Пути создания ксзи 6 страница

Операция	Организация доступа	Результат операции
		Процесс получает содержимое объекта
		Уровень объекта становится равным уровню . Данные от записываются в
		Уровень объекта устанавливается выше всех уровней процессов

Лемма. Для любого состояния системы в модели LWM выполнены условия простой секретности (ss) и *.

Доказательство. Если , то доступ на чтение к разрешен. Если , то доступ на запись к разрешен. Таким образом условия простой секретности (ss) и * выполнены. ▲

Однако все рассуждения останутся теми же, если отказаться от условия, что при команде в случае снижения уровня объекта все стирается. То есть здесь также будут выполняться условия * и простой секретности, но ясно, что в этом случае возможна утечка информации. В самом деле, любой процесс нижнего уровня, запросив объект для записи, снижает гриф объекта, а получив доступ на запись , получает возможность чтения . Возникает канал утечки , при этом в предыдущей модели свойство * выбрано для закрытия канала . Данный пример показывает, что определение безопасного состояния в модели Б-Л неполное и смысл этой модели только в перекрытии каналов указанных видов. Если «доверенный» процесс снижения грифа объекта работает неправильно, то система перестает быть безопасной.

МОДЕЛЬ J. GOGUEN, J. MESEGUER (G-M)

Модели G-M - автоматные модели безопасных систем. Начнем с простейшего случая системы с "фиксированной" защитой. Пусть - множество состояний системы (- конечное и определяется программами, данными, сообщениями и пр.), - множество команд, которые могут вызвать изменения состояния (также конечное множество), - множество пользователей (конечное множество). Смена состояний определяется функцией .

Некоторые действия пользователей могут не разрешаться системой. Вся информация о том, что разрешено («возможности» пользователей) пользователям сведена в -таблицу . В рассматриваемом случае «возможности» в -таблице совпадают с матрицей доступа. Если пользователь не может осуществить некоторую команду , то .

Предположим, что для каждого пользователя и состояния определено, что «выдается» этому пользователю (т.е., что он видит) на выходе системы. Выход определяется функцией , где - множество всех возможных выходов (экранов, листингов и т.д.).

Мы говорим о выходе для пользователя , игнорируя возможности подсмотреть другие выходы.

Таким образом получили определение некоторого класса автоматов, которые будут встречаться далее.

Определение. Автомат состоит из множеств:

- называемых пользователями;

- называемых состояниями;

- называемых командами;

- называемых выходами;

и функций:

· выходной функции , которая «говорит, что данный пользователь видит, когда автомат находится в данном состоянии»;

· функции переходов , которая «говорит, как изменяется состояние автомата под действием команд»;

и начального состояния .

Системы с изменяющимися «возможностями» защиты определяют следующим образом.

Пусть - множество всех таблиц «возможностей», - множество с-команд (команд управления «возможностями»). Их эффект описывается функцией: .

При отсутствии у пользователя права на с-команду положим . Пусть - множество команд, изменяющих состояние. Теперь можем определить -автомат, который лежит в основе дальнейшего.

Определение. -автомат определяется множествами:

- «пользователи»;

- «состояния»;

- «команды состояния»;

- «выходы»;

- «-таблицы»;

- «-команды»,

и функциями:

· выхода , которая «говорит, что данный пользователь видит, когда автомат находится в данном состоянии , а допуски определяются -таблицей»;

· переходов , которая «говорит, как меняются состояния под действием команд»;

· изменения -таблиц , которая «говорит, как меняется -таблица под действием команды », и начального состояния, которое определяется -таблицей и состоянием .

Будем считать, что .

То, что мы определили на языке теории автоматов, называется последовательным соединением автоматов.

Определение. Подмножества множества команд называются возможностями .

Если дан -автомат , мы можем построить функцию переходов всей системы в множестве состояний : ,

где

, если ,

, если .

Стандартно доопределяется функция на конечных последовательностях входов следующим образом:

, если входная последовательность пустая;

, где - входное слово, кончающееся на и начинающееся подсловом .

Определение. Если входное слово, то , где последовательность состоянии вычисляется в соответствии с определенной выше функцией переходов под воздействием входной последовательности .

