|
Читайте также: |
Если объектов в системе очень много, то задать вручную перечень прав каждого субъекта на доступ к объекту достаточно сложно. Поэтому матрица доступа может агрегироваться, например:
в качестве субъектов оставляются только исходные пользователи, а в соответствующую ячейку матрицы помещаются функции, результат вычисления которых определяет права доступа субъекта, порожденного пользователем, к объекту О. Эти функции могут изменяться во времени. В частности, возможно изъятие прав после выполнения некоторого события.
4)Role-Based Access Control, RBAC
При большом количестве пользователей управление доступом становится крайне сложным для администрирования, так как число связей в системе пропорционально произведению количества пользователей на количество объектов. Необходимы решения в объектно-ориентированном стиле, способные эту сложность понизить, например, ролевое управление доступом. Модель РУД является развитием дискреционной модели. В ней права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права. Как правило, РУД применяется в системах защиты современных СУБД, отдельные элементы РУД реализуются в сетевых ОС (группы на локальном уровне или контейнеры на уровне домена).
2. Полномочная/мандатная модель уровней безопасности
Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации.
Согласно "Оранжевой книге", метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних - описать предметную область, к которой относятся данные.
Принудительное (мандатное) управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Для этого:
- все субъекты и объекты системы должны быть однозначно идентифицированы
- каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в ней информации
- каждому субъекту системы присвоен уровень прозрачности или уровень доступа (security clearance), определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ
Если значения меток субъекта и объекта одинаковы, то они принадлежат одному уровню безопасности. Организация меток имеет иерархическую структуру. Чем важнее объект, тем выше его метка критичности. Самыми защищенными оказываются объекты с наиболее высокими значениями метки критичности.
Каждый субъект, кроме уровня прозрачности, имеет текущее значение уровня безопасности – уровень конфиденциальности, который может изменяться от некоторого минимального значения до значения его уровня прозрачности.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила прост - читать можно только то, что разрешено.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может записывать данные в секретные файлы, но не может - в несекретные.
Такой способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов (даже системных администраторов). После того, как зафиксированы метки безопасности субъектов и объектов, становятся фиксированными и права доступа.
Основное назначение принудительной политики безопасности – регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом часто она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).
Примером является система контроля доступа, принятая в военном ведомстве США, где уровнями доступа являются уровни секретности – несекретно, конфиденциально, секретно, совершенно секретно. Внутри отдельных уровней секретности определены категории для выделения разделов данных, требующих специального разрешения на доступ к ним. Для получения доступа к данным определенной категории, субъект должен иметь не только доступ к данным соответствующего уровня по степени секретности, но и разрешение на доступ по категории.
Модель безопасности Белл-Ла Падула (1975)
Одна из первых мандатных моделей безопасности - и впоследствии наиболее часто используемой - была разработана Дэвидом Беллом и Леонардо Ла Падула для моделирования работы компьютера. Модель включает в себя понятие безопасного (с точки зрения политики) состояния и перехода. Для принятия решения на разрешение доступа производится сравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасности субъекта. Результат сравнения определяется двумя правилами: простым условием защиты (simple security condition) и свойством ограничения (restriction security condition).
Рассмотрим систему из двух файлов и двух процессов. Один файл и один процесс являются несекретными, другой файл и процесс - секретными.
 | |||
| |||
|
|
|
 |
прямая утечка косвенная утечка
Простое условие защиты предотвращает чтение секретного файла несекретным процессом – то есть запрещена прямая утечка.
Однако легко может произойти нарушение правил управления доступом, если секретный процесс считает информацию из секретного файла и запишет ее в несекретный файл. Это эквивалентно неавторизованному уменьшению класса доступа информации, хотя при этом не изменяется класс доступа ни одного файла.
Когда процесс записывает информацию в файл, класс доступа которого меньше, чем класс доступа процесса, имеет место процесс записи вниз - косвенная утечка. Ограничение, направленное на исключение нисходящей записи получило в модели Белл-Ла Падула название свойства ограничения.
Таким образом, мандатная модель безопасности имеет два основных свойства:
· простое условие защиты: субъект может читать объект, если класс доступа субъекта доминирует над классом доступа объекта - субъект может читать "вниз", но не может читать "вверх";
· свойство ограничения: субъект может записать в объект, если класс доступа субъекта не превосходит класс доступа объекта, таким образом, субъект не может записать "вниз".
Процесс не может ни читать объект с высшим классом доступа (свойство простой безопасности), ни записать объект с низшим классом доступа (свойство ограничения).
Модель Белл-Ла Падула определяет структуру класса доступа и устанавливает упорядочивание отношений между ними (доминирование). Кроме того, определяются два уникальных класса доступа: SYSTEM HIGH, который превосходит все остальные классы доступа, и SYSTEM LOW, который превосходят все другие классы. Изменения классов доступа в рамках модели Белл-Ла Падула не допускаются.
Состояние системы считается безопасным, если соотношения между уровнями защиты объектов и субъектов удовлетворяют как простому условию защиты, так и условию-свойству ограничения.
Управление доступом в модели Белл-Ла Падула может происходить как с использованием матрицы управления доступом, так и с использованием меток безопасности и ранее приведенных правил простой безопасности и свойства ограничения.
В дополнение к имеющимся режимам доступа чтения и записи, матрица управления доступом включает режимы добавления, исполнения и управления - причем последний определяет, может ли субъект передавать другим субъектам права доступа, которыми он обладает по отношению к объекту. Использование меток безопасности усиливает ограничение предоставляемого доступа.
В модели Белл-Ла Падула определено около двадцати функций (правил операций), выполняемых при модификации компонентов матрицы доступа, при запросе и получении доступа к объекту (например, при открытии файла), создании и удалении объектов; при этом для каждой функции доказывается сохранение ею, в соответствии с определением, безопасного состояния. Лишь немногие разработки безопасных систем использовали функции, предложенные Белл и Ла Падула, чаще использовались собственные функции, разработанные на основе функций модели Белл-Ла Падула. Поэтому в настоящее время, когда говорят о модели Белл-Ла Падула, имеют в виду только простое условие безопасности и свойство ограничения, а не функции, составляющие основу модели, и их доказательства.
Монитор обработки 11 запросов на основе модели Белл-Ла Падула был реализован в виде программно-аппаратного ядра защиты ОС Multics (предшественник UNIX), а также семейства ОС VAX.
Дата добавления: 2015-07-24; просмотров: 163 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Вопрос 3 Модели безопасности многопользовательских компьютерных систем. | | | Вопрос 4 Парольная защита пользователей компьютерных систем. Требования к паролям. |