Политика и модели безопасности в компьютерных системах

КС
3.Гарантирование выполнения политики безопасности. Изолированная программная среда

описывающая свойства, принципы и правила защищенности информации в КС в заданном пространстве угроз

Политика безопасности организации
-совокупность руководящих принципов, правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности (ГОСТ Р ИСО/МЭК 15408)

Политика безопасности должна быть оформлена в виде специального документа (или комплекта документов), с которым должны быть ознакомлены все пользователи системы.

ПБ информирует пользователей о том, как правильно эксплуатировать систему

ПБ определяет множество механизмов безопасности, которые должны существовать в ИС

в открытое состояние;
минимизация привилегий;
разделение обязанностей;
многоуровневая защита;
разнообразие защитных средств;
простота и управляемость информационной системы;
обеспечение всеобщей поддержки мер безопасности.

коммуникаций понимаются голосовая и электронная почта, а также факсы. Все сообщения, создаваемые и обрабатываемые с помощью электронных коммуникаций организации (включая резервные копии), принадлежат организации, а не пользователям электронных коммуникаций.
2. Авторизация. Система электронных коммуникаций организации может быть использована только в целях бизнеса. Личное использование электронных коммуникаций возможно, если оно:
занимает мало ресурсов;
не влияет на производительность труда;
не влияет на бизнес-процесс.
3.Минимальные привилегии. Пользователям должен быть дан минимум привилегий по использованию системы электронных коммуникаций, необходимых им для выполнения работы (например, рядовой пользователь не должен иметь прав изменять конфигурацию коммуникационного программного обеспечения).
4.Разделение пользователей. Система должна по возможности разделять деятельность разных пользователей, распознаваемых с помощью идентификаторов пользователей и паролей (это может быть затруднительно, например, для факсовых аппаратов).

полученными сообщениями следует использовать механизм распространения и другие авторизованные механизмы обмена информацией.
6.Отсутствие защиты по умолчанию. В системе не применяется шифрование сообщений по умолчанию. При пересылке чувствительной к раскрытию информации она должна быть зашифрована или защищена с помощью аналогичных шифрованию технологий.
7.Уважение права на тайну. За исключением специально оговоренных случаев, пользователи не могут вмешиваться в нормальную работу системы электронных коммуникаций с целью нарушения целостности или конфиденциальности сообщений. Компания уважает разумную конфиденциальность сообщений пользователей, организуя защиту системы электронных коммуникаций.
8.Отсутствие гарантий тайны сообщений. Компания не может гарантировать тайну сообщений. Пользователи должны быть осведомлены, что система электронных коммуникаций базируется на технологиях, которые не могут дать полной уве­ренности в конфиденциальности информации. Более того, их сообщения в особых случаях (см. ниже) могут быть доступны другим пользователям.
9. Регулярный мониторинг сообщений. Содержимое сообщений не просматривается регулярно. Однако такой мониторинг может быть осуществлен в целях безопасности, поддержки функционирования бизнеса, а также при расследовании инцидентов. Пользователи должны быть проинформированы о возможности мониторинга.

данной статистики можно сделать заключения, например, о доступности системы.
11.Раскрытие при происшествиях. Администратору системы может понадобиться просматривать содержимое сообщений при расследовании происшествий. При этом беспричинный просмотр содержимого сообщений запрещен.
12.Распространение сообщений. Вследствие того что некоторые виды информации предназначены для использования определенными пользователями, а не всеми пользователями системы, необходимо аккуратно распространять сообщения. Служебная информация организации не должна распространяться за пределы системы электронных коммуникаций организации без разрешения специального лица.
13.Удаление сообщений. Сообщения, необходимость которых для целей бизнеса исчерпана, должны периодически удаляться. По истечении определенного периода (обычно 6 месяцев) резервные копии сообщений удаляются. Если компания находится в особом режиме работы (например, вовлечена в судебный процесс), то сообщения могут удаляться только с разрешения специально оговоренного лица.
14.Запрещена посылка спама, в том числе рекламных сообщений, без получения предварительного запроса.
15.Запрещена подделка заголовков сообщений электронной почты.

средств защиты информации
-подтверждения свойств (защищенности) разрабатываемой системы путем формального доказательства соблюдения политики (требований, условий, критериев) безопасности
-составления формальной спецификации политики безопасности разрабатываемой системы

Модель безопасности
-формальное (математическое, алгоритмическое, схемотехническое и т.п.) выражение политики безопасности

Требования:
адекватность;
способность к предсказанию;
общность.

принципы или целевые функции защищенности и угроз
-формализованные правила, алгоритмы, механизмы безопасного функционирования КС

1. Компьютерная система – система, функционирующая в дискретном времени: t0,t1,t2,…,tk,…
В каждый следующий момент времени tk КС переходит в новое состояние.
В результате функционирование КС представляет собой детерминированный или случайный процесс
- стационарность (временнόе поведение [количественных] параметров системы)
- эргодичность (поведение параметров системы по совокупность реализаций)
- марковость (память по параметрам системы)

2. Модели конечных состояний позволяют описать (спрогнозировать) состояние КС в момент времени tn,(n≥1), если известно состояние в момент t0 и установлены некоторые правила (алгоритмы, ограничения) на переходы системы из состояния tk в tk+1

1.Понятие политики и моделей безопасности информации в КС

субъектно-объектные модели КС)

3. В каждый момент времени tk КС представляется конечным множеством элементов, разделяемых на два подмножества:
-множество субъектов - S
-множество объектов – O

4. В каждый момент времени tk субъекты могут порождать процессы над объектами, называемыми доступами
Доступы субъектов к объектам порождают информационные потоки, переводящие КС в новое состояние tk+1 , в котором в т.ч. м. измениться декомпозиция КС на множество субъектов и множество объектов

1.Понятие политики и моделей безопасности информации в КС

Т.о. процесс функ-я КС нестационарный

несколькими субъектами, воспринимающий объекты и получающий информацию о состоянии КС через субъекты, которыми он управляет

Свойства субъектов:
-угрозы информации исходят от субъектов, изменяющих состояние объектов в КС
-субъекты-инициаторы могут порождать через объекты-источники новые объекты
-субъекты могут порождать потоки (передачу) информации от одних объектов к другим

1.Понятие политики и моделей безопасности информации в КС

для субъекта Sm если существует субъект Sj , в результате воздейст- вия которого на объект Oi возникает субъект Sm
Sj – активизирующий субъект для субъекта Sm
Sm – порожденный субъект

- объекты-источники;
- объекты-данные

Create(Sj , Oi)→ Sm

Функционирование КС – нестационарный процесс, но в субъектно-объектной модели КС действует дискретное время ti. В любой момент времени ti множество субъектов, объектов-источников, объектов-данных фиксировано!!!

Определение 2.Объект в момент времени tk ассоциирован с субъектом , если состояние объекта Oi повлияло на состояние субъекта Sm в след. момент времени tk+1. (т.е. субъект Sm использует информацию, содержащуюся в объекте Oi).
Можно выделить: - множество функционально-ассоциированных объектов
- множество ассоциированных объектов-данных с субъектом Sm в момент времени tk

Следствие 2.1. В момент порождения объект-источник является ассоциированным с порожденным субъектом

Субъектно-объектная модель Щербакова

1.Понятие политики и моделей безопасности информации в КС

называется произвольная операция над объектом Oj, осуществляемая субъектом Sm , и зависящая от объекта Oi

– потоки информации м.б. только между объектами (а не между субъектом и объектом)
– объекты м.б. как ассоциированы, так и не ассоциированы с субъектом Sm
– операция порождения потока локализована в субъекте и сопровождается изменением состояния ассоциированных (отображающих субъект) объектов
– операция Stream может осуществляться в виде "чтения", "записи", "уничтожения", "создания" объекта

Определение 4.Доступом субъекта к объекту Oj называется порождение субъектом Sm потока информации между объектом Oj и некоторым(и) объектом Oi (в т.ч., но не обязательно, объект Oi ассоциирован с субъектом Sm)

Будем считать, что все множество потоков информации P (объединение всех потоков во все tk) разбито на два подмножества
- множество потоков PL , характеризующих легальный доступ
- множество потоков PN, характеризующих несанкционированный доступ

Определение 5.Правила разграничения доступа, задаваемые политикой безопасности, есть формально описанные потоки, принадлежащие множеству PL .

