Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции / all.docx
Скачиваний:
175
Добавлен:
15.06.2014
Размер:
1.79 Mб
Скачать

7 Модели безопасности основных ос

Субъектно-объектная модель взаимодействия. Аксиомы защищённых систем. Понятие доступа и монитора безопасности: потоки информации, монитор обращений и монитор безопасности объектов. Основные типы политики безопасности: дискреционная и мандатная политики. Разработка и реализация политики безопасности: пути нарушения политики безопасности, условия и определения осуществления существования легального доступа, замкнутая программная среда. Базовая теорема изолированной программной среды, классическая схема ядра безопасности. Построение изолированной программной среды.

Безопасность в программных системах (операционных системах) обеспечивается как средствами криптографии, так и принятыми в них политиками безопасности. Эти политики безопасности связаны с понятием «доступа».

Доступ – это категория субъектно-объектной модели, описывающая процесс выполнения операций субъектов над объектами.

Политика безопасности включает:

а) множество возможных операций над объектами;

б) для каждой пары «субъект, объект» (Si, Qj) множество разрешённых операций, являющееся подмножеством всего множества возможных операций.

В субъектно-объектной модели сформулированы следующие аксиомы защищённых систем.

АКСИОМА 1. В защищённой системе всегда присутствует активный компонент (субъект), выполняющий контроль операций субъектов над объектами.

Этот компонент отвечает за реализацию некоторой политики безопасности.

АКСИОМА 2. Для выполнения в защищённой системе операций над объектами, необходима дополнительная информация о разрешённых и запрещённых операциях субъектов с объектами.

АКСИОМА 3. Все вопросы безопасности информации в системе описываются доступами субъектов к объектам.

Политика безопасности в общем случае выражает нестационарное состояние защищённости. Защищаемая система может изменяться, дополняться новыми компонентами, т. е. политика безопасности должна быть поддержана во времени, т. е. должна быть определена процедура управления безопасностью.

А нестационарность защищаемой системы и реализация политики безопасности в конкретных конструкциях системы предопределяет рассмотрение задачи гарантирования заданной политики безопасности.

7.1 Понятие доступа и мониторинг безопасности

Из модели вычислительной системы фон Неймана понятию «субъект» соответствует программа (последовательность исполняемых инструкций). Понятию «объект» соответствуют данные.

Обычно, рассматривая модель произвольной системы, её делят на два подмножества: объектов и субъектов.

СУБЪЕКТ ОБЛАДАЕТ СВОЙСТВАМИ.

А) Человек-пользователь воспринимает объекты и получает информацию о состоянии системы через те субъекты, которыми он управляет и которые отображают информацию.

Б) Угрозы компонентам системы исходят от субъекта, как активного компонента, изменяющего состояние объектов в ней.

В) Субъекты могут влиять друг на друга через изменяемые ими объекты, связанные с другими субъектами, порождая субъекты, представляющие угрозу для безопасности информации или работоспособности системы.

Пользователь (физическое лицо) отличается от субъекта: он аутентифицируется некоторой информацией и управляет субъектом в системе.

Т. е., пользователь – это внешний фактор. И свойства субъектов не зависят от него (кроме систем типа компиляторов, средств разработки, отладчиков и т. п.).

Рассматриваемая ниже субъектно-объектная модель базируется на следующей аксиоме.

АКСИОМА 4. Субъекты в системе могут быть порождены из объектов только активными компонентами (субъектами).

Определение: объект Oi называется источником для субъекта Sm, если существует субъект Sj, в результате воздействия которого на объект Oi в системе возникает субъект Sm.

Это операция Create (Sj, Oi) → Sm, рисунок 7.1. Create операция порождения субъектов.

Определение: объект Oi в момент времени t ассоциирован (связан) с суббъектом Sm, если состояние объекта Oi повлияло на состояние субъекта в следующий момент времени (субъект Sm использует информацию из объекта Oi).

