Например, наивысшим полномочием доступа к файлу для пользователя “СЕКРЕТНО”, выполняющего задание с “КОНФИДЕНЦИАЛЬНОГО” терминала будет “КОНФИДЕНЦИАЛЬНО”.
Рассмотрим пример данной модели. Пусть в компьютерной системе имеются три пользователя U={u1,u2,u3}, четыре задания J={j1,j2,j3,j4}, два терминала T={t1,t2} и пять файлов F={f1,f2,f3,f4,f5}.
Компетенция A=(НЕСЕКРЕТНО, КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО).
Категория C={ФИНАНСОВЫЙ, ПОЛИТИЧЕСКИЙ, БАНКОВСКИЙ}.
Полномочия F – перечень пользователей, имеющих право на доступ к данному объекту.
Режим M={ЧИТАТЬ ДАННЫЕ, ЗАПИСЫВАТЬ ДАННЫЕ, ИЗМЕНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ}.
Пользователь u1 описывается следующим вектором:
А(u1)={СОВЕРШЕННО СЕКРЕТНО}
C(u1)={ФИНАНСОВЫЙ, ПОЛИТИЧЕСКИЙ, БАНКОВСКИЙ}
F(u1)=({j1,j2,j3,j4},{t1,t2},{f1,f2,f3,f4,f5})M(u1)={ЧИТАТЬ ДАННЫЕ, ЗАПИСЫВАТЬ ДАННЫЕ, ИЗМЕНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ}.
Для пользователя u2:
А(u1)={СОВЕРШЕННО СЕКРЕТНО}
C(u1)={ФИНАНСОВЫЙ, БАНКОВСКИЙ}
F(u1)=({j1,j2,j4},{t1},{f1,f4,f5})
M(u1)={ЧИТАТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ}.
Пример разработки программной модели Адепт-50.
U={u1,u2};
T={t1,t2,t3};
J={j1,j2,j3,j4,j5};
A={a1,a2,a3,a4}(несекретно, конфиденциально,секретно, совершенно секретно);
C={c1,c2}(финансовый,банковский);
M={m1,m2,m3,m4}(читать данные, записывать данные, изменять данные, исполнить программу);
Определим объекты модели с помощью вектора (A,C,F,M):
u1={a4, c1, {}, {m1, m2, m3, m4}};
u2={a4, c2, {}, {m1, m2, m3, m4}};
t1={a3, c1, u1, {m1, m2, m3, m4}};
t2={a3, c2, u2, {m1,m2,m3,m4}};
t3={a3, {c1, c2}, {u1, u2}, {m1, m2, m3, m4}};
j1={a2, c1, u1,{m1, m2, m3, m4}};
j2={a2, c2, u2, {m1, m2, m3, m4};
j3={a1, c1, u1, {m1, m2, m3, m4}};
j4={a1, c2, u2, {m1, m2, m3, m4}};
j5={a0,{c1,c2}, {u1,u2}, {m1, m2, m3, m4}};
Пользователь Терминал Задание статус
u1 t1 j1 да
u1 t1 j2 нет
u1 t1 j3 да
u1 t1 j4 нет
u1 t1 j5 да
u1 t2 j1 нет
u1 t2 j2 нет
u1 t2 j3 нет
u1 t2 j4 нет
u1 t2 j5 нет
u1 t3 j1 да
u1 t3 j2 да
u1 t3 j3 да
u1 t3 j4 да
u1 t3 j5 да
u2 t1 j1 нет
u2 t1 j2 нет
u2 t1 j3 нет
u2 t1 j4 нет
u2 t1 j5 нет
u2 t2 j1 нет
u2 t2 j2 да
u2 t2 j3 нет
u2 t2 j4 да
u2 t2 j5 да
u2 t3 j1 да
u2 t3 j2 да
u2 t3 j3 да
u2 t3 j4 да
u2 t3 j5 да5.1.2. Пятимерное пространство безопасности Хартстона
В данной модели используется пятимерное пространство безопасности для моделирования процессов установления полномочий и организации доступа на их основании.
Модель безопасности описывается пятью множествами:
A – установленные полномочия;
U – пользователи;
E – операции;
R – ресурсы;
S – состояния.
