Формальные модели безопасности

Смысл данного  критерия состоит в том, что для  безопасной конфигурации системы субъект  никогда не получит право r доступа  к объекту, если он не имел его изначально.

Удаление субъекта или объекта приводит к уничтожению  всех прав в соответствующей строке или столбце матрицы, но не влечет за собой уничтожение самого столбца  или строки и сокращение размера  матрицы. Следовательно, если в какой-то ячейке в начальном состоянии существовало право r, и после удаления субъекта или объекта, к которым относилось это право, ячейка будет очищена, но впоследствии появится вновь (в результате создания субъекта или объекта), и в эту ячейку с помощью соответствующей команды enter снова будет занесено право r, то это не будет означать нарушения безопасности.

Из критерия безопасности следует, что для данной модели ключевую роль играет выбор  значений прав доступа и их использование  в условиях команд. Хотя модель не налагает никаких ограничений на смысл прав и считает их равнозначными, те из них, которые участвуют в условиях выполнения команд, фактически представляют собой не права доступа к объектам, а права управления доступом, или права на осуществление модификаций ячеек матрицы доступа.

Таким образом, данная модель описывает не только доступ субъектов к объектам, но и распространение прав доступа  от субъекта к субъекту, т.к. именно изменение содержания ячеек матрицы  доступа определяет возможность  выполнения команд (в том числе команд, модифицирующих саму матрицу доступа), которые потенциально могут привести к нарушению критерия безопасности.

Положительные и отрицательные стороны модели Харрисона-Руззо-Ульмана:

Положительные моменты:

—    данная модель является простой в реализации (т.к. не требует применения сложных алгоритмов);

— данная модель является эффективной в управлении (т.к. позволяет управлять полномочиями пользователей с точностью до операции над объектом);

— критерий безопасности данной модели является весьма сильным в практическом плане (т.к. позволяет гарантировать недоступность определенной информации для пользователей, которым изначально не выданы соответствующие полномочия).

 

Отрицательные моменты:

—   доказано, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния Q0(S0, O0, M0) и общего правила r решить, является ли данная информация безопасной;

—   существует уязвимость к атаке с помощью  «троянского коня» (т.к. в дискреционных  моделях контролируются только операции доступа субъектов к объектам, а не потоки информации между ними). [С. 488-503, 5]

 

4. Модель Белла-ЛаПадулы

Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных  учреждениях многих стран.

Основным положением политики безопасности является назначение всем участникам процесса обработки  защищаемой информации и документам, в которых она содержится, специальной  метки (секретно, совершенно секретно и т.д.). Такая метка называется уровнем безопасности. Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования.

Контроль доступа  осуществляется в зависимости от уровней безопасности взаимодействующих  сторон на основании двух правил (рис.2):

1.    уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности;

2.    уполномоченное  лицо (субъект) имеет право заносить  информацию только в те документы,  уровень безопасности которых не ниже его собственного уровня безопасности.

 

Рис. 2. Модель контроля и управления доступом Белла-ЛаПадулы

Таким образом, мандатные модели управляют доступом неявным образом — с помощью  назначения всем сущностям системы  уровней безопасности, которые определяют все допустимые взаимодействия между ними. Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.

1.        Обозначения

Обозначим: S - элементов, содержащих защищаемую информацию; принято считать, что S  с О, т.е. субъекты одновременно являются и объектами (это сделано для того, чтобы множество субъектов (осуществляют доступ к информации); О — множество объектов включить в область действия модели отношения между субъектами). R  = {read, write} — множество прав доступа, означающих полномочия на выполнение соответствующих действий (чтение, запись); L - множество уровней безопасности; А - решетка уровней безопасности (это формальная алгебра (L, < ,»,<8>), где оператор < определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L); V - множество состояний системы, которое представляется в виде набора упорядоченных пар  (F,M), где М —  матрица доступа, отражающая текущую ситуацию с правами доступа  субъектов  к  объектам   (содержание  матрицы аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write); F - функция уровня безопасности; v0 — начальное состояние системы; Т : (V, R) —> V  — функция перехода, которая в ходе выполнения запросов переводит систему из одного состояния в другое; система, находящаяся в состоянии v при получении запроса r, переходит в следующее состояние v* = T(v, r); состояние v достижимо в системе (v0,R, T) <(=> 3{(r0, о0), . . ., (rn-1, Vn-1), (rn, v)} : T(ri, Vi) = v-l+1 для 0 < i < re;  v0 тривиально достижимо. Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности F  : S U О —> L, которая ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности L, на котором определена решетка Л.

2. Решетка уровней безопасности L

Решетка уровней безопасности А - это формальная алгебра (L, < , •, <8>), где оператор < определяет частичное нестрогое соответствие порядка для базового множества уровней безопасности L (т.е. оператор < - антисимметричен, транзитивен, ревлексивен).

Отношение < на L:

1)  ревлексивно, если Уа, L : а1 < а;

Нет смысла запрещать  потоки информации между сущностями одного и того же класса (сущности одного класса с точки зрения безопасности содержат одинаковую информации).

