4.Модели безопасности многопользовательских компьютерных систем. Матричная модель
Модель безопасности(Security Model). Формальное представление политики безопасности.
Дискреционноеили произвольное, избирательное управление доступом (Discretionary Access Control). Управление доступом, основанное на заданном администратором множестве разрешенных отношений доступа (например, в виде троек ).
Мандатноeили нормативное, управление доступом (Mandatory Access Control). Управление доступом, основанное на совокупности правил предоставления доступа. определенных на множестве атрибутов безопасности субъектов и объектов, например в зависимости от грифа секретности информации и уровня допуска пользователя.
Объект — пассивный компонент системы, единица ресурса системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Субъект — активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Доступ к информации — ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление).
Доступ к ресурсу — получение субъектом возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.
Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Разграничение доступа к ресурсам системы — это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.
Авторизованный субъект доступа — субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
Несанкционированный доступ (НСД) — доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Несанкционированное действие — действие субъекта в нарушение установленных в системе правил обработки информации.
Политика безопасности. Совокупность норм и правил, обеспечивающих эффективную защиту системы обработки информации от заданного множества угроз безопасности.
Основу политики безопасностисистемы составляетлогическийспособ управления доступом, определяющий порядок доступа субъектов системы к объектам системы.Логическое управление доступом – это механизм, призванный обеспечить конфиденциальность и целостность объектов, а также их доступность — путем запрещения обслуживания неавторизованных пользователей.
На сегодняшний день создан ряд типовых моделей управления доступом, которые можно использовать при разработке системы безопасности, из них лучше всего изучены:
- избирательная/дискреционная/произвольная (Discretionary Access Control) или матричная модель
- полномочная/мандатная/принудительная (Mandatory Access Control) или модель уровней безопасности
- смешанная модель – атрибутные схемы (Attribute-Based Access Control — ABAC)
- Матричная модель — это метод разграничения доступа к объектам, основанный на учете идентификатора субъекта или группы, в которую входит субъект. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту.
Поведение этой модели описывается простыми правилами:
- пользователю разрешен доступ в систему, если он входит в множество известных системе пользователей
- пользователю разрешен доступ к консоли (терминал или ПК, выступающий в роли устройства ввода команд для ЭВМ, удаленной ЭВМ, локальной сети и т. п.), если он входит в подмножество пользователей, закрепленных за данной консолью
- пользователю разрешен доступ к файлу, если:
- пользователь входит в подмножество допущенных к файлу пользователей
- режим доступа задания пользователя включает режим доступа к файлу
- уровень конфиденциальности пользователя не ниже уровня конфиденциальности файла
Отношение “субъекты-объекты” можно представить в виде матрицы доступа, в строках которой перечислены субъекты, а в ячейках, расположенных на пересечении строк и столбцов, записаны разрешенные виды доступа и дополнительные условия (например, время и место действия). Фрагмент матрицы, может выглядеть, например, так:
о бъекты субъекты | Файл | Программа | Линия связи | Реляционная таблица |
| пользователь1 | prw с системной консоли | x | rwс 8:00 до 18:00 | |
| пользователь2 | а |
p- (passpermission) разрешение на передачу прав другим пользователям r– (read) чтение w- (write) запись x– (eXecute) выполнение a– (add) добавление Модель Лэмпсона (~1970), усовершенствованная позднееГрэхемом иДеннингом. Основу их модели составляет матрица (таблица) доступаA(m×n), в которой столбцыO1,O2,…Onпредставляют объекты доступа, а строкиS1,S2,…Sm– субъекты доступа. Элемент таблицыA[Si,Oj] содержит список видов доступаT1,T2,…Tk. Tl, который определяет привилегии доступа субъектаSiпо отношению к объектуOj. Данная модель предполагает, что все попытки доступа к объектам перехватываются и проверяются специальным управляющим процессом. Таким образом, субъект Siполучит соответствующий доступTkк объектуOjтолько в случае, если составной элемент матрицыA[Si,Oj] содержит значениеTk. O1…………………….Oj………………On
| S1 | |
| Si | A[Si,Oj]= |
| Sm |
Harrison, Ruzoи Ullman (1976) — Состояния безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одному столбцу для каждого субъекта и объекта. Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы.
| Субъекты | Объекты | Субъекты | ||||
| 1 | 2 | 1 | 2 | |||
| 1 | Чтение Запись | Чтение | 1 | Чтение Запись | Чтение | 1 |
| 2 | Чтение | Чтение Исполне-ние | 2 | Чтение | Чтение Исполне-ние | 2 |
| 3 | Чтение Запись | 3 | Чтение Запись | 3 | ||
—————————————————————————————————————— Модель матрицы доступа может быть дополнена набором функций перехода. Элементы матрицы доступа в этом случае содержат указатели на специальные процедуры, которые должны выполняться при обращении субъекта к объекту. Решение о доступе принимается на основании результатов выполнения процедур. Например:
- решение о доступе в данный момент основывается на анализе предыдущих доступов к другим объектам;
- решение о доступе основывается на динамике состояния системы (права доступа субъекта зависят от текущих прав доступа других субъектов):
- решение о доступе основывается на значении определенных переменных, например, на значении системного времени.
Размерность матрицы доступа зависит от количества субъектов и объектов в системе и может быть достаточно большой. К тому же, матрицу, ввиду ее разреженности (большинство ячеек – пустые) неразумно хранить в виде двумерного массива. Для уменьшения размерности матрицы могут применяться различные методы: