Условия образования информационных каналов
Модель Диона предусматривает возможность передачи информации путем организации однонаправленных каналов между объектами. Подытожим все вышесказанное: субъект s может организовать канал передачи информации из объекта о1 в объект о2, если выполняются следующие соотношения:
RCL(s) >= ACL(o1)
RIL(s) <= AIL(o1)
WCL(s) <= ACL(o2)
WIL(s) >= AIL(o2)
(субъект должен иметь право на чтение из объекта о1 и на запись в объект о2),
RCL (o1) >= RCL (o2)
WCL (o1) >= WCL (o2)
RIL (o1) <= RIL (o2)
WIL (o1) <= WIL (o2)
(эти соотношения гарантируют, что ограничения на метки чтения/записи не могут быть нарушены при посредничестве "третьих" объектов: метки конфиденциальности чтения/записи информации при перезаписи из объекта в объект не могут повышаться, целостности — понижаться),
RCL(o1) >= ACL(s);
RIL(o1) <= AIL(s);
WCL(o2) <= ACL(s);
WIL(o2) >= AIL(s).
(субъекты не должны нарушать ограничения на метки чтения/записи объектов).
Модель Диона обобщает более известные модели безопасности (Белла–ЛаПадула и Биба). В частности, из приведенных аксиом следует, что ненадежные субъекты ( WCL(s) = ACL(s) = RCL(s) и WIL(s) = AIL(s) = RIL(s) ) не могут переместить информацию в объект с меньшим уровнем конфиденциальности и/или более высоким уровнем целостности.
На рисунке 1 в виде графа приведены соотношения доминирования меток безопасности объектов и субъекта для возможности образования информационного канала из o1 в o2, (отношения доминирования обозначены стрелками).
Рисунок 1 — Условия образования информационных каналов
Литература
1. Castano S., Fugini M., Martella G., Samarati P. Database Security. — Addison-Wesley, 1995.
25 Политика целостности Biba
Предположим, что опасности для нарушения секретности не существует, а единственная цель политики безопасности — защита от нарушений целостности информации. Пусть, по-прежнему, в информацию внесена решетка ценностей SC. В этой связи любой информационный поток X -> Y может воздействовать на целостность объекта Y и совершенно не воздействовать на целостность источника X. Если в Y более ценная информация, чем в X, то такой поток при нарушении целостности Y принесет более ощутимый ущерб, чем поток в обратном направлении от более ценного объекта Y к менее ценному X. Biba предложил в качестве политики безопасности для защиты целостности следующее.
В политике Biba информационныйпоток X -->Y разрешен тогда и только тогда, когда
Можно показать, что в широком классе систем эта политика эквивалентна следующей.
Для систем с доступами w и r политика Biba разрешает доступ в следующих случаях:
Очевидно, что для реализации этой политики также подходит мандатный контроль.
26-28 Модели контроля доступа, основанного на ролях
Рави С. Сандху1, Эдвард Дж. Койн, Гал Л. Файнстайн и Чарльз Е. Юман2.
Переработана 26 октября 1995 г.
Ключевые слова: безопасность, контроль доступа, роли, модели
Данная статья представляет семейство соответствующих моделей для контроля доступа, основанного на ролях (КДОР), в которых разрешения связаны с ролями, а пользователи являются членами соответствующих ролей. Это намного упрощает управление разрешениями. Роли тесно связаны с понятием пользовательских групп в контроле доступа. Однако, роль объединяет множество пользователей с одной стороны и множество разрешений с другой, в то время как пользовательские группы обычно определяются лишь как множество пользователей.
Основные понятия КДОР получили свое развитие с появлением многопользовательских компьютерных систем. Возрождение интереса к КДОР обусловлено потребностью в настраиваемой аппаратуре общего назначения для КДОР и необходимостью управления самим КДОР. Как следствие, состав КДОР колеблется от простого до сложного. Данная статья описывает модели для системного описания разнообразных компонентов КДОР и их взаимодействия.