3189
.pdfВведение свойства NWD разрешает проблему троянских коней, так как запись информации на более низкий уровень безопасности, типичная для троянских коней, запрещена.
В политике Белла-ЛаПадула субъект может понизить свой уро вень допуска по своему желанию, а также повысить его до изначаль но ему назначенного администратором компьютерной системы.
Пример 2 Рассмотрим пример компьютерной системы, а также грифов
конфиденциальности и уровней допуска, введенных в примере 1. При ее реализации в рамках политики БЛМ возможно выполне
ние следующих операций:
1)субъект Administrator будет иметь допуск по чтению из всех объектов и допуск по записи в объект FILE3.TXT;
2)субъект Userl будет иметь допуск по чтению из объектов FDD, CD-ROM, FILE1.DAT, FILE2.DAT и допуск по записи в объек ты FILE1.DAT, FILE2.TXT, FILE3.TXT;
3)субъект User2 будет иметь допуск по чтению из объектов CDROM, FDD и допуск по записи в объекты FILE1.DAT, FILE2.TXT, FILE3.TXT, CD-ROM;
4)субъект Guest будет иметь допуск по чтению из объекта FDD
идопуск по записи во все объекты.
Кроме этого, например, субъект Userl может понизить свой уровень допуска с SECRET до CONFIDENTIAL и восстановить его обратно до SECRET.
Проблема системы Z
Основным недостатком модели БЛМ считается возможность реализации так называемой системы Z, когда некий пользователь
свысокими привилегиями по незнанию (либо завербованный) может рассекретить часть доступной ему информации, записав ее в объекты
сболее низким уровнем конфиденциальности.
Допустим, субъект S, с уровнем допуска x S/ читает информа
цию из объекта, уровень конфиденциальности которого также равен
x s Далее данный субъект понижает свой уровень допуска до уров
ня х 0 ( x 0 <xs ). После этого он может записать информацию
в объект с классификацией х 0) Нарушения БЛМ формально не про
изошло, но безопасность системы нарушена.
Для устранения данного недостатков в модели БЛМ вводят пра вила сильного и слабого спокойствия.
Модель политики безопасности Low-Water-Mark (LWM)
Модель Low-Water-Mark является конкретизацией модели БЛМ. В ней уровни субъектов являются фиксированными и не могут быть изменены.
В данной модели рассматриваются следующие возможные за просы на доступ к объекту:
-read (чтение);
-write (запись);
-reset.
Операция read, выполняемая субъектом 5„ имеющим уровень допуска x Sj, над объектом Oj, имеющим уровень конфиденциально
сти x Qj, считается разрешенной, если xSi >xQj (NRU).
Операция write, выполняемая субъектом £,, имеющим уровень допуска х 5/, над объектом Oj, имеющим уровень конфиденциально
сти х 0), считается разрешенной, если xSi < xQj (NWD).
Кроме этого, при выполнении операции write гриф конфиденци альности объекта снижается до уровня допуска субъекта, выполнив шего команду write. При снижении грифа конфиденциальности объ екта вся прежняя информация в объекте стирается и записывается информация субъектом, давшим команду write. Правило стирания содержимого объекта сделано для того, чтобы невозможна была утечка информации сверху вниз. Уничтожение информации не про изводится, если гриф конфиденциальности объекта равен уровню допуска субъекта.
При выполнении команды reset гриф конфиденциальности объ екта поднимается и становится максимальным в линейном порядке. После этого все субъекты приобретают право write в данном объекте, но право read имеют только субъекты, имеющие максимальный уро вень безопасности. Операция reset, выполняемая субъектом Sh имеющим уровень допуска xs , над объектом Oj, имеющим уровень
конфиденциальности х0), считается разрешенной, если xs,^x 0j
Порядок выполнения практической работы
Задание 1. Реализация и исследование политики безопасности Белла-ЛаПадула.
Пусть множество возможных операций субъектов S над объек тами О задано в следующей форме: {«READ (доступ по чтению)», «WRITE (доступ по записи)», «CHANGE (изменение уровня доступа субъекта)»}.
Пусть множество атрибутов безопасности А задано в виде Л= {NONCONFIDENTIAL, CONFIDENTIAL, SECRET, TOP SE CRET}.
1. Получите из таблицы вариантов информацию о количестве субъектов и объектов компьютерной системы соответственно ва шему варианту.
2. Реализовать программный модуль, формирующий политику безопасности Белла-ЛаПадула.