Доступ рассматривается как ряд запросов, осуществляемых пользователями u для осуществления операции e над ресурсами R в то время, когда система находится в состоянии s. Например, запрос q на доступ представляется четырехмерным кортежем q=(u, e, r, s), uÎ U, eÎ E, sÎ S, rÍ R. Величины u и s задаются системой в фиксированном виде. Таким образом, запрос на доступ - подпространство четырехмерной проекции пространства безопасности. Запросы получают право на доступ в том случае, когда они полностью заключены в соответствующие подпространства.
Процесс организаций доступа можно описать следующим образом.
Для запроса q, где q(u, e, r, s), набора U' определенных групп пользователей, набора R' определенных единиц ресурсов и набора P правильных (установленных) полномочий процесс организации доступа будет состоять из следующих процедур:
Вызвать всё вспомогательные программы, необходимые для “предварительного принятия решений”;
Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из Р спецификации полномочий, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u;
Определить из Р набор F(е) полномочий, которые устанавливают е как основную операцию. Этот набор называется привилегией операции е;
Определить из Р набор F(R) (привилегию единичного ресурса R) – полномочия, которые определяют подмножество набора ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R. Полномочия, которые являются общими для трех привилегий в процедурах 2, 3, 4 образуют D(q), так называемый домен полномочий для запроса q: D(q)= F(u)Ç F(е)F(R);
Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т. е. каждый элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q);
Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы два полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для каждого такого класса логическая операция ИЛИ (или И) выполняется с условиями доступа элементов каждого класса. Новый набор полномочий – один на каждую единицу ресурса, указанную в D(q), есть F(u, q) – фактическая привилегия пользователя u по отношению к запросу q;
Вычислить ЕАС – условие фактического доступа, соответствующего запросу q, осуществляя логическое И (или ИЛИ) над условиями доступа членов F(u, q). Эта операция И (или ИЛИ) выполняется над всеми единицами ресурсов, которые перекрывают единицу запрошенного ресурса.
Оценить ЕАС и принять решение о доступе:
Разрешить доступ к R, если R перекрывается;
Отказать в доступе в противном случае.
Вызвать все программы, необходимые для организации доступа после “принятия решения”.
Выполнить все вспомогательные программы, вытекающие для каждого случая из условия 8.
Если решение о доступе было положительным – завершить физическую обработку.
Автор модели Хартстон отмечает, что приведенная последовательность шагов не всегда необходима в полном объеме. Например, в большинстве реализаций шаги 2 и 6 осуществляются во время регистрации пользователя в системе.
В качестве примера реализаций можно привести матрицу доступа, строки которой соответствуют субъектам системы, а столбцы – объектам; элементы матрицы характеризуют права доступа. К недостаткам относится статичность модели. Это означает, что модель не учитывает динамику изменений состояния КС, не накладывает ограничений на состояния системы.
Для моделей, построенных на основе дискретной защиты, можно доказать, что не существует алгоритма, который может решить для произвольной системы дискретной защиты, является или нет заданная исходная конфигурация безопасной.
5.2. Мандатная модель
Суть мандатного принципа контроля доступа состоит в сопоставлении каждому субъекту (пользователю) и объекту системы классификационных меток, которые можно условно считать уровнями секретности, кроме того, внутри каждого уровня секретности содержатся категории (их можно понимать как отделы или подразделения).
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила — читать можно только то, что положено.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд подобное ограничение может показаться странным, однако оно вполне разумно. Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен. Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание простому смертному.
В основном данный механизм направлен на защиту от ошибок пользователей, которые могут непреднамеренно разгласить конфиденциальные данные. Кроме того, при использовании описанной схемы разграничения прав доступа, после того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа, что позволяет проведение более жесткой и четкой сформулированной политики безопасности.
Мандатная политика безопасности устойчива к атакам “Троянским конем”. На чем строится защита от таких атак поясним на примере.
Пример:
Пусть пользователи U и U находятся на разных уровнях, то есть c(U)>c(U). Тогда, если Uможет поместить в объект Oценную информацию, то он может писать туда и c(U)<c(U)£c(O), то есть c(U)<c(U). Тогда любой “Троянский конь” Т, содержащийся в объекте O, который может считать информацию в O, должен отражать соотношение c(O) ³ c(O).
Тогда c(O) > c(U) и пользователь U не имеет право прочитать в O, что делает съем в Oи запись в O бессмысленным.
Для начала опишем характеристики субъектов и объектов, используемые в моделях мандатного доступа.
Субъектами могут быть, например, пользователи, задания, процессы и процедуры.
