи вниз” (No Write Down) т.е. информация которая имеет высокий уровень секретности нельзя передавать на более низкий уровень секретности. Модель сильного спокойствия когда действуют оба правила. Модель слабого спокойствия, когда выполняется только одно из правил либо 1 из 2-ух запрещено.

Часто модель Белла-Лападулы определяют, как модель конечных состояний. Основная теорема безопасности: Если начальное состояние системы безопасно, и все переходы системы из состояния в состояние не нарушают ограничений, сформулированных политикой безопасности, то любое» состояние системы безопасно. К моделе Белла-Лападулы: достоинства: 1)есть возможность доказать формально безопасности системы; 2)проблема троянских программ (отсутствуют разделяемые области) «недостатки» 1)ограниченность применения (связанно с применением системы к распределенным системам) 2) применим к множеству субъектов - модель ни как не разграничивает множество субъектов и не позволяет разделить его на подмножества