1.Понятие политики и моделей безопасности информации в КС

доступами субъектов к объектам

Аксиома 5. Субъекты в КС могут быть порождены только ак- тивной компонентой (субъектами же) из объектов

1.Понятие политики и моделей безопасности информации в КС

к системе фактором в виде указания дискретного набора троек "субъект-поток(операция)-объект"

- множество PL задается неявным образом через предоставление субъектам неких полномочий (допуска, мандата) порождать определенные потоки над объектами с определенными характеристиками конфиденциальности (метками, грифами секретности)

- множество PL задается через введение в системе дополнительных абстрактных сущностей – ролей, с которыми ассоциируются конкретные пользователи, и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы

1.Понятие политики и моделей безопасности информации в КС

система

Компонент представления (файловая система в ОС)

Компонент доступа (система ввода-вывода в ОС)

за сервисом к ядру системы и не д.б. никаких способов его обхода

Изолированность - монитор д.б. защищен от отслеживания и перехвата своей работы

Верифицируемость - монитор д.б. проверяемым на выполнение своих функций, т.е. быть тестируемым (самотестируемым)

Непрерывность - монитор должен функционировать при любых штатных и нештатных (в т.ч. и в аварийных) ситуациях

Монитор безопасности реализует политику безопасности на основе той или иной модели безопасности

2. Монитор (ядро) безопасности КС

монитора безопасности на две компоненты:

- монитор безопасности объектов (МБО)
- монитор безопасности субъектов (МБС)

2. Монитор (ядро) безопасности КС

Определение 6.Монитором безопасности объектов (МБО) называется субъект, активизирующийся при возникновении потока между любыми объектами, порождаемым любым субъектом, и разрешающий только те потоки, которые принадлежат множеству PL

Определение 7.Монитором безопасности субъектов (МБС) называется субъект, активизирующийся при любом порождении субъектов, и разрешающий порождение субъектов только для фиксированного подмножества пар активизирующих субъектов и объектов-источников

изолированную программную среду
(ИПС)

Защищенная компьютерная система

2. Монитор (ядро) безопасности КС

момент времени tk, если они совпадают как слова, записанные на одном языке

Определение 9.Субъекты Si и Sj тождественны в момент времени tk , если попарно тождественны все соответствующие ассоциированные с ними объекты

Следствие 9.1. Порожденные субъекты тождественны, если тождественны порождающие их субъекты и объекты-источники

Определение 10.Субъекты Si и Sj называются невлияющими друг на друга (или корректными относительно друг друга), если в любой момент времени отсутствует поток (изменяющий состояние объекта) между любыми объектами Oi и Oj , ассоциированными соответственно с субъектами Si и Sj , причем Oi не ассоциирован с Sj, а Oj не ассоциирован с Si

(Изменение состояние объекта – не тождественность в соотв. моменты времени)

Исх. тезис -
при изменении объектов, функционально
ассоциированных с субъектом монитора безопасности
могут измениться свойства самого МБО и МБС,
что м. привести к нарушению ПБ

абсолютно корректными относительно друг друга), если дополнительно к условию определения 10 множества ассоциированных объектов указанных субъектов не имеют пересечений

Утверждение 1.ПБ гарантированно выполняется в КС, если:
- МБО разрешает порождение потоков только из PL;
- все существующие в КС субъекты абсолютно корректны относительно МБО и друг друга

Достаточное условие гарантированного выполнения ПБ

МБО
субъект

На практике только корректность относительно МБО

Док-во:

∅

∅

∅

3. Гарантирование выполнения политики безопасности. ИПС.

корректны относительно МБО, а также МБС абсолютно коррек- тен относительно МБО, то в КС реализуется доступ, описанный правилами разграничения доступа (ПБ)

Достаточное условие гарантированного выполнения ПБ

∅

На практике легче, чем полная корректность субъектов относительно друг друга

∅

∅

∅

∅

∅

Док-во:

3. Гарантирование выполнения политики безопасности. ИПС.

разрешающий порождение только фиксированного конечного подмножества субъектов для любых объектов- источников при фиксированной декомпозиции КС на субъекты и объекты

Определение 13.Множество субъектов КС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС

Следствие 13.1. Любое подмножество субъектов изолированной (абсолютно изолированной) КС, включающее МБО и МБС, также составляет изолированную (абсолютно изолированную) программную среду

Называют "Изолированной программной средой (ИПС)"

Следствие 13.2. Дополнение изолированной (абсолютно изолированной) КС субъектом, корректным (абсолютно корректным) относительно любого из числа входящих в ИПС субъектов, оставляет КС изолированной (абсолютно изолированной)

3. Гарантирование выполнения политики безопасности. ИПС.

неизменнос- ти объекта, если для любого момента времени tk>t0 , в который активизирована операция Create, порождение субъекта Sm возможно только при тождественности объектов в соответствующие моменты времени –Oi[tk]= Oi[t0]

Утверждение 3.Если в момент времени t0 в изолированной КС действует только порождение субъектов с контролем неизменности объекта и существуют потоки между объектами через субъекты, не противоречащие условию корректности (абсолютной корректности) субъектов, то в любой момент времени КС также остается изолированной (абсолютно изолированной).

Базовая теорема ИПС

Док-во: 1.Из условия абс. корр. м.б. только такие потоки, которые изменяют состояние объектов, не ассоциированных в соотв. моменты времени с каким-либо субъектом. Отсюда не м.б. изменены объекты-источники.
2.Т.к. объекты-источники остаются неизменными, то мощность множества порождаемых субъектов нерасширяемо, и тем самым множество субъектов КС остается изолированным

Следствие 16.1. При порождении с контролем неизменности объектов субъекты, порожденные в различные моменты времени, тождественны Sm[t1]= Sm[t2]. При t1= t2 порождается один и тот же субъект.

3. Гарантирование выполнения политики безопасности. ИПС.

функционирования КС (особенно в нач. момент времени) из-за изменения уровня представления объектов (сектора-файлы) – проблема загрузки (начального инициирования) ИПС
сложность технической реализацией контроля неизменности объектов - проблема целостности объектов и проблема чтения реальных данных

3. Гарантирование выполнения политики безопасности. ИПС.

доступа
4.Модели распространения прав доступа

информационные потоки

Методы доступы

-виды действий (операций) субъектов над объектами КС (чтение/просмотр, запись/модификация/добавление, удаление, создание, запуск и т.п.)

Права доступа

-методы доступа (действия, операции), которыми обладают (наделяются, способны выполнять) субъекты над объектами КС

Политика (правила) разграничения доступа

-совокупность руководящих принципов и правил наделения субъектов КС правами доступа к объектам, а также правил и механизмов осуществления самих доступов и реализации информационных потоков

Разграничение доступа к информации (данным) КС

-разделение информации АИС на объекты (части, элементы, компоненты и т. д.), и организация такой системы работы с информацией, при которой пользователи имеют доступ только и только к той части информации (к тем данным), которая им необходима для выполнения своих функциональных обязанностей или необходима исходя из иных соображений
-создание такой системы организации данных, а также правил и механизмов обработки, хранения, циркуляции данных, которые обеспечивают функциональность КС и безопасность информации (ее конфиденциальность, целостность и доступность)

1. Общая характеристика политики дискреционного доступа

прав доступа к объектам в виде троек «субъект-операция-объект»

Виды политик (правил, механизмов) разграничения доступа

Политика мандатного разграничения доступа

-предоставление прав доступа субъектов к объектам неявным образом посредством присвоения уровней (меток) безопасности объектам (гриф конфиденциальности, уровень целостности), субъектам (уровень допуска/полномочий) и организация доступа на основе соотношения «уровень безопасности субъекта-операция-уровень безопасности объекта»

Политика тематического разграничения доступа

-предоставление прав доступа субъектам к объектам неявным образом посредством присвоения тематических категорий объектам (тематические индексы) и субъектам (тематические полномочия) и организация доступа на основе соотношения «тематическая категория субъекта-операция-тематическая категория объекта»

Политика ролевого разграничения доступа

Политика временнόго разграничения доступа

-предоставление пользователям прав работы в КС по определенному временному регламенту (по времени и длительность доступа)

Политика маршрутного доступа

-предоставление пользователям прав работы в КС при доступе по определенному маршруту (с определенных рабочих станций)

1. Общая характеристика политики дискреционного доступа

-агрегирование прав доступа к объектам в именованные совокупности (роли), имеющие определенный функционально-технологический смысл в предметной области КС, и наделение пользователей правом работы в КС в соответствующих ролях

внешним по отношению к системе факторов в виде указания дискретного набора троек "субъект-поток(операция)-объект";
-права доступа предоставляются («прописываются» в специальных информационных объектах-стуктурах, ассоциированных с монитором безопасности), отдельно каждому пользователю к тем объектам, которые ему необходимы для работы в КС;
-при запросе субъекта на доступ к объекту монитор безопасности, обращаясь к ассоциированным с ним информационным объектам, в которых «прописана» политика разграничения доступа, определяет «легальность» запрашиваемого доступа и разрешает/отвергает доступ

Модели и механизмы реализации дискреционного разграничения доступа

Различаются:
-в зависимости от принципов и механизмов программно-информационной структуры объекта(объектов), ассоциированных с монитором безопасности, в которых хранятся «прописанные» права доступа (тройки доступа)
-в зависимости от принципа управления правами доступа, т.е. в зависимости от того – кто и как заполняет/изменяет ячейки матрицы доступа (принудительный и добровольный принцип управления доступом)
Выделяют:
-теоретико-множественные (реляционные) модели разграничения доступа (пятимерное пространство Хартсона, модели на основе матрицы доступа)
-модели распространения прав доступа (модель Харисона-Рузо-Ульмана, модель типизованной матрицы доступа, теоретико-графовая модель TAKE-GRANT)

1. Общая характеристика политики дискреционного доступа

множество пользователей;
R - множество ресурсов;
E - множество операций над ресурсами;
S - множество состояний системы;
A - множество установленных полномочий.

- ресурсы
- вхождение пользователей в группы;
разрешенные операции для групп по отношению к ресурсам;

Элементы множества A - aijkl специфицируют:

Декартово произведение A×U×E×R×S - область безопасного доступа

Запрос пользователя на доступ представляет собой 4-х мерный кортеж: q = (u,e,R',s), где R' - требуемый набор ресурсов

Процесс организации доступа по запросу осуществляется по следующему алгоритму:

1.Вызвать все вспомогательные программы для предварительного принятия решения

2.Определить те группы пользователей, в которые входит u, и выбрать из A те спецификации полномочий P=F(u), которым соответствуют выделенные группы пользователей. Набор полномочий P=F(u) определяет т.н.привилегию пользователя

операцию. Набор полномочий P=F(e) определяет привилегию операции.

2. Пятимерное пространство Хартсона

R'. Набор полномочий P=F(R') определяет привилегию ресурсов.

На основе P=F(u), P=F(e) и P=F(R') образуется т.н. домен полномочий запроса:
D(q)= F(u)∩F(e)∩P=F(R')

2. Пятимерное пространство Хартсона

т.е. любой r из набора R' хотя бы один раз присутствует среди элементов D(q).

6.Осуществить разбиение D(q) на эквивалентные классы, так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'.
В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e.
В результате формируется новый набор полномочий на каж-дую единицу ресурса, указанного в D(q) - F(u,q).Набор F(u,q) назы-вается привилегией пользователя u по отношению к запросу q.

авторизация

2. Пятимерное пространство Хартсона

ИЛИ по элементам полномочий F(u,q) и запрашиваемым ресурсам r из набора R', и получить тем самым набор R'' - набор фактически доступных по запросу ресурсов

8.Оценить EAC и принять решение о доступе:
- разрешить доступ, если R'' и R' полностью перекрываются;
- отказать в доступе в противном случае.

9.Произвести запись необходимых событий

10.Вызвать все программы, необходимые для организации доступа после "принятия решения".

11.Выполнить все вспомогательные программы, вытекающие для каждого случая по п.8.

12.При положительном решении о доступе завершить физическую обработку.

Но!!! Безопасность системы в строгом смысле не доказана

2. Пятимерное пространство Хартсона

объектов O (o1,o2,…,oM)
- множество исходных субъектов S (s1,s2,…,sN) , при этом S ⊆ O
- множество операций (действий) над объектами Op (Op1 ,Op2 ,…,OpL)
- множество прав, которые м.б. даны субъектам по отношению к объектам R (r1,r2,…,rK) – т.н. "общие права"
- NxM матрица доступа A, в которой каждому субъекту соответствует строка, а каждому объекту - столбец. В ячейках матрицы располагаются права r соотв.субъекта над соотв. объектом в виде набора разрешенных операций Opi

A[si,oj]= aij - право r из R (т.е. не общее, а конкр. право)

Каждый элемент прав rk специфицирует совокупность операций над объектом
rk ~ (Op1k,Op2k,…,OpJk)

доступа A. Выделяют:

системы с принудительным управлением доступа;
системы с добровольным управлением доступом.

Принудительное управление доступом

- вводится т.н.доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)

Жесткость, но и более четкий контроль

Добровольное управление доступом

- вводится т.н. владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)

Гибкость, но и сложность контроля

- в таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

- в таких системах заполнять и изменять ячейки матрицы доступа может только администратор

3. Модели на основе матрицы доступа

распределенная информационная структура

СУБД

системная таблица с назначениями доступа

3. Модели на основе матрицы доступа

файловой системе ОС Windows
(Access Control List – ACL)

Объект 1

Объект 2

…

Структура списков доступа на примере NTFS

C каждым объектом NTFS связан т.н. дескриптор защиты, состоящий из:

ID влад.

ID перв. гр. влад.

DACL

SACL

DACL – последовательность произв. кол-ва элементов контроля доступа – АСЕ, вида:

SACL – данные для генерации сообщений аудита

Allowed /
Denied

ID субъекта
(польз., группа)

Права доступа
(отображ-е)

Флаги,
атрибуты

Объекты д.б. зарегистрированы в системе

Д.б. обеспечен контроль целостности ACL

3. Модели на основе матрицы доступа

исследования дискреционной политики

В модели Харрисона-Руззо-Ульмана помимо элементарных опе-раций доступа Read, Write и т.д., вводятся также т.н. прими-тивные операции Opk по изменению субъектами матрицы доступа:
Enter r into (s,o) - ввести право r в ячейку (s,o)
Delete r from (s,o) - удалить право r из ячейки (s,o)
Create subject s - создать субъект s (т.е. новую строку матрицы A)
Create object o - создать объект o (т.е. новый столбец матрицы A)
Destroy subject s - уничтожить субъект s
Destroy object o - уничтожить объект o

Состояние системы Q изменяется при выполнении команд C(α1, α2, …), изменяющих состояние матрицы доступа A. Команды инициируются пользователями-субъектами

Структура команды

Название

[Условия] (необяз.)

Операции

Command α(x1,…xk)
if r1 in A[s1,o1] and r2 in A[s2,o2] …
then; Op2 ; …;
end

xi – идентификаторы задействованных субъектов или объектов

Команды с одной операцией – монооперационные, с одним условием - моноусловные

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

праву r, если не существует (при определенном наборе команд и условий их выполнения) последовательности запросов к системе, которая приводит к записи права r в ранее его не содержащую ячейку матрицы A[s,o]

Command "создать файл"(s, f):
Create object f ;
Enter "own" into (s, f ) ;
Enter "read" into (s, f ) ;
Enter "write" into (s, f ) ;
end

Примеры команд -

Command «ввести право чтения"(s,s',f):
if own ⊆ (s, f ) ;
then
Enter r "read" into (s', f ) ;
end

Формулировка проблемы безопасности для модели Харрисона-Руззо-Ульмана:
Существует ли какое-либо достижимое состояние, в котором конкретный субъект обладает конкретным правом доступа к конкретному объекту? (т.е. всегда ли возможно построить такую последовательность запросов при некоторой исходной конфигурации когда изначально субъект этим правом не обладает?)

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

которых запросы содержат лишь одну примитивную операцию

Теорема 2. Проблема безопасности неразрешима в общем случае

Выводы по модели Харрисона-Руззо-Ульмана:
-данная модель в ее полном виде позволяет реализовать множество политик безопасности, но при этом проблема безопасности становится неразрешимой
-разрешимость проблемы безопасности только для монооперационных систем приводит к слабости такой модели для реализации большинства политик безопасности (т.к. нет операции автоматического наделения своими правами дочерних объектов, ввиду чего по правам доступа они изначально не различимы)

Харрисон, Руззо и Ульман показали :

Док-во
на основе
моделирования
системы
машиной
Тьюринга

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

;
then
Create object f ;
Enter "read" into [s2, f ] ;
Enter "write" into [s2, f ] ;
Enter "execute" into [s2, f ];
if read ∈ [s1, o2] ;
then
Enter "read" into [s1, f ] ;
if write ∈ [s1, o2] ;
then
Enter "write" into [s1, f ] ;
if execute ∈ [s1, o2] ;
then
Enter "execute" into [s1, f ] ;
end

Command “запустить файл"(s1, f ):
if execute ∈ [s1, f ] ;
then
Create subject f ' ;
Enter "read“ into [f ',o1];
Enter "read" into [f ',o3];
if write ∈ [s1,o2] ;
then
Enter “write“ into [f',o2];
end

Command “скопировать файл o3 программой f ' в o2“ (f ',o3, o2):
if read ∈ [f ', o3] and
write ∈ [f ', o2]
then
Create object o';
Write (f ', o3 , o');
if read ∈ [s2, o2] ;
then
Enter "read" into [s2,o'];
end

4.Модели распространения прав доступа. 4.1.Модель Харрисона-Руззо-Ульмана (модель HRU)

τk (например, "user"- пользователь, 'so"-офицер безопасности и "file"), которым могут соответствовать сущности КС (субъекты и объекты).
Накладываются ограничения на условия и соответствие типов в монотонных операциях (порождающие сущности)
Смягчаются условия на разрешимость проблемы безопасности

Определение 1. Тип τk является дочерним типом в команде созда- ния α(x1:τ1, x2:τ2,…, xk:τk), если и только если имеет место один из следующих элементарных операторов: "Create subject xk of type τk" или "Create object xk of type τk". В противном случае тип τk является родительским типом.

Анализ проблем безопасности в модели ТАМ
основывается на понятии родительских и дочерних типов

Вводится
Граф отношений
наследственности

Command α(x1:τ1, x2:τ2,…, xk: τk)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

субъект типа u - (s1:u)

2-й шаг. α(s3:u, o1:v):
Create subject s3 of type u ;
Inter r'' into [s3, o1] ;
end

1-й шаг. α(s1:u, s2:w, o1:v):
Create object o1 of type v ;
Inter r into [s1, o1] ;
Create subject s2 of type w ;
Inter r' into [s2, o1] ;
end

v – дочерний тип в команде α, в теле которой имеются еще типы u, w. Т.о. в Графе отношений наследственности возникают дуги (u,v), (w,v) и в т.ч. (v,v)

w – дочерний тип в команде α, в теле которой имеются еще типы u, v. Т.о. в Графе отношений наследственности возникают дуги (u,w), (v,w) и в т.ч. (w,w)

u – дочерний тип в команде α, в теле которой имеются еще тип v. Т.о. возникают дуги (v,u) и в т.ч. (u,u)

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

наследственности не содержит циклов

Также, как и в модели HRU, используется понятие монотонной (МTAM) системы, которая не содержит примитивных операторов Delete и Destroy.

Теорема 3. Проблема безопасности разрешима для ацикличных реализаций МTAM

4.Модели распространения прав доступа. 4.2.Модель типизованной матрицы доступа (модель TAM)

как и в модели HRU система защиты представляет совокупность следующих множеств:
- множество исходных объектов O (o1,o2,…,oM)
- множество исходных субъектов S (s1,s2,…,sN), при этом S ⊆ O
- множество прав, которые м.б. даны субъектам по отношению к объектам (r1,r2,…,rK) ∪ {t, g}, в том числе с двумя специфическими правами – правом take (t – право брать права доступа у какого-либо объекта по отношению к другому объекту) и правом grant (g – право предоставлять права доступа к определенному объекту другому субъекту)
множеством E установленных
прав доступа (x, y, α) субъекта x
к объекту y с правом α из конеч-
ного набора прав. При этом сос-
тояние системы представляется
Графом доступов Г

Джонс, Липтон, Шнайдер, 1976г.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

"Брать" – take(α, x, y, z)

Команда «Давать" – grant(α, x, y, z)

субъект x берет права доступа α ⊆ β на объект z у объекта y (обозначения: ├с – переход графа Г в новое состояние Г' по команде c ; x∈ S; y, z∈ O)

субъект x дает объекту y право α ⊆ β на доступ к объекту z

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

правами доступа на него β ⊆ R (y – новый объект, O'=O ∪ {y}), в т. ч. с правами t, или g, или {t, g}.

Команда «Изъять" – remove(α, x, y)

субъект x удаляет права доступа α ⊆ β на объект y

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

доступа к определенному объекту (в начальном состоянии Г0 (O0, S0, E0) такие права отсутствуют) при определенной кооперации субъектов путем последовательного изменения состояния системы на основе выполнения элементарных команд. Рассматриваются две ситуации – условия санкционированного, т.е. законного получения прав доступа, и условия «похищения» прав доступа

3.1. Санкционированное получение прав доступа

Определение 3. Для исходного состояния системы Г0 (O0, S0, E0) и прав доступа α ⊆ R предикат "возможен доступ(α,  x,  y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN), такие, что:
Г0 (O0, S0, E0) ├с1 Г1 (O1, S1, E1) ├с2…├сN ГN (ON, SN, EN) и (x, y,α)∈ EN
где c1,  c2, …, cN – команды переходов

Определение 4. Вершины графа доступов являются tg-связными (соединены tg-путем), если в графе между ними существует такой путь, что каждая дуга этого пути выражает право t или g (без учета направления дуг)

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

x,  y, Г0 )" истинен тогда и только тогда, когда выполняются следующие условия:
- существуют субъекты s1,…,sm такие, что (si, y, γi)∈E0 для i=1,  …, m и α =γ1 ∪…∪γm.
- субъект х соединен в графе Г0 tg-путем с каждым субъектом si для i=1, …, m

получение прав α доступа субъектом x у субъекта s на объект y при различных вариантах непосредственной tg-связности

Доказательство

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

подграф, состоящий только из вершин субъектов.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

)" истинен тогда и только тогда, когда выполняются условия:
- существуют объекты s1,…,sm такие, что (si, y, γi)∈E0 для i=1,  …, m и α =γ1 ∪…∪γm .
- существуют вершины-субъекты x1',…,xm' и s1',…,sm' такие, что:
--  х = хi' или хi' соединен с x начальным пролетом моста для i=1,  …, m;
--  si = si' или si' соединен с si конечным пролетом моста для i=1,  …, m.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

доступа α ⊆ R предикат "возможно похищение(α,  x,  y, Г0 )" является истинным тогда и только тогда, когда существуют графы доступов системы Г1 (O1, S1, E1), Г2 (O2, S2, E2), …, ГN (ON, SN, EN) такие, что:
Г0 (O0, S0, E0) ├с1 Г1 (O1, S1, E1) ├с2…├сN ГN (ON, SN, EN) и (x, y,α)∈ EN
где c1,  c2, …, cN – команды переходов;
при этом, если ∃ (s, y, α) ∈ E0, то ∀ z ∈ Sj , j=0,1,…, N выполняется: c1 ≠  grant(α, s, z, y).

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

)" истинен тогда и только тогда, когда выполняются условия:
- (x, y,α) ∉ E0.
- существуют субъекты s1,…,sm такие, что (si, y, γi)∈ E0 для i=1, …, m и α =γ1 ∪…∪γm
- являются истинными предикаты "возможен доступ(t, x, si, Г0)" для i=1, …, m.

