Описание системы

Формальное описание системы состоит из следующих элементов:

1. конечный набор прав доступа

2. конечные наборы исходных субъектов и объектов , где

3. исходная матрица доступа, содержащая права доступа субъектов к объектам -

4. конечный набор команд , каждая из которых состоит из условий выполнения и интерпретации в терминах перечисленных элементарных операций.

Поведение системы во времени моделируется с помощью последовательности состояний , причем , где C – множество команд. Попадание системы в то или иное состояние для заданного начального состояния зависит только от условий команд из C и составляющих их операций. Каждое состояние определяет отношения доступа, которые существуют между сущностями системы в виде множества субъектов, объектов и матрицы прав. Должна существовать возможность определить множество состояний системы, в которые она сможет попасть из заданного начального состояния (т.к. для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа). Это позволит задавать такие начальные условия (интерпретацию команд C, множества объектов , субъектов и матрицу доступа ), при которых система никогда не сможет попасть в состояния, нежелательные с точки зрения безопасности.

Следовательно, для построения системы с предсказуемым поведением необходимо для заданных начальных условий получить ответ на вопрос: сможет ли некоторый субъект s когда-либо приобрести право доступа r для некоторого объекта o?

Критерий безопасности модели Харрисона-Руззо-Ульмана формулируется следующим образом:

Для заданной системы начальное состояние является безопасным относительно права r, если не существует применимой к последовательности команд, в результате которой право r будет занесено в ячейку памяти матрицы M, в которой оно отсутствовало в состоянии .

Смысл данного критерия состоит в том, что для безопасной конфигурации системы субъект никогда не получит право r доступа к объекту, если он не имел его изначально.

Удаление субъекта или объекта приводит к уничтожению всех прав в соответствующей строке или столбце матрицы, но не влечет за собой уничтожение самого столбца или строки и сокращение размера матрицы. Следовательно, если в какой-то ячейке в начальном состоянии существовало право r, и после удаления субъекта или объекта, к которым относилось это право, ячейка будет очищена, но впоследствии появится вновь (в результате создания субъекта или объекта), и в эту ячейку с помощью соответствующей команды enter снова будет занесено право r, то это не будет означать нарушения безопасности.

Из критерия безопасности следует, что для данной модели ключевую роль играет выбор значений прав доступа и их использование в условиях команд. Хотя модель не налагает никаких ограничений на смысл прав и считает их равнозначными, те из них, которые участвуют в условиях выполнения команд, фактически представляют собой не права доступа к объектам, а права управления доступом, или права на осуществление модификаций ячеек матрицы доступа.

Таким образом, данная модель описывает не только доступ субъектов к объектам, но и распределение прав доступа от субъекта к субъекту, т.к. именно изменение содержания ячеек матрицы доступа определяет возможность выполнения команд (в том числе команд, модифицирующих саму матрицу доступа), которые потенциально могут привести к нарушению критерия безопасности.

Положительные стороны модели Харрисона-Руззо-Ульмана:

§ данная модель является простой в реализации (т.к. не требует применения сложных алгоритмов)

§ данная модель является эффективной в управлении (т.к. позволяет управлять полномочиями пользователей с точностью до операции над объектом)

§ критерий безопасности данной модели является весьма сильным в практическом плане (т.к. позволяет гарантировать недоступность определенной информации для пользователей, которым изначально не выданы соответствующие полномочия)

Отрицательные стороны модели Харрисона-Руззо-Ульмана:

§ доказано, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния и общего правила r решить, является ли данная информация безопасной

§ существует уязвимость к атаке с помощью “троянского коня” (т.к. в дискреционных моделях контролируются только операции доступа субъектов к объектам, а не потоки информации между ними).

2.4.2 Модель Белла - Ла-Падулы

Первой моделью системы безопасности стала модель Белла - Ла-Падулы (Bell-LaPadula model), созданная в 1973-74 годах в MITRE в городе Белфорде в штате Массачусетс по заказу военно-воздушных сил США. В 1976 году она была дополнена до использования в пределах концепции MULTICS (информационно-вычислительная система с мультиплексированием каналов передачи данных), в 1986 году адаптирована для использования в сетевых системах. На протяжении 70-х годов оставалась главной моделью политики безопасности и оказала значительное влияние на формирование TCSEC. В изначальном варианте модель Белла – Ла-Падулы предусматривала возможность только мандатного управления доступом.

Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран.

Основным положением политики безопасности является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки (секретно, совершенно секретно и т.д.). Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования.

Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух правил: