АНАЛИЗ БЕЗОПАСНОСТИ УПРАВЛЕНИЯ ДОСТУПОМ И ИНФОРМАЦИОННЫМИ ПОТОКАМИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

Содержание

Слайд 2

Основные формальные модели управления доступом и информационными потоками

Основные формальные модели управления доступом и информационными потоками

Слайд 3

Основные существенные особенности функционирования современных КС

Возможность реализации в КС доверенных и недоверенных

Основные существенные особенности функционирования современных КС Возможность реализации в КС доверенных и
субъектов с различными условиями функционирования;
Различие в условиях реализации в КС информационных потоков по памяти и по времени;
Наличие в современных КС иерархической структуры сущностей и возможность ее использования при реализации информационных потоков по времени;
Возможность кооперации или, наоборот, противодействия субъектов друг другу при передаче прав доступа и реализации информационных потоков.
Возможность изменения функциональности субъекта при реализации информационного потока по памяти на функционально ассоциированные с ним сущности.

Слайд 4

Критический анализ основных формальных моделей

Критический анализ основных формальных моделей

Слайд 5

Предположение 1. Все действия в КС, в том числе выполнение операций над

Предположение 1. Все действия в КС, в том числе выполнение операций над
сущностями, порождение информационных потоков, изменение параметров и настроек системы защиты КС, порождение новых субъектов, могут быть инициированы только субъектами КС с использованием доступов к сущностям КС.
Предположение 2. Все информационные потоки в КС порождены доступами субъектов к сущностям. Иные информационные потоки, например по побочному электромагнитному излучению, не рассматриваются.
Предположение 3. В начальном состоянии КС отсутствуют доступы субъектов к объектам и информационные потоки.
Предположение 4. При любых запросе субъекта на доступ к сущности или доступе субъекта к сущности реализуется информационный поток по времени.
Предположение 5. При реализации информационного потока по памяти от объекта-источника к объекту-приемнику в том же направлении реализуется информационный поток по времени.

Основные предположения

Слайд 6

Базовая ДП-модель. Иерархия сущностей

E = O ∪ C ⎯ множество сущностей, где

Базовая ДП-модель. Иерархия сущностей E = O ∪ C ⎯ множество сущностей,
O ⎯ множество объектов, C ⎯ множество контейнеров; S ⊆ E ⎯ множество субъектов;
Rr = {readr, writer, appendr, executer, ownr} ⎯ множество видов прав доступа;
Ra = {reada, writea, appenda} ⎯ множество видов доступа;
Rf = {writem, writet} ⎯ множество видов информационных потоков;
Rraf = Rr ∪ Ra ∪ Rf ⎯ множество видов прав доступа, видов доступа и видов информационных потоков.
Определение. Определим H: E → 2E ⎯ функцию иерархии сущностей, сопоставляющую каждой сущности c ∈ E множество сущностей H(c) ⊂ E и удовлетворяющую условиям:
Условие 1. Если сущность e ∈ H(c), то e < c и не существует сущности-контейнера d ∈ C, такой, что e < d, d < c.
Условие 2. Для любых сущностей e1, e2 ∈ E, e1 ≠ e2, по определению выполняются равенство H(e1) ∩ H(e2) = ∅ и условия:
если o ∈ O, то выполняется равенство H(o) = ∅;
если e1 < e2, то или e1, e2 ∈ E \ S, или e1, e2 ∈ S;
если e ∈ E \ S, то H(e) ⊂ E \ S;
если s ∈ S, то H(s) ⊂ S.

Слайд 7

Определение. Пусть определены множества S, E, R ⊆ S × E ×

Определение. Пусть определены множества S, E, R ⊆ S × E ×
Rr, A ⊆ S × E × Ra, F ⊆ E × E × Rf и функция иерархии сущностей H. Определим G = (S, E, R ∪ A ∪ F, H) ⎯ конечный помеченный ориентированный граф без петель, где элементы множеств S, E являются вершинами графа, элементы множества R ∪ A ∪ F ⎯ ребрами графа. Назовем G = (S, E, R ∪ A ∪ F, H) графом доступов.
Σ(G*, OP) ⎯ система, при этом:
каждое состояние системы представляется графом доступов;
G* ⎯ множество всех возможных состояний;
OP ⎯ множество правил преобразования состояний;
G ├ op G’ ⎯ переход системы Σ(G*, OP) из состояния G в состояние G’

Определение системы

Слайд 8

Правила преобразования состояний

В базовой ДП-модели определены 16 монотонных и немонотонных правил преобразования