2.1.Выбрать идентификаторы пользователей, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя, количество пользовате лей задано для вашего варианта). Например, множество из 3 иденти фикаторов пользователей {Admin, Userl, User2}. Один из данных идентификаторов должен соответствовать администратору компью терной системы, обладающему максимальными правами доступа.
2.2.Случайным образом присвоить объектам компьютерной системы уровни конфиденциальности из множества Л.
2.3.Случайным образом присвоить субъектам компьютерной системы уровни допуска из множества А. Учесть, что один из данных субъектов будет являться администратором, обладающим макси мальным уровнем допуска.
Замечания по реализации.
♦Для кодирования в программной модели атрибутов безопас ности множества Л можно закодировать их числами от 0 до 3 (от низших к высшим уровням безопасности), например, NONCONFIDENTIAL=0, CONFIDENTIAL-1, SECRET=2, TOP SECRET=3. В этом случае более легко можно реализо вать контроль допуска субъектов к объектам.
♦Для хранения в программной модели уровней конфиденци альности объектов и уровней допуска субъектов рекоменду ется использовать два массива, которые должны заполняться случайным образом (за исключением уровня допуска адми нистратора).
♦Необходимо хранить копию начальных уровней доступа субъектов для контроля их непревышения в результате вы полнения операции change.
3.Реализовать программный модуль, демонстрирующий рабо пользователя в мандатной модели политики безопасности. Данный модуль должен выполнять следующие функции:
3.1.При запуске модуля - распечатать на экране сформирован ную модель БЛМ - уровни конфиденциальности объектов и уровни допуска субъектов.
3.2.Запрос идентификатора пользователя (должна проводиться его идентификация). В случае успешной идентификации пользовате ля должен осуществляться вход в систему, в случае неуспешной - выводиться соответствующее сообщение.
Возможный пример работы модуля с реализацией функций п. 3.1. и 3.2. представлен ниже.
OBJECTS:
Object 1 : NONCONFIDENTIAL
Object 2 : CONFIDENTIAL
Object 3 : TOP_SECRET
SUBJECTS:
Administrator: TOP SECRET
Userl : SECRET
User2: NONCONFIDENTIAL
Login: Userl
Command>
3.3. По результатам идентификации субъекта после входа в си тему программа должна ждать указаний пользователя на осуществ ление действий над объектами в компьютерной системе. После по лучения команды от пользователя на экран должно выводиться со общение об успешности либо неуспешное™ операции. При выпол нении операции изменения уровня доступа субъекта (change) данный уровень должен модифицироваться. Должна поддерживаться опера ция выхода из системы (quit), после которой на экран вновь должна выводиться информация об уровнях доступа субъектов и уровнях конфиденциальности объектов и запрашиваться другой идентифика тор пользователя. Диалог можно организовать, например, следую щим образом (для вышепостроенного примера модели БЛМ):
Login: Administrator command> read
At what object? 1 Read success Command> write At what object? 1 Write denied Command> write At what object? 3 Write success Command> change
Enter CLASSIFICATION: NONCONFIDENTIAL
Administrator is NONCONFIDENTIAL
Command> write
At what object? 1
Write success
Command> change
Enter CLASSIFICATION: TOP_SECRET
Administrator is TOP SECRET
4.Протестировать реализованную модель политики безопасно сти БЛМ в различных ситуациях и продемонстрировать ее препода вателю.
5.Продемонстрировать возможность реализации системы Z
вразработанной модели БЛМ.
6.Оформить в тетради отчет по практической работе согласно примеру, приведенному в конце описания практической работы, вне ся в него прогонку модели БЛМ, демонстрацию ее работы в различ ных ситуациях. Включить в прогонку модели пример реализации системы Z.
Задание 2. Реализация и исследование политики безопасности Low-Water-Mark.
1.Получите из таблицы вариантов информацию о количестве субъектов и объектов компьютерной системы соответственно ва шему варианту.
2.Модифицируйте реализованную в предыдущем задании мо дель БЛМ в модель, демонстрирующую создание и работу с полити кой безопасности Low-Water-Mark. Данная модель должна контро лировать и демонстрировать результаты выполнения операций read, write, reset в LWM.
3.Оформить в тетради отчет по практической работе согласно примеру, приведенному в конце описания практической работы, вне ся в него прогонку модели LWM, демонстрацию ее работы в различ ных ситуациях.
