4.4. Математичні моделі безпеки

Формальне визначення політики безпеки називають математичною моделлю без пеки. Згідно з вимогами нормативних документів у сфері захисту інформації в інформаційних системах [8-10, 12], системи захисту інформації будують на основі математичних моделей захисту інформації. Використання цих моделей дає змогу теоретично обґрунтувати відповідність системи захисту інформації вимогам за даної політики безпеки.

Формальна теорія захисту інформації почала розвиватися порівняно недавно, але сьогодні є багато математичних моделей, які описують різні аспекти безпеки та надають доказову теоретичну базу для побудови сучасних систем захисту інформації [45, 46, 50, 51].

На рис. 4.2 наведено основні види математичних моделей безпеки [50].

4.4.1. Моделі дискреційної політики безпеки

У цьому підрозділі буде розглянуто дві найвідоміші моделі аналізу систем захисту, що реалізують дискреційну політику: модель Харрісона — Руззо — Ульмана (модель ХРУ), запропоновану та розвинену и 116, 531 і модель Take-Grant [54].

Модель Харрісона — Руззо — Ульмана

Розглянемо окремі елементи моделі ХРУ [50]. Всебічний аналіз цієї моделі та­кож висвітлено у працях [16, 45, 55].

Визначимо основні елементи моделі ХРУ. Нехай О — множина об'єктів систе­ми, S — множина суб'єктів системи, причому SсО, матриця D розміром |S|x|О| матриця доступу, рядки якої відповідають суб'єктам s, а стовпці — об'єктам о. Кожний елемент матриці доступів D[s,o] с R визначає права доступу суб'єктів s до об'єктів о, де R — множина прав доступу — read, write, own та інші.

Функціонування системи, побудованої на основі моделі ХРУ, здійснюється шляхом змін у матриці доступів D[s,o] із використанням примітивних операто­рів, наведених у табл. 4.1.

Таблиця 4.1. Примітивні оператори моделі ХРУ

За допомогою примітивних операторів складають команди, якими описують перехід q |-_a- q' системи зі стану q = (S,0,D) в результуючий стан q' = (S',O',D'):

command c (x₁, ..., x_k)

Тут с(х₁, ..., x_k) — команда, яка залежить від параметрів х₁ x_k ,а₁ а_n

послідовність примітивних операторів, r₁,..., r_m є R— права доступу. Умови в тілі команди необов'язкові.

У своїх працях М. Харрісон, В. Руззо та Дж. Ульман [46, 53] сформулювали гаку теорему.

Теорема. Задача перевірки безпеки довільних систем ХРУ є алгоритмічно нерозв'язною.

Ця теорема доводить, що вирішити завдання зі створення захищених систем із дискреційним доступом типу ХРУ для загального випадку надання прав не можливо. Для окремих випадків (із використанням моно-операційних і деяких інших систем) модель ХРУ надає можливість перевірки безпеки системи, але тоді

суттєво звужується область використання класу систем, що розглядаються.

Модель Take-Grant

Модель Take-Grant [16, 45, 50] допускає наявність прав доступу не лише у суб'єктів до об'єктів, але й в об'єктів до об'єктів. Ця модель призначена для аналізу шляхів розповсюдження прав доступу за вихідним графом прав доступу в систе­мах дискреційного розмежування доступу.

Визначимо такі основні елементи моделі Take-Grant. Нехай О — множина об'єктів системи, S с О - множина суб'єктів системи, R = {r₁, г₂,..., r_m} U {t,g} — множина типів прав доступу, t (take) — повноваження брати права доступу, g (grant) повноваження надавати права доступу.

Основу моделі Take-Grant становить кінцевий позначений орієнтований граф доступів без петель G с (S,0,E), який визначає поточні доступи в системі. У цьому графі елементи множин S і О є вершинами графа, що позначаються як: ® об'єкти (елементи множини 0\S), * — суб'єкти (елементи множини S), елементи множини E c O*O*R — ребра графа, позначені не порожньою підмножиною множини типів прав доступу R.

Порядок переходу з одного стану системи моделі Take-Grant в інший визна­чають операції, або правила, перетворення графа доступів. Перетворення графа G на граф G' у результаті виконання правила op позначимо через G |_op— G'.

У класичній моделі Take-Grant розглядають застосування де-юре чотирьох правил перетворення графа; виконання кожного з них може бути ініційоване ли­ше суб'єктом, який є активною компонентою системи.

1. Правило take(a,x,y,z) — повноваження брати права доступу.

Нехай х є S, у,z є О — різні вершини графа G, β c R, a с β. Правило визначає

порядок одержання нового графа доступів G' з графа G (рис. 4.3).

2. Правило grant(a,x,y,z) — повноваження надавати права доступу.

Нехай x є S, у,z є О — різні вершини графа G, β с R, a с β. Правило визначає порядок одержання нового графа доступів G' із графа G (рис. 4.4).

4. Правило remove(a, x, у) — повноваження видаляти права доступу на об'єкт. Нехай χ є S,y є О — різні вершини графа G, β с R, a c β. Правило визначає по­рядок одержання нового графа G' з графа G (рис. 4.6).

У табл. 4.2 наведено умови застосування де-юре правил take, grant, create, remove моделі Take- Grant.

Таблиця 4.2. Умови застосування де-юре правил моделі Take-Grant

Наведені елементи моделі безпеки Take-Grant дають уявлення про її структу­ру та математичний апарат, що було використано для побудови цієї моделі.