Правила преобразования состояний В базовой ДП-модели определены 16 монотонных и немонотонных правил
состояний: take_right(αr, x, y, z), grant_right(αr, x, y, z), remove_right(αr, x, y, z), own_take(αr, x, y), own_remove(αr, x, y), create_entity(x, y, z), create_subject(x, y, z), delete_entity(x, y, z), rename_entity(x, y, z), access_read(x, y), access_write(x, y), access_append(x, y), flow(x, y, y’, z), find(x, y, z), post(x, y, z), pass(x, y, z)

Слайд 9

Примеры правил преобразования состояний базовой ДП-модели

Примеры правил преобразования состояний базовой ДП-модели

Слайд 10

Условия передачи прав доступа или реализации информационных потоков

Определение. Пусть G0 = (S0,

Условия передачи прав доступа или реализации информационных потоков Определение. Пусть G0 =
E0, R0 ∪ A0 ∪ F0, H0) ⎯ состояние системы Σ(G*, OP) и субъект x ∈ S0, сущность y ∈ E0, где x ≠ y, и пусть α ∈ Rr ⎯ некоторое право доступа. Определим предикат can_share(α, x, y, G0), который будет истинным тогда, и только тогда, когда существуют состояния G1, …, GN = (SN, EN, RN ∪ AN ∪ FN, HN) и правила преобразования состояний op1, …, opN такие, что G0 ├ op1 G1 ├ op2 … ├ opN GN и (x, y, α) ∈ RN, где N ≥ 0.
Определение. Пусть G0 = (S0, E0, R0 ∪ A0 ∪ F0, H0) ⎯ состояние системы Σ(G*, OP) и сущности x, y ∈ E0, где x ≠ y. Определим предикат can_write_memory(x, y, G0), который будет истинным тогда, и только тогда, когда существуют состояния G1, …, GN = (SN, EN, RN ∪ AN ∪ FN, HN) и правила преобразования состояний op1, …, opN такие, что G0 ├ op1 G1 ├ op2 … ├ opN GN и (x, y, writem) ∈ FN, где N ≥ 0.
Определение. Пусть G0 = (S0, E0, R0 ∪ A0 ∪ F0, H0) ⎯ состояние системы Σ(G*, OP) и сущности x, y ∈ E0, где x ≠ y. Определим предикат can_write_time(x, y, G0), который будет истинным тогда, и только тогда, когда существуют состояния G1, …, GN = (SN, EN, RN ∪ AN ∪ FN, HN) и правила преобразования состояний op1, …, opN такие, что G0 ├ op1 G1 ├ op2 … ├ opN GN и (x, y, αf) ∈ FN, где αf ∈ {writem, writet} и N ≥ 0.

Слайд 11

Условия реализации информационного потока по времени

Теорема. Пусть G0 = (S0, E0,

Условия реализации информационного потока по времени Теорема. Пусть G0 = (S0, E0,
R0 ∪ A0 ∪ F0, H0) ⎯ состояние системы Σ(G*, OP) и сущности x, y ∈ E0, x ≠ y. Предикат can_write_time(x, y, G0) истинен тогда, и только тогда, когда существует последовательность сущностей e1, …, em ∈ E0, где e1 = x, em = y и m ≥ 2, таких, что выполняется одно из условий:
Условие 1. m = 2 и (x, y, αf) ∈ F0, где αf ∈ {writem, writet}.
Условие 2. Для каждого i = 1, ..., m – 1 выполняется одно из условий:
ei ∈ S0 и (ei, ei + 1, writet) ∈ F0;
ei ∈ S0 и истинен предикат can_write_memory(ei, ei + 1, G0);
ei ∈ S0 и существует сущность e’i + 1 ∈ E0, такая, что e’i + 1 ≤ ei + 1 и истинен предикат can_share(αr, ei, e’i + 1, G0), αr ∈ Rr;
ei + 1 ∈ S0 и истинен предикат can_share(readr, ei + 1, ei, G0);
ei, ei + 1 ∈ S0 и существуют сущности e’i, e’i + 1 ∈ E0: или e’i ≤ e’i + 1, или e’i + 1 ≤ e’i, и истинны предикаты can_share(αr, ei, e’i, G0) и can_share(βr, ei + 1, e’i + 1, G0), αr, βr ∈ Rr.

Слайд 12

Фрагменты доказательства теоремы

Пример задачи на преобразование графа доступов расширенной модели Take-Grant

Фрагменты доказательства теоремы Пример задачи на преобразование графа доступов расширенной модели Take-Grant

Слайд 13

Фрагменты доказательства теоремы

Докажем достаточность выполнения условия теоремы для истинности предиката can_write_time(x,

Фрагменты доказательства теоремы Докажем достаточность выполнения условия теоремы для истинности предиката can_write_time(x,
y, G0).

