Мандатные политики безопасности

Дискреционные политики безопасности

Возможны следующие подходы к построению дискреционного управления доступом:

1. Каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту

2. Система имеет одного выделенного субъекта — суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

3. Смешанный вариант построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и (или) изменения его владельца.

Именно такой смешанный вариант реализован в большинстве операционных систем, например, в классических UNIX-системах или в системах Windows семейства NT.

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений, согласно требованиям к системе защиты информации.

Исходная политика избирательного разграничения доступа к информации (дискреционная модель) формируется путем задания администратором набора троек следующего вида:

,

где - субъект доступа, - объект доступа, - множество прав доступа, которыми наделен субъект к объекту (например, чтение, запись, исполнение и т.д.) [7].

При формировании дискреционной политики безопасности обычно формируют дискреционную матрицу доступов, строки которой соответствуют субъектам системы, столбцы – объектам, а в ячейках матрицы хранят множество типов доступов. Пример данной матрицы представлен в таблице 2.1.

Табл. 2.1. Дискреционная матрица доступа

Для матрицы доступа, представленной в таблице 2.1, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать эти права другому пользователю он не может, но может передавать права на чтение файла 1, имеет полные права при работе в файлом 3 и не имеет доступа к лиску CD-RW.

Мандатные модели управления доступом были созданы по результатам анализа правил секретного документооборота, принятых в государственных и правительственных учреждениях многих стран.

Мандатное управление доступом — разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности. Мандатная модель управления доступом, помимо дискреционной, является основой реализации разграничительной политики доступа к ресурсам при защите секретной информации. При этом данная модель доступа практически не используется "в чистом виде", обычно на практике она дополняется элементами дискреционной модели доступа.

Источник — «http://ru.wikipedia.org/wiki/%D0%9C%D0%B0%D0%BD%D0%B4%D0%B0%D1%82%D0%BD%D0%BE%D0%B5_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%BE%D0%BC»

Исходная мандатная политика безопасности строится на базе следующей совокупности аксиом, определяющих правило разграничения доступа субъектов к обрабатываемой информации:

1. Вводится множество атрибутов (уровней) безопасности A, элементы которого упорядочены с помощью установленного отношения доминирования. Например, для России характерно использование следующего множества уровней безопасности A ={открыто (О), конфиденциально (К), секретно (С), совершенно секретно (СС), особая важность (ОВ)}.

2. Каждому объекту КС ставится в соответствие атрибут безопасности, который соответствует ценности объекта и называется его уровнем (грифом) конфиденциальности.

3. Каждому субъекту КС ставится в соответствие атрибут безопасности, который называется уровнем допуска субъекта и равен максимальному из уровней конфиденциальности объектов, к которому субъект будет иметь допуск.

4. Если субъект имеет уровень допуска, а объект имеет уровень конфиденциальности, то будет иметь допуск к тогда и только тогда, когда.

Основным недостатком исходной мандатной политики безопасности является то, что в ней не различаются типы доступа вида «чтение» и «запись». Это создает потенциальную возможность утечки информации сверху вниз, например, путем запуска в КС программной закладки с максимальным уровнем допуска, способной записывать информацию из объектов с верхних уровней конфиденциальности в объекты с более низкими уровнями, откуда она может быть прочитана субъектами с низким уровнем допуска.

Пример 2.1

Пусть для компьютерной системы задано 4 субъекта доступа S ={Administrator, User1, User2, Guest} и 5 объектов O ={File1.dat, File2.txt, File3.txt, CD-ROM, FDD}. Множество атрибутов безопасности определено как A ={NONCONFIDENTIAL, CONFIDENTIAL, SECRET, TOP SECRET}.

Пусть уровни допуска cубъектов определены следующим образом:

Пусть уровни конфиденциальности объектов определены следующим образом:

Тогда, согласно правилам исходной мандатной модели:

· субъект Administrator будет иметь допуск ко всем объектам;

· субъект User1 будет иметь допуск к объектам FDD, CD-ROM, File1.dat, File2.txt;

· субъект User2 будет иметь допуск к объектам FDD, CD-ROM;

· субъект Guest будет иметь допуск только к объекту FDD (flash).

Поставим вопрос, сможет ли субъект Guest в качестве злоумышленника получить доступ к объекту File1.dat? Путь к этому просматривается такой. Завербовав пользователя User1, он сможет получить доступ к информации из объекта File1.dat следующим путем. User1 записывает из объекта File1.dat информацию в объект FDD, что будет ему разрешено, а субъект Guest после этого может этой информацией пользоваться в обход мандатной политики безопасности за счет приема социальной инженерии.

Как можно устранить подобные действия злоумышленника? Для этого в мандатную политику вносят реализацию принципа политики безопасности Белла-ЛаПадулы (БЛП), который устраняет данный недостаток исходной мандатной политики безопасности и осуществляет контроль доступа субъектов к объектам компьютерной системы в зависимости от уровня допуска субъекта и уровня конфиденциальности объекта на основании двух следующих правил:

1. Правило NRU (нет чтения вверх). Согласно данному правилу субъект с уровнем допуска может читать информацию из объекта с уровнем безопасности тогда и только тогда, когда. Формально данное правило можно записать как (рис. 2.1)

2. Правило NWD (нет записи вниз). Согласно данному правилу субъект с уровнем допуска может записывать информацию в объект с уровнем безопасности тогда и только тогда, когда. Формально данное правило можно записать как (рис. 2.1).

Особой важности чтение

Совершенно секретно

Секретно

Конфиденциально

Запись Открыто

Рис. 2.1. Демонстрация правил политики безопасности Белла-ЛаПадулы

Введение свойства NWD разрешает проблему программных закладок, так как угроза записи информации на более низкий уровень, типичная для них, запрещена.

Пример 2.2.

Рассмотрим пример компьютерной системы, введенной в примере 2.1.

При ее реализации в рамках политики БЛП возможно выполнение следующих операций:

1. Cубъект Administrator будет иметь допуск по чтению из всех объектов, и допуск по записи в объект File3.txt;

2. Cубъект User1 будет иметь допуск по чтению из объектов FDD, CD-ROM, File1.dat, File2.dat и допуск по записи в объекты File1.dat, File2.txt, File3.txt;

3. Cубъект User2 будет иметь допуск по чтению из объектов CD-ROM, FDD и допуск по записи в объекты File1.dat, File2.txt, File3.txt, CD-ROM;

4. субъект Guest будет иметь допуск по чтению из объекта FDD и допуск по записи во все объекты.

Дата добавления: 2014-01-07; Просмотров: 2782; Нарушение авторских прав?; Мы поможем в написании вашей работы!