4.Модели распространения прав доступа. 4.4.Теоретико-графовая модель TAKE-GRANT

без их непосредственного взаимодействия (операции Read, Write)

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

де-факто)

имеется неявная возможность передачи (записи) [конфиденциальной] информации из объекта y субъекту x, когда тот осуществляет доступ r к объекту y

имеется неявная возможность получения (чтения) объектом y [конфиденциальной] информации от субъекта x], когда тот осуществляет доступ w к объекту y

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

доступ r к объекту y, к которому субъект z осуществляет доступ w, а субъект z, в свою очередь, получает возможность записи своей информации в субъект  x

субъект x получает возмож-ность чтения информации из объекта z, осуществляя доступ r к субъекту y, который, в свою очередь, осуществляет доступ r к объекту z, при этом также у субъекта x возникает возможность записи к себе информации из объекта  z

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

осуществляя доступ w к субъекту y, который, в свою очередь, осуществляет доступ w к объекту z, при этом также у субъекта z возникает неявн. возможность чтения конф. информации из субъекта  x

при осуществлении субъек-том y доступа r к объекту z возникает неявная возмож-ность внесения из него конф. информации в другой объект x, к которому субъект y осуществляет дос-туп w, и, кроме того, возни-кает возможность получе-ния информации (чтения) объектом x из объекта z

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

(субъек-тами) x и y системы осуществляется на основе поиска и построе-ния в графе доступов пути между x и y, образованного мнимы-ми дугами, порождаемыми применением команд де-факто к различным фрагментам исходного Графа доступов

- при допущении возможности или при наличии достоверных фактов о состоявшемся неявном информационном потоке от одного объекта(субъекта) к другому объекту(субъекту), анализировать и выявлять круг возможных субъектов-"заговорщиков" несанкционированного информационного потока

- для какой-либо пары объектов (субъектов) осуществлять анализ не только возможности неявного информационного потока, но и количественных характеристик по тому или иному маршруту:
возможно взвешивание мнимых дуг на Графе доступов посредством оценки вероятности их возникновения
возможны количественные сравнения различных вариантов возникновения неявного потока по длине пути на Графе доступов

- оптимизировать систему назначений доступа по критериям минимизации возможных неявных информационных потоков

4.Модели распространения прав доступа. 4.5.Расширенная (extended) модель TAKE-GRANT

операции над отдельным объектом)
Простота реализации

Недостатки дискреционных моделей

Слабые защитные характеристики из-за невозможности для реальных систем выполнять все ограничения безопасности
Проблема "троянских коней"
Сложности в управлении доступом из-за большого количества назначений прав доступа

многих стран

1. Общая характеристика моделей мандатного доступа

Гл. задача:
не допустить утечки информации из документов
с высоким грифом секретности к сотрудникам
с низким уровнем допуска

оператором доминирования

Основные положения моделей мандатного доступа

Устанавливается функция (процедура) присваива-ния субъектам и объектам уровней безопасности

Управление и контроль доступом субъектов к объектам производится на основе двух правил:

1.Запрет чтения вверх (no read up - NRU) - субъект не может читать объект с уровнем безопасности, большим своего уровня безопасности

NWD) - субъект не может писать информацию в объект, уровень безопасности которого ниже уровня безопасности самого субъекта (т.н. *-свойство)

Для управления (разграничения) доступом к объектам одного уровня конфиденциальности используют дискреционный принцип, т.е. дополнительно вводят матрицу доступа

т.о. в моделях мандатного доступа
устанавливается жесткое управление доступом с целью
контроля не столько операций, а потоков между сущностям с
разным уровнем безопасности

∙, ⊗), где
L – базовое множество уровней безопасности
≤ – оператор доминирования, определяющий частичное нестрогое отношение порядка на множестве L. Отношение, задаваемое ≤ , рефлексивно, антисимметрично и транзитивно:
∀ l ∈ L: l ≤ l ;
∀ l1, l2 ∈ L: (l1 ≤ l2 ∧ l2 ≤ l1) ⇒ l1 = l2 ;
∀ l1, l2, l3 ∈ L: (l1 ≤ l2 ∧ l2 ≤ l3) ⇒ l1 ≤ l3 ;
∙ – оператор, определяющий для любой пары l1, l2 ∈ L наименьшую верхнюю границу -
l1∙ l2 = l ⇔ l1, l2≤ l ∧∀ l'∈L: (l' ≤ l) ⇒ (l' ≤ l1 ∨ l' ≤ l2)
⊗ – оператор, определяющий для любой пары l1, l2 ∈ L наибольшую верхнюю границу -
l1 ⊗ l2 = l ⇔ l ≤ l1, l2 ∧∀ l'∈ L:(l' ≤ l1 ∧ l' ≤ l2) ⇒ (l' ≤ l)

во множество уровней безопасности L решетки ΛL .
Обратное отображение FL-1: L → X задает разделение всех сущностей КС на классы безопасности Xi, такие что:
X1 ∪ X2 ∪ …∪ XN = X ,
где N - мощность базового множества уровней безопасности L;
Xi  ∩ Xj ≡ ∅ , где i ≠ j;
∀ x'∈ Xi ⇒ fL(x')= li , где li ∈ L

Функция уровня безопасности FL: X→ L

S
- множества объектов O
- множества прав доступа R (в исх. виде всего два элемента - read и write)
- матрицы доступа A[s,o]
- решетки уровней безопасности L субъектов и объектов (допуска и грифы секретности)
- функции уровней безопасности fL, отображающей элементы множеств S и O в L
- множества состояний системы V, которое опре- деляется множеством упорядоченных пар (fL,A)
- начального состояния v0
- набора запросов Q субъектов к объектам, выполне- ние которых переводит систему в новое состояние
- функции переходов FT : (V x Q) → V, которая переводит систему из одного состояния в другое при выполнении запросов

безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта:
∀s∈S, ∀o∈O, read ∈ А[s,o]→fL(s)≥fL(o)

2. Состояние называется безопасным по записи (или *-безо- пасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности этого субъекта:
∀s∈S, ∀o∈O, write ∈ А[s,o]→fL(o)≥fL(s)

3. Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи

На основе определений 1,2 и 3 критерий безопасности:

Система Σ(v0 , Q, FT) безопасна тогда и только тогда, когда ее начальное состояние v0 безопасно и все состояния, достижимые из v0 путем применения конечной последовательности запросов из Q безопасны

Система Σ(v0,Q, FT) безопасна тогда и только тогда, когда:
1.Состояние v0 безопасно
2.Функция переходов FT такова, что любое состояние v, достижимое из v0 при выполнении конечной последовательности запросов из множества Q, также безопасно
3.Если при FT(v,q)=v*, где v=(fL , A) и v*=(fL*, A*), переходы системы из состояния в состояние подчиняются следующим ограничениям для ∀s∈S и для ∀o∈O:
- если read ∈A*[s,o] и read ∉A[s,o], то fL*(s)≥fL*(o)
- если read ∈A[s,o] и fL*(s)- если write ∈A*[s,o] и write ∉A[s,o], то fL*(s)≤fL*(o)
- если write ∈A[s,o] и fL*(o)

Правила доступа и ограничения NRU и NWD должны работать независимо от предыстории конкретных объектов и субъектов

При переходе в новое состояние не возникает никаких новых и
не сохраняется никаких старых отношений доступа, которые небезопасны
по отношению к функции уровня безопасности нового состояния

направленность потоков, а не взаимоотношения конкретного субъекта с конкретным объектом, поэтому недекларированный поток троянской программы «сверху-вниз» будет считаться опасным и отвергнут МБО)
каналы утечки не заложены в саму модель, а могут возникнуть только в практической реализации

Недостатки модели Белла-ЛаПадулы:

возможность ведения операций доступа (Delete), не влияющих с т.зр. модели на безопасность, которые тем не менее могут привести к потери данных
проблема Z-системы (Мак-Лин) - такая система, в которой при запросе все сущности м.б. деклассифицированы до самого низкого уровня и тем самым м.б. осуществлен любой доступ (в модели не заложены принципы и механизмы классификации объектов)
отсутствие в модели доверенных субъектов-администраторов Типовые действия администраторов (создание пользователей, установление их полномочий и т.д.) не могут ни приводить к нарушениям безопасности с т.зр. модели Белла-ЛаПадулы

состояниями

Функция перехода FT(v,q)=v* безопасна по чтению когда:
1. Если read ∈A*[s,o] и read ∉A[s,o], то fLs(s)≥fLo(o) и fL=fL*
2. Если fLs≠fLs*, то A=A*, fLo=fLo* , для ∀s и o, у которых fLs*(s)3. Если fLo≠fLo*, то A=A*, fLs=fLs* , для ∀s и o, у которых fLs*(s)

Функция перехода FT (v,q)=v* безопасна по записи когда:
1.Если write ∈A*[s,o] и write ∉A[s,o],то fLo(o)≥fLs(s) и fL=FL*
2. Если fLs≠fLs*, то A=A*, fLo=fLo* , для ∀s и o, у которых fLs*(s)>fLo*(o), - write ∉A[s,o]
3. Если fLo≠fLo*, то A=A*, fLs=fLs* , для ∀s и o, у которых fLs*(s)>fLo*(o), - write ∉A[s,o]

Нельзя изменять одновременно
более одного компонента состояния системы. Можно:
-либо ввести новое отношение доступа
-либо изменить уровень субъекта
-либо изменить уровень объекта

когда она изменяет только один из компонентов состояния и изменения не приводят к нарушению безопасности системы

Критерий безопасности
Мак-Лина для функции перехода

Теорема безопасности Мак-Лина.
Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние безопасно, а функция перехода удовлетворяет критерию безопасности Мак-Лина

Но! Нет контроля самого
процесса изменения уровней безопасности сущностей
в процессе осуществления переходов

доверенных субъектов, которым (и только им) разрешается инициировать переходы с изменениями уровней безопасности сущностей системы – С(S)

Соответственно функция переходов системы Σ(v0,Q, FTа) – FTа приобретает дополнительный параметр авторизации

Функция перехода FTа(v,s,q) в модели с называется авторизованной тогда и только тогда, когда для каждого перехода FTа(v,s,q)=v* , при котором:
для ∀x∈S∪O: если fL(x) ≠ fL(x), то s∈С(S)

Система Σ(v0,Q, FTa) c доверенными субъектами безопасна если :
1.Начальное состояние v0 безопасно и все достижимые состояния безопасны по критерию Белла-ЛаПадулы
2.Функция переходов FTа является авторизованной

при операции write уровень объекта выше уровня субъекта то:
- происходит понижение уровня безопасности объекта до уровня безопасности субъекта;
- перед внесением новой старая информация в объекте стирается (чтобы потом нельзя было прочесть)

В матрице доступа вводятся групповые объекты и др.

Доступ к определенной информации или модификация ее уровня безопасности может осуществляться только в результа-те совместных действий нескольких пользователей (т.е. только в результате группового доступа- z.b. гриф секретности документа м.б. изменен только совместными действиями владельца-исполнителя и администратора безопасности )

Вводится дополнительная операция reset(s,o), которая повышает до максимального уровень безопасности объекта при условии F(s)>F(o). В результате субъекту м.б. доступен по write любой объект

посредством которого субъект с высоким уровнем безопасности м. предоставить определенные аспекты конфиденциальной информации субъекту, уровень безопасности которого ниже уровня безопасности конф. информации
проблема удаленного доступа. В распределенных системах осуществление доступа всегда сопровождается потоком информации в прямом и обратном направлении, что результате может приводить к нарушениям привил NRU и NWD
проблема избыточности прав доступа. Без учета матрицы доступа (т.е. без использования дискреционного доступа) мандатный принцип доступа организует доступ более жестко, но и более грубо, без учета потребностей конкретных пользователей-субъектов

Тем не менее модель Белла-ЛаПадулы оказала сильное влияние на развитие моделей безопасности и стандартов защищенности КС

доступа

тематически классифицируются

Политика тематического разграничения доступа

-- монорубрицированная
-- мультирубрицированная
- фасетная

Дескрипторная тематичес-кая классифи-кация

x1 с более широкой тематикой к сущностям x2 с более узкой тематикой (x1 → x2) F[x1] ≥ F[x2]
- между сущностями x1 и x2 с несравнимой тематикой (x1↔ x2) F [x2] ≥ ≤ F [x2]

Политика тематического разграничения доступа

решетка Λд(Pд, ⊆, ∪, ∩) подмножеств множества Tд = {τ1,τ2,…,τM} , где Pд=Fд[x] ⊆ Tд , x ∈ S ∪ O

2. На иерархическом рубрика-торе при монорубрициро-ванной классификации
решетка Λи(Tи∅, ≤, supи, infи) на корневом дереве рубрикатора Tи ={τ1,τ2,…,τM } путем добавления вершины τ0 (с пус-той тематикой) и замыкания на нее всех листовых вершин

решетка Λи(T л, ⊆, ∪ил, ∩) листовых подмножеств вершин на корневом дереве рубрикатора. Решетки Λи(Tи∅, ≤, supи, infи) и Λи(T л, ⊆, ∪ил, ∩) изоморфны

мультирубрициро-ванной классификации
решетка Λи(IР, ⊆, ∪ир, ∩) рубрикаторных идеалов IР2 ⊆ IР6, IР2 ⊆ IР1, IР4 ⊆ IР3, IР5 ⊆ IР3, IР6 = IР1 ∩ IР2, IР3 = IР4 ∪ир IР5

решетка мультирубрик Λи(Tм,≤м,∪м, ∩м)

Определение 1. Мультирубрика T мi доминирует над мультирубрикой T мj  – {τ(j)1, τ(j)2,…, τ(j)J} ≤ {τ(i)1, τ(i)2,…, τ(i)I} в том и только в том случае, когда для любого m=1,…,J  существует k=1,…,I такое, что τ(j)m ≤ τ(i)k (вершина τ(j)m   подчинена по корневому дереву вершине τ(i)k):
∀ τ(j)m∈ T мj , ∃ τ(i)k∈ T мi ∧ τ(j)m ≤ τ(i)k .

T м2 ≤мT м6, T м4 ≤мT м3, T м5 ≤мT м3, T м6=T м1∩мT м2, T м3= T м4 ∪м T м5

T мi={τ(i)1,τ(i)2,…,τ(i)I} и T мj={τ(j)1,τ(j)2,…,τ(j)J}
называется операция формирования множества вершин иерархического рубрикатора T м∪ = T мi ∪м T мj на основе следующего алгоритма:
1)Формируется теоретико-множественное объединение множеств вершин, составляющих мультирубрики –
T ∪ = {τ(i)1, τ(i)2,…, τ(i)I}∪{τ(j)1, τ(j)2,…, τ(j)J};
2)Формируется набор вершин Tм∪' путем исключения из него тех вершин из T ∪, которые доминируются хотя бы одной вершиной из того же набора T ∪ –
(τk ∈ T ∪∧ τk ∈ T м∪) ≡ ( ∃ τm ∈ T ∪∧ τm ≤ τk);
3)Формируется итоговый набор вершин T м∪ путем добавления в него результатов иерархического сжатия по всем подмножествам набора вершин T м∪' и одновременным исключением соответствующих наборов сыновей при непустом результате сжатия

Лемма 1. Множество рубрик T м∪ = T мi  ∪м T мj, формируемое на основе объединения мультирубрик по определению 2,
а) является мультирубрикой;
b) доминирует над мультирубриками T мi  и T мj, т.е. T мi ≤ T м∪ ∧ T мj ≤ T м∪ ;
c) является наименьшей верхней границей мультирубрик  T мi  и T мj.

τ20

{τ7 , τ8 }  ∪м {τ11, τ12, τ9}
1) {τ7 , τ8 , τ11, τ12, τ9}
2) {τ7 , τ8 , τ11, τ9}
3) {τ11, τ7 , τ4}

T мi ={τ(i)1, τ(i)2,…, τ(i)I} и T мj = {τ(j)1, τ(j)2,…, τ(j)J}  называется операция формирования множества вершин иерархического рубрикатора T м∩ = T мi ∩м T мj на основе следующего алгоритма:
1)Из множества вершин мультирубрики T мi={τ(i)1,τ(i)2,…,τ(i)I} формируются множество вершин T м'i, которые доминируются хотя бы одной вершиной из множества вершин другой мультирубрики T мj = {τ(j)1,τ(j)2,…, τ(j)J};
2)Из множества вершин мультирубрики T мj = {τ(j)1,τ(j)2,…, τ(j)J} формируются множество вершин T м'j, которые доминируются хотя бы одной вершиной из множества вершин первой мультирубрики T мi ={τ(i)1, τ(i)2,…, τ(i)I};
3)Формируется теоретико-множественное объединение T м∩ = T м'i ∪ T м'j

Лемма 2. Множество рубрик T м∩ = T мi  ∩м T мj, формируемое на основе пересечения мультирубрик по определению 3,
а) является мультирубрикой;
b) доминируется мультирубриками T мi  и T мj, т.е. T м∩ ≤ T мi  ∧ T м∩ ≤ T мj ;
c) является наибольшей нижней границей мультирубрик  T мi  и T мj.

