Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
L5
Система разграничения доступа (СРД) является реалізує политику конфіденційності. Її функції:
• разграничение доступа к техническим устройствам;
• разграничение доступа к программам и данным;
• блокировка неправомочных действий;
Если право установления правил доступа к объекту предоставляется владельцу объекта (или его доверенному лицу), то та кой метод контроля доступа к информации называется дискреционным.
Discretionary access controls base access rights on the identity of the subject (суб’єкт) and the identity of the object involved. Identity is the key; the owner of the object constrains who can access it by allowing only particular subjects to have access.
Definition 413. If an individual user can set an access control mechanism to allow or deny access to an object, that mechanism is a discretionary (дискреционный, действующий по своему усмотрению) access control (DAC), also called an identity-based access control (IBAC).
Обычно, избирательное управление доступом реализует принцип "что не разрешено, то запрещено", предполагающий явное разрешение доступа субъекта к объекту.
Вибірковий контроль доступу базується на наступних принципах
Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД, иногда ее называют матрицей контроля доступа). Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту - столбец. На пересечении столбца и строки матрицы указывается тип (типы) разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту как "доступ на чтение", "доступ на запись", "доступ на исполнение" и др.
Матричное управление доступом позволяет с максимальной детализацией установить права субъекта доступа по выполнению разрешенных операций над объектами доступа. Такой подход нагляден и легко реализуем. Однако в реальных системах из-за большого количества субъектов и объектов доступа матрица доступа достигает таких размеров, при которых сложно поддерживать ее в адекватном состоянии.
Избирательная политика безопасности наиболее широко применяется в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций по разграничению доступа и подотчетности (accountability), а также имеет приемлемую стоимость и небольшие накладные расходы.
Избирательное управление доступом является основой требований к классам C2 и C1.
The second type of access control is based on fiat (декрет), and identity is irrelevant:
Definition 414. When a system mechanism controls access to an object and an individual user cannot alter that access, the control is a mandatory access control (MAC), occasionally called a rule-based access control.
Полномочный или мандатный метод базируется на многоуровневой модели защиты.
Такой подход построен по аналогии с «ручным» секретним документообігом.
Документу присваивается уровень конфиденциальности гриф секретности (конфиденциально, строго конфиденциально, секретно, совершенно секретно и т. д. ), а также могут присваиваться метки, отражающие категории конфиденциальности, документа которые уточняют категории лиц, допущенных к этому документу («для руководящего состава», «для инженерно-технического состава» и т. д.).
Субъектам доступа устанавливается уровень допуска, определяющего максимальный для данного субъекта уровень секретности документа, к которому разрешается допуск, а также категории, которые связаны с метками документа.
Правило разграничения доступа заключается в следующем: лицо допускается к работе с документом только в том случае, если уровень допуска субъекта доступа равен или выше уровня конфиденциальности документа, а в наборе категорий, присвоенных данному субъекту доступа, содержатся все категории, определенные для данного документа.
В КС все права субъекта доступа фиксируются в его мандате. Объекты доступа содержат метки, в которых записаны признаки конфиденциальности. Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Мандатное управление позволяет упростить процесс регулирования доступа, так как при создании нового объекта достаточно создать его метку.
Однако при таком управлении приходится завышать конфиденциальность информации из-за невозможности детального разграничения доступа.
Основное назначение полномочной политики безопасности -регулирование доступа субъектов системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом она функционирует на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер (в соответствии с уровнями безопасности).
В основі полномочной политики безопасности (Mandatory Access Control; MAC) є модель политики конфіденційності Белла-Лападула (Bell-LaPadula model), включающая в себя понятия безопасного (с точки зрения политики) состояния и перехода. Ця модель базується на таких принципах:
В том случае, когда совокупность меток имеет одинаковые значения , говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру и, таким образом, в системе можно реализовать иерархически ненисходящий (по ценности) поток информации например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.
Каждый субъект кроме уровня прозрачности имеет текущее значение уровня безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.
Для принятия решения на разрешение доступа производится сравнение метки критичности объекта с уровнем прозрачности и текущим уровнем безопасности субъекта.
Найпростіша умова захисту полягає у тому, что любую операцию над объектом субъект может выполнять только в том случае, если его уровень прозрачности не ниже метки критичности объекта.
Поєднання повноважної і вибіркової політик доступу
Они определяют, что информация может передаваться только "наверх", то есть субъект может читать содержимое объекта, если его текущий уровень безопасности не ниже метки критичности объекта, и записывать в него, - если не выше (*-свойство).
Define a secure system as one in which both the simple security condition, preliminary version, and the *-property, preliminary version, hold. A straightforward induction establishes the following theorem.
