Обзор и классификация политик безопасности (политик разграничения доступа)
Под политикой безопасности (разграничения доступа) понимается совокупность норм, правил и практических рекомендаций, регламентирующих процесс обработки информации, выполнение которых обеспечивает защиту от заданного множества угроз и составляет необходимое (а иногда и достаточное) условие безопасности компьютерной системы.
Основная цель создания политики безопасности информационной системы – определение условий, которым должно подчиняться поведение подсистемы безопасности. Наиболее исследованными на практике моделями безопасности являются модели, защищающие информацию от нарушения свойств конфиденциальности и целостности. Они могут быть на верхнем уровне подразделены на два больших класса – формальных и неформальных моделей.
Формальные модели политик безопасности позволяют описать поведение подсистемы безопасности в рамках строгих математических моделей и правил. С их помощью можно доказать безопасность системы, опираясь при этом на объективные и неопровержимые постулаты математической теории. Формирование данных политик предполагает выработку критерия безопасности системы и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.
Неформальные модели политик безопасности предполагают описание поведения подсистемы безопасности в рамках вербальных (словесных) утверждений, не обладающих математической строгостью. Утверждения в неформальных моделях, как правило, формируют требования к поведению подсистемы безопасности на общем уровне без указания особенностей их реализации.
Достоинством формальных моделей является их математическая строгость и возможность формального доказательства того, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.
Недостатком формальных моделей является их большая абстрактность, что, зачастую, не позволяет использовать правила данных моделей ко всем субъектам и объектам компьютерной системы.
Одна из возможных классификаций формальных моделей политик безопасности представлена на рисунке 3.
Рис. 3. Классификация моделей политик безопасности
В последующих лекциях мы рассмотрим каждую из представленных политик безопасности (политик разграничения доступа).
Лекция №3 Дискреционные политики безопасности
Исходная дискреционная
политика безопасности (политика
избирательного разграничения доступа
к информации) формируется путем задания
администратором набора троек следующего
вида
,
где
– субъекты доступа,
– объекты доступа,
– права доступа, которыми наделены
субъекты
к объектам
(например, чтение, запись, исполнение и
т.д.).
При формировании
дискреционной политики безопасности
обычно формируют дискреционную матрицу
доступов
,
строки которой соответствуют субъектам
системы, столбцы – объектам, а в ячейках
матрицы хранят множество типов доступов.
Пример данной матрицы представлен в
таблице 1.
Таблицу заполнять в интерактивном режиме, предварительно выбрав из числа студентов трех человек: администратора (формирует множество прав доступа , заполняет матрицу, наделяя себя и других пользователей конкретными правами доступа ко всем объектам), гостя (смотрит и радуется) и пользователя (смотрит и радуется).
Табл. 1. Дискреционная матрица доступов
Объект
Субъект |
Файл_1 |
Файл_2 |
DVD-RW |
USB-порт |
Администратор |
Полные права |
Полные права |
Полные права |
Полные права |
Гость |
Запрет |
Чтение |
Чтение |
Запрет |
Пользователь |
Чтение, передача прав |
Чтение, запись |
Полные права |
Чтение, запись |
Прокомментировать построенную матрицу доступов, например, так: Пользователь имеет права на чтение и запись в Файл_2. Передавать эти права другому пользователю он не может. Администратор, разумеется, имеет полные права ко всем субъектам доступа.
ВАЖНО: после участия студентов в рассмотрении данного примера, раздать каждому из них «галочки»: администратору – за реализацию и ответственное администрирование дискреционной политики безопасности, а также за гостеприимное (на правах хозяина) отношение к гостю и пользователю; гостю – за то, что не использовал в своих корыстных интересах гостеприимство администратора; пользователю – за просто так.
Модель безопасности Харрисона-Руззо-Ульмана (HRU) является классической дискреционной моделью, реализующей произвольное управление доступом субъектов к объектам и осуществляющей контроль за распространением прав доступа.
Здесь поведение системы безопасности моделируется с помощью автоматной модели путем перехода автомата из состояния в состояние. Состояние системы безопасности в некоторый момент характеризуется состоянием автомата и описывается тройкой Q=(S,O,M), где S – множество субъектов системы, O – множество объектов системы, M=M[s,o] – матрица доступов. Права доступа берутся из некоторого конечного множества T. Переход автомата из состояния в состояние осуществляется согласно запросам на изменение матрицы доступов.
Вводятся следующие операции op, изменяющие матрицу доступов:
- enter t into (s,o) – внести право t в (s,o);
- delete t from (s,o) – удалить право t из (s,o);
- create subject s – создать субъект s;
- create object o – создать объект o;
- destroy subject s – уничтожить субъект s;
- destroy object o – уничтожить объект o.
В модели HRU запросы на изменение матрицы доступов осуществляются в следующей форме: ЕСЛИ
t1 in M[s1,o1] and
t2 in M[s2,o2] and
…
tm in M[sm,om]
ТО
op1
op2
…
opn
В начальное время система находится в начальном состоянии Q0.
Имея начальное состояние Q0 и право t, говорят, что Q0 безопасно по отношению к t, если отсутствует последовательность запросов на изменение матрицы доступов, при которой t запишется в ячейку матрицы доступов, где она отсутствует в настоящий момент. В модели HRU исследуется вопрос, сможет ли некоторый субъект s приобрести право t для объекта o, если система стартует из состояния Q0.