Объектами - файлы, программы, семафоры, директории, терминалы, каналы связи, устройства, блоки ОП и т.д.
Субъекты могут одновременно рассматриваться и как объекты, поэтому у субъекта могут быть права на доступ к другому субъекту.
В конкретном процессе в данный момент времени субъекты являются активными элементами, а объекты - пассивными. Для осуществления доступа к объекту субъект должен обладать соответствующими полномочиями.
Под уровнем секретности будем понимать иерархический атрибут, который может быть ассоциирован с сущностью компьютерной системы для обозначения степени ее критичности в смысле безопасности.
Этот атрибут может обозначать, например степень ущерба от нарушения безопасности в компьютерной системе, или чувствительность (чувствительность - характеристика ресурса, которая определяет его ценность или важность и может учитывать его уязвимость). Совокупность линейно упорядоченных уровней секретности образует классификацию.
Примером классификации может являться следующее множество уровней секретности:
«Общедоступный»
«Для служебного пользования»
«Секретный»
«Совершенно секретный»
Степень доверия - это атрибут, определяющий уровень секретности субъекта.
Чем выше степень доверия субъекта, тем к более секретной информации он имеет доступ. Чем выше секретность объекта, тем более секретная информация хранится в нем.
Можно определить функции, отображающие субъекты и объекты системы, на уровни секретности - clearance и classificationn. Областью значений каждой из этих функций является решетка уровней секретности L. Функция clearance определена на множестве субъектов S, а classification - на множестве объектов О. Эти функции записываются следующим образом:
Clearance = Is;
Classification (о) = l0
Кроме уровней секретности, можно ввести множество категорий. Каждая категория описывает соответствующий тип информации. Объект, которому присвоено несколько категорий, содержит информацию, соответствующую этим категориям.
Примером множества категорий может служить:
“Для прессы”;
“Ядерный”;
“Стратегический”.
6.1. Модель Белла-Лападула
Модель Белла-Лападула - это одна из первых моделей политики безопасности и впоследствии наиболее часто используемая. Она была разработана для обоснования безопасности систем, использующих многоуровневую политику безопасности.
Классическая модель Белла-Лападула построена для анализа систем защиты, реализующих мандатное разграничение доступа. Возможность ее использования в качестве формальной модели таких систем непосредственно отмечена в критерии TCSEC («Оранжевая книга»). Модель Белла-Лападула была предложена в 1975 году.
Материалы, в которых опубликована модель в 1976г., до сих пор недоступны, и поэтому в качестве самого близкого к оригиналу источника была принята работа Джона МакЛина (J. McLean), опубликованная в 1987 году. Идеи, лежащие в основе модели Белла-Лападула берут происхождение из «бумажного мира». Белл и Лападула перенесли модель безопасности, принятую при работе с документами, в мир компьютерных систем. Основным наблюдением, сделанным Беллом и Лападулом, является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями секретности, варьирующимися от низких уровней (неклассифицированных), до высоких (совершенно секретных).
Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам этим субъектам с низкими уровнями секретности не позволяется читать информацию из объектов с высокими уровнями секретности. Это ведет к первому правилу модели Белла-Лападула.
6.1.1. Первое правило модели Белла-Лападула
Простое свойство безопасности, также известное как правило “нет чтения вверх” (No Read Up, NRU) или как свойство простой безопасности (ss-свойство), гласит, что субъект с уровнем секретности Хs, может читать информацию из объекта с уровнем секретности Х0, только если Хs преобладает над Х0.Это означает, что если в системе, удовлетворяющей правилам модели Белла-Лападула, субъект с уровнем доступа «Секретный» попытается прочитать информацию из объекта, классифицированного как «Совершенно секретный», то такой доступ будет запрещен.Белл и Лападул сделали дополнительное наблюдение при построении своей модели: в правительстве США субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень секретности. Например: когда «Совершенно секретный» документ помещается в «Неклассифицированное» мусорное ведро. В таком случае может произойти утечка информации. Это ведет ко второму правилу модели Белла-Лападула.
