3189
.pdf6. РЕАЛИЗАЦИЯ И ИССЛЕДОВАНИЕ ПОЛИТИК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. МАНДАТНАЯ МОДЕЛЬ ПОЛИТИКИ БЕЗОПАСНОСТИ
Цель работы - познакомиться с проблемами реализации поли тик безопасности в компьютерных системах на примере мандатной модели.
Сведения из теории
Мандатная модель политики безопасности предполагает норма тивное управление доступом субъектов к объектам с использованием меток безопасности.
Мандатную модель можно определить следующей группой аксиом: 1. Вводится множество атрибутов безопасности А, элементы ко
торого упорядочены с помощью установленного отношения домини рования. Например, для России характерно использование следую щего множества уровней безопасности: А={открыто (О), конфиден циально (К), секретно (С), совершенно секретно (СС), особая важ ность (ОВ)}.
2. Каждому объекту Oj е О компьютерной системы ставится
в соответствие атрибут безопасности xQj е А , который соответствует
ценности объекта |
Oj и называется его уровнем (грифом) конфиден |
|
циальности. |
|
е S компьютерной системы ставится |
3. Каждому |
субъекту |
в соответствие атрибут безопасности xSj е А , который называется
уровнем допуска субъекта и равен максимальному из уровней конфи
денциальности объектов, к которому субъект |
будет иметь допуск. |
4. Если субъект S, имеет уровень допуска xSj, а объект <9у |
|
имеет уровень конфиденциальности х0 /, то S, |
будет иметь допуск |
к Oj тогда и только тогда, когда xS/ > x0j. |
|
При реализации мандатной модели политики безопасности вво дят два вектора:
1. Вектор OV = (ov,,...,ovn) , задающий уровни конфиденциаль
ности для всех объектов компьютерной системы (я - количество объектов).
2. Вектор UV = (uvu...,uvm) , задающий уровни допуска для
всех субъектов в компьютерной системе (т - число субъектов). Система разграничения доступа при осуществлении доступа
субъекта к объекту сравнивает уровень допуска субъекта с уровнем конфиденциальности объекта и по результатам этого сравнения раз решает либо запрещает данный доступ. Доступ разрешается, если уровень допуска субъекта больше либо равен уровню конфиденци альности объекта. В ином случае доступ запрещается.
Порядок выполнения практической работы
Пусть задано множество атрибутов безопасности А= {«Совер шенно секретно», «Секретно», «Открытые данные»}.
1.Получить информацию о количестве объектов и субъектов компьютерной системы из таблицы вариантов соответственно ваше му варианту.
2.Реализовать программный модуль, создающий мандатную модель политики безопасности. Реализация данного модуля подра зумевает следующее:
♦выбрать идентификаторы пользователей-субъектов, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя, ко личество пользователей-субъектов задано для вашего вари анта). Например, множество из 3 идентификаторов пользо вателей {Ivan, Sergey, Boris};
♦заполнить вектор OV, задающий уровни конфиденциально сти объектов, случайным образом. Множество атрибутов безопасности А указано выше;
♦заполнить вектор UV, задающий уровни допуска пользовате лей, случайным образом. Множество атрибутов безопасно сти А указано выше;
♦распечатать на экране вектора OV и UV, определяющие уровни конфиденциальности объектов и уровни допуска пользователей. Вывод можно осуществить, например, сле дующим образом:
Уровни конфиденциальности объектов (OV): Объект_1: Открытые данные Объект_2: Секретно Объект_3: Совершенно секретно Объект_4: Открытые данные
Уровни допуска пользователей (UV) Ivan: Совершенно секретно
Sergey: Секретно
Boris: Открытые данные
3. Реализовать программный модуль, демонстрирующий рабо системы в мандатной модели политики безопасности. Данный мо дуль должен выполнять следующие функции:
♦выполнять идентификацию пользователя при входе в систе му. При успешной идентификации пользователя должен осуществляться вход в систему, при неуспешной - вывод со ответствующего сообщения;
♦при входе в систему после успешной идентификации поль зователя на экране должен распечатываться список тех объ ектов системы, к которым у вошедшего пользователя есть доступ. Вывод можно осуществить, например, следующим образом:
User: Boris
Идентификация прошла успешно, добро пожаловать в систему
Перечень доступных объектов: Объект_1, Объект_4. Жду ваших указаний >
4. После вывода на экран перечня доступных объектов про грамма должна ждать указаний пользователя на осуществление дей ствий над объектами в компьютерной системе (команда request). По сле получения команды request от пользователя на экран должно вы водиться сообщение об успешности либо неуспешности операции. Должна поддерживаться операция выхода из системы (quit), после ввода которой должен запрашиваться другой идентификатор пользо вателя. Диалог можно организовать, например, следующим образом:
Жду ваших указаний > request
Ккакому объекту хотите осуществить доступ? 1 Операция прошла успешно
Жду ваших указаний > request
Ккакому объекту хотите осуществить доступ? 2 Отказ в выполнении операции. Недостаточно прав. Жду ваших указаний > quit
Работа пользователя Boris завершена. До свидания. User:
5.Исследовать работу реализованной программы, продемонст рировав реализованную модель мандатной политики безопасности преподавателю.
