Расширенная модель Take-Grant и ее применение для анализа информационных потоков в ас.
В расширенной модели Take-Grant рассматриваются пути и стоимости возникновения информационных потоков в системах с дискреционным разграничением доступа
В классической модели Take-Grant по существу рассматриваются два права доступа tи g, а также четыре правила (правила де-юре) преобразования графа доступов take, grant, create, removeВ расширенной модели дополнительно рассматриваются два права доступа на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразования графа доступов post, spy, find, passи два правила без названия.
Правила де-факто служат для поиска путей возникновения возможных информационных потоков в системе. Эти правила являются следствием уже имеющихся у объектов системы прав доступа и могут стать причиной возникновения информационного потока от одного объекта к другому без их непосредственного взаимодействия.
В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или wи изображаемые пунктиром. Вместе с дугами графа, соответствующими правам доступа rи w (реальными дугами), мнимые дуги указывают на направления информационных каналов в системе.
Правило де-факто (везде вместо реальных дуг могут быть мнимые дуги)
Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов. Информационные каналы нельзя брать или передавать другим объектам системы.
20. Модель Белла-Лападулы как основа построения систем мандатного разграничения доступа. Основные положения модели. Базовая теорема безопасности (bst).
Модель Белла-Лападулы
Модель БЛ построена для анализа систем защиты, реализующих мандатное разграничение доступа. Модель основана на правилах секретного документооборота, принятых в гос. и правительственных учреждениях многих стран. Основным положением модели явл. назначение всем участникам процесса обработки защищаемой И. спец.метки (с, сс и т.д.) получившей название – уровень безопасности. Контроль доступа осущ. в зависимости от уровня без-ти взаимод. сторон на основании 2 правил:
- S имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень без-ти (допуск).
- S имеет право заносить И. только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Т.о., управление доступом происходит неявным образом (с помощью назначения S и О системного уровня безопасности), кот. определяет все допустимые взаимодествия между ними. В тех ситуациях когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с к.-л. дискретной, которая используется для контроля за взаимодействиями м/у сущностями одного уровня и для установки доп. ограничений.
Пусть определены конечные множества: S-множество субъектов системы (например, пользователи системы и программы); О-множество объектов системы (например, все системные файлы); R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О.
Обозначим:
B = {bSОR}-множество возможных множеств текущих доступов в системе;
М-матрица разрешенных доступов, где МsoR-разрешенный доступ субъекта s к объекту о;
L -множество уровней секретности, например L={U,C,S,TS}, где
U<C<S<TS;
(fs,fo,fc)F=Lsx Lox Ls - тройка функций (fs,fo,fc), определяющих:
fs: SL- уровень допуска субъекта;
fo: OL-уровень секретности объекта;
fc: SL-текущий уровень допуска субъекта, при этомsSfc(s)≤ fs(s);
H-текущий уровень иерархии объектов (далее не рассматривается);
V=B x M x F x H- множество состояний системы;
Q- множество запросов системе;
D - множество решений по запросам, например {yes, no, error};
WQ x D x V xV - множество действий системы, где четверка (q,d,v2,v1,)W означает, что система по запросу q с ответом d перешла из состояния v1 в состояние v2,
N0- множество значений времени (N0 =0,1,2,...);
X - множество функций х: N0Q, задающих все возможные последовательности запросов к системе;
У-множество функций у: N0D, задающих все возможные последовательности ответов системы по запросам;
Z -множество функций z: N0V, задающих все возможные последовательности состояний системы.
Определения:
1. (Q,D,W,z0)X x V xZ называется системой, если выполняется (x,y,z)(Q,D,W,z0) тогда и только тогда, когда (xt,yt,zt+1,zt) W для каждого, tN0 где z0-начальное состояние системы. При этом каждый набор (x,y,z)(Q,D,W,z0)называется реализацией системы, a (xt,yt,zt+1,zt) W - действием системы tN0.
Безопасность системы определяется с помощью трех свойств:
1) ss-свойства простой безопасности (simple security);
2) *- свойства "звезда";
3)ds - свойства дискретной безопасности (discretionary security).
2. Доступ (s,o,r)SOR обладает ss-свойством относительно f=(fs,fo,fc)F. если выполняется одно из условий:
• r{execute, append};
• r{read, write} и fs(s)fo(o).
З. Состояние системы (b,M,f,h)V обладает ss-свойством, если каждый элемент (s,o,r)b обладает ss-свойством относительно f.
4. Доступ (s,o,r)SOR удовлетворяет *-свойству относительно f=(fs,fo,fc)F, если выполняется одно из условий:
• r=execute;
• r=append и fo(o)=fc(s);
• r=read и fc (s)= fo(o);
• r=write и fc (s)= fo(o).
5. Состояние системы (b,M,f,h)V обладает *-свойством, если каждый элемент (s, о, г)Ь обладает *-свойством относительно f.
6. Состояние системы (b,M,f,h)V обладает *-свойством, относительно подмножества S'S, если каждый элемент (s,o,r)b, где sS'обладает *-свойством относительно f. При этом S\S' называются множеством доверенных субъектов, т. е. субъектов, имеющих право нарушать политику безопасности.
7. Состояние системы (b,M,f,h) V обладает ds-свойством, если для каждого элемента (s,o,r) b выполняется rMso.
