шпора

1. Модель Take-Grant. Граф доступов. Правила «де-юре». tg-

3. Модель Take-Grant. Мосты в графе доступов. Теорема о передаче

путь. Предикат «Возможен доступ».

прав в произвольном графе доступов.

Модель Take-Grant - это модель, которая была предложена в 1976 году для

В произвольном графе доступов G0 выделяют следующие элементы:

анализа распространения прав доступа в компьютерных системах с

Остров - максимальный tg-связный подграф, состоящий только из вершин-субъектов.

дискреционным разграничением доступа. Граф доступов (G) - это конечный

Мост - tg-путь между двумя вершинами-субъектами, имеющий определенную словарную

помеченный ориентированный граф, который представляет текущие доступы в

запись, одну из *, *, * *, * *.

системе. Вершины графа (O) - множество объектов системы. Ребра графа (E) -

Начальный пролет моста - tg-путь, начинающийся с вершины-субъекта и имеющий

множество разрешенных доступов, помеченных непустыми подмножествами

словарную запись вида * .

множества прав доступа (Ã).

Конечный пролет моста - tg-путь, начинающийся с вершины-субъекта и имеющий

Правила «де-юре» - это правила преобразования графа G в граф G', обозначаемые

словарную запись вида *.

как G op G':

Теорема 2 описывает условия передачи прав доступа в произвольном графе доступов G0.

1. Правило брать - take(α, x, y, z):

Предикат Вд(α, x, y, G0) истинен тогда и только тогда, когда выполняются следующие

условия:

1.

Существуют субъекты S1, ..., Sm, имеющие

2. Правило давать - grant(α, x, y, z):

права доступа γi на объект y, и α - это

объединение всех γi.

2.

Существуют вершины-субъекты x'1, ..., x'm и

3. Правило создать - create(α, x, y):

S'1, ..., S'm, такие, что:

• x совпадает с x'i или соединен с x'i

начальным пролетом моста.

4. Правило удалить - remove(α, x, y):

• Si совпадает с S'i или соединен с S'i

конечным пролетом моста.

tg-путь - это путь в графе доступов, в котором каждое ребро помечено правом t

• Для каждой пары (x'i, S'i) существуют

острова li,1, ..., li,ui, такие, что x'i

или g. Вершины графа доступов называются tg-связными, если между ними

принадлежит li,1, S'i принадлежит li,ui, и

существует tg-путь. Предикат «Возможен доступ» (Вд(α, x, y, G0)) - это предикат,

между островами li,j и li,j+1 есть мосты.

который принимает значение «истина», если существует последовательность

Простыми словами, эта теорема утверждает,

преобразований графа G0, приводящих к появлению ребра между вершинами x и

что для получения доступа субъекту нужно найти цепочку субъектов, связанных правами

y, помеченного правами доступа α.

"брать" (t) и "давать" (g), которая приведет его к субъекту, уже имеющему доступ к нужному

объекту.

2. Модель Take-Grant. Теорема о возможности передачи прав

5. Решетка ценностей.

в графе, состоящем только из субъектов.

Решетка ценностей - это математическая структура, используемая для определения уровня

Теорема 1 утверждает, что в графе доступов G0, состоящем только из вершин-

секретности информации и уровня доверия к пользователю. Она представляет собой

частично упорядоченное множество SC с отношением нестрогого порядка (≤), для любой

субъектов, предикат Вд(α, x, y, G0) истинен тогда и только тогда, когда

пары элементов которого определены наименьшая верхняя грань (sup) и наибольшая

выполняются следующие два условия:

нижняя грань (inf).

1. Существуют субъекты S1, ..., Sm, такие, что Si имеет права доступа γi на объект y,

Рассмотрим множество SC, на котором задано нестрогое отношение порядка (≤),

и α - это объединение всех γi.

удовлетворяющее свойствам:

2. Субъект x соединен tg-путем с каждым из субъектов Si.

1.

A SC A ≤ A (рефлексивность),

2.

A, B, C SC A ≤ B, B ≤ C A ≤ C (транзитивность),

3.

A, B SC A ≤ B, B ≤ A A = B (антисимметричность).

