Студопедия КАТЕГОРИИ: АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Контроль информационных потоков (модель Bell-LaPadule).Стр 1 из 3Следующая ⇒
Политика безопасности и схема разграничения доступа (СРД). Основные определения: Доступ к информации- Ознакомление с информацией и манипуляции с ней ( в т.ч., копирование, модификация или уничтожение информации) File permission – create, read, edit, delete и т.п. Data rights – right to retrieve or update information in database. Доступ к ресурсу - получение субъектом возможности манипулировать данным ресурса (использовать, управлять, изменять настройки и т.п.) Разграничение (контроль) доступа к ресурсам АС - это такой порядок использования ресурсов автоматизированной системы, при котором субъекты получают доступ к объектам системы в соответствии с правилами. Правила разграничения доступа (ПРД) - Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. Субъект доступа - лицо или процесс, действия которого регламентируются ПРД Объект доступа- единица информационного ресурса Авторизация- предоставление аутентифицированному субъекту прав на доступ к объектам системы Система разграничения доступа (СРД) - совокупность правил разграничения доступа Санкционированный (Несанкц.) доступ к информации - доступ не нарушающий (нарушающий) ПРД Защита от несанкционированного доступа - предотвращение НСД. Основные способы НСД: непосредственное обращение к объектам доступа; обход средств защиты; модификация средств защиты, позволяющая их обойти Основные функции СРД: ● реализация правил разграничения доступа субъектов и их процессов к данным ● реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий ● изоляция программ ● предотвращение записи данных на носители несоответствующего грифа ● реализация правил разграничения доступа субъектов и их процессов при сетевом обмене
Способы реализации СРД: 1. Монитор доступа в составе Ядра безопасности защищенной ОС, СУБД или прикладной программы 2. В средствах реализации сетевых приложений (МЭ и др.) 3. Криптографическое разграничение доступа Модели доступа, используемые в СРД Под моделью доступа понимают абстрактную модель, определяющую правила задания разграничительной политики доступа к защищаемым ресурсам и правила обработки запросов доступа к защищаемым ресурсам. Модели доступа бывают следующими: ● Дискреционная(вопрос 7.2), в которой осуществляется разграничение доступа между поименованными субъектами и поименованными объектами. ● Мандатная(вопрос 7.3). Разграничение доступа субъектов к объектам, основанное конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности ● Ролевая(вопрос 7.5). Реализует политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учётом специфики их применения, образуя роли. Монитор доступа Монитор безопасности обращений(МБО) (монитор доступа) - фильтр, который разрешает или запрещает доступ, основываясь на установленных в системе правилах РД. Требования 1. Неизбежное посредничество: Ни один запрос на доступ субъекта к объекту не должен выполняться в обход МБО. 2. Невмешательство: Работа МБО должна быть защищена от постороннего вмешательства. 3. Верифицируемость: Представление МБО должно быть достаточно простым для возможности верификации корректности его работы Избирательное управление доступом. Математическая модель. Достоинства и недостатки. (дискреционное управление доступом) Разграничение доступа между поименованными субъектами и поименованными объектами. Формальное представление: Формальная модель: (S ,O, M) где S – множество субъектов, O - множество объектов M (S ,O) – матрица доступа, задающая отношения между субъектами и объектами. Способы представления матрицы доступа: 1. Список доступа (access control list – ACL). Например, на Linux с помощью команды setfacl можно задавать дополнительные настройки прав доступа. Достоинство ACL: ● удобство получения сведений о S, имеющих какой либо вид доступа к заданному O Недостатки ACL: ● неудобство отслеживать ограничения и зависимости по наследованию полномочий S ● неудобство получения сведений об O, к которым имеет какой-либо вид доступа данный S ● при удалении S возможно возникновение ситуации, при которой O может быть доступен несуществующему субъекту Профиль полномочий (capability list – CL). Достоинство CL ● удобство получения сведений об объектах, к которым имеет какой-либо вид доступа данный субъект Недостатки CL ● неудобство отслеживать ограничения и зависимости по наследованию полномочий доступа к O ● неудобство получения сведений об S, которые имеют какой-либо вид доступа к данному O ● при удалении O возможно возникновение ситуации, при которой Sможет иметь доступ к несуществующему O DAC Особенности DAC: ● все объекты имеют собственника ( по умолчанию –создатель объекта); ● субъект с определенными правами доступа может передать свои права другому субъекту Достоинства DAC: ● Хорошая гранулированность и гибкость ● Интуитивная ясность ● Относительная простота реализации Недостатки DAC: ● Неконтролируемый собственником процесс передачи прав доступа ● Не всегда соответствует реальной системе (объекты могут не иметь собственника, например, принадлежать системе) ● Сложность администрирования при большой матрице Полномочное управление доступом. Математическая модель. Достоинства и недостатки (мандатное управление доступом) Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности Формальное представление: Формальная модель S – множество субъектов, O - множество объектов, R – степени конфиденциальности объекта, L – уровни допуска субъекта, Субъект s є S может получить доступ к объекту о є О, только если L(s) ≥ R (о) Особенности ● Субъект не может полностью управлять доступом к объектам (это и есть главное достоинство) ● Политика безопасности системы, установленная администратором, полностью определяет доступ ● Используется совместно с DAC Недостатки ● Нет зависимости прав доступа от типа доступа ● Возможность организации скрытого канала утечки ● Сложность администрирования Контроль информационных потоков (модель Bell-LaPadule). Модель Белла — Лападулы — основана на мандатной модели управления доступом. Процессы могут осуществлять чтение вниз и запись наверх, но не наоборот. Формальное представление: Формальное описание системы: - S – множество субъектов - O – множество объектов - R – степени конфиденциальности объекта ● L – уровни допуска субъекта ● R U L – метки безопасности ● P = {r, w} – множество прав доступа, r – доступ на чтение, w – доступ на запись. Свойства модели: Модель Белла — Лападулы имеет следующие правила организации информационного потока. 1. Простое свойство безопасности (The simple security property) . Субъект с определенной меткой безопасности не может иметь доступ на чтение объектов с более высокой меткой безопасности. 2. Свойство *. Субъект с определенной меткой безопасности не может иметь доступ на запись объектов с более низкой меткой безопасности.
Недостатки: 1. Не предотвращает систему от деклассификации объекта (изменение уровня секретности объекта вплоть до «не секретно»). Например, пусть субъект с высоким уровнем доступа А читает информацию из объекта того же уровня секретности. Далее он понижает свой уровень доступа до низкого Б, и записывает считанную ранее информацию в объект, низкого уровня секретности Б. Для решения этой проблемы вводят правила: a. Правило сильного спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции. b. Правило слабого спокойствия — уровни безопасности субъектов и объектов никогда не меняются в ходе системной операции, чтобы нарушить заданную политику безопасности. 2. Во время операции чтения между удаленными объектами происходит появление потока информации от читаемого объекта к запросившему доступ на чтение субъекту. Поток, который при этом появляется, является безопасным, так как информация недоступна неавторизированным субъектам. Однако в распределенной системе чтение инициируется запросом от одного объекта к другому. Такой запрос образует поток информации идущий в неверном направлении (запись в объект с более низким уровнем секретности). Таким образом, удаленное чтение в распределенных системах может произойти только если ему предшествует операция записи вниз, что является нарушением правил классической модели Белла — Лападулы. |
||
Последнее изменение этой страницы: 2018-05-31; просмотров: 198. stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда... |