Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки (секретно, совершенно секретно и т.д.). Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил:
1.уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности
2.уполномоченное лицо (субъект) имеет право заносить информацию только
в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.
Таким образом, мандатные модели управляют доступом неявным образом – с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно в какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.
Обозначим:
|
S (1) – множество субъектов (осуществляют доступ к информации) |
|
O (2) – множество объектов, содержащих защищаемую информацию Принято считать, что (3), т.е. субъекты одновременно являются и объектами (это сделано для того, чтобы включить в область действия модели отношения между субъектами) |
|
(4) - множество прав доступа, означающих полномочия на выполнение соответствующих действий (чтение, запись) |
|
L (5)– множество уровней безопасности |
|
L - решетка уровней безопасности (это формальная алгебра , где оператор £ определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L) |
|
V (6) – множество состояний системы, которое представляется в виде набора упорядоченных пар (F,M), где |
|
M (7) – матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам (содержание матрицы аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write) |
|
F (8) – функция уровня безопасности |
|
(9) - модель системы, где(10) - начальное состояние системы |
|
(11) - функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое; система, находящаяся в состоянии при получении запроса , переходит в следующее состояние ; состояние v достижимо в системе Û для ; (12) тривиально достижимо |
Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности , которая ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности L, на котором определена решетка L.
В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы.
Состояния системы делятся на:
— безопасные (отношения доступа не противоречат установленным в моделиправилам)
— небезопасные (правила нарушаются, и происходит утечка информации)
Состояние (F,M) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: (13).
Состояние (F,M) называется безопасным по записи (или *-безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта: (14).
Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению и
по записи.
Критерий безопасности модели Белла-ЛаПадулы:
Система безопасна тогда и только тогда, когда безопасны ее начальное состояние и все состояния, достижимые из путем применения конечной последовательности запросов из R.
Основная теорема безопасности модели Белла-ЛаПадулы:
Система безопасна тогда и только тогда, когда:
a) начальное состояние безопасно и
b) для любого состояния v, достижимого из
путем применения конечной последовательности запросов из R таких, что ,(15) и (16), для каждого и выполняются следующие условия:
1) если и , то (17)
2) если и , то (18)
3) если и , то (19)
4) если и , то (20)
Таким образом, по утверждению теоремы система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.
Дополнительная часть
Решетка уровней безопасности L - это формальная алгебра , где оператор £ определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L (т.е. оператор £ - антисимметричен, транзитивен и рефлексивен).
Отношение £ на L:
|
1) рефлексивно, если (21); |
Нет смысла запрещать потоки информации между сущностями одного и того же класса (сущности одного класса с точки зрения безопасности содержат одинаковую информацию). |
|
2) антисимметрично, если (22); |
Антисимметричность необходима для удаления избыточных классов (если информация может передаваться как от сущностей класса A к сущностям класса B, так и наоборот, то классы A и B содержат одноуровневую информацию и сточки зрения безопасности эквивалентны классу (AB)). |
|
3) транзитивно, если (23); |
Если информация может передаваться от сущностей класса A к сущностям класса B, а также от сущностей класса B к сущностям класса C, то очевидно, что она будет также передаваться от сущностей класса A к сущностям класса C. |
Свойство решетки:
Для каждой пары и элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей границы. Эти элементы также принадлежат L и обозначаются с помощью операторов · и Ä соответственно:
1) (24)
Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наибольший уровень безопасности их комбинации как ,при этом и . Тогда, если существует некоторый уровень c такой, что и , то должно иметь место отношение , поскольку - это минимальный уровень субъекта, для которого доступна информация как из x , так и из y. Следовательно, должен быть наименьшей верхней границей a и b.
2) (25)
Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наименьший уровень безопасности их комбинации как , при этом и . Тогда, если существует некоторый уровень c такой, что и , то должно иметь
место отношение , поскольку - это максимальный уровень субъекта, для которого разрешена передача информации как в x, так и в y. Следовательно, должен быть наибольшей нижней границей a и b.
Смысл этих определений состоит в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов. Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор £ определяет направление потоков информации (если , то информация может передаваться от элементов класса A к элементам класса B).
Использование решетки для описания отношения между уровнями безопасности позволяет использовать в качестве атрибутов безопасности (элементов множества L) не только целые числа, для которых определено отношение “меньше или равно”, но и более сложные составные элементы.