6.1.2. Второе правило модели Белла-Лападула
Свойство, известное как правило “нет записи вниз” (No Write Down, NWD) или как свойство ограничения, гласит, что субъект с уровнем секретности Хs может писать информацию в объект с уровнем секретности Х0, только если Х0 преобладает над Хs. Это означает, что если в системе, удовлетворяющей правилам модели Белла-Лападула, субъект с уровнем доступа «Совершенно секретно» попытается записать информацию в «Неклассифицированный» объект, то такой доступ не будет разрешен. Введение свойства «нет записи вниз» разрешает проблему троянских коней, так как запись информации на более низкий уровень секретности, типичная для троянских коней, запрещена. Правила запрета по записи и чтению отвечают интуитивным представлениям о том, как предотвратить утечку информации к неуполномоченным источникам.
6.2. Описание модели
Основой многоуровневой политики является решетка ценностей. Пусть между двумя произвольными объектами X и Y имеется информационный поток от Х к Y, где X -источник, Y - получатель информации. Если (Y)>(X), то это означает, что Y -более ценный объект, чем X. Политика МПБ считает информационный поток от Х к Y разрешенным тогда и только тогда, когда (Y)>(X), т.е. Y секретнее, чем X. Тогда правила модели Белла-Лападула можно представить в виде:свойство простой безопасности (ss-свойство): свойство ограничения: Таким образом, МПБ имеет дело с множеством информационных потоков в системе и делит их на разрешенные и неразрешенные очень простым условием. Однако эта простота касается информационных потоков, которых в системе огромное количество.Управление доступом в модели Белла-Лападула происходит с использованием матрицы управления доступом или меток безопасности во взаимосвязи с правилами простой безопасности и свойства ограничения.В дополнение к имеющимся режимам доступа чтения и записи модель включает режимы добавления, исполнения и управления - причем последний определяет, может ли субъект передавать другим субъектам права доступа, которыми он обладает по отношению к объекту. Управление при помощи меток безопасности усиливает ограничение предоставляемого доступа на основе сравнения атрибутов класса доступа субъектов и объектов.
Пример:
Пусть определены конечные множества S, O, R, L. S - множество субъектов системы; О - множество объектов, не являющихся субъектами; R - множество прав доступа, R = {read (r), write (w), execute (e), append (a)}; L - уровни секретности. Множество V состояний системы определяется произведением множеств: V = B ´ M ´ F ´ H, где сомножители определяются следующим образом. B - множество текущих доступов и есть подмножество множества подмножеств произведения S ´ O ´ R. Множество подмножеств будем обозначать P(S ´ O ´ R) элементы множества B будем обозначать b и они представляют в текущий момент t графы текущего доступа (в каждый момент субъект может иметь только один вид доступа к данному объекту). М - матрица разрешенных доступов, R. F - подмножество множества L ´ L ´ L, где каждый = (f, f, f), ÎF, - вектор, который состоит из трех компонент, каждая из которых тоже вектор (или отображение). f - уровень допуска субъектов (это некоторое отображение f: S ® L); f - уровень секретности объектов (это некоторое отображение f: O ® L);f - текущий уровень секретности субъектов (это тоже некоторое отображение f: S ® L). Элементы подмножества F, которые допущены для определения состояния должны удовлетворять соотношению:" S Î S f (S) ³ f (S). Н - текущий уровень иерархии объектов, в работе McLean этот уровень не изменяется, совпадает с f и далее не рассматривается. Элементы множества V состояний будут обозначаться через v. Пусть определены множество Q - запросов в систему и множество D - решений по поводу этих запросов (D = {yes, no, error }). Определим множество W действий системы как W Í Q ´ D ´ V ´ V = { (q, d, v, v)}. Каждое действие системы (q, d, v, v) имеет следующий смысл: если система находилась в данный момент в состоянии v, поступил запрос q, то принято решение d и система перешла в состояние v. Пусть Т- множество значений времени (для удобства будем считать, что T = N - множество натуральных чисел). Определим набор из трех функций (x, y, z): x: T ® Q, y: T ® D,z: T ® V, и обозначим множества таких функций X, Y, Z соответственно. Рассмотрим X ´ Y ´ Z и определим понятие системы в модели Б-Л.
Определение:
Системой S(Q, D, W, z) называется подмножество X ´ Y ´ Z такое, что(x, y, z) Î S(Q, D, W, z) Û (x, y, z, z) Î W,для каждого значения t Î T, где z - начальное состояние системы.
Определение:
Каждый набор (x, y, z) Î S(Q, D, W, z) называется реализацией системы.