Пусть выполняется условие 2 теоремы, тогда существует последовательность сущностей e1, …, em ∈ E0, где e1 = x, em = y и m ≥ 2. Выполним доказательство индукцией по длине m последовательности сущностей.
Пусть m = 2. Возможны пять случаев.

Рассмотрим четвертый случай: x ∈ S0 и существует сущность y’ ∈ E0, такая, что y’ ≤ y и истинен предикат can_share(αr, x, y’, G0), где αr ∈ Rr. Так как истинен предикат can_share(αr, x, y’, G0), то существуют состояния G1, …, GN = (SN, EN, RN ∪ AN ∪ FN, HN) и правила преобразования состояний op1, …, opN такие, что G0 ├ op1 G1 ├ op2 … ├ opN GN и (x, y’, αr) ∈ RN, где N ≥ 0.
Если αr ∈ {writer, appendr, readr}, то пусть opN + 1 = access_α(x, y’) и GN ├ op(N + 1) GN + 1, где GN + 1 = (SN + 1, EN + 1, RN + 1 ∪ AN + 1 ∪ FN + 1, HN + 1). Тогда (x, y, writet) ∈ FN + 1 и предикат can_write_time(x, y, G0) истинен.
Если αr = ownr, то пусть opN + 1 = own_take(writer, x, y’), opN + 2 = access_write(x, y’) и GN ├ op(N + 1) GN + 1 ├ op(N + 2) GN + 2, где GN + 2 = (SN + 2, EN + 2, RN + 2 ∪ AN + 2 ∪ FN + 2, HN + 2). Тогда (x, y, writet) ∈ FN + 2 и предикат can_write_time(x, y, G0) истинен.
Если αr = executer, то пусть opN + 1 = create_subject(x, y’, z) и GN ├ op(N + 1) GN + 1, где GN + 1 = (SN + 1, EN + 1, RN + 1 ∪ AN + 1 ∪ FN + 1, HN + 1) и z ∉ SN. Тогда (x, y, writet) ∈ FN+1 и предикат can_write_time(x, y, G0) истинен.

Слайд 14

Фрагменты доказательства теоремы

Докажем необходимость выполнения условия теоремы для истинности предиката can_write_time(x,

Фрагменты доказательства теоремы Докажем необходимость выполнения условия теоремы для истинности предиката can_write_time(x,
y, G0).
Пусть истинен предикат can_write_time(x, y, G0), при этом по определению существуют состояния G1, …, GN = (SN, EN, RN ∪ AN ∪ FN, HN) и правила преобразования состояний op1, …, opN такие, что G0 ├ op1 G1 ├ op2 … ├ opN GN и (x, y, αf) ∈ FN, где αf ∈ {writem, writet} и N ≥ 0. Среди всех таких последовательностей выберем ту, у которой длина N является минимальной. В этом случае (x, y, αf) ∉ FN – 1. Проведем доказательство индукцией по длине N последовательности преобразований.
Пусть N = 1, тогда (x, y, αf) ∉ F0 и существует правило преобразования состояний op1, такое, что G0 ├ op1 G1 и (x, y, αf) ∈ F1. Из определения правил преобразования состояний следует, что возможны девять случаев:
x, y ∈ S0, (x, y, ownr) ∈ R0;
x, y ∈ S0, (y, x, ownr) ∈ R0;
x ∈ S0, y ∈ E0 и существует сущность y’ ∈ E0, такая, что y’ ≤ y и (x, y’, αr) ∈ R0, при этом αr ∈ {readr, writer, appendr};
x, y ∈ S0 и существуют сущности x’, y’ ∈ E0, такие, что или x’ ≤ y’, или y’ ≤ x’ и {(x, x’, αr), {(y, y’, βr)} ⊂ R0, где αr, βr ∈ Rr;
y ∈ S0, x ∈ E0, (y, x, readr) ∈ R0;
x ∈ S0, y ∈ E0, (x, y, αr) ∈ R0, где αr ∈ {writer, appendr};
x ∈ S0, y ∈ E0 и существует сущность e ∈ E0, такая, что {(x, e, α), (e, y, β)} ⊂ R0 ∪ F0, где α, β ∈ {writer, appendr, writem, writet};
x, y ∈ S0 и существуют сущность e ∈ E0, такая, что {(x, e, α), (y, e, readr)} ⊂ R0 ∪ F0, где α ∈ {writer, appendr, writem, writet};
x, y ∈ E0 и существует субъект e ∈ S0, такой, что {(e, x, readr), (e, y, α)} ⊂ R0 ∪ F0, где α ∈ {writer, appendr, writem, writet}.