τ20

{τ7 , τ8 }  ∩м {τ11, τ12, τ9}
1) {τ7 , τ8} → ∅
2) {τ11, τ12, τ9} → {τ12}
3) ∅ ∪ {τ12}= {τ12}

доступа. В системе ΣТии действует МБО, санкционирующий запросы субъектов на доступ к объектам, и МБС, управляющий инициализацией субъектов

2.Информационно-логическая схема предметной области системы ΣТии представляется тематическим иерархическим классификатором (рубрикатором). Рубрикатор включает конечное множество тематических рубрик Tи ={τ1,τ2,…, τM}, на котором установлен частичный порядок, задаваемый корневым деревом

τ20

мультирубрик Tм, определенных на корневом дереве иерархического рубрикатора.
Существует функция тематического окрашивания fм, которая в каждый момент времени для любой сущности системы x ∈ X определяет соответствующую ей мультирубрику:
fм[x] = T мi , T мi ∈ Tм.

3. Модель тематико-иерархического разграничения доступа

4.Тематический критерий безопасности. Система ΣТии безопасна тогда и только тогда, когда в ней отсутствуют потоки следующих видов:
- от сущностей с более широкой тематикой к сущностям с более узкой тематикой;
- между несравнимыми по тематике сущностями.

к существующим объектам, санкционируются МБО на основе следующих правил:

3. Модель тематико-иерархического разграничения доступа

Правило 1. Доступ субъекта s к объекту o, вызывающий поток по чтению Stream(s)←o , неопасен и может быть МБО разрешен тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта:
fм[s] ≥ fм[o]

Правило 2. Доступ субъекта s к объекту o, вызывающий поток по записи Stream(s)→o , неопасен и может быть МБО разрешен тогда и только тогда, когда мультирубрика объекта доминирует над мультирубрикой субъекта:
fм[o] ≥ fм[s]

санкционируются МБО и МБС на основе следующих правил:

3. Модель тематико-иерархического разграничения доступа

Правило 3. Порождение субъектом s нового объекта o', в том числе и за счет чтения из другого объекта o, неопасно и может быть МБО разрешено тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта o, при этом МБО присваивает новому объекту o' мультирубрику, равную или доминирующую над мультирубрикой субъекта:
fм[o] ≤ fм[s] ≤ fм[o' ]

Правило 4. Инициализация субъектом s нового субъекта s' посредством воздействия на объект источник o неопасна и может быть МБС разрешена тогда и только тогда, когда мультирубрика субъекта доминирует над мультирубрикой объекта-источника, при этом МБС присваивает новому субъекту мультирубрику, тождест-венную мультирубрике инициализирующего субъекта:
fм[o] ≤ fм[s] ≡ fм[s' ]

на основе следующего правила:

3. Модель тематико-иерархического разграничения доступа

Правило 5. Одновременный множественный доступ субъекта s к объектам o1, o2,… или субъектов s1, s2,… к объекту o может быть разрешен (неопасен) тогда и только тогда, когда выполняются следующие условия:
при доступе по чтению
fм[s] ≥ ∪м{ fм[o1], fм[o2],…}
fм[o] ≤ ∪м{ fм[s1], fм[s2],…}
при доступе по записи
fм[s] ≤ ∩м{ fм[o1], fм[o2],…}
fм[o] ≥ ∩м{ fм[s1], fм[s2],…}

объектов доступа на множество тематических мультирубрик, в которой доступы санкционируются по правилам 1, 2, 3, 4 и 5, реализуется множество только таких потоков, которые удовлетворяют тематическому критерию безопасности

Доказательство

По условиям теоремы при санкционировании потока o1→ o2 имеем:
fм[s] ≥ fм[o1]  ∧ fм[o2] ≥ fм[s] 
Отсюда следует, что: fм[o2] ≥ fм[o1]  
Аналогично по условиям теоремы при санкционировании потока s1→ s2 имеем
fм[s1] ≤ fм[o]  ∧ fм[s2] ≥ fм[o] .
Отсюда следует, что: fм[s2] ≥ fм[s1] 

систем

пользователей

Вместо субъекта
- пользователь (конкретная активная сущность)
- роль (абстрактная активная сущность)

Неформально Роль: - типовая работа в КС (ИС) определенной группы пользователей

Аналог -нормативное положение, функциональные обязанности и права сотрудников по определенной должности

например м.б. роли-
кассира, бухгалтера, делопроизводителя, менеджера и т.п.

Формально РОЛЬ - активно действующая в КС абстрактная сущность, обладающая логически взаимосвязанным набором полномочий, необходимых для выполнения определенных функциональных обязанностей
- выделенная и обособленная совокупность полномочий над определенной группой или тематикой ресурсов (объектов), имеющая отдельное и самостоятельное значение в предметной области КС (ИС)

Впервые в продуктах
управления доступом корп.
IBM(70-80.гг.)

- множество полномочий на доступ к объектов;
S - множество сеансов системы

Устанавливаются отношения:
FPℜ - P х ℜ - отображение множества полномочий на множество ролей, например в виде ролевой матрицы доступа (Apρ )
FUℜ - U х ℜ - отображение множества пользователей на множество ролей, например, в виде матрицы "пользователи-роли", задающая набор доступных пользователю ролей (Auρ)

Организация доступа в две стадии-
-создаются роли и для каждой из них определяются полномочия
-каждому пользователю назначается список доступных ролей

1. Модели ролевого доступа

пользователя, который осуществляет этот сеанс работы с системой - fuser(s)=u
froles - S→P(ℜ ) - для каждого сеанса s функция froles определяет набор ролей, которые могут быть одновременно доступны пользователю в этом сеансе: froles(s)={ρi |( fuser(s), ρi) ∈ Auρ}
fpermissions - S→P - для каждого сеанса s функция fpermissions задает набор доступных в нем полномочий, который определяется как совокупность полномочий всех ролей, задействованных в этом сеансе fpermissions(s)= ∪ρ∈froles(s){pi|(pi , ρ)∈Apρ }

Критерий безопасности:
-система считается безопасной, если любой пользователь,
работающий в сеансе s, может осуществить действия,
требующие полномочий p, только в том случае , если
p =fpermissions(s)

1. Модели ролевого доступа

доступа дискреционных моделей и жесткостью правил контроля доступа мандатных моделей

Наиболее распространены модели с иерархической организацией ролей

-чем выше роль по иерархии, тем больше полномочий
-если пользователю присвоена какая-то роль, то ему автоматически присваиваются все роли ниже по иерархии

Ближе к реальной жизни

1. Модели ролевого доступа

частичное отношение порядка на множестве ℜ , которое определяет иерархию ролей и задает на множестве ℜ оператор доминирования ≥, такой, что если ρ1 ≥ ρ2, то роль ρ1 находится выше по иерархии, чем роль ρ2
FhUℜ - U х ℜ - назначает каждому пользователю набор ролей, причем вместе с каждой ролью в него (набор ролей) включаются все роли, подчиненные ей по иерархии, т.е. для ∀ ρ,ρ'∈ ℜ, u∈U: ρ ≥ ρ' ∧ (u,ρ)∈ Ahuρ ⇒ (u,ρ')∈ Ahuρ

Функции:
f hroles - S→P(ℜ) – назначает каждому сеансу s определяет набор ролей из иерархии ролей пользователя, работающего в этом сеансе: f hroles(s)={ρi |(∃ ρ' ≥ ρi (fuser(s), ρ') ∈ Ahuρ )}
f hpermissions - S→P – определяет полномочия сеанса s как совокуп- ность полномочий всех задействованных пользователем в нем ролей и полномочий всех ролей, подчиненных им: f hpermissions(s)= ∪ρ∈f hroles(s){pi|(∃ ρ''≤ ρ (pi ,ρ'')∈Apρ )}

1. Модели ролевого доступа

подход;
∙    нетаксономический листовой подход;
∙    иерархически охватный подход

Строго таксономический листовой подход

1. Модели ролевого доступа

F hPℜ(ρ лj) = {p(j)1, p(j)2,…} ,
F hPℜ(ρ лj) ∩ F hPℜ(ρ лi)∩…=∅ ,
F hPℜ(ρ лj) ∪ F hPℜ(ρ лi)∪…= P .
F hPℜ(ρ иk) = F hPℜ(ρ(k)i) ∪ ∪ F hPℜ(ρ(k)j) ∪ … ,
где {ρ(k)i, ρ(k)j, …} – полный набор ролей-сыновей для роли ρиk.
F hPℜ(ρ и1) = P

= {p(j)1, p(j)2,…} ,
F hPℜ(ρ лj) ∩ F hPℜ(ρ лi) ∩ …≠ ∅ ,
F hPℜ(ρ иk) = F hPℜ(ρ(k)i) ∪ ∪ F hPℜ(ρ(k)j) ∪ … ,
где {ρ(k)i, ρ(k)j, …} – полный набор ролей-сыновей для роли ρиk.