Определение:
Если (x, y, z) - реализация системы, то каждая четверка (x, y, z, z) называется действием системы. Нетрудно видеть, что при отсутствии ограничений на запросы таким образом определен некоторый автомат, у которого входной алфавит Q, а выходной D, а множество внутренних состояний V. Автомат задается множеством своих реализаций. Перейдем к определению понятий, связанных с безопасностью системы.
Определение:
Тройка (S, O, X) Î S ´ O ´ R удовлетворяет свойству простой секретности (ss - свойство) относительно, если X = execute, или X = append, или, если X = read и f (S) ³ f (O), или X = write и f (S) ³ f (O).
Определение:
Состояние v = (b, M,, h) обладает ss - свойством, если для каждого элемента (S, O, X) Î b этот элемент обладает ss - свойством относительно.
Определение.
Состояние v = (b, M,, h) обладает *- свойством, если для каждого (S, O, X) Î b при X = write текущий уровень субъекта f (S) равен уровню объекта f (O), или при X = read f (S) ³ f (O), или при X = append f (O) ³ f (S).
Определение:
Состояние обладает *- свойством относительно множества субъектов S’, S’ Ì S, если оно выполняется для всех троек (S, O, X) таких, что S Î S’.
Определение:
Субъекты из множества S S’ называются доверенными.Лемма. Из *- свойства для (S, O, X) следует ss- свойство относительно. Доказательство. Утверждение следует из условия f (S) £ f (S).
Определение:
Состояние v = (b, M,, h) обладает ds - свойством, если " (S, O, X) Î b Þ X Î m, где М = úú m úú - матрица доступа состояния v.
Определение:
Состояние v = (b, M,, h) называется безопасным, если оно обладает одновременно ss - свойством, *- свойством относительно S’ и ds - свойством.Напомним формулировку политики MLS, связанной с решеткой ценностей SC ´ L в информации: информационный поток между двумя объектами называется разрешенным, если класс объекта источника доминируется классом объекта получателя. Из определения ss - свойства следует, что в безопасном состоянии возможно чтение вниз, что согласуется с эквивалентным определением MLS политики. Кроме того, ss - свойство определяет ограничение на возможность модификации, которое связано с W: f (S) ³ f (O). Объясним * - свойство. Если субъект может понизить свой текущий допуск до f (S) = f (O), то, согласно *- свойству, он может писать в объект. При этом он не может читать объекты на более высоких уровнях, хотя допуск f (S) ему это может позволить. Таким образом, при записи информационный поток опять не может быть направлен вниз. Исключение возможно только для доверенных субъектов, которым разрешено строить информационный поток вниз. При этом доверенность субъекта означает безопасность такого потока вниз (поэтому эти потоки считаются разрешенными). Сказанное выше означает, что безопасное состояние модели Б-Л поддерживает политику MLS. Значит, для того, чтобы доказать, что любой поток на траектории вычислительной системы разрешен, достаточно показать, что выходя из безопасного состояния и следуя допустимым действиям мы опять приходим в безопасное состояние, тем самым любая реализация процесса будет безопасной. Проведем строгое обоснование этого вывода.Определение. Реализация (x, y, z) системы S(Q, D, W, z) обладает ss - свойством (*- свойством, ds- свойством), если в последовательности (z, z,.....) каждое состояние z обладает ss - свойством (*- свойством, ds - свойством).
Определение:
Система обладает ss - свойством (соответственно, *- свойством, ds - свойством), если каждая ее реализация обладает ss - свойством (соответственно, *- свойством, ds - свойством).
Определение:
Система называется безопасной, если она обладает одновременно ss - свойством, *- свойством, и ds - свойством.