Слайд 15

ДП-модель без кооперации доверенных и недоверенных субъектов

Определение. Назовем траекторию функционирования системы Σ(G*,

ДП-модель без кооперации доверенных и недоверенных субъектов Определение. Назовем траекторию функционирования системы
OP) траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа, если при ее реализации используются монотонные правила преобразования состояний, и доверенные субъекты:
не дают недоверенным субъектам права доступа к сущностям;
не берут у недоверенных субъектов права доступа к сущностям.
Определение. Назовем траекторию функционирования системы Σ(G*, OP) траекторией без кооперации доверенных и недоверенных субъектов для передачи прав доступа и реализации информационных потоков, если она является траекторий без кооперации доверенных и недоверенных субъектов для передачи прав доступа и при ее реализации используются правила преобразования состояний:
take_right(αr, x, y, z), grant_right(αr, x, y, z), own_take(αr, x, y, z) с условиями и результатами применения определенными в рамках базовой ДП-модели;
create_entity(x, y, z), create_subject(x, y, z), rename_entity(x, y, z), access_read(x, y), access_write(x, y), access_append(x, y), flow(x, y, y’, z), find(x, y, z), post(x, y, z), pass(x, y, z) с условиями и результатами применения определенными в рамках ДП-модели без кооперации доверенных и недоверенных субъектов.

Слайд 16

Правила преобразования состояний

Предположение. Доверенные субъекты системы Σ(G*, OP) не участвуют в реализации

Правила преобразования состояний Предположение. Доверенные субъекты системы Σ(G*, OP) не участвуют в
информационных потоков по времени.

Слайд 17

ДП-модель с блокирующими доступами доверенных субъектов

ДП-модель с блокирующими доступами доверенных субъектов

Слайд 18

ДП-модель с блокирующими доступами доверенных субъектов

Предположение. Блокирующие доступы доверенных субъектов к

ДП-модель с блокирующими доступами доверенных субъектов Предположение. Блокирующие доступы доверенных субъектов к
сущностям системы Σ(G*, OP) препятствуют реализации информационных потоков по времени с использованием данных сущностей и иерархии сущностей, в которую входит данная сущность, за исключением случая, когда сущность является субъектом и участвует в реализации данного информационного потока по времени.
Определение. Иерархией сущностей с учетом блокирующих доступов доверенных субъектов называется заданное на множестве сущностей E отношение частичного порядка «≤B», удовлетворяющее условиям:
для двух сущностей e1, e2 ∈ E если выполняется неравенство e1 ≤B e2, то выполняется неравенство e1 ≤ e2;
если сущность e1 ∈ EB, то выполняется равенство {e ∈ E: e ≤B e1 или e1 ≤B e} = {e1} (каждая сущность из EB сравнима только сама с собой);
если для сущности e1 ∈ E существует сущность e2 ∈ EB, такая, что выполняется условие e2 ≤ e1, то выполняется равенство {e ∈ E: e ≤B e1 или e1 ≤B e} = {e1};
если для сущности e ∈ E существуют сущности e1, e2 ∈ E, такие, что e ≤B e2, e ≤B e1, то или e1 ≤B e2, или e2 ≤B e1.
В случае, когда для двух сущностей e1, e2 ∈ E выполняются условия e1, e2 ∈ E \ EB, e1 ≤B e2 и e1 ≠ e2, будем использовать обозначение: e1 Определение. Определим HB: E → 2E ⎯ функцию иерархии сущностей с учетом блокирующих доступов доверенных субъектов, сопоставляющую каждой сущности c ∈ E множество сущностей HB(c) ⊂ H(c), удовлетворяющих условию HB(c) = {e ∈ H(c): e

Слайд 19

Теорема. Пусть G0 = (S0, E0, R0 ∪ A0 ∪ F0, HB0)

Теорема. Пусть G0 = (S0, E0, R0 ∪ A0 ∪ F0, HB0)
⎯ состояние системы Σ(G*, OP) и сущности x, y ∈ E0, x ≠ y. Пусть также в G0 отсутствуют информационные потоки по времени, исходящие из доверенных субъектов: F0 ∩ {(s, e, writet): s ∈ LS ∩ S0, e ∈ E0} = ∅. Предикат can_write_time_block(x, y, G0, LS) истинен тогда, и только тогда, когда выполняется одно из условий:
Условие 1. В состоянии G0 реализован информационный поток (x, y, αf) ∈ F0, где αf ∈ {writem, writet}.
Условие 2. Существует последовательность сущностей e1, …, em ∈ E0, где e1 = x, em = y и m ≥ 2, таких, что для каждого i = 1, ..., m – 1 выполняется одно из условий:
ei ∈ NS ∩ S0 и или (ei, ei + 1, αf) ∈ F0, где αf ∈ {writem, writet}, или истинен предикат can_share(αr, ei, ei + 1, G0, LS), где αr ∈ {writer, appendr};
ei ∈ NS ∩ S0, ei + 1 ∈ E0 \ EB и существует сущность e’i + 1 ∈ E0 \ EB, такая, что e’i + 1 ≤B ei + 1, и истинен предикат can_share(αr, ei, e’i + 1, G0, LS), где αr ∈ Rr;
ei + 1 ∈ NS ∩ S0 и истинен предикат can_share(readr, ei + 1, ei, G0, LS);
ei, ei + 1 ∈ NS ∩ S0 и существуют сущности e’i, e’i + 1 ∈ E0 \ EB, такие, что или e’i ≤B e’i + 1, или e’i + 1 ≤B e’i, и истинны предикаты can_share(αr, ei, e’i, G0, LS) и can_share(βr, ei + 1, e’i + 1, G0, LS), где αr, βr ∈ Rr;
ei, ei + 1 ∈ NS ∩ S0 и или истинен предикат can_share(ownr, ei, ei + 1, G0, LS), или истинен предикат can_share(ownr, ei + 1, ei, G0, LS).

Условия реализации информационного потока по времени

Слайд 20

Метод предотвращения запрещенных информационных потоков по времени

Метод 1. Условие применения метода. Пусть

Метод предотвращения запрещенных информационных потоков по времени Метод 1. Условие применения метода.
определена система Σ(G*, OP, G0) с начальным состоянием G0 = (S0, E0, R0 ∪ A0 ∪ F0, H0) и определены множества доверенных субъектов LS, недоверенных субъектов NS и запрещенных информационных потоков Nf.
Шаг 1. Создать в системе доверенный субъект u ∈ LS ∩ S0, который будет реализовывать блокирующие доступы.
Шаг 2. Для каждого запрещенного информационного потока по времени (x, y, writet), где x и y ⎯ недоверенные субъекты, использовать алгоритм проверки истинности предиката can_write_time_block(x, y, G0, LS). Если предикат can_write_time_block(x, y, G0, LS) является истинным, рассмотреть все пути (пролеты моста) в G0, с использованием которых возможна реализация информационного потока. Если для всех запрещенных информационных потоков из Nf по времени предикат can_write_time_block(x, y, G0, LS) является ложным, то закончить применение метода.
Шаг 3. Для каждого пути, определенного на шаге 2, определить его вид. Возможны два вида путей. Если путь первого вида, то с его использованием реализуется информационный поток по памяти. Если путь второго вида, то с его использованием может быть реализован только информационный поток по времени.
Шаг 4. Если пролет моста первого вида, то удалить любое ребро пути (удалить у недоверенного субъекта право доступа к сущности). Перейти на шаг 2.
Шаг 5. Если путь второго вида реализовать блокирующий доступ доверенного субъекта u к любой сущности, не являющейся субъектом и принадлежащей пути. Перейти на шаг 2.
Теорема. Пусть G0 = (S0, E0, R0 ∪ A0 ∪ F0, H0) ⎯ начальное состояние системы Σ(G*, OP, G0). Пусть определены множества доверенных субъектов LS, недоверенных субъектов NS и запрещенных информационных потоков Nf. Тогда в результате применения в системе метода 1 для каждого информационного потока (x, y, writet) ∈ Nf, где x и y ⎯ недоверенные субъекты, предикат can_write_time_block(x, y, G0, LS) является ложным.

Слайд 21

ДП-модель с функционально ассоциированными с субъектами сущностями

ДП-модель с функционально ассоциированными с субъектами сущностями

Слайд 22

ДП-модель с функционально ассоциированными с субъектами сущностями

Определение. Доверенного субъекта y назовем функционально

ДП-модель с функционально ассоциированными с субъектами сущностями Определение. Доверенного субъекта y назовем
корректным, если во множество функционально ассоциированным с ним сущностей [y] не входят недоверенные субъекты.
Определение. Доверенного субъекта y назовем корректным относительно сущности e, не являющейся доверенным субъектом, если субъект y не реализует информационный поток по памяти от сущности e к сущности e’, функционально ассоциированной с некоторым доверенным субъектом y’. При этом по определению каждый доверенный субъект корректен относительно другого доверенного субъекта.

