Реализация дискреционной модели политики безопасности

Существуют следующие типы политик безопасности: дискреционная, мандатная и

Основой дискреционной(дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

1) все субъекты и объекты должны быть идентифицированы;

2) права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

Т.е. администратором задается набор троек следующего вида (S_j,O_j,T_k), где S_i € S – субъекты компьютерной системы. O_j € O – объекты компьютерной системы. T_k T – множество прав доступа, которое разрешено выполнять S_i над объектом O_j.

Для формального описания данной политики часто используется дискреционная матрица доступа, строки которой соответствуют S, столбцы соответствуют O, а на пересечений i-строки и j-ого столбца перечисляются все права доступа.

При реализации дискреционной политики безопасности необходимо исходить из принципа минимизации привилегий, т.е. администратор ни в коем случае не должен наделять избыточными правами на доступ к объекту. Ему должны быть предоставлены только те права, которые необходимы ему для выполнения им своих служебных полномочий.

При хранении матриц доступов в компьютерной системе это можно делать централизованно и распределено.

При распределенном хранении, эта матрица храниться не в виде единого объекта, а распределяется по объектам файловой системы, с каждым из которых вместе храниться соответствующий им столбец матрицы. Эти списки называться столбцы доступа (ACL-списки).

Также данная матрица может разбиваться и храниться построчно, в этом случае с каждым субъектом связывается строка с матрицей доступа, называемая списком привилегий, в котором указывается какие виды доступа имеет S. (Win 2000,XP).

По принципу создания и управления матрицы доступа выделяют два подхода:

1. Принудительное управление доступом.

2. Добровольное управление доступом.

В 1-ом случае правами создания изменения матрицы доступов имеет непосредственно только администратор КС. Во втором случае (используется когда количеств объектов очень велико), в этом случае изменять матрицу доступа S к искомому O может владелец этого объекта. Под владельцем данного объекта понимают S который инициализировал операцию создания данного объекта.

К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты.

К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменений состояния, не накладывает ограничений на состояния системы.

Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить − приведут ли его действия к нарушению безопасности или нет.

Мандатная политика безопасности.

Основу мандатной(полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:

− все субъекты и объекты системы должны быть однозначно идентифицированы;

− задан линейно упорядоченный набор меток секретности;

− каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности ;

− каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в системе – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

Данные модели строятся на основе следующих положений:

1. Имеется множество атрибутов безопасности. A=

Эти атрибуты упорядочены между собой, на данном множестве введено отношение доминирования, с помощью которого атрибуты можно сравнивать между собой. Самый низкий – открыто, наивысший – гос.тайна.

2. С каждым объектом компьютерной системы O_j связывается атрибут безопасности A_i € A который называется грифом секретности объекта и соответствует его ценности, чем более ценен объект тем более высокий гриф ему назначается.

(в рамках вышеприведенных атрибутов безопасности, ценность определяется ущербом, который будет нанесен владельцу информационного ресурса при нарушении его конфиденциальности.

3. Каждому субъект КС ставиться в соответствие атрибут безопасности A_i, который называется уровнем допуска субъекта. Максимальный уровень допуска равен максимальному из грифов секретности объектов, к которым субъект будет иметь доступ.

4. Если объект O_j имеет гриф секретности A_j а субъект A_i, то субъект S_i получит доступ к O_j тогда и только тогда, когда A_i ≥ A_j

Представленная выше исходная мандатная модель имеет канал утечки информации заключающийся в том что S с наивысшим уровнем допуска могут случайно либо преднамеренно читать информацию из объектов с высоким грифом секретности и записывать в менее секретные объекты. Для устранения этого недостатка исходной мандатной политики безопасности было введено расширение этой модели: Бэлла-Лападулы. В этой модели вводиться два правила разграничения субъектов к объектам:

1. Нельзя читать сверху – Not read up (NRU).

2. Нельзя записывать вниз – Not write down (NWD).

Существуют и другие политики – Модель Биба:

В данной политике вместо грифов секретности вводят уровни целостности объекта:

— Совершенно нецелостные (объекты, целостность которых ничем не контролируется и ничем не подтверждена).

— Немного целостные (целостность информации подтверждена путем расчета и проверки контрольных сумм).

— Довольно целостные (целостность информации подтверждена путем расчета стойких контрольных сумм).

— Совершенно целостные (целостность объекта подтверждена с помощью имитовставок и контрольных сумм).

Информация находиться с уровнем целостности: совершенно целостный может рассматриваться как «чистая» информация, которой мы можем доверять, когда в такие объекты попадает информация с уровнем целостности совершенно нецелостная – грязная «информация», это есть нарушение свойств целостности, поэтому попадание информации из объектов менее целостных в объекты более целостные необходимо запретить, т.е. необходимо запретить чтение снизу и записи наверх. Это мандатная модель (В ней работает NRD и NRW).

Возможно отклонение от правил этой модели. Известна модель Бибо с понижением уровня субъекта и модель Бибо с понижением уровня объекта.