Теорема А1:
S(R, D, W, z) обладает ss - свойством для любого начального z, которое обладает ss - свойством тогда и только тогда, когда W удовлетворяет следующим условиям для каждого действия (R, D, (b*, M*, *, h*), (b, M,, h))(1). " (S, O, X) Î b* b обладает ss - свойством относительно *.(2) Если (S, O, X) Î b и не обладает ss - свойством относительно *, то (S, O, X) Ï b*.Доказательство. " (S, O, X) Î b* возможно либо (S, O, X) Î b, или (S, O, X) Î b* b. Условие (1) означает, что состояние (b*, M*, *, h*) пополнилось элементами (S, O, X), обладающими ss - свойством относительно *. Условие (2) означает, что элементы b*, перешедшие из b, обладают ss - свойством относительно *. Следовательно, " (S, O, X) Î b* обладает ss - свойством относительно *. Пусть любое состояние обладает ss - свойством относительно своего. Тогда (1) выполняется, т.к. ss - свойство выполняется для всех (S, O, X) из b*. И, если (S, O, X) Î b и перешло в b*, то, в силу ss - свойства (S, O, X) обладает ss - свойством относительно *. Что и требовалось доказать.Теорема. Система S(R, D, W, z) обладает *- свойством относительно S’ для любого начального состояния z, обладающего *- свойством относительно S’ тогда и только тогда, когда W удовлетворяет следующим условиям для каждого действия(R, D, (b*, M*, *, h*), (b, M,, h))(1) " S Î S’, " (S, O, X) Î b* b обладает *- свойством относительно *.(2) " S Î S’, " (S, O, X) Î b и (S, O, X) не обладает *- свойством относительно *, то (S, O, X) Ï b*. Доказательство проводится аналогично.
Теорема:
Система S(R, D, W, z) обладает ds - свойством тогда и только тогда, для любого начального состояния, обладающего ds - свойством, W удовлетворяет следующим условиям для любого действия(R, D, (b*, M*, *, h*), (b, M,, h))(1) (S, O, X) Î b* b, то X Î m *.(2) (S, O, X) Î b* b, X Ï m *, то (S, O, X) Ï b*.Доказательство проводится аналогично. Теорема (Basic Security Theorem). Система S(R, D, W, z)-безопасная тогда и только тогда, когда z - безопасное состояние и W удовлетворяет условиям теорем А1, А2, А3 для каждого действия.Доказательство. Теорема BST следует из теорем. Несмотря на все достоинства, оказалось, что при использовании модели Белла-Лападула в контексте практического проектирования и разработки реальных компьютерных систем возникает ряд технических вопросов, что является логическим следствием достоинства модели Белла-Лападула - ее простоты. Проблемы появляются при рассмотрении вопросов построения политик безопасности для конкретных типов систем, т. е. на менее абстрактном уровне. Здесь системный компонент модели усложняется, что может привести к неадекватности модели Белла-Лападула в ее классической форме. Как следствие в мире компьютерной безопасности ведется широкая полемика по поводу применимости модели Белла-Лападула для построения безопасных систем.В свете недавних тенденций использования распределенных конфигураций требуется рассматривать модели безопасности не только для автономных, но и для распределенных компьютерных систем. Очевидным способом распространения модели Белла-Лападула на распределенные системы будет назначение уровней секретности различным компонентам этих систем и соблюдение гарантии выполнения правил-ограничений по чтению и записи.
Например:
Некоторым компонентам можно назначить уровни секретности, меняющиеся от неклассифицированного до совершенно секретного уровня, и на основании принципов модели Белла-Лападула синтезировать соединения между различными компонентами системы. Может показаться, что если конфиденциальному субъекту А будет разрешено чтение информации из неклассифицированного объекта В, никакая конфиденциальная информация не будет раскрыта. Но при более подробном рассмотрении реализации операции удаленного чтения снизу может быть сделано неприятное наблюдение. Операция чтения между удаленными компонентами приводит к протеканию потока информации от читаемого объекта к запросившему доступ на чтение субъекту. Данный поток является безопасным, поскольку информация не разглашается неавторизованному субъекту. Однако в распределенной конфигурации чтение инициируется запросом от одного компонента к другому. Такой запрос образует прохождение потока информации в неверном направлении (запись в объект с меньшим уровнем секретности). Таким образом, удаленное чтение в распределенных системах может произойти, только если ему предшествует операция записи вниз, что является нарушением правил модели Белла-Лападула. Многие исследователи рассматривают эту проблему как наиболее убедительное свидетельство неадекватности модели Белла-Лападула. Однако на практике эта проблема часто является несущественной. Достаточно внедрения в систему дополнительных средств обработки удаленных запросов для обеспечения того, чтобы поток информации от высокоуровневого субъекта к низкоуровневому объекту был ограничен запросом на доступ. Фактически некоторые архитектуры предлагают отдельные компоненты, выполняющие обработку таких запросов и потока информации в распределенных системах. В описании правил модели Белла-Лападула не было указано, какие субъекты должны подчиняться этим правилам.
Например:
Дата добавления: 2015-08-27; просмотров: 123 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |