Контроль информационных потоков (модель Bell-LaPadule).

Политика безопасности и схема разграничения доступа (СРД).

Основные определения:

Доступ к информации- Ознакомление с информацией и манипуляции с ней ( в т.ч.,

копирование, модификация или уничтожение информации)

File permission – create, read, edit, delete и т.п.

Data rights – right to retrieve or update information in database.

Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.)

Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в соответствии с правилами.

Правила разграничения доступа (ПРД) - Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Субъект доступа - лицо или процесс, действия которого регламентируются ПРД

Объект доступа- единица информационного ресурса

Авторизация- предоставление аутентифицированному субъекту прав на доступ к объектам системы

Система разграничения доступа (СРД) - совокупность правил разграничения доступа

Санкционированный (Несанкц.) доступ к информации - доступ не нарушающий (нарушающий) ПРД

Защита от несанкционированного доступа - предотвращение НСД.

Основные способы НСД:

непосредственное обращение к объектам доступа; обход средств защиты; модификация средств защиты, позволяющая их обойти

Основные функции СРД:

● реализация правил разграничения доступа субъектов и их процессов к данным

● реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий

● изоляция программ

● предотвращение записи данных на носители несоответствующего грифа

● реализация правил разграничения доступа субъектов и их процессов при сетевом обмене

Способы реализации СРД:

1. Монитор доступа в составе Ядра безопасности защищенной ОС, СУБД или прикладной программы

2. В средствах реализации сетевых приложений (МЭ и др.)

3. Криптографическое разграничение доступа

Модели доступа, используемые в СРД

Под моделью доступа понимают абстрактную модель, определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам.

Модели доступа бывают следующими:

● Дискреционная(вопрос 7.2), в которой осуществляется разграничение доступа между поименованными субъектами и поименованными объектами.

● Мандатная(вопрос 7.3). Разграничение доступа субъектов к объектам, основанное конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности

● Ролевая(вопрос 7.5). Реализует политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учётом специфики их применения, образуя роли.

Монитор доступа

Монитор безопасности обращений(МБО) (монитор доступа) - фильтр, который разрешает или запрещает доступ, основываясь на установленных в системе правилах РД.

Требования

1. Неизбежное посредничество: Ни один запрос на доступ субъекта к объекту не должен выполняться в обход МБО.

2. Невмешательство: Работа МБО должна быть защищена от постороннего вмешательства.

3. Верифицируемость: Представление МБО должно быть достаточно простым для возможности верификации корректности его работы

Избирательное управление доступом. Математическая модель. Достоинства и недостатки. (дискреционное управление доступом)

Разграничение доступа между поименованными субъектами и поименованными объектами.

Формальное представление:

Формальная модель: (S ,O, M) где S – множество субъектов, O - множество объектов

M (S ,O) – матрица доступа, задающая отношения между субъектами и объектами.

Способы представления матрицы доступа:

1. Список доступа (access control list – ACL). Например, на Linux с помощью команды setfacl можно задавать дополнительные настройки прав доступа.

Достоинство ACL:

● удобство получения сведений о S, имеющих какой либо вид доступа к заданному O

Недостатки ACL:

● неудобство отслеживать ограничения и зависимости по наследованию полномочий S

● неудобство получения сведений об O, к которым имеет какой-либо вид доступа данный S

● при удалении S возможно возникновение ситуации, при которой O может быть доступен несуществующему субъекту

Профиль полномочий (capability list – CL).

Достоинство CL

● удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект

Недостатки CL

● неудобство отслеживать ограничения и зависимости по наследованию полномочий доступа к O

● неудобство получения сведений об S, которые имеют какой-либо вид доступа к данному O

● при удалении O возможно возникновение ситуации, при которой Sможет иметь доступ к несуществующему O

DAC

Особенности DAC:

● все объекты имеют собственника ( по умолчанию –создатель объекта);

● субъект с определенными правами доступа может передать свои права другому субъекту

Достоинства DAC:

● Хорошая гранулированность и гибкость

● Интуитивная ясность

● Относительная простота реализации

Недостатки DAC:

● Неконтролируемый собственником процесс передачи прав доступа

● Не всегда соответствует реальной системе (объекты могут не иметь собственника, например, принадлежать системе)

● Сложность администрирования при большой матрице

Полномочное управление доступом. Математическая модель. Достоинства и недостатки (мандатное управление доступом)

Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности

Формальное представление:

Формальная модель S – множество субъектов, O - множество объектов, R – степени конфиденциальности объекта, L – уровни допуска субъекта, Субъект s є S может получить доступ к объекту о є О, только если L(s) ≥ R (о)

Особенности

● Субъект не может полностью управлять доступом к объектам (это и есть главное достоинство)

● Политика безопасности системы, установленная администратором, полностью определяет доступ

● Используется совместно с DAC

Недостатки

● Нет зависимости прав доступа от типа доступа

● Возможность организации скрытого канала утечки

● Сложность администрирования

Контроль информационных потоков (модель Bell-LaPadule).

Модель Белла — Лападулы — основана на мандатной модели управления доступом. Процессы могут осуществлять чтение вниз и запись наверх, но не наоборот.

Формальное представление:

Формальное описание системы: - S – множество субъектов - O – множество объектов - R – степени конфиденциальности объекта

● L – уровни допуска субъекта

● R U L – метки безопасности

● P = {r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись.

Свойства модели:

Модель Белла — Лападулы имеет следующие правила организации информационного потока.

1. Простое свойство безопасности (The simple security property) . Субъект с определенной меткой безопасности не может иметь доступ на чтение объектов с более высокой меткой безопасности.

2. Свойство *. Субъект с определенной меткой безопасности не может иметь доступ на запись объектов с более низкой меткой безопасности.

Недостатки:

1. Не предотвращает систему от деклассификации объекта (изменение уровня секретности объекта вплоть до «не секретно»). Например, пусть субъект с высоким уровнем доступа А читает информацию из объекта того же уровня секретности. Далее он понижает свой уровень доступа до низкого Б, и записывает считанную ранее информацию в объект, низкого уровня секретности Б. Для решения этой проблемы вводят правила: 

a. Правило сильного спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции. 

b. Правило слабого спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции, чтобы нарушить заданную политику безопасности.

2. Во время операции чтения между удаленными объектами происходит появление потока информации от читаемого объекта к запросившему доступ на чтение субъекту. Поток, который при этом появляется, является безопасным, так как информация недоступна неавторизированным субъектам. Однако в распределенной системе чтение инициируется запросом от одного объекта к другому. Такой запрос образует поток информации идущий в неверном направлении (запись в объект с более низким уровнем секретности). Таким образом, удаленное чтение в распределенных системах может произойти только если ему предшествует операция записи вниз, что является нарушением правил классической модели Белла — Лападулы.