18. Решетка уровней безопасности. Применяемая формальная алгебра.

Определяется с помощью операторов формальной алгебры. L-базовое множество уровней безопасности

(≤,*, , )- операторы

≤ - определяет частичное нестрогое отношение порядка для элементов множества L

Свойства ≤: антиссиметричен, транзитивен, рефлексивен.

Рефлексивен, если для любого a принадлежащего L выполняется a≤a.

- Нет необходимости запрещать потоки информации между объектами одного уровня.

-Необходимо предусмотреть возможность для сущности передовать информацию самой себе.

Ассиметричен: если для любого a1, а2 принад. L выполняется a1≤а2 и а2≤а1, то a1=а2

Если информация может передаваться от а1 к а2 и обратно это значит, что а1 и а2 содержат информацию одного уровня безопасности, следовательно они принадлежат одному классу информации, следовательно можно предотвратить избыточность класса.

Транзетивно: если для любого a, в, с принад. L выполняется a≤в и в≤с, то a≤с.

Другое свойство решетки состоит в том, что для каждой пары а1 и а2 множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы:

Наименьшая верхняя граница «*»

а1*а2=а→а1,а2≤а и любой а’принадлежит L: (а’≤а)→(а’<а1 или а’≤а2)

Наибольшая нижняя граница « »

а1 а2=а→а≤а1,а2 и любой а’ принадлежит L: (а’≤а1 и а’≤а2)→а’≤а

Для каждой пары элементов а1 и а2 всегда можно указать единый элемент, ограничивающий её сверху или снизу, таким образом, чтобы между ними и этим элементом не было других элементов.

Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, в пределах которых их свойство с точки зрения безопасности являются эквивалентным. Тогда оператор ≤ определяет направление потоков информации, то есть: F(а1) ≤F(а2), говорит о том, что информация может передаваться от а1 к а2.

В мандатных моделях функция уровней безопасности вместе с решёткой уровней определяют все допустимые отношения доступа между сущностями системы.

Множество состояний системы V представляется в виде набора упорядоченных пар (F,M), где M-матрица доступа.

Набор прав ограничен функциями read и write.

Модель системы ∑(V₀,R,T) состоит из начального состояния V₀, множества запросов R и функции перехода T.

T:(V*R)→V, которые переводим в ходе выполнения запроса из одного состояния в другое.

19. Дискреционная модель Харрисона-руззо-ульмана. Достоинства и недостатки.

Система обработки информации представлена виде активных сущностей субъектов (S) ,пассивных сущностей множества объектов (О) содержащих защищенную информацию и конечного множества прав доступа R = {r1, …, rn} обозначающих полномочия на выполнение определенных действий. Субъекты одновременно считаются объектами. Поведение системы моделируется с помощью понятия состояния. Пространство состояний – декартовое произведение S*O*R. Текущее состояние характеризуется тройкой субъектов, объектов и матриц прав доступа, описывающих текущее состояние прав доступа к объектам. Строки матрицы – субъекты, столбы – объекты. Так как субъекты принадлежат объектам то матрица прямоугольная. Тогда любая ячейка матрицы содержит набор прав субъекта к объекту. Принадлежащих к данному множеству прав доступа. Матрица доступа (см. модель матрицы доступа) может изменяться посредством слеющих операций:

Command α (X₁,X₂…..X_k)

If r₁ int M[X_s1……….X_o1] and

r₂ int M[X_s2……….X_o2] and

……………………

Then op1,op2……

α - имя команды

X – идентификатор объекта

r- право

Элементарные операции

enter r into (s, o)- введение права r в соответствующий элемент M[s, o] матрицы доступа;

· delete r from (s, o)- удаление права r из элемента M[s,o] матрицы доступа;

· create subject s- создание субъекта s;

· destroy subject s- удаление субъекта s;

· create object o- создание объекта o;

· destroy object o- удаление объекта o.

В 1976 году Харрисон, Руззо и Ульман доказали, что в самом общем случае вопрос определения безопасности компьютерной системы неразрешим. Иными словами, не существует алгоритма, позволяющего определить, будет ли компьютерная система безопасна или небезопасна в общем случае.

В рамках модели, Харрисоном, Руззо и Ульманом доказывается теорема, указывающая на то, что проблема безопасности для системы с запросами общего вида является неразрешимой. Однако в частных случаях проблема безопасности решается, а именно, авторы показали, что безопасными являются монотонные системы (не содержащие операции destroy и delete), системы, не содержащие операций create, и моно-условные системы (запрос к которым содержит только одно условие).

Система дискреционного управления доступом подразумевает, что все ресурсы системы принадлежат пользователям системы, а значит следить за доступом к ресурсу должен его владелец, т.е. пользователь. Такие системы в основном рассчитаны на небольшое количество пользователей. При росте числа пользователей, количество работ по администрированию системы возрастает многократно.