Введем понятие информационного влияния одной группы на другую, смысл которого состоит в том, что используя некоторые возможности одна группа пользователей не влияет на то, что видит каждый пользователь другой группы. Для этого определим - выход для при выполнении входного слова -автомата : , где , .

Пусть , , .

Определение. - подпоследовательность , получающаяся выбрасыванием всех пар при , - подпоследовательность , получающаяся выбрасыванием из всех пар при , -подпоследовательность , получающаяся выбрасыванием пар , и .

Пример 1. Пусть , .

.

Определим несколько вариантов понятия независимости.

Пусть , .

Определение. информационно не влияет на (обозначается , если и  .

Аналогично определяется невлияние для возможностей (или группы и возможностей ).

Определение. информационно не влияет на (обозначается ), если и .

Определение. Пользователи , используя возможности , информационно не влияют на (обозначается A.G: | G'), если и .

Пример. Если , то команды из не влияют на выход, выданный . Если для файла , то означает, что информация читаемая в не может измениться любой из команд в . Если не существовал, то для будет всегда выдаваться информация, что не существует.

Определение. Политика безопасности в модели G-М - это набор утверждений о невлиянии.

Пример. MLS политика. Пусть - линейно упорядоченное множество уровней секретности и задано отображение .

Определим

и .

Определение. MLS политика в модели G-M определяется следующим набором утверждений о невлиянии: , , .

Говорят, что невидимо для остальных пользователей, если , где .

Используя это понятие легко обобщить определение MLS политики на случай, когда L – решетка.

Определение. MLS политика в модели G-M определяется следующим набором утверждений о невлиянии: - невидимо для остальных пользователей.

Одним из важнейших примеров политики безопасности, легко выражаемой в G-M модели, является режим изоляции.

Определение. Группа называется изолированной,если и .

Система полностью изолирована, если каждый ее пользователь изолирован.

Пример. Контроль канала. В модели G-M канал определяется как набор команд .

Пусть .

Определение. и могут связываться только через канал тогда и только тогда, когда и .

МОДЕЛЬ ВЫЯВЛЕНИЯ НАРУШЕНИЯ БЕЗОПАСНОСТИ.

Один из путей реализации сложной политики безопасности, в которой решения о доступах принимаются с учетом предыстории функционирования системы, – анализ данных аудита. Если такой анализ возможно проводить в реальном масштабе времени, то аудиторская информация (АИ) совместно с системой принятия решений превращаются в мощное средство поддержки политики безопасности. Такой подход представляется перспективным с точки зрения использования вычислительных средств общего назначения, которые не могут гарантировано поддерживать основные защитные механизмы. Но, даже не в реальном масштабе времени, АИ и экспертная система, позволяющая вести анализ АИ, являются важным механизмом выявления нарушений или попыток нарушения политики безопасности, так как реализуют механизм ответственности пользователей за свои действия в системе.

По сути анализ АИ имеет единственную цель выявлять нарушения безопасности (даже в случаях, которые не учитываются политикой безопасности). Рассмотрим пример организации такого анализа, который известен из литературы под названием «Модель выявления нарушения безопасности». Эта модель, опубликованная D.Denning в 1987 г., явилась базисом создания экспертной системы IDES для решения задач выявления нарушений безопасности. Модель включает 6 основных компонент:

· субъекты, которые инициируют деятельность в системе, обычно – это пользователи;

· объекты, которые составляют ресурсы системы – файлы, команды, аппаратная часть;

· аудиторская информация – записи, порожденные действиями или нарушениями доступов субъектов к объектам;

· профили –структуры, характеризующие поведение субъектов в отношении объектов в терминах статистических и поведенческих моделей;

· аномальные данные, которые характеризуют выявленные случаи ненормального поведения;

· правила функционирования экспертной системы при обработке информации, управление.

Основная идея модели – определить нормальное поведение системы с тем, чтобы на его фоне выявлять ненормальные факты и тенденции. Определение субъектов и объектов достаточно подробно рассмотрены выше. Рассмотрим подробнее описание и примеры других элементов модели.

Аудиторская информация – это совокупность записей, каждая из которых в модели представляет шестимерный вектор, компоненты которого несут следующую информацию: , где смысл компонент следующий.

Действие – операция, которую осуществляет субъект и объект.

Условия для предоставления исключения, если они присутствуют, определяют, что дополнительно надо предпринять субъекту, чтобы получить требуемый доступ.