В первом варианте чтение снизу может быть разрешено, но при выполнении такого чтения субъектом, субъект автоматически получает уровень целостности того объекта из которого он прочитал информацию.

В модели понижения уровня объекта разрешается запись наверх, однако, после выполнения такой записи целостность объекта понижается до уровня целостности S, который производил эту запись.

Ролевое управление доступом.

В 2001 г. Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом.

Ролевое разграничение доступа (РРД) представляет собой развитие политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. РРД является составляющей многих современных систем и применяется в системах защиты СУБД, сетевых ОС.

Роль является совокупностью прав доступа на объекты системы. Вместе с тем РРД не является частным случаем дискреционного разграничения доступа, так как правила РРД определяют порядок предоставления прав доступа субъектам системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. В то же время правила РРД являются более гибкими, чем правила мандатного разграничения доступа, построенные на основе жестко определенной решетки (шкалы) ценности информации. Суть ролевого разграничения доступа состоит в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.

Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.

Ролевое управление доступом оперирует следующими основными понятиями:

− пользователь (человек, интеллектуальный автономный агент и т.п.);

− сеанс работы пользователя;

− роль (определяется в соответствии с организационной структурой);

− объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);

− операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.;

для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут

быть более сложными);

− право доступа (разрешение выполнять определенные операции над определенными объектами).

Ролям приписываются пользователи и права доступа; можно считать, что они (роли) именуют отношения "многие ко многим" между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько

Дата добавления: 2018-05-12 ; просмотров: 1246 ; ЗАКАЗАТЬ РАБОТУ

Изучение проблем реализации политик информационной безопасности в компьютерных системах на примере дискреционной модели. Реализация программного модуля, демонстрирующего работу пользователя в дискреционной модели политики информационной безопасности.

Рубрика	Программирование, компьютеры и кибернетика
Вид	лабораторная работа
Язык	русский
Дата добавления	03.06.2015
Размер файла	27,9 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

РЕАЛИЗАЦИЯ ПОЛИТИК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДИСКРЕЦИОННАЯ МОДЕЛЬ ПОЛИТИКИ БЕЗОПАСНОСТИ

Цель — изучение проблем реализации политик информационной безопасности в компьютерных системах на примере дискреционной модели.

Под политикой безопасности понимается набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации. Политика безопасности задает механизмы управления доступа к объекту, определяет как разрешенные, так и запрещенные типы доступов, регламентирует поведение СЗИ в различных ситуациях.

При выборе и реализации политики безопасности в компьютерной системе, как правило, работают следующие шаги:

1. В информационную структуру вносится структура ценностей (определяется ценность информации) и проводится анализ угроз и рисков для информации и информационного обмена.

2. Определяются правила использования для любого информационного процесса, права доступа к элементам информации с учетом данной оценки ценностей.

Реализация политики безопасности должна быть четко продумана. Результатом ошибочного или бездумного определения правил политики безопасности, как правило, является разрушение ценности информации без нарушения политики.

Существует ряд моделей политик безопасности, отличающихся по возможностям защиты, по качеству защиты, по особенностям реализации. Одной из самых простых и распространенных моделей политик безопасности является дискреционная политика.

Пусть имеем множество из 3 пользователей-субъектов O= <Администратор, Гость, Пользователь_1>и множество из 4 объектов U=<Файл_1, Файл_2, CD-RW, Флоппи-Дисковод>.

Пусть множество возможных действий включает следующие: S=<Чтение, Запись, Передача прав>. Кроме этого, существует два дополнительных типа операций — «Полные права», «Полный запрет». Действие «Полные права» разрешает выполнение всех из перечисленных 3 действий, «Полный запрет» запрещает выполнение всех из вышеперечисленных действий. Право «Передача прав» позволяет передавать субъекту свои права на объект другому субъекту.

В данном случае, матрица доступа, описывающая дискреционную политику безопасности, может выглядеть, например, следующим образом.

Таблица 1

Чтение, передача прав

Например, Пользователь_1 имеет права на чтение и запись в Файл_2.

Пользователь_1 может передать свое право на чтение из Файла_1 другому пользователю. Если Пользователь_1 передает право на чтение к Файлу_1 пользователю Гость, то у пользователя Гость появляется право чтения из Файла_1, соответственно модифицируется матрица доступов.

Пусть множество S возможных операций субъектов над объектами компьютерной системы задано в виде: S = <«Доступ на чтение», «Доступ на запись», «Передача прав»>.

1. Получите из таблицы 2 информацию о количестве субъектов и объектов компьютерной системы, соответственно Вашему варианту.

2. Реализуйте программный модуль, формирующий матрицу доступов субъектов к объектам компьютерной системы в виде, аналогичном таблице 1. Реализация данного модуля подразумевает реализацию следующих шагов:

Выбрать идентификаторы пользователей, которые будут использоваться при их входе в компьютерную систему (по одному идентификатору для каждого пользователя, количество пользователей задано для Вашего варианта). Например, множество из 3 идентификаторов пользователей . Один из данных идентификаторов должен соответствовать администратору компьютерной системы (пользователю, обладающему полными правами ко всем объектам).