Для A, B SC элемент C = sup(A, B) называется наименьшей верхней гранью, если:

1.

A ≤ C, B ≤ C,

2. D : A ≤ D, B ≤ D C ≤ D.

Другими словами, x должен найти "tg-путь" к субъекту, у которого уже есть

Для A, B SC элемент E = inf(A, B) называется наибольшей нижней гранью, если:

доступ к y.

1.

E ≤ A, E ≤ B,

2. D : D ≤ A, D ≤ B D ≤ E.

4. Расширенная модель Take-Grant.

7. Мандатная политика безопасности. Правила разграничения для

Расширенная модель Take-Grant - это модификация классической модели,

потоков «снизу-вверх» и «сверху-вниз».

которая учитывает пути и стоимости возникновения информационных потоков.

Мандатная политика безопасности (например, PMLS), основанная на решетке ценностей

Основные отличия расширенной

MLS, определяет разрешенные информационные потоки в системе, присваивая каждому

модели:

объекту и субъекту «метку безопасности».

•

Дополнительные права доступа: r

Правила разграничения для потоков информации:

(read) - чтение, w (write) - запись.

•

«Снизу-вверх»: поток информации от объекта O к объекту O' разрешен, если C(O) ≤

• Правила «де-факто»: post, spy, find,

C(O').

pass и два безымянных правила.

•

«Сверху-вниз»: поток информации от объекта O к объекту O' запрещен, если C(O') ≤

•

Мнимые ребра: появляются в

C(O).

графе в результате применения

В системе с двумя видами доступа (чтение - r, запись - w) PMLS может быть сформулирована

правил «де-факто» и обозначают

следующим образом: субъекту S разрешен доступ α к объекту O в одном из двух случаев:

информационные каналы.

1.

α = r и C(O) ≤ C(S) - чтение разрешено, если уровень секретности объекта меньше или

Стоимость похищения прав

•

равен уровню доверия субъекта.

доступа: может быть определена

2.

α = w и C(S) ≤ C(O) - запись разрешена, если уровень доверия субъекта меньше или

двумя способами:

равен уровню секретности объекта.

o

Присвоение стоимости

PMLS устойчива к атакам типа «троянский конь», которые пытаются скопировать

каждому ребру графа.

информацию в объекты с более низким уровнем секретности.

o

Присвоение стоимости

каждому правилу «де-юре»

или «де-факто».

6. Линейная решетка. Решетка подмножеств. MLS решетка.

9. Ограничения в ролевой политике безопасности.

Линейная решетка (SL) - это решетка, в которой для любых двух элементов

• Статическое взаимное исключение ролей или прав доступа: разбиение множества

определено отношение порядка. Пример: уровни доступа к данным. Решетка

ролей и полномочий на непересекающиеся подмножества, ограничивающее

данного вида является наиболее распространенной в системах защиты

количество ролей/полномочий для пользователя/роли.

информации, она описывает уровни доступа к данным.

• Динамическое взаимное исключение ролей: аналогично статическому, но

Решетка подмножеств (SX) - это решетка, построенная на основе множества X и

его подмножеств. Отношение порядка определяется как включение подмножеств,

ограничение действует в рамках одной сессии.

а наименьшая верхняя и наибольшая нижняя грани - как объединение и

• Статические количественные ограничения: определение максимального количества

пересечение множеств соответственно. (SX, , , ∩) – решетка.

пользователей для роли и ролей для полномочия.

Примерами использования данной решетки в реальных компьютерных системах

• Динамические количественные ограничения: определение максимального

может служит множество атрибутов файла и зависимость выходной величины от

количества сессий для роли.

подмножества множества входных элементов.

• Статические ограничения необходимого обладания ролью или правом доступа:

MLS решетка - это решетка, построенная как декартово произведение линейной

решетки SL и решетки подмножеств SX. Название данной решетки происходит от

определение дополнительных ролей/полномочий, необходимых для получения

аббревиатуры Multi Level Security. Она используется в государственных стандартах

данной роли/полномочия.

защиты информации многих стран, в том числе в документах ФСТЭК РФ.

• Динамические ограничения необходимого обладания ролью: аналогично

статическому, но ограничение действует в рамках одной сессии.