1. Модели ролевого доступа

= {p(j)1, p(j)2,…} ,
F hPℜ(ρ лj) ∩ F hPℜ(ρ лi) ∩ …≠ ∅ ,
F hPℜ(ρиk) ∩ FhPℜ(ρi) = ∅ ,
где {ρ иk ≥ ρi}.

1. Модели ролевого доступа

роли, которые не м.б. назначены одновременно одному пользователю (z.b. "кассир"-"контроллер"). Задается функция fexclusive: ℜ→P(ℜ ) , которая для каждой роли определяет множество несовместимых с ней ролей.

т.н.статическое
разделение обязанностей

Ограничения на одновременное использование ролей в одном сеансе
- множество ролей разбивается на подмножества, несовместимых ролей(z.b. "администратор"-"аудитор"). В ходе одного сеанса пользователь может активизировать из каждого подмножества не более одной роли.

Количественные ограничения по назначению ролей одному пользователю

т.н.динамическое разделение обязанностей

Групповое назначение ролей одному пользователю
- роль м.б. назначена тогда, когда одновременно назначена еще группа обязательных для данной роли других ролей

1. Модели ролевого доступа

O (o1, o2,…, oM ) ;
множества пользователей U (u1, u2,…, uN );
множества рабочих групп пользователей G (g1, g2,…, gK );
множества прав доступа и привилегий R (r1, r2,…, rJ ) ;
матрицей доступа A размерностью ((N +K) x M), каждая ячейка которой специфицирует права доступа и привилегии пользователей или их рабочих групп к объектам из конечного набора прав доступа и привилегий R (r1, r2,…, rJ ), т. е. A[u, o] ⊆ R , A[g, o] ⊆ R.

Определение.  Рабочей группой называется совокупность пользователей, объединенных едиными правами доступа к объектам и (или) едиными привилегиями (полномочиями) выполнения определенных процедур обработки данных

Рабочая группа в отличие от роли не является самостоятельным субъектом доступа

множество рабочих групп:
FUG : U x G – такое, что одна рабочая группа объединяет нескольких пользователей, а один пользователь может входить в несколько рабочих групп.
fgroups: U→ G – значением функции fgroups(u) = G  является набор рабочих групп G = {gu1, gu2,…} ⊆ G , в которые пользователь u включен по отображению FUG ;
fusers: G → U – значением функции U = fusers(g) является набор пользователей U  = {ug1, ug2,…} ⊆ U, которые рабочая группа g включает по отношению FUG .

Отношение «Пользователи-группы» - «многие-ко-многим»

правила (критерия безопасности) индивидуально-группового доступа.
Критерий безопасности индивидуально-группового доступа: Система функционирует безопасно, если и только если любой пользователь u∈U по отношению к любому объекту o∈O может осуществлять доступ с правами R , не выходящими за пределы совокупности индивидуальных прав A[u,o] и прав рабочих групп A[gui,o], в которые пользователь входит по отношению FUG :
R  ⊆ {A[u,o] ∪ A[gu1, o] ∪ A[gu2, o] ∪…},
где { gu1, gu2,…} = fgroups(u).

Разделение процесса функционирования на КС не является существенным, поскольку пользователь всегда получает полномочия всех групп, в которые входит

рабочие группы. Вхождение одних групп в другие д.б. транзитивно, антисимметрично и рефлексивно:
FGG : G x G - отношение частичного порядка, определяющее иерархию (вложенность) рабочих групп и задающее оператор доминирования ≥ такое, что
если для g1, g2 ∈ G, g1 ≥ g2, то g1 включает g2 .
f hgroups: G → G – значением функции fgroups(g) является набор рабочих групп {gg1, gg2,…} ⊆ G , в которые рабочая группа g включена по отношению FGG  .

Наследование прав по групповой иерархии происходит «сверху-вниз»

Rg = A[g,o] +A[gg1,o] + A[gg2,o] + … , где {gg1, gg2,…}= fgroups(g)

быть циклов

накладываемое на информацию, отражающее ущерб, который м.б. причинен неавторизованным доступом (TOP SECRET, SECRET, + возможно дополн. функц. разгр. - CRYPTO, NUCLEAR и т.п.)

Степень доверия пользователю- уровень благонадежности персоны (иначе допуск пользователя) - априорно заданная характеристика

Пользовательский идентификатор- строка символов, используемая для того, чтобы отметить пользователя в системе. Для использова- ния системы пользователь д. предъявить ей идентификатор, система должна провести аутентификацию пользователя (login)

Пользователь- персона, уполномоченная для использования системы

Роль - работа, исполняемая пользователем. Пользователь в любой момент времени (после login до logon) всегда ассоциирован как минимум с одной ролью из нескольких. Для действий в данной роли пользователь д.б. уполномочен. Некоторые роли в конкр. момент времени м.б. связаны только с одним пользователем. С любой ролью связана способность выполнения определенных операций

Объект- одноуровневый блок информации. Это минимальный блок информации в системе, который м. иметь классификацию, т.е. м.б. раздельно от других поименован. Объект не содержит других объектов (т.е. он не многоуровневый)

(со своей классификацией) и др. контейнеры (также со своей классификацией)

Сущность- объект или контейнер

Требование степени доверия объектов- атрибут некоторых контей- неров. Для некоторых контейнеров важно требовать минимум сте- пени доверия, т.е. пользователь, не имеющий соответствующего уровня благонадежности, не может просматривать содержимое контейнера. Такие контейнеры помечаются соотв. атрибутом.

Идентификатор (ID)- имя сущности без ссылки на другие сущности

Ссылка на сущность прямая- если это идентификатор сущности

Операция- функция, которая м.б. применена к сущности (читать, модифицировать и т.д.). Некоторые операции м. использовать более одной сущности (z.b. Copy)

Ссылка на сущность косвенная- если это последовательность двух и более идентификаторов (имен) сущностей, первая из которых - контейнер.

Множество доступа- множество троек (Пользовательский идентификатор или роль - Операция - Индекс операнда), которое связано с сущностью (т.е. дескрипторы доступа объекта)

3. MMS (military message system)-модель

сущностями от своего ID или от имени Роли, с которой в данный момент авторизованы

Система функционирует безопасно, если
-пользователи ведут себя корректно (не компрометируют систему) на основе некоторых предположений
- система защиты (монитор безопасности) реализует определенные ограничения политики безопасности)

Предположения MMS-модели,которым д. следовать пользователи системы

А1. Администратор безопасности корректно присваивает уровни доверия, классификацию устройств и правильные множества ролей

А2. Пользователь определяет корректную классификацию, когда вводит, изменяет, объединяет или переклассифицирует информацию

А3. В пределах установленной классификации пользователь классифицирует сообщения (информацию) и определяет набор (множество) доступа (роли,операции,требуемые степени доверия) для сущностей, которые он создает

А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности

3. MMS (military message system)-модель

если только пользовательский идентификатор или его теку- щая роль присутствуют в множестве доступа сущностей вместе с этой операцией и с этим значением индекса, соответствующим по- зиции операнда,в которой сущность относят в требуемой операции

В2. Классификационная иерархия - классификация контейнера всегда больше или равна классификации сущностей, которые он содержит

В3. Изменения в объектах - информация, переносимая из объекта всегда содержит классификацию объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта (аналог NWD)

В4. Просмотр - пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия контей- нера-устройства к пользователям (аналог NRU + NRUустроств)

В5. Доступ к объектам, требующим степени доверия - пользователь может получить доступ к косвенно адресованной сущности внутри контейнера, требующего степени доверия, если только его степень доверия не ниже классификации контейнера

В6. Преобразование косвенных ссылок - пользовательский индикатор признается законным для сущности, к которой он обратился косвенно, если только он авторизован для просмотра этой сущности через ссылку

3. MMS (military message system)-модель