Basic Security Theorem, Preliminary Version: Let S be a system with a secure initial state s0, and let be a set of state transformations. If every element preserves the simple security condition, preliminary version, and the *-property, preliminary version, then every state is secure.
Expand the model by adding a set of categories to each security classification. Each category describes a kind of information. Objects placed in multiple categories have the kinds of information in all of those categories. These categories arise from the "need to know" principle, which states that no subject should be able to read objects unless reading them is necessary for that subject to perform its functions. The sets of categories to which a person may have access is simply the power set of the set of categories. These sets of categories form a lattice under the operation (subset of);
Each security level and category forms a security level . Кожному об’єкту припишемо рівень безпеки а кожному суб’єкту — рівень прозорості . As before, we say that subjects have clearance at (or are cleared into, or are in) a security level and that objects are at the level of (or are in) a security level.
Definition 51. The security level dominates the security level if and only if and .
Мандатний і дискреційний контроль (MACs and DACs) не дозволяє творцю документа зберігати контроль над документом після і впроцесі його розповсюдження. Graubert developed a policy called ORGCON or ORCON (for "ORiginator CONtrolled") in which a subject can give another subject rights to an object only with the approval of the creator of that object.
Definition 415. An originator controlled access control (ORCON or ORGCON) bases access on the creator of an object (or the information it contains).
The goal of this control is to allow the originator of the file (or of the information it contains) to control the dissemination of the information. The owner of the file has no control over who may access the file
In practice, a single author does not control dissemination; instead, the organization on whose behalf the document was created does. Hence, objects will be marked as ORCON on behalf of the relevant organization.
Припустимо, що суб’єкт , який належить до організації, маркує об’єкт як ORCON для організації . Це означає, що дозволяє розкрити зміст інформації представнику організації за наступних обмежень:
Дискреційний метод контролю не дозволяє реалізувати правило (b), оскільки власник об’єкту може встановлювати будь які права доступу до своїх об’єктів
Це можна зреалізувати шляхом комбінування of the MAC and DAC models. The rules are
The first two rules are from mandatory access controls. They say that the system controls all accesses, and no one may alter the rules governing access to those objects. The third rule is discretionary and gives the originator power to determine who can access the object. Hence, this hybrid scheme is neither MAC nor DAC.
The critical observation here is that the access controls associated with the object are under the control of the originator and not the owner of the object. Possession equates to only some control. The owner of the object may determine to whom he or she gives access, but only if the originator allows the access. The owner may not override the originator.
Lipner identifies five requirements:
These requirements suggest several principles of operation.
First comes separation of duty. The principle of separation of duty states that if two or more steps are required to perform a critical function, at least two different people should perform the steps. Moving a program from the development system to the production system is an example of a critical function.
Next comes separation of function. Developers do not develop new programs on production systems because of the potential threat to production data. Similarly, the developers do not process production data on the development systems.
Last comes auditing. Auditing is the process of analyzing systems to determine what actions took place and who performed them. Hence, commercial systems must allow extensive auditing and thus have extensive logging (регистрация данних) (the basis for most auditing)..
In 1977, Biba [K. Biba , "Integrity Considerations for Secure Computer Systems," Technical Report MTR-3153, MITRE Corporation, Bedford, MA (Apr. 1977)]. studied the nature of the integrity of systems.
In his model, a system consists of a set S of subjects, a set O of objects, and a set I of integrity levels. The levels are ordered. The relation
holds when the second integrity level either dominates or is the same as the first.
The function
returns the integrity level of an object or a subject.
The higher the level, the more confidence one has that a program will execute correctly (or detect problems with its inputs and stop executing). Data at a higher level is more accurate and/or reliable (with respect to some metric) than data at a lower level. Again, this model implicitly incorporates the notion of "trust"; in fact, the term "trustworthiness" (достоверность) is used as a measure of integrity level. For example, a process at a level higher than that of an object is considered more "trustworthy" than that object.
Integrity labels, in general, are not also security labels. They are assigned and maintained separately, because the reasons behind the labels are different. Security labels primarily limit the flow of information; integrity labels primarily inhibit the modification of information.
Biba's model is the dual of the Bell-LaPadula Model. Its rules are as follows.
In 1987, David Clark and David Wilson developed an integrity model, яка використовує трансакції як базові операції
Наприклад, нехай сума грошей, яку поклали на рахунок до сьогодні, W — кількість грошей які забрали з рахунку до сьогодні, YB (Yesterday Balance) – кількість грошей на всіх рахунках на кінець вчорашнього дня and TB (Today Balance) Кількість грошей на всіх рахунках на сьогодні. Тоді властивість узгодженості є така
D + YB -W = TB
Умова узгодженості повинна виконуватися до і після трансакції. Добре сформована трансакція це серія операцій яка переводить систему з одного узгодженого стану в інший.
