8. Модель доступу Харрісона-Руззо-Ульмана . Її переваги та недоліки.

Дана модель реалізує дискреційне (довільне) керування доступом суб'єктів до об'єктів і контроль за поширенням прав доступу.

S - безліч суб'єктів (здійснюють доступ до інформації)

O - безліч об'єктів, що містять захищає информацию

- кінцева безліч прав доступу, що означають повноваження на виконання відповідних дій (читання, запис, виконання)

Прийнято вважати, що , тобто суб'єкти одночасно є й об'єктами (це зроблено для того, щоб включити в область дії моделі відносини між суб'єктами).

Поводження системи моделюється за допомогою поняття стану. - простір станів системи.

M - матриця прав доступу, що описує поточні права доступу суб'єктів до об'єктів (рядка - суб'єкти, стовпці - об'єкти)

- поточний стан системи

Будь-який осередок матриці містить набір прав доступу s до об'єкта o, що належатьбезлічі прав доступу R. Поводження системи в часі моделюється переходами між разними станами. Перехід здійснюється шляхом внесення змін у матрицю M.

Елементарні операції (виконуються тільки в тому випадку, якщо всі умови,означаючу присутність зазначених прав доступу в осередках матриці M, є правильними).

Формальний опис системи складається з наступних елементів:

1. кінцевий набір прав доступу

2. кінцеві набори вихідних суб'єктів і об'єктів , де

3. вихідна матриця доступу, що містить права доступу суб'єктів до об'єктів.

4. кінцевий набір команд .

Критерій безпеки моделі Харрисона-Руззо-Ульмана формулюється

у такий спосіб:

Для заданої системи початковий стан

є безпечним відносно права r, якщо не існує застосовної до

послідовності команд, у результаті якої право r буде занесено в осередок

пам'яті матриці M, у якій воно було відсутнє в стані

Позитивні сторони моделі Харрисона-Руззо-Ульмана:

§ дана модель є простій у реалізації (тому що не вимагає застосування

складних алгоритмів)

§ дана модель є ефективною в керуванні (тому що дозволяє управляти

повноваженнями користувачів з точністю до операції над об'єктом)

§ критерій безпеки даної моделі є досить сильним в

практичному плані (тому що дозволяє гарантувати неприступність певної

інформації для користувачів, яким споконвічно не видані відповідні

повноваження)

Негативні сторони моделі Харрисона-Руззо-Ульмана:

§ доведено, що в загальному випадку не існує алгоритму, що може для

довільної системи, її початкового стану

і загального правила r вирішити, чи є дана інформація безпечної

§ існує уразливість до атаки за допомогою “троянського коня” (тому що в

дискреційних моделях контролюються тільки операції доступу суб'єктів до

об'єктам, а не потоки інформації між ними).

9. Модель доступу Белла-Ла-Падули. Переваги та недоліки мандатної моделі доступу.

Основу реалізації розмежувальної політики доступу до ресурсів при захисті секретної інформації є вимога до реалізації, крім дискреційного, мандатного механізму керування доступом. Вимоги до мандатного механізму полягають у наступному: Кожному суб'єктові й об'єкту доступу повинні зіставлятися класи - фікаційні мітки, що відбивають їхнє місце у відповідній ієрархії(мітки конфіденційності). За допомогою цих міток суб'єктам об'єктам повинні призначатися класифікаційні рівні (рівні уразливості, категорії таємності й т.п. ), що є комбінаціями ієрархічних і неієрархічних категорій. Дані мітки повинні бути основою мандатного принципу розмежування доступу.

Система захисту при введенні нових даних у систему повинна вимагати і одержувати від санкціонованого користувача класифікаційні мітки цих даних. При санкціонованому занесенні в список користувачів нового суб'єкта йому повинні призначатися класифікаційні мітки. Зовнішні класифікаційні мітки (суб'єктів, об'єктів) повинні точно відповідати внутрішнім позначкам (усередині системи захисту).

Система захисту повинна реалізовувати мандатний принцип контролю доступу стосовно до всіх об'єктів при явному й схованому доступі з боку кожного із суб'єктів:

- суб'єкт може читати об'єкт, тільки якщо ієрархічна класифікація в класифікаційному рівні суб'єкта не менше, ніж ієрархічна класифікація в класифікаційному рівні об'єкта. При цьому ієрархічні категорії в класифікаційному рівні суб'єкта повинні містити в собі всі ієрархічні категорії в класифікаційному рівні об'єкта;

- суб'єкт здійснює запис в об'єкт, тільки якщо класифікаційний рівень суб'єкта в ієрархічній класифікації не більше, ніж класифікаційний рівень об'єкта в ієрархічній класифікації. При цьому всі ієрархічні категорії в класифікаційному рівні суб'єкта повинні включатися в ієрархічні категорії в класифікаційному рівні об'єкта.

Реалізація мандатних ПРД повинна передбачати можливість супроводу, зміни класифікаційних рівнів суб'єктів і об'єктів спеціально виділеними суб'єктами.

У СВТ повинен бути реалізований диспетчер доступу, тобто засіб, по-перше, здійснююче перехоплення всіх обігів суб'єктів до об’єктів, а по-друге, що розмежовує доступ відповідно за заданим принципом розмежування доступу. При цьому рішення про санкціонованість запиту на доступ повинне прийматися тільки при одночасному дозволі його й дискреційними, і мандатними ПРД. Таким чином, повинні контролюватися не тільки одиничний акт доступу, але й потоки інформації.