6.Оформить в тетради отчет по практической работе согласно примеру, приведенному на последней странице. В прогонку про граммы включить примеры как разрешенных, так и запрещенных операций.
Замечание Грифы конфиденциальности объектов и уровни доступа субъек
тов могут быть закодированы цифрами для удобства их хранения и сравнения. Для хранения в программной модели атрибутов безо
пасности множества А можно закодировать их числами от 0 до 2 (от низших к высшим уровням безопасности), например, «Открытые дан ные»^, «Секретно»=1, «Совершенно секретно»=2. В этом случае бо лее легко можно реализовать контроль допуска субъектов к объектам.
Варианты
Вариант |
Количество субъектов |
Количество объектов |
|
доступа |
доступа |
||
|
|||
1 |
3 |
3 |
|
2 |
4 |
4 |
|
3 |
5 |
4 |
|
4 |
6 |
5 |
|
5 |
7 |
6 |
|
6 |
8 |
3 |
|
7 |
9 |
4 |
|
8 |
10 |
4 |
|
9 |
3 |
5 |
|
10 |
4 |
6 |
|
11 |
5 |
3 |
|
12 |
6 |
4 |
|
13 |
7 |
4 |
|
14 |
8 |
5 |
|
15 |
9 |
6 |
|
16 |
10 |
3 |
|
17 |
3 |
4 |
|
18 |
4 |
4 |
|
19 |
5 |
5 |
|
20 |
6 |
6 |
|
21 |
7 |
3 |
|
22 |
8 |
4 |
|
23 |
9 |
4 |
|
24 |
10 |
5 |
|
25 |
3 |
6 |
|
26 |
4 |
3 |
|
27 |
5 |
4 |
|
28 |
6 |
4 |
|
29 |
6 |
5 |
|
30 |
8 |
6 |
Контрольные вопросы
1.В чем заключается модель мандатной политики безопасности
вкомпьютерной системе?
2.Перечислить группу аксиом, определяющих мандатную мо дель политики безопасности.
3.К объектам какого уровня конфиденциальности будет иметь субъект с уровнем допуска «Открытые данные»?
4.Какой уровень допуска должен иметь администратор компь
ютерной системы?
Пример оформления отчета по практической работе
Практическая работа № Название практической работы Выполнил: cm. гр. Ф.И.О. Вариант № Цель практической работы
Количество субъектов доступа = Количество объектов доступа =
Текст программы
Прогонка программы Уровни конфиденциальности объектов_________
Уровни допуска субъектов_______________________
1. Пользователь_1
Список доступных объектов для пользователя^.....................
2. Пользователь_2 Список доступных объектов для пользователя_2
3. Пользователь_3 Список доступных объектов для пользователя_3
4. Пользователь_4
Список доступных объектов для пользователя_4.................
Пример работы с программной моделью мандатной политики безопасности
Уровни конфиденциальности объектов (OF): Объект_1: Открытые данные Объект_2: Секретно Объект З: Совершенно секретно
Объект_4: Открытые данные Уровни допуска пользователей (UV) Ivan: Совершенно секретно
Sergey: Секретно
Boris: Открытые данные User: Boris
Идентификация прошла успешно, добро пожаловать в систему Перечень доступных объектов: Объект_1, Объект_4.
Жду ваших указаний > request
К какому объекту хотите осуществить доступ? 1 Операция прошла успешно
Жду ваших указаний > request
К какому объекту хотите осуществить доступ? 2 Отказ в выполнении операции. Недостаточно прав. Жду ваших указаний > quit
Работа пользователя Boris завершена. До свидания. User:
7. РЕАЛИЗАЦИЯ И ИССЛЕДОВАНИЕ ПОЛИТИК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
МОДЕЛЬ БЕЛЛА-ЛАПАДУЛА (БЛМ) и LOW-WATER-MARK (LWM)
Цели работы:
-изучить мандатные модели политик безопасности БеллаЛаПадула и Low-Water-Mark, а также особенности их реализации;
-изучить основные достоинства и недостатки данных моделей;
-познакомиться с проблемой системы Z.