Варианты
Вариант |
Количество субъектов |
Количество объектов |
|
доступа (пользователей) |
доступа |
||
|
|||
1 |
4 |
4 |
|
2 |
4 |
6 |
|
3 |
5 |
4 |
|
4 |
6 |
5 |
|
5 |
7 |
6 |
|
6 |
8 |
3 |
|
7 |
9 |
4 |
|
8 |
10 |
4 |
|
9 |
4 |
5 |
|
10 |
4 |
6 |
|
И |
5 |
3 |
|
12 |
6 |
4 |
|
13 |
7 |
4 |
|
14 |
8 |
5 |
|
15 |
9 |
6 |
|
16 |
10 |
3 |
|
17 |
4 |
5 |
|
18 |
4 |
4 |
|
19 |
5 |
5 |
|
20 |
6 |
6 |
|
21 |
7 |
3 |
|
22 |
8 |
4 |
|
23 |
9 |
4 |
|
24 |
10 |
5 |
|
25 |
3 |
6 |
|
26 |
4 |
3 |
|
27 |
5 |
4 |
|
28 |
6 |
4 |
|
29 |
6 |
5 |
|
30 |
8 |
6 |
Контрольные вопросы
1.Что понимают под политикой безопасности?
2.Перечислить группу аксиом, определяющих базовую мандат ную политику безопасности. Что понимают под уровнем конфиден циальности и уровнем допуска?
3.В чем заключается основной недостаток базовой мандатной политики безопасности?
4.Как определяется политика безопасности Белла-ЛаПадула?
Вкаких случаях разрешены операции read, write; change в данной политике?
5.В чем заключается проблема системы Z? Показать и проком ментировать в сформированном отчете группу команд, реализующих систему Z.
6.Как определяется политика безопасности Low Water Mark?
7.В чем особенность выполнения операции write в политике безопасности Low Water Mark?
8.В чем заключаются функции операции reset в политике безо пасности Low Water Mark? В каких случаях разрешены операции read, write, reset в данной политике?
Пример оформления отчета по практической работе (БЛМ)
Практическая работа Ns Название практической работы Выполнил: cm. гр. Ф.И.О. Вариант Ns
Цель практической работы Количество субъектов доступа = Количество объектов доступа =
Текст программы
Формализация модели LWM
OBJECTS: |
|
Object 1 : NONCONFIDENTIAL |
|
Object 2: CONFIDENTIAL |
Здесь должна быть ваша |
Object 3 : TOP_SECRET |
модель БЛМ, сформи |
SUBJECTS: |
рованная в программе |
Administrator: TOP SECRET |
случайным образом |
Userl : SECRET |
|
User2 : NONCONFIDENTIAL |
|
Пример прогонки программы для формализованной модели блм
Login: Administrator command> read
At what object? 1 Read success Command> write At what object? 1 Write denied Command> write At what object? 3 Write success Command> change
Enter CLASSIFICATION: NONCONFIDENTIAL Administrator is NONCONFIDENTIAL Command> write
At what object? 1 Write success Command> change
Enter CLASSIFICATION: TOP_SECRET Administrator is TOP_SECRET Command> exit
Login: User2 Command> read At what object? 2 Read denied
Command> write |
|
|
|
At what object? 2 |
|
|
|
Write success |
|
|
|
Command> read |
|
|
|
At what object? 1 |
|
|
|
Read success |
|
|
|
Command> exit |
|
|
|
Login: Userl (Пример реализации проблемы системы Z} |
|
||
Command> read |
|
|
|
At what object? 2 |
|
|
|
Read success |
{Прочитали конфиденциальные данные} |
|
|
Command> change |
|
|
|
Enter CLASSIFICATION: NONCONFIDENTIAL |
|
||
Userl is NONCONFIDENTIAL {Понизили |
уровень |
допуска |
|
субъекта} |
|
|
|
Command> write |
|
|
|
At what object? 1 |
|
|
|
Write success |
{Записали конфиденциальные |
данные в |
откры |
тый объект} |
|
|
|
Command> exit |
|
|
|
OBJECTS: |
|
|
|
Object 1 : NONCONFIDENTIAL |
|
|
|
Object 2 : CONFIDENTIAL |
|
|
|
Object 3 : TOP_SECRET |
|
|
|
SUBJECTS: |
|
|
|
Administrator: TOP SECRET |
|
|
|
Userl : NONCONFIDENTIAL |
|
|
|
User2 : NONCONFIDENTIAL |
|
|
|
Login: User2 |
|
|
|
Command> read |
|
|
|
At what object? 1 |
|
|
|
Read success |
{Субъект с меткой NONCOFIDENTIAL прочитал |
||
данные с меткой CONFIDENTIAL - система Z реализована} Command> exit
Login: exit