- •Тема 7. Математические модели анализа политики безопасности информации
- •Москва – 2010
- •Введение
- •1. Основные понятия и определения политики безопасности информации.
- •1.1. Понятие политики безопасности
- •1.2. Понятия доступа и монитора безопасности
- •1.3. Понятие ядра безопасности.
- •2. Математические модели анализа дискреционной политики безопасности информации
- •2.1. Модель матрицы доступов Харрисона-Руззо-Ульмана
- •Рассмотрим вопросы безопасности системы.
- •2.2. Типизованная матрица доступов
- •2.3. Модель распространения прав доступа Take-Grant
- •2.4. Модель Харрисона-Руззо-Ульмана.
- •3. Математические модели мандатной политики управления доступом
- •3.1. Классическая модель системы безопасности Белла-ЛаПадула
- •3.2. Модель безопасности Мак-Лина (безопасная функция перехода)
- •С точки зрения модели уполномоченных субъектов система (vo,r, Ta) считается безопасной в том случае, если:
- •Модель совместного доступа
- •3.3. Модель совместного доступа с уполномоченными объектами
- •3.4. Решетка мандатных моделей безопасности
- •3.5. Применение мандатных моделей безопасности.
3. Математические модели мандатной политики управления доступом
Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран. Основным положением политики Белла-ЛаПадулы, взятым ими из реальной жизни, является назначение всем участникам процесса обработки защищаемой информации, и документам, в которых она содержится, специальной метки, например, секретно, сов. секретно и т. д., получившей название уровня безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования, например, уровень сов. секретно считается более высоким чем уровень секретно, или доминирует над ним. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух простых правил:
1. Уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.
2. Уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Первое правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых). Второе правило (далее становится очевидным, что оно более важное) предотвращает утечку информации (сознательную или несознательную) со стороны высокоуровневых участников процесса обработки информации к низкоуровневым.
Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом — с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.
Система в модели безопасности Белла-ЛаПадулы, как и в модели Харрисона-Руззо-Ульмана, представляется в виде множеств субъектов S,
объектов О (множество объектов включает множество субъектов, S O) и прав доступа геаd (чтение) и write (запись). В мандатной модели рассматриваются только эти два вида доступа, и, хотя она может быть расширена введением дополнительных прав (например, правом на добавление информации, выполнение программ и т.д.), все они будут отображаться в базовые (чтение и запись). Использование такого жесткого подхода, который не позволяет осуществлять гибкое управление доступом, можно объяснить тем, что в мандатной модели контролируются не операции, осуществляемые субъектом над объектом, а потоки информации, которые могут быть только двух видов: либо от субъекта к объекту (запись), либо от объекта к субъекту (чтение).
Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности F:SOL. Эта функция ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности L, т.е. множеству, на котором определена решетка.
Решетка уровней безопасности.
Решетка уровней безопасности - это формальная алгебра (L, , , ),
где L – базовое множество уровней безопасности, а оператор определяет частичное нестрогое отношение порядка для элементов этого множества, т.е. оператор - антисимметричен, транзитивен и рефлексивен.
Отношение оператора на L:
рефлексивно, если а L: а а;
антисимметрично, если а1, а2 L: (а1 а2 а2 а1) а1=а2;
транзитивно, если а1, а2, а3 L: (а1а2 а2а3) а1 а3.
Другое свойство решетки состоит в том, что для каждой пары а1 и а2 элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей нижней границы.
Эти элементы также принадлежат L и обозначаются с помощью операторов и соответственно:
а1 а2 = а а1, а2 а а` L: (а` а)(а` а1 а` а2)
а1 а2 = a a а1, а2 а` L: (а` а1 а` а2)(а` а)
Смысл этих определений заключается в том, что для каждой пары элементов (или множества элементов, поскольку операторы и транзитивны) всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.
Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор определяет направление потоков информации, то есть, если F(A) F(B), то информация может передаваться от элементов класса А элементам класса В.
Для описания отношения доминирования на множестве уровней безопасности в модели Белла-ЛаПадулы используется решетка.
Если информация может передаваться от сущностей класса А к сущностям класса В, а также от сущностей класса В к сущностям класса А, то классы А и В содержат одноуровневую информацию и с точки зрения безопасности эквивалентны одному классу (АВ).
Поэтому для удаления избыточных классов необходимо, чтобы отношение было антисимметричным.
Если информация может передаваться от сущностей класса А сущностям класса В а также от сущностей класса В к сущностям класса С, то очевидно, что oна будет также передаваться от сущностей класса А к сущностям класса С. Таким образом, отношение должно быть транзитивным.
Так как класс сущности определяет уровень безопасности содержащейся в ней информации, то все сущности одного и того же класса содержат с точки зрения безопасности одинаковую информацию. Следовательно, нет смысла запрещать потоки информации между сущностями одного и того же класса.
Более того, из чисто практических соображений нужно предусмотреть возможность для сущности передавать информацию самой себе. Следовательно, отношение должно быть рефлексивным.
Можно показать, что для любого множества сущностей должны существовать единственная наименьшая верхняя и наибольшая нижняя границы множества соответствующих им уровней безопасности.
Для пары сущностей x и y, обладающих уровнями безопасности а и b соответственно, обозначим наибольший уровень безопасности их комбинации как (а b), при этом а (а b) и b (а b).
Тогда, если существует некоторый уровень с такой что а с и b c, то должно иметь место отношение (а b) с, так как (а b) – это минимальный уровень субъекта, для которого доступна информация как из x так и из y.
Следовательно, (а b) должен быть наименьшей верхней границей а и b. Аналогично обозначим наименьший уровень безопасности комбинации сущностей x и у как (аb), при этом (аb) а и (аb) b. Тогда, если существует некоторый уровень с такой, что cа и cb, то должно иметь место отношение с(аb), поскольку (аb) — это максимальный уровень субъекта, для которого разрешена передача информации как в х, так и в у. Следовательно, (аb) должен быть наибольшей нижней границей а и b.
Использование решетки для описания отношений между уровнями безопасности позволяет использовать в качестве атрибутов безопасности (элементов множества L) не только целые числа, для которых определено отношение "меньше или равно", но и более сложные составные элементы. Например, в государственных организациях достаточно часто в качестве атрибутов безопасности используется комбинация, состоящая из уровня безопасности, представляющего собой целое число, и набора категорий из некоторого множества. Такие атрибуты невозможно сравнивать с помощью арифметических операций, поэтому отношение доминирования определяется как композиция отношения "меньше или равно" для уровней безопасности и отношения включения множеств для наборов категорий. Причем сказывается на свойствах модели, поскольку отношения "меньше или равно" и "включение множеств" обладают свойствами антисимметричности, транзитивности и рефлексивности, и, следовательно, их композиция также будет обладать этими свойствами, образуя над множеством атрибутов безопасности решетку. Точно также можно использовать любые виды атрибутов и любое отношение частичного порядка, лишь бы их совокупность представляла собой решетку.