Сведения из теории
Под политикой безопасности понимается набор норм, правил и практических рекомендаций, которые регулируют управление, за щиту и распределение ценной информации. Политика безопасности задает механизмы управления доступа к объекту, определяет как разрешенные, так и запрещенные типы доступов, регламентирует поведение СЗИ в различных ситуациях.
Реализация политики безопасности должна быть четко проду мана. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики.
Существует ряд моделей политик безопасности, отличающихся возможностями защиты, качеством защиты, особенностями реализа ции. Базовыми политиками безопасности в компьютерных системах являются дискреционная и мандатная политики безопасности.
Исходная мандатная политика безопасности
Пусть в компьютерной системе определено множество субъектов
доступа S = {5',}.=— и множество объектов доступа О - {0у} ^ .
Исходная мандатная политика управления доступом (Mandatory
Access’) в компьютерной системе базируется на следующей группе аксиом. 1. Вводится множество атрибутов безопасности Л, элементы ко
торого упорядочены с помощью установленного отношения домини-
рования. Например, для России характерно использование следую щего множества уровней безопасности: {открыто (О), конфиден циально (К), секретно (С), совершенно секретно (СС), особая важ ность (ОВ)}.
2. Каждому объекту Оj е О компьютерной системы ставится в соответствие атрибут безопасности xQj е А , который соответствует ценности объекта О - и называется его уровнем (грифом) конфиден
циальности.
3. Каждому субъекту St е S компьютерной системы ставится в соответствие атрибут безопасности x s е А , который называется
уровнем допуска субъекта и равен максимальному из уровней конфи денциальности объектов, к которому субъект St будет иметь допуск.
4. Если субъект 5, имеет уровень допуска x Sj, а объект Oj
имеет уровень конфиденциальности x Qj, то S, будет иметь допуск к Oj тогда и только тогда, когда xS/ > х0
Пример 1 Пусть в компьютерной системе задано множество из 4 субъек
тов доступа S= {Administrator, Userl, User2, Guest} и множество из 5 объектов 0= {FILE1.DAT, FILE2.TXT, FILE3.TXT, CD-ROM, FDD}. Множество атрибутов безопасности А компьютерной системы опре делено как А= {NONCONFIDENTIAL, CONFIDENTIAL, SECRET, TOP SECRET}.
Пусть уровни конфиденциальности объектов определены сле дующим образом:
FDD - NONCONFIDENTIAL.
CD-ROM - CONFIDENTIAL. FILE1.DAT-SECRET. FILE2.TXT-SECRET. FILE3.TXT - TOP SECRET.
Пусть уровни допуска субъектов определены следующим обра
зом:
Administrator - TOP SECRET. Userl - SECRET.
User2 - CONFIDENTIAL. Guest - NONCONFIDENTIAL. Тогда,
субъект Administrator будет иметь допуск ко всем объектам; субъект Userl будет иметь допуск к объектам FDD, CD-ROM,
FILE1.DAT, FILE2.DAT;
субъект User2 будет иметь допуск к объектам FDD, CD-ROM; субъект Guest будет иметь допуск только к объекту FDD.
Основной недостаток исходной мандатой политики безопасно сти - возможность утечки информации сверху вниз, например, с по мощью реализации «троянских коней», запускаемых с максималь ными привилегиями и способных записывать информацию на ниж ние уровни, откуда ее могут считать пользователи с меньшими при вилегиями.
Представленный недостаток отчасти решается в политике безо пасности Белла-ЛаПадула и Low-Water-Mark.
Мандатная модель политики безопасности Белла-ЛаПадула (БЛМ).
Модель БЛМ базируется на 2 свойствах безопасности.
Первое свойство аналогично исходной мандатной модели поли тики безопасности.
Свойство NRU (not read up) - «нет чтения вверх» гласит, что субъект Si, имеющий уровень допуска х 5/, может читать информа
цию из объекта Oj с уровнем безопасности xQj, только если х 0/ <xSi
Второе свойство модели БЛМ позволяет отчасти решить про блему утечки информации сверху вниз.
Свойство (NWD) (not write down) - «нет записи вниз» гласит, что субъект Sh имеющий уровень допуска x S/, может записывать информа
цию в объект Oj с уровнем безопасности x Qj, только если *0, ^ xs,