Слайд 23

ДП-модель для политики безопасного администрирования

Определение. В политике безопасного администрирования рассматриваются две угрозы

ДП-модель для политики безопасного администрирования Определение. В политике безопасного администрирования рассматриваются две
безопасности КС.
Угроза 1. Наличие у пользователя возможности разместить ресурсы на компьютере (запустить процесс или разместить на компьютере файлы) несет угрозу получения им всех прав доступа и привилегий на данном компьютере.
Угроза 2. Обращение пользователя к компьютеру (с целью получить данные файлов локально или по сетевым коммуникационным каналам) несет угрозу захвата его прав доступа и привилегий пользователем, разместившим свои ресурсы на этом компьютере.
Предположение. Будем считать, что нарушитель имеет два уровня возможностей:
если нарушитель может разместить на компьютере свой ресурс, то он имеет возможность управления функциями КС (нарушитель третьего уровня);
если нарушитель может только удаленно обращаться к компьютеру, то он имеет возможность ведения диалога с КС (нарушитель первого уровня).
Определение. Будем говорить, что в КС реализована политика безопасного администрирования тогда, и только тогда, когда в КС выполняется следующее условие: получение нарушителем полного контроля (всех привилегий и прав доступа к сущностям, размещенным на компьютере) над компьютером КС не должно приводить к захвату нарушителем полного контроля над другими компьютерами КС посредством реализации нарушителем угроз 1 и 2.

Слайд 24

ДП-модель для политики абсолютного разделения административных и пользовательских полномочий

Определение. Для системы Σ(G*,

ДП-модель для политики абсолютного разделения административных и пользовательских полномочий Определение. Для системы
OP) рассматриваются два возможных начальных состояния системы и два вида траекторий:
G0 ⎯ начальное состояние для пользовательских траекторий функционирования системы P(G0), на которых недоверенные пользователи выполняют свои функции в системе;
GA0 ⎯ начальное состояние для административных траекторий функционирования системы P(GA0), предназначенных только для администрирования системы.
Предположение. На всех траекториях системы из множеств P(G0) и P(GA0) определены доверенные пользователи, обладающие правом доступа владения к каждой сущности, размещенной на компьютере. Кроме того, на траекториях системы из множества P(G0):
определен доверенный пользователь kernelc ∈ S ⎯ пользователь-«ядро ОС», при этом всегда выполняется условие (kernelc, ownr) ∈ RC(c);
всегда найдется недоверенный пользователь, активизировавший процесс от своего имени на компьютере c.
Предположение. Доверенный пользователь kernelc реализован функционально корректным и корректным относительно всех сущностей ECE(c) компьютера c. На траекториях P(GA0) активизируют процессы только доверенные пользователи, которые являются корректными относительно всех сущностей ECE(c) компьютера c. Если в системе Σ(G*, OP) существует доверенный пользователь s1 ∈ S \ {kernelc}, который в состоянии G = (S, E, R ∪ A ∪ F, H) системы активизировал процесс от своего имени на компьютере c ∈ EC, то выполняются условия (s1, c, writer) ∈ R, ECE(c) ⊂ [s1]. При этом, если недоверенный пользователь s2 ∈ S в состоянии G системы активизировал процесс от своего имени на компьютере c, то выполняется условие s2 ∈ [s1].

Слайд 25

Методы предотвращения возможности получения права доступа владения

Метод предотвращения возможности получения права доступа

Методы предотвращения возможности получения права доступа владения Метод предотвращения возможности получения права
владения недоверенным субъектом к доверенному субъекту с использованием реализации информационного потока по памяти к сущности, функционально ассоциированной с доверенным субъектом;
Метод реализации политики безопасного администрирования (для распределенных КС);
Метод реализации политики абсолютного разделения административных и пользовательских полномочий (для рабочих станций пользователей).

Слайд 26

Мандатная ДП-модель. Виды запрещенных информационных потоков

Определение. Определим как запрещенные в КС с

Мандатная ДП-модель. Виды запрещенных информационных потоков Определение. Определим как запрещенные в КС
мандатным управлением доступом следующие четыре вида информационных потоков (запрещенные информационные потоки из множества Nf).
Информационные потоки по памяти и по времени между сущностями одного уровня конфиденциальности (определяются в соответствии с априорно заданной политикой управления доступом и информационными потоками).
Информационные потоки по памяти от сущностей с большим уровнем конфиденциальности к сущностям с меньшим уровнем конфиденциальности информации.
Информационные потоки по времени от сущностей с большим уровнем конфиденциальности к сущностям с меньшим уровнем конфиденциальности информации.
Информационные потоки по памяти от субъектов с низким уровнем доступа к субъектам с высоким уровнем доступа или к сущностям, функционально ассоциированным с субъектами с высоким уровнем доступа.