В общем случае, субъект реализует отображение множества ассоциированных объектов в момент времени t на множество ассоциированных объектов в момент времени (t + 1).

Поэтому выделяют ассоциированные объекты, изменение которых изменяет вид отображения ассоциированных объектов (например, объекты, содержащие код программы). Их называют функционально ассоциированные объекты.

Также, есть ассоциированные объекты-данные – они являются аргументом операции, но не изменяют вид отображения.

В момент порождения субъекта Sm из объекта Oi, он является ассоциированным объектом для субъекта Sm.

Определение: потоком информации между объектом Om и объектом Oj называется произвольная операция над объектом Oj, реализуемая в субъекте Si и зависящая от Om, рисунок 7.2.

Обозначение Stream (Si, Om) → Oj – поток информации от объекта Om к объекту Oj, реализуемая в субъекте Si.

Активная роль субъекта выражается в реализации потока: операция порождения потока локализована в субъекте и отображается состоянием его функционально ассоциированных объектов.

Операция Stream может создавать новый объект или уничтожать его. На рисунке 7.3 приведены виды информационных потоков.

Определение: доступом субъекта Si к объекту Oj называется порождение потока информации между некоторым объектом и объектом Oj.

Для фиксированной декомпозиции компьютерной системы на субъекты и объекты всё множество потоков P делится на подмножества потоков N несанкционированного доступа и подмножество потоков L легального доступа:

P = NL (нелегальный или легальный); NL = 0 (поток не может быть одновременно нелегальным и легальным).

Категория «опасный–безопасный» описывается политикой безопасности: она описывает критерии разбиения на подмножества L и N.

Определение: правило разграничения доступа субъектов к объектам – это формально описанные потоки подмножества L.

Можно говорить об инвариантности (независимости) субъектноориентированной модели относительно любой принятой в системе политики безопасности.

Определение: объекты Oi и Oj тождественны в момент времени t, если они совпадают как слова, записанные в одном языке.

На практике всегда существует алгоритм, обеспечивающий возможность попарного сравнения. Т. е., существует процедура сортировки ассоциированных объектов, позволяющая говорить о возможности попарного сравнения. Например, выделяются и попарно сравниваются участки оперативной памяти, отвечающие коду программ или содержанию переменных и массивов.

Определение: субъекты Si и Sj тождественны в момент времени t, если попарно тождественны все ассоциированные с ними объекты.

ПОРОЖДЁННЫЕ СУБЪЕКТЫ ТОЖДЕСТВЕННЫ, если тождественны порождающие субъекты и объекты–источники.

Для разделения всего множества потоков на подмножества L и N, необходимо существование активного компонента (субъекта), который:

а) активизировался бы при возникновении любого потока;

б) производил бы фильтрацию потоков в соответствии с принадлежностью подмножествам L и N.

Определения: МОНИТОР (1) ОБРАЩЕНИЙ (МО) – субъект, активизирующийся при возникновении потока от любого субъекта к любому объекту.

ИНДИКАТОРНЫЙ (2) МО устанавливает только факт обращения субъекта к объекту.

СОДЕРЖАТЕЛЬНЫЙ (3) МО субъект, который функционирует так, что при возникновении потока от ассоциированного объекта Om любого субъекта Si к объекту Oj и обратно, – появляется ассоциированный с МО объект Om0, тождественный объекту Om. Содержательный МО полностью участвует в потоке от субъекта к объекту.

МОНИТОР (4) БЕЗОПАСНОСТИ (монитор ссылок) – имеет целевой функцией фильтрацию для обеспечения безопасности. При этом разделение на подмножества L и N задано априорно.

МОНИТОР (5) БЕЗОПАСНОСТИ ОБЪЕКТОВ (МБО)это монитор обращений, который разрешает поток, принадлежащий подмножеству легального доступа L.

Разрешение – это выполнение операции над объектом-получателем потока, а запрещение – невыполнение.

Монитор безопасности объектов – это и есть механизм реализации политики безопасности в системе.

Соседние файлы в папке Лекции