Создать и случайным образом заполнить матрицу доступа субъектов к объектам в виде, аналогичном таблице 1. При заполнении матрицы учесть следующее:

Один из пользователей-субъектов должен являться администратором системы. Для него права доступа ко всем объектам системы должны быть выставлены как полные.

Пользователь может иметь несколько прав доступа к некоторому объекту компьютерной системы, иметь полные права, либо совсем не иметь прав.

Замечание по реализации

Для реализации программной модели матрицы доступов можно использовать массив размерности M x N, где M — количество субъектов, N — количество объектов.

Права доступов в ячейках матрицы доступов можно кодировать трехбитными числами от 0 до 7, например, в следующем виде:

Бит доступа по чтению

Бит доступа по записи

Бит передачи прав

Тогда, соответствие множеств типов доступов и соответствующих значений в матрице доступов будет следующее:

Рубрика: 1. Информатика и кибернетика

Дата публикации: 05.11.2017

Статья просмотрена: 841 раз

Библиографическое описание:

Жилин В. В., Дроздова И. И. Модели безопасности на основе дискреционной политики [Текст] // Технические науки в России и за рубежом: материалы VII Междунар. науч. конф. (г. Москва, ноябрь 2017 г.). — М.: Буки-Веди, 2017. — С. 21-23. — URL https://moluch.ru/conf/tech/archive/286/13234/ (дата обращения: 25.12.2019).

Для начала стоит отметить, для чего необходима так называемая модель безопасности. Её целью является формулировка требований к безопасности, которой должна обладать рассматриваемая система. Модель безопасности анализирует свойства системы и определяет те потоки информации, которые в ней разрешены.

При рассмотрении модели безопасности используются такие понятия как доступ к информации, правила разграничения доступа, объект и субъект доступа. Дадим точные определения каждого из них.

Доступ к информации подразумевает ознакомление с информацией и проведение над информацией таких операций как обработка, копирование, модификация и уничтожение информации.

Правила разграничения доступа — набор правил, регламентирующих права доступа субъектов к объектам доступа.

Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Сами модели безопасности различают по используемой в ней политики безопасности. Политика безопасности может зависеть от конкретной технологии обработки информации, используемых технических и программных средств и от расположения организации, в которой описана данная политика безопасности.

Рассмотрим основные модели безопасности, среди которых можно выделить, пятимерное пространство Хартсона, модели на основе матрицы доступа, модель Харисона-Руззо-Ульмана, а также модель take-grant и её модификация.

Своё название пятимерное пространство Хартсона получила из количества основных наборов:

1. Установленные полномочия (A);
2. Пользователи (U);
3. Операции (E);
4. Ресурсы (R);
5. Состояния (S);

Таким образом, область безопасности в данной модели будет представлять собой декартово произведение данных наборов. В данном случае, в качестве доступа будут считаться запросы, введённые пользователями для выполнения каких-либо операций над ресурсами системы.

Пользователи запрашивают доступ к ресурсам. Если у них это удаётся, система переходит в новое для неё состояние. Запрос в данном случае выглядит как четырёхмерный кортеж вида q = (u, e, R’, s), где u ∈ U, e ∈ E, s∈ S, R’ ⊆ R (R’- требуемый набор ресурсов).

После формирования кортежа происходит выполнение следующего алгоритма:

1. Вызываются все вспомогательные программы, которые необходимо задействовать для принятия того или иного решения.
2. Из U определяются та группа пользователей, которая владеет u. Из P происходит выбор тех полномочий, которыми обладают выбранные пользователи. Эти полномочия определяют привилегию самого пользователя.
3. Определяется набор полномочий F(e), для которых e считается основной операцией. Данное действие называется привилегией операции e.
4. Из множества A необходимо определить такой набор полномочий P=F(R’), который разрешал бы доступ к набору ресурсов R’. Такой набор полномочий будет определять привилегию ресурсов R’.
5. Требуется убедиться, что тот набор ресурсов, к которому пользователь запрашивает доступ содержится в домене запроса D(q).
6. Вся группа элементов D(q) разбивается на эквивалентные классы таким образом, чтобы полномочия содержались в одном классе.
7. Далее необходимо найти условие фактического доступа EAC, которое соответствует запросу.
8. Полученное значение EAC оценивается и на основании данной оценки принимается решение о разрешении или отказе в доступе.

Однако по мнению самого автора модели Хартстона данный алгоритм не всегда требуется осуществлять в полном объеме. Другими словами, некоторые их этих шагов можно опустить при решении задачи доступа к ресурсам.

Следует отметить, что в связи с трудоёмким алгоритмом модель безопасности Хартсона не получила широкого практического применения в отличие от модели на основе матрицы доступа. Она представляет собой прямоугольную таблицу строки которой соответствуют субъектам доступа, а столбцы — объектам доступа соответственно.

В ячейках такой таблицы 1 описаны все операции над объектам, которые разрешены субъекту.

Матрица доступа

O₁

O₂