КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Расширенная модель Take-Grant 8 страница
Важную роль при проектировании ИПС играет свойство большинства КС, заключающееся в поэтапной активизации субъектов из объектов различного уровня представления информации.
В общем случае можно говорить о рекурсивной структуре объектов некоторого уровня, вмещающей объекты предыдущего уровня. С учетом иерархической структуры представления объектов можно говорить о том, что в начальные этапы активизации КС декомпозиция на субъекты и объекты динамически изменяется. Следовательно, основная теорема ИПС может быть применима только на отдельных интервалах времени, когда уровень представления объектов постоянен и декомпозиция фиксирована. Можно утверждать, что ИПС, действующую от момента активизации до момента окончания работы КС, невозможно сформировать в начальный момент активизации.
Пусть в КС выделяется конечное число уровней представления объектов, и R ¾ максимальный уровень представления объекта.
С точки зрения выполнения условий леммы 11.2 имело бы смысл говорить о некотором «стационарном» состоянии КС, когда в отображениях Stream и Create участвуют только объекты уровня R. Тогда реализация МБС может быть значительно упрощена (в том смысле, что все аргументы-объекты операции Create имеют уровень R).
Практическая реализация всех КС позволяет выделить две фазы их работы: активизация субъектов с ростом уровня представления объектов (фаза загрузки или начальная фаза) и фаза стационарного состояния (когда уровень представления объектов не увеличивается). Тогда реализация ИПС может состоять из двух этапов:
1. Предопределенное выполнение начальной фазы, включающее в себя момент активизации МБС и МБО (ступенчатая загрузка).
2. Работа в стационарной фазе в режиме ИПС с контролем неизменности объектов-источников.
Контрольные вопросы
1. Почему в основе субъектно-ориентированной модели изолированной программной среды использовано дискреционное управление доступом?
2. Каковы основные рассматриваемые в субъектно-ориентированной модели изолированной программной среды способы реализации нарушителем запрещенных информационных потоков?
3. Почему для реализации ИПС необходимо требовать наличия в КС контроля порождения субъектов?
4. В чем отличие замкнутой программной среды от изолированной программной среды?
5. Как реализуется ступенчатая загрузка в современных ОС?
Лекция 12.
ОБЕСПЕЧЕНИЕ ЦЕЛОСТНОСТИ. КРИПТОГРАФИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ
По аналогии с моделями контроля доступа используются теоретические модели контроля целостности. В качестве примера рассмотрим модель, предложенную Кларком и Вилсоном. Другая, более известная, модель контроля целостности — это модель Биба, которую можно приблизительно охарактеризовать как "мандатную модель Белла-ЛаПадулы, примененную для контроля целостности".
Модель Кларка-Вилсона появилась в результате проведенного ими анализа реально применяемых методов обеспечения целостности документооборота в коммерческих компаниях. В отличие от моделей Биба и Белла-Лападулы, данная модель изначально ориентирована на нужды коммерческих заказчиков.
Основные понятия рассматриваемой модели — это корректность транзакций и разграничение функциональных обязанностей. Модель задает правила функционирования компьютерной системы и определяет две категории объектов данных и два класса операций над ними.
Все содержащиеся в системе данные подразделяются на контролируемые и неконтролируемые элементы данных (constrained data items, или CDI, и unconstrained data items, или UDI, соответственно). Целостность первых обеспечивается моделью Кларка-Вилсона. Последние содержат информацию, целостность которой в рамках данной модели не контролируется (этим и объясняется выбор терминологии).
Далее, модель вводит два класса операций над элементами данных: процедуры контроля целостности (integrity verification procedures, IVP) и процедуры преобразования (transformation procedures, TP). Первые из них обеспечивают проверку целостности контролируемых элементов данных (CDI), вторые изменяют состав множества всех CDI (например, преобразуя элементы UDI в CDI).
Наконец, модель содержит девять правил, определяющих взаимоотношения элементов данных и процедур в процессе функционирования системы.
Правило C1. Множество всех процедур контроля целостности (IVP) должно содержать процедуры для контроля целостности любого элемента данных из множества всех CDI.
Правило C2. Все процедуры преобразования (TP) должны быть реализованы корректно в том смысле, что не должны нарушать целостность обрабатываемых ими CDI. Кроме того, с каждой процедурой преобразования должен быть связан список элементов CDI, которые допустимо обрабатывать данной процедурой. Такая связь устанавливается администратором безопасности.
Правило E1. Система должна контролировать допустимость применения TP к элементам CDI в соответствии со списками, указанными в правиле C2.
Правило E2. Система должна поддерживать список разрешенных конкретным пользователям процедур преобразования с указанием допустимого для каждой TP и данного пользователя набора обрабатываемых элементов CDI.
Правило C3. Список, определенный правилом C2, должен отвечать требованию о разграничении функциональных обязанностей.
Правило E3. Система должна аутентифицировать всех пользователей, пытающихся выполнить какую-либо процедуру преобразования.
Правило C4. Каждая TP должна записывать в журнал регистрации информацию, достаточную для восстановления полной картины каждого применения этой TP. Журнал регистрации — это специальный элемент CDI, предназначенный только для добавления в него информации.
Правило C5. Любая TP, которая обрабатывает элемент UDI, должна выполнять только корректные преобразования этого элемента, в результате которых UDI превращается в CDI.
Правило E4. Только специально уполномоченное лицо может изменять списки, определенные в правилах C2 и E2. Это лицо не имеет права выполнять какие-либо действия, если оно уполномочено изменять регламентирующие эти действия списки.
Роль каждого из девяти правил модели Кларка-Вилсона в обеспечении целостности информации можно проиллюстрировать, показав, каким из теоретических принципов политики контроля целостности отвечает данное правило. Первые шесть из сформулированных принципов, это:
1. Корректность транзакций.
2. Аутентификация пользователей.
3. Минимизация привилегий.
4. Разграничение функциональных обязанностей.
5. Аудит произошедших событий.
6. Объективный контроль.
Соответствие правил модели Кларка-Вилсона задано таблицей:
| Правило | Принцип |
| С1 | 1, 6 |
| C2 | |
| E1 | 3, 4 |
| E2 | 1, 2, 3, 4 |
| C3 | |
| E3 | |
| C4 | |
| C5 | |
| E5 |
Как видно из таблицы, принципы 1 (корректность транзакций) и 4 (разграничение функциональных обязанностей) реализуются большинством правил, что соответствует основной идее модели.
|
|
Дата добавления: 2014-11-20; Просмотров: 879; Нарушение авторских прав?; Мы поможем в написании вашей работы!