Лист использования ресурсов может содержать, например, число строчек, напечатанных принтером, время занятости центрального процессора и т.д.

Время – уникальная метка времени и даты, когда произошло действие.

Так как аудиторская информация связана с субъектами и объектами, то данные АИ подобны по организации матрице доступа, где указаны права доступа каждого субъекта к любому объекту. В матрице АИ в клетках описана активность субъекта по отношению к объекту.

Рассмотрим подробнее понятие «профиль». Профили описывают обычное поведение субъектов по отношению к объектам. Это поведение характеризуется набором статистических характеристик, вычисленных по наблюдениям за действиями субъекта по отношению к объекту, а также некоторой статистической моделью такого поведения. Приведем примеры таких статистических характеристик.

1. Частоты встречаемости событий. Например, частота встречаемости заданной команды в течение часа работы системы и т.д.

2. Длина временного промежутка между осуществлением некоторых событий.

3. Количество ресурсов, которые были затрачены в связи с каким-либо событием. Например, время работы центрального процессора при запуске некоторой программы, число задействованных элементов аппаратной части и др.

Статистические модели строятся по наблюденным значениям статистических характеристик с учетом статистической обработки данных. Например, некоторый процесс характеризуется устойчивым средним числом встречаемости данной команды, которая может быть уверенно заключена в доверительный интервал в , где – стандартное отклонение частоты встречаемости этого события.

Чаще всего статистические модели являются многомерными и определяются многомерными статистическими методами. Наиболее сложные модели – это случайные процессы, характеристики моделей являются некоторыми функционалами от случайных процессов. Например, моменты остановки программы и т.д.

В нормальных условиях статистические характеристики находятся в границах своих значений. Если происходит ненормальное явление, то возможно наблюдать статистически значимое отклонение от средних параметров статистических моделей.

Структура профиля состоит из 10 компонентов, которые, кроме собственно статистической модели, определяют АИ с ней связанную. Структура профиля может быть представлена следующим вектором:

К сожалению, анализ на уровне субъект-объект в значительной степени затруднен. Поэтому аналогичные структуры (профили) создаются для агрегированных субъектов и объектов. Например, для некоторого фиксированного множества субъектов в отношении всех возможных объектов. Другой пример: действия всех пользователей в отношении данного объекта.

Основной сложностью при внедрении этой модели является выбор и построение профилей.

Пример 3. Рассмотрим систему с 1 000 пользователями; у каждого пользователя в среднем 200 файлов, что дает 200 000 файлов в системе. Тогда имеем 200 млн. возможных комбинаций «пользователь-файл». Даже если предположить, что каждый пользователь осуществляет доступ к 300 файлам, то необходимо создать 300 000 профилей.

Этот пример 3 показывает, что необходимо применять специальные приемы для сокращения информации.

Если обнаружено ненормальное поведение, то немедленно делается запись в сборнике аномальных фактов. Каждая запись в этом сборнике – трехмерный вектор, имеющий следующие компоненты:

.

Применение рассмотренной модели дает хорошие результаты. Вместе с тем требуют дополнительных исследований следующие вопросы:

· насколько надежно предложенный метод выявляет нарушения безопасности;

· какова доля нарушений безопасности, для которых работает метод;

· выбор инструментов статистической обработки данных и моделей профилей требует обоснования;

· идеология самого быстрого обнаружения нарушения еще не ясна.

ДОКАЗАТЕЛЬНЫЙ ПОДХОД К СИСТЕМАМ ЗАЩИТЫ.

Пусть задана политика безопасности . Тогда система защиты – хорошая, если она надежно поддерживает , и – плохая, если она ненадежно поддерживает . Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика выражена на языке , формулы которого определяются через услуги .

Пример. Все субъекты системы разбиты на два множества и , , . Все объекты, к которым может быть осуществлен доступ, разделены на два класса и , , . Политика безопасности – тривиальная: субъект может иметь доступ к объекту тогда и только тогда, когда и , . Для каждого обращения субъекта на доступ к объекту система защиты вычисляет функции принадлежности для субъекта и объекта: , , , . Затем вычисляется логическое выражение: .

Дата добавления: 2014-01-07; Просмотров: 424; Нарушение авторских прав?; Мы поможем в написании вашей работы!