Слайд 27

Мандатная ДП-модель. Основные определения

(L, ≤) ⎯ решетка линейно упорядоченных уровней доступа и

Мандатная ДП-модель. Основные определения (L, ≤) ⎯ решетка линейно упорядоченных уровней доступа
конфиденциальности;
ES ⊂ E \ S ⎯ множество сущностей, которые могут быть применены для создания новых субъектов.
Определим функции:
fs: S → L ⎯ функция, определяющая уровень доступа каждого субъекта системы Σ(G*, OP);
fe: E \ S → L ⎯ функция, определяющая уровень конфиденциальности каждой сущности системы, не являющейся субъектом, при этом, если для двух сущностей e1, e2 ∈ E выполняется неравенство e1 ≤ e2 (сущность e1 содержится в контейнере e2), то по определению выполняется условие fe(e1) ≤ fe(e2);
CCR: E \ S → {true, false} ⎯ функция, определяющая способ доступа к сущностям, не являющимся субъектами, внутри контейнеров.
Определение. В состоянии G = (S, E, R ∪ A ∪ F, H, (fs, fe), CCR) системы Σ(G*, OP) доступ (s, e, α) ∈ A, где субъект s ∈ S, сущность e ∈ E \ S, вид доступа α ∈ Ra, обладает ss-свойством, если выполняются условия:
fs(s) ≥ fe(e);
для каждой сущности-контейнера e’ ∈ E \ S, такой, что e < e’ и CCR(e’) = true, выполняется неравенство fs(s) ≥ fe(e’).
Определение. В состоянии G = (S, E, R ∪ A ∪ F, H, (fs, fe), CCR) системы Σ(G*, OP) доступы (s, e1, reada), (s, e2, α) ∈ A, где субъект s ∈ S, сущности e1, e2 ∈ E \ S, вид доступа α ∈ {writea, appenda}, обладают *-свойством, если выполняется условие fe(e1) ≤ fe(e2).

Слайд 28

Мандатная ДП-модель. Правила преобразования состояний

Мандатная ДП-модель. Правила преобразования состояний

Слайд 29

Условия несанкционированного повышения уровня доступа субъекта

Теорема. Пусть уровень доступа l ∈ L

Условия несанкционированного повышения уровня доступа субъекта Теорема. Пусть уровень доступа l ∈
и G0 = (S0, E0, R0 ∪ A0 ∪ F0, H0, (fs0, fe0), CCR0) ⎯ состояние системы Σ(G*, OP), которое безопасно в смысле Белла-ЛаПадула и в котором существует недоверенный субъект x ∈ NS ∩ S0, и A0= F0 = ∅. Предикат can_increase_level(x, G0) является истинным тогда, и только тогда, когда для l = fs0(x) существует субъект y ∈ S0 \ NS(l), такой, что fs0(y) > l и выполняется одно из условий:
Условие 1. Субъект y функционально некорректен относительно субъекта x.
Условие 2. Существует субъект y’ ∈ S0 такой, что fs0(y’) > l, и субъект y некорректен относительно сущности x и субъекта y’.
Условие 3. Существует сущность e ∈ E0 такая, что e ∈ [y], fe0(e) ≤ l, и для каждой сущности-контейнера e’ ∈ E0 такой, что e < e’ и CCR0(e’) = true, выполняется неравенство fe0(e’) ≤ l.
Условие 4. Существуют сущность e ∈ E0 и субъект y’ ∈ S0 такие, что fe0(e) ≤ l, fs0(y’) > l, и для каждой сущности-контейнера e’ ∈ E0 такой, что e < e’ и CCR0(e’) = true, выполняется неравенство fe0(e’) ≤ l, и субъект y некорректен относительно сущности e и субъекта y’.

Слайд 30

Информационные потоки по времени

Информационные потоки по времени

Слайд 31

Мандатные ДП-модели

Мандатная ДП-модель с блокирующими доступами доверенных субъектов;
ДП-модель с отождествлением порожденных субъектов

Мандатные ДП-модели Мандатная ДП-модель с блокирующими доступами доверенных субъектов; ДП-модель с отождествлением
(в системе существует только один недоверенный субъект, от имени которого порождены все другие недоверенные субъекты, и доступы всех недоверенных субъектов рассматриваются как доступы одного субъекта);
ДП-модель для политики строгого мандатного управления доступом (в системе могут существовать несколько недоверенных субъектов, каждый из которых реализует доступы к сущностям только одного уровня конфиденциальности).

Слайд 32

Метод предотвращения возможности реализации запрещенных информационных потоков по времени

Метод. Условие применения метода.