8. Состояние системы (b,M,f,h) называется безопасным, если обладает *-свойством относительно S', ss-свойством и ds-свойством.
9. Реализация системы (x,y,z)(Q,D,W,zo) обладает ss-свойством (*-свойством, d-свойством), если в последовательности (z0,z1,...) каждое состояние обладает ss-свойством (*-свойством, ds-свойством).
10. Система (Q,D,W,zo) обладает ss-свойством (*-свойством, ds-свойством), если каждая ее реализация обладает ss-свойством (*-свойством, ds-свойством).
11. Система (Q,D,W,zo) называется безопасной, если она обладает ss-свойством, *-свойством, ds-свойством одновременно.
Прокомментируем введенные выше свойства безопасности системы. Во-первых, из обладания доступом * - свойством относительно f следует обладание этим доступом ss-свойством относительно f. Во-вторых, из обладания системой ss-свойством следует, что в модели БЛ выполняется запрет на чтение вверх, принятый в мандатной (полномочной) политике безопасности. Кроме того, ss-свойство не допускает модификацию с использованием доступа write, если fs(s) <fo(o). Таким образом, функция fs(s) определяет для субъекта s верхний уровень секретности объектов, к которым он потенциально может получить доступ read или write.
В-третьих, поясним *-свойство. Если субъект s может понизить свой текущий доступ до fc(s) = fo(о), то он может получить доступ write к объекту о, но не доступ read к объекту о', с уровнем fo(о')>fc(s). Хотя при этом, возможно, выполняется fs(s)= fo(о') и в каких-то других состояниях системы субъект s может получить доступ read к объекту о'. Таким образом, *-свойство исключает появление в системе канала утечки информации сверху вниз и соответствует требованиям мандатной (полномочной) политики безопасности.
Проверка безопасности системы по определению в большинстве случаев не может быть реализована на практике в связи тем, что при этом требуется проверка безопасности всех реализаций системы, а их бесконечно много. Следовательно, необходимо определить и обосновать иные условия безопасности системы, которые можно проверять на практике. В классической модели БЛ эти условия определяются для множества действий системы W.
Теорема А1.
Система (Q, D, W, zo) обладает ss-свойством для любого начального состояния zo, обладающего ss-свойством, тогда и только тогда, когда (q,d,(b*, М*,f*,h*), (b, M,f, h)) W удовлетворяет условиям:
Условие 1.(s,o,r) b*\b обладает ss-свойством относительно f*.
Условие 2. Если (s,o,r)b и не обладает ss-свойством относительно f*, то (s,o, г) b*.
Доказательство.
Достаточность. Пусть выполнены условия 1 и 2 и пусть (x,y,z) (Q,D, W,zo) - произвольная реализация системы. Тогда (хt,yt,(bt+1, Mt+1, ft+1,ht+1)(bt, Mt, ft, ht)) W, где zt+1 = (bt+1, Mt+1, ft+1, ht+1), zt = (bt, Mt, ft, ht) для tN0.
Для любого (s,o,r) bt+1 выполняется или (s,o,r) bt+1\bt, или (s,o,r)bt. Из условия 1 следует, что состояние системы zt+1 пополнилось доступами, которые обладают ss-свойством относительно f*. Из условия 2 следует, что доступы из bt, которые не обладают ss-свойством относительно f* не входят в bt+1. Следовательно (s,o,r) bt+1 обладают ss-свойством относительно f* и по определению состояние zt+1 обладает ss-свойством для tNo. Так как по условию и состояние zo обладает ss-свойством, то выбранная нами произвольная реализация (x,y,z) также обладает ss-свойством. Достаточность доказана.
Необходимость. Пусть система (Q,D,W,zo) обладает ss-свойством. Будем считать, что в множество W входят только те действия системы, которые используются в ее реализациях. Тогда (q,d,(b*,M*,f*,h*),(b,M,f,h))W(x,y,z) (Q,D,W,zo) и tN0: (q,d,(b*,M*,f*,h*),(b,M,f,h))= (хt,yt,zt+1,zt). Так как реализация системы (x,y,z) обладает ss-свойством, то и состояние zt+1 = =(b*,M*,f*,h*) обладает ss-свойством по определению. Следовательно, условия 1 и 2 очевидно выполняются. Необходимость доказана.
Теорема А2.
Система (Q,D,W,zo) обладает *-свойством относительно S'S для любого начального состояния zo, обладающего *-свойством относительно S', тогда и только тогда, когда (q,d,(b*,M*,f*,h*),(b,M,f,h))W удовлетворяет условиям:
Условие 1. sS', (s,o,r) b*\b обладает *-свойством относительно f*.
Условие 2.sS', если (s,o,r) b и не обладает *-свойством относительно f*, то (s,o.r) b*.
Доказательство. Аналогично доказательству теоремы А1.
Теорема A3.
Система (Q,D,W,zo) обладает ds-свойством для любого начального состояния zo, обладающего ds-свойством, тогда и только тогда, когда (q,d,(b*,M*,f*,h*),(b,M,f,h))W удовлетворяет условиям:
Условие 1.(s,o,r)b*\b, выполняется rmso.
Условие 2. Если (s,o,r)b и rmso, то (s,o,r) b*.
Доказательство. Аналогично доказательству теоремы А1.