The Clark-Wilson model визначає дані підпорядковані і нерідпоряядковані контролю цілісності CDIs (Сonstrained Data Items) і UDIs (Unconstrained Data Items). The set of CDIs and the set of UDIs partition the set of all data in the system being modeled.
Множина обмежень інтегральності обмежує допустимі значення of the CDIs. (подібно як балансе)
The model also defines two sets of procedures.
Процедури верифікації інтегральності (Integrity verification procedures, or IVPs), перевіряють чи CDIs задовольняє обмеження інтегральності на момент запуску IVP. Якщо так, то кажуть що система перебуває у допустимому стані (valid state).
Процедура трансформації (Transformation procedures, or TP), змінює дані з одного валідного стану до іншого. TPs реалізують добре сформовані трансакції.
Two certification rules:
Certification rule 1 (CR1): When any IVP is run, it must ensure that all CDIs are in a valid state.
Certification rule 2 (CR2): For some associated set of CDIs, a TP must transform those CDIs in a valid state into a (possibly different) valid state.
CR2 визначає відношення, які ставлять у відповідність деякій множині CDIs конкретну процедуру трансформації TP. CR2 implies that a TP may corrupt a CDI if it is not certified to work on that CDI.
Hence, the system must prevent TPs from operating on CDIs for which they have not been certified.
З цією метою застосовують наступне правило примусу (enforcement rule):
Enforcement rule 1 (ER1): The system must maintain the certified relations, and must ensure that only TPs certified to run on a CDI manipulate that CDI.
Конкретно, ER1 says that if a TP f operates on a CDI o, then
Щоб взяти до уваги користувачів, які реалізують TP застосовують наступне правило примусу
Enforcement rule 2 (ER2): The system must associate a user with each TP and set of CDIs. The TP may access those CDIs on behalf of the associated user. If the user is not associated with a particular TP and CDI, then the TP cannot access that CDI on behalf of that user.
Certification rule 3 (CR3): The allowed relations must meet the requirements imposed by the principle of separation of duty.
Because the model represents users, it must ensure that the identification of a user with the system's corresponding user identification code is correct. This suggests:
Enforcement rule 3 (ER3): The system must authenticate each user attempting to execute a TP.
Слід зазначити, що модель не вимагає автентифікації від користувача під час входження в систему. Тому, що такий user може маніпулювати тільки UDIs. But if the user tries to manipulate a CDI, the user can do so only through a TP; this requires the user to be certified as allowed (per ER2), which requires authentication of the user (per ER3).
Most transaction-based systems log each transaction so that an auditor can review the transactions. The Clark-Wilson model considers the log simply as a CDI, and every TP appends to the log; no TP can overwrite the log. This leads to:
Certification rule 4 (CR4): All TPs must append enough information to reconstruct the operation to an append-only CDI.
Certification rule 5 (CR5): Any TP that takes as input a UDI may perform only valid transformations, or no transformations, for all possible values of the UDI. The transformation either rejects the UDI or transforms it into a CDI.
Enforcement rule 4 (ER4): Тільки сертифікатор TP може змінювати список сутностей, асоційованих із цим TP. Ні сертифікатор of a TP, ні жоден із об’єктів асоційований із цим TP, не може мати право запускати (execute permission) стосовно цього об’єкту
We now consider whether the Clark-Wilson model meets the five requirements in Section 6.1. We assume that production programs correspond to TPs and that production data (and databases) are CDIs.
|
Requirement 1. |
If users are not allowed to perform certifications of TPs, but instead only "trusted personnel" are, then CR5 and ER4 enforce this requirement. Because ordinary users cannot create certified TPs, they cannot write programs to access production databases. They must use existing TPs and CDIsthat is, production programs and production databases. |
|
Requirement 2. |
This requirement is largely procedural, because no set of technical controls can prevent a programmer from developing and testing programs on production systems. (The standard procedural control is to omit interpreters and compilers from production systems.) However, the notion of providing production data via a special process corresponds to using a TP to sanitize, or simply provide, production data to a test system. |
|
Requirement 3. |
Installing a program from a development system onto a production system requires a TP to do the installation and "trusted personnel" to do the certification. |
|
Requirement 4. |
CR4 provides the auditing (logging) of program installation. ER3 authenticates the "trusted personnel" doing the installation. CR5 and ER4 control the installation procedure (the new program being a UDI before certification and a CDI, as well as a TP in the context of other rules, after certification). |
|
Requirement 5. |
Finally, because the log is simply a CDI, management and auditors can have access to the system logs through appropriate TPs. Similarly, they also have access to the system state. |
Thus, the Clark-Wilson model meets Lipner's requirements.