Метод предотвращения возможности реализации запрещенных информационных потоков по времени Метод. Условие применения
Пусть определена система Σ(G*, OP, G0) с начальным состоянием G0 = (S0, E0, R0 ∪ A0 ∪ F0, HB0, (fs0, fe0), CCR0) и A0 = AB, F0 = ∅.
Шаг 1. Выделить в системе Σ(G*, OP, G0) компьютеры EC1, функциональность которых ограничена.
Шаг 2. Для компьютеров из EC1 обеспечить доверенность всех активизируемых на них субъектов. Реализовать систему управления доступом системы таким образом, чтобы обеспечивалась безопасность в смысле Белла-ЛаПадула доступов доверенных субъектов.
Шаг 3. Выделить компьютеры EC2, на каждом из которых должна быть обеспечена возможность активизации субъектов от имени только одного недоверенного субъекта-пользователя.
Шаг 4. Если это необходимо для реализации используемой в моделируемой реальной КС технологии обработки информации, то для каждого недоверенного субъекта-пользователя компьютера из EC2, во множество доступных ему сущностей включить сущности, размещенные на компьютерах из EC1. При этом реализовать иерархию подчиненности сущностей системы, обеспечивающую невозможность доступов недоверенных субъектов к сущностям в одной иерархии.
Шаг 5. Реализовать систему управления доступом системы Σ(G*, OP, G0) таким образом, чтобы обеспечивалась безопасность доступов доверенных субъектов компьютеров из EC2 в смысле Белла-ЛаПадула, доступов недоверенных субъектов, активизированных от имени субъектов-пользователей компьютеров из EC2, в смысле Белла-ЛаПадула с отождествлением порожденных субъектов.
Шаг 6. Выделить компьютеры EC3, на каждом из которых должна быть обеспечена возможность активизации субъектов несколькими недоверенными субъектами-пользователями. При этом реализовать иерархию подчиненности компьютеров системы, удовлетворяющую условию: для любых c1 ∈ EC2, c2 ∈ EC3 не выполняется одно из сравнений: c1 < c2 или c2 < c1.
Шаг 7. Если это необходимо для реализации используемой в моделируемой реальной КС технологии обработки информации, то для каждого недоверенного субъекта-пользователя user ∈ NS, активизирующего субъектов на компьютерах из EC3, во множество сущностей EU(user) включить сущности, размещенные на компьютерах из EC1. При этом реализовать иерархию подчиненности сущностей системы, обеспечивающую невозможность доступов недоверенных субъектов к сущностям в одной иерархии.
Шаг 8. Реализовать систему управления доступом системы Σ(G*, OP, G0) таким образом, чтобы обеспечивалась безопасность доступов доверенных субъектов компьютеров из EC3 в смысле Белла-ЛаПадула, недоверенных субъектов-пользователей компьютеров из EC3 в смысле строгого мандатного управления доступом.
Шаг 9. Реализовать всех доверенных субъектов системы Σ(G*, OP, G0) таким образом, чтобы на всех траекториях функционирования системы доверенные субъекты не создавали недоверенных субъектов.

Слайд 33

Семейство ДП-моделей

Семейство ДП-моделей
Имя файла: АНАЛИЗ-БЕЗОПАСНОСТИ-УПРАВЛЕНИЯ-ДОСТУПОМ-И-ИНФОРМАЦИОННЫМИ-ПОТОКАМИ-В-КОМПЬЮТЕРНЫХ-СИСТЕМАХ.pptx
Количество просмотров: 212
Количество скачиваний: 0
- Предыдущая
Первые проблемы подросткового возраста
Следующая -
АПОКАЛИПСИС СЕГОДНЯ !!!ГЛОБАЛЬНОЕ ПОТЕПЛЕНИЕ НАСТУПАЕТ !!! НАСТУПАЕТ ? ПОТЕПЛЕНИЕ ? ГЛОБАЛЬНОЕ ? СЕГОДНЯ ?АПОКАЛИПСИС ?

Похожие презентации

Республиканское методическое объединение преподавателей изобразительного искусства учреждений дополнительного образования
история Государственной символики России
Муртадха - презентация
Автомобиль и его топливо
Конструирование швейных изделий
Презентация на тему Части речи 1 класс
RFID – универсальное решение по оптимизации бизнес-процессов в товарно-логистической цепочке.
Click to edit Master title style Click to edit Master subtitle style
Тема: «Не то, что мните вы, природа…»Пейзажная лирика Ф.И.Тютчева.
Борьба Руси с внешними захватчиками в 13 веке
Метод проектов в детском саду
Презентация на тему Современные браузеры (11 класс)
Звездное небо (11 класс)
detpol12345
Август Фердинанд Мёбиус
Ключ инерционный КИ-158 для гайки М110
Галицкий Михаил Викторович, Директор ГБОУ СОШ №1189
Аквариумные рыбки 2 класс
Генетические наследственные болезни человека
Расстояние между параллельными прямыми
Латиноамериканские танцы
How Does Fishing Work
Подвижник русской культуры Д. С. Лихачёв
МОО Диалог
Обследование фонематического слуха и восприятия в раннем возрасте
Слитное и раздельное написание "не" и "ни" с разными частями речи
Дом моей мечты
Гипертекстовая интерпретация отрывка из оды М.В. Ломоносова
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть