экзамен
.pdf
1. Модель Take-Grant. Граф доступов. Правила «де-юре». tg-путь. Предикат «Возможен доступ».
Модель Take-Grant - это модель, которая была предложена в 1976 году для анализа распространения прав доступа в компьютерных системах с дискреционным разграничением доступа. Она основана на графе доступов и правилах его преобразования.
Граф доступов (G) - это конечный помеченный ориентированный граф, который представляет текущие доступы в системе.
•Вершины графа (O) - это множество объектов системы.
•Ребра графа (E) - это множество разрешенных доступов, помеченных непустыми подмножествами множества прав доступа (Ã).
Множество возможных видов доступа (Ã) включает в себя стандартные права доступа (A), а также два специфических доступа: t (take) - право брать права доступа на объект у другого субъекта, и g (grant) - право выдавать права доступа на объект другому субъекту.
Правила «де-юре» - это правила преобразования графа G в граф G', обозначаемые как Gop G'. В классической модели Take-Grant существуют четыре основных правила «деюре»:
1.Правило брать - take(α, x, y, z): субъект x берет права α на объект z у субъекта y.
2.Правило давать - grant(α, x, y, z): субъект x дает права α на объект z субъекту y.
3.Правило создать - create(α, x, y): субъект x создает объект y и получает на него права доступа α.
4.Правило удалить - remove(α, x, y): субъект x лишается прав α на объект y.
tg-путь - это путь в графе доступов, в котором каждое ребро помечено правом t или g. Вершины графа доступов называются tg-связными, если между ними существует tg-путь.
Предикат «Возможен доступ» (Вд(α, x, y, G0)) - это предикат, который принимает значение «истина», если существует последовательность преобразований графа G0, приводящих к появлению ребра между вершинами x и y, помеченного правами доступа α.
2. Модель Take-Grant. Теорема о возможности передачи прав в графе, состоящем только из субъектов.
Теорема 1 утверждает, что в графе доступов G0, состоящем только из вершин-субъектов, предикат Вд(α, x, y, G0) истинен тогда и только тогда, когда выполняются следующие два условия:
1.Существуют субъекты S1, ..., Sm, такие, что Si имеет права доступа γi на объект y, и α - это объединение всех γi.
2.Субъект x соединен tg-путем с каждым из субъектов Si.
Другими словами, x должен найти "tg-путь" к субъекту, у которого уже есть доступ к y.
Доказательство теоремы основано на индукции по длине цепочки преобразований графа G0 и рассмотрении двух случаев:
•S' (субъект, от которого x берет или получает права) принадлежит исходному множеству субъектов S0.
•S' не принадлежит S0, то есть является созданным субъектом.
3.Модель Take-Grant. Мосты в графе доступов. Теорема о передаче прав в произвольном графе доступов.
Впроизвольном графе доступов G0 выделяют следующие элементы:
•Остров - максимальный tg-связный подграф, состоящий только из вершинсубъектов.
•Мост - tg-путь между двумя вершинами-субъектами, имеющий определенную словарную запись, одну из *, *, * *, * *.
•Начальный пролет моста - tg-путь, начинающийся с вершины-субъекта и имеющий словарную запись вида * .
•Конечный пролет моста - tg-путь, начинающийся с вершины-субъекта и имеющий словарную запись вида *.
Теорема 2 описывает условия передачи прав доступа в произвольном графе доступов G0. Предикат Вд(α, x, y, G0) истинен тогда и только тогда, когда выполняются следующие условия:
1.Существуют субъекты S1, ..., Sm, имеющие права доступа γi на объект y, и α - это объединение всех γi.
2.Существуют вершины-субъекты x'1, ..., x'm и S'1, ..., S'm, такие, что:
o x совпадает с x'i или соединен с x'i начальным пролетом моста.
o Si совпадает с S'i или соединен с S'i конечным пролетом моста.
oДля каждой пары (x'i, S'i) существуют острова li,1, ..., li,ui, такие, что x'i принадлежит li,1, S'i принадлежит li,ui, и между островами li,j и li,j+1 есть мосты.
Простыми словами, эта теорема утверждает, что для получения доступа субъекту нужно найти цепочку субъектов, связанных правами "брать" (t) и "давать" (g), которая приведет его к субъекту, уже имеющему доступ к нужному объекту.
Важно отметить, что:
•Мосты — это пути, соединяющие острова. Они могут содержать только права t и g.
•Начальный пролет моста начинается с права t и заканчивается правом g.
•Конечный пролет моста состоит только из права t.
4. Расширенная модель Take-Grant.
Расширенная модель Take-Grant - это модификация классической модели, которая учитывает пути и стоимости возникновения информационных потоков.
Основные отличия расширенной модели:
•Дополнительные права доступа: r (read) - чтение, w (write) - запись.
•Правила «де-факто»: post, spy, find, pass и два безымянных правила.
•Мнимые ребра: появляются в графе в результате применения правил «де-факто» и обозначают информационные каналы.
•Стоимость похищения прав доступа: может быть определена двумя способами:
1.Присвоение стоимости каждому ребру графа.
2.Присвоение стоимости каждому правилу «де-юре» или «де-факто».
5.Решетка ценностей.
Решетка ценностей - это математическая структура, используемая для определения уровня секретности информации и уровня доверия к пользователю. Она представляет собой частично упорядоченное множество SC с отношением нестрогого порядка (≤), для любой пары элементов которого определены наименьшая верхняя грань (sup) и наибольшая нижняя грань (inf).
Рассмотрим множество SC, на котором задано нестрогое отношение порядка (≤), удовлетворяющее свойствам:
1.A SC A ≤ A (рефлексивность),
2.A, B, C SC A ≤ B, B ≤ C A ≤ C (транзитивность),
3.A, B SC A ≤ B, B ≤ A A = B (антисимметричность).
Для A, B SC элемент C = sup(A, B) называется наименьшей верхней гранью, если:
1.A ≤ C, B ≤ C,
2.D : A ≤ D, B ≤ D C ≤ D.
Для A, B SC элемент E = inf(A, B) называется наибольшей нижней гранью, если:
1.E ≤ A, E ≤ B,
2.D : D ≤ A, D ≤ B D ≤ E.
6. Линейная решетка. Решетка подмножеств. MLS решетка.
Линейная решетка (SL) - это решетка, в которой для любых двух элементов определено отношение порядка. Пример: уровни доступа к данным.
Решетка подмножеств (SX) - это решетка, построенная на основе множества X и его подмножеств. Отношение порядка определяется как включение подмножеств, а наименьшая верхняя и наибольшая нижняя грани - как объединение и пересечение множеств соответственно.
MLS решетка - это решетка, построенная как декартово произведение линейной решетки SL и решетки подмножеств SX. Она используется в государственных стандартах защиты информации многих стран, в том числе в документах ФСТЭК РФ.
7. Мандатная политика безопасности. Правила разграничения для потоков «снизу-вверх» и «сверху-вниз».
Мандатная политика безопасности (например, PMLS), основанная на решетке ценностей MLS, определяет разрешенные информационные потоки в системе, присваивая каждому объекту и субъекту «метку безопасности».
Правила разграничения для потоков информации:
•«Снизу-вверх»: поток информации от объекта O к объекту O' разрешен, если C(O) ≤
C(O').
•«Сверху-вниз»: поток информации от объекта O к объекту O' запрещен, если C(O') ≤ C(O).
Всистеме с двумя видами доступа (чтение - r, запись - w) PMLS может быть сформулирована следующим образом: субъекту S разрешен доступ α к объекту O в одном из двух случаев:
1.α = r и C(O) ≤ C(S) - чтение разрешено, если уровень секретности объекта меньше или равен уровню доверия субъекта.
2.α = w и C(S) ≤ C(O) - запись разрешена, если уровень доверия субъекта меньше или равен уровню секретности объекта.
PMLS устойчива к атакам типа «троянский конь», которые пытаются скопировать информацию в объекты с более низким уровнем секретности.
8. Ролевая политика безопасности. Роли и полномочия. Отображения, определяющие ролевую политику безопасности.
Ролевая политика безопасности основана на разрешении или запрещении действий в системе без привязки к конкретным объектам.
Основные элементы модели:
•U - пользователи системы.
•R - роли.
•P - полномочия.
•S - сессии пользователей.
Отображения, определяющие ролевую политику безопасности:
•RP: R → 2P - множество полномочий для каждой роли.
•UR: U → 2R - множество ролей, на которые может быть авторизован пользователь.
•user: S → U - пользователь, авторизованный в сессии.
•roles: S → 2R - роли пользователя в текущей сессии.
Отображение RP определяет, какие полномочия (права на действия в системе) назначены каждой роли. Существуют три подхода к структуре этого отображения:
1. Строго таксономический листовой подход:
oВсе полномочия делятся на непересекающиеся подмножества, которые назначаются только листовым ролям (ролям, находящимся в самом низу
иерархии).
oПолномочия старших ролей формируются как объединение полномочий их непосредственных потомков.
2.Не таксономический листовой подход:
oАналогичен первому подходу, но допускается пересечение полномочий между листовыми ролями.
3.Иерархический охватный подход:
oПолномочия могут назначаться любым ролям, а не только листовым.
oРоль наследует полномочия всех своих потомков, а также может иметь собственные, назначенные напрямую.
Иерархия ролей - это отношение частичного нестрогого порядка на множестве ролей, определяющее наследование прав и полномочий.
9. Ограничения в ролевой политике безопасности.
Ограничения в ролевой политике безопасности бывают следующих видов:
•Статическое взаимное исключение ролей или прав доступа: разбиение множества ролей и полномочий на непересекающиеся подмножества, ограничивающее количество ролей/полномочий для пользователя/роли.
•Динамическое взаимное исключение ролей: аналогично статическому, но ограничение действует в рамках одной сессии.
•Статические количественные ограничения: определение максимального количества пользователей для роли и ролей для полномочия.
•Динамические количественные ограничения: определение максимального количества сессий для роли.
•Статические ограничения необходимого обладания ролью или правом доступа:
определение дополнительных ролей/полномочий, необходимых для получения данной роли/полномочия.
•Динамические ограничения необходимого обладания ролью: аналогично статическому, но ограничение действует в рамках одной сессии.