2)  антисимметрично, если Уа, L : ((а1 < а2)) => а1 = а2;

Антисимметричность  необходима для удаления  избыточных классов (если информация может передаваться как от сущностей класса А к сущностям класса B, так и наоборот, то классы A и B содержат одноуровневую информацию и с точки зрения безопасности эквивалентны классу (AB)).

3) транзитивно, если a1,a2,a3: ((a 1 < a2), (a2 < a3)) => a1 < a3. Если информация может передаваться от сущностей класса A к сущностям класса B, а также от сущностей класса B к сущностям класса C, то очевидно, что она будет так же передаваться от сущностей класса A к сущностям класса  C.

Свойство 2.1 (решетки). Для каждой пары a1 и a2 элементов множества L можно указать единственный элемент наименьшей верхней границы и единственный элемент наибольшей границы.

Эти элементы также  принадлежат L и обозначаются с помощью операторов • и (х) соответственно:

a1*a2 = a > ({( a1,a2), (a>L : (a' < a))) = Ф > ((a' , a1)V(a> a2))).

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наибольший уровень безопасности их комбинации как (a • b), при этом a < (a • b) и b < (a • b). Тогда, если существует некоторый уровень c такой, что a < c и b < c, то должно иметь место отношение (a • b) < c, поскольку (a • b) — это минимальный уровень субъекта, для которого доступна информация как из x, так и из y. Следовательно, (a»b) должен быть наименьшей верхней границей a и b.

a1® a2 = a(((a < a1,a2), (a' : (a' < a 1), (a' < a2))) =>(a' < a).

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наименьший уровень безопасности их комбинации как (a <g> b), при этом (a <g> b) < a и (a <g> b) < b. Тогда, если существует некоторый уровень c такой, что c < a и c < b, то должно иметь место отношение c < (a® b), поскольку (a<g>b) — это максимальный уровень субъекта, для которого разрешена передача информации как в x, так и в y. Следовательно, (a x b) должен быть наибольшей нижней границей a и b. Смысл этих определений заключается в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий её сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.

 Функция  уровня безопасности  F  назначает  каждому субъекту и объекту  некоторый уровень безопасности  из  L, разбивая множество сущностей  системы на классы, в пределах которых их свойства с точки зрения модели  безопасности являются эквивалентными. Тогда оператор < определяет направление потоков информации (если  F(A)  <  F(B),  то информация может передаваться от элементов класса A к элементам класса B).

Использование решетки для описания отношения  между уровнями безопасности позволяет  использовать в качестве атрибутов  безопасности (элементов множества L) не только целые числа, для которых определено отношение «меньше или равно», но и более сложные составные элементы.

3.    Классическая мандатная модель Белла-ЛаПадулы

В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы.

Состояния системы  делятся на:

- безопасные (отношения доступа не противоречат установленным в модели правилам);

-  небезопасные (правила нарушаются и происходит утечка информации).

 

Сотояние (F,M) называется безопасным по чтению  (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: s, o, read M[s,o] -► F(s) > F(o).

Сотояние (F,M) называется безопасным по записи  (или *-безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта: Vs G S, Vo G О, write G M[s, о] -► F(o) > F(s).

Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи.

Критерий безопасности системы

Критерий 2.2. Система (O0, R) безопасна тогда и только тогда, когда безопасны ее начальное состояние v0 и все состояния, достижимые из v0 путем применения конечной последовательности запросов из R.

Основная теорема  безопасности Белла-ЛаПадулы

Теорема 2.1. Система (O0,R) безопасна тогда и только тогда, когда:

a)    начальное  состояние vq безопасно и

b) для любого состояния v, достижимого из v0 путем применения конечной последовательности запросов из R  таких, что T(v, r) = v*, v = (F, M) и v * = (F*,M*), для каждого S и О выполняются следующие условия:

1)    если read M* [s, о] и read < M[s,o], то F*(s) > F*(о);

2)    если read M[s,o] и F*(s) < F*(о), тo read < ЈM*[s, о];

3)    write M* [s, o] write < M [s, o], тo F*(o) > F*(s);

4)    write M [s, o] F*(o) < F* (s), тo write [s, o].

 

Доказательство:

1.    Необходимость.

Если система  безопасна, то состояние v0 безопасно  по определению. Пусть существует некоторое состояние v∗, достижимое из v0 путем применения конечного числа запросов из R и полученное путем перехода из безопасного сотояния v : T(v, r) = v∗. Тогда, если при этом переходе нарушено хотя бы одно из первых двух ограничений, накладываемых теоремой на функцию T, то состояние v∗ не будет безопасным по чтению, а если T нарушает хотя бы одно из последних двух условий теоремы, то состояние v∗ не будет безопасным по записи. Таким образом, при нарушении хотя бы одного из условий теоремы система не будет безопасной.

2.    Достаточность.

Предположим, что  система небезопасна. Тогда, либо v0 небезопасно, что явно противоречит условиям теоремы, либо должно существовать небезопасное сосотояние v∗, достижимое из безопасного состояния v0 путем применения конечного числа запросов из R. В этом случае обязательно будет иметь место переход T(v, r) = v∗, при котором состояние v — безопасно, а состояние v∗ — нет. Но условия теоремы делают такой переход невозможным. Таким образом, по утверждению теоремы система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

Недостатки  основной теоремы безопасности Белла-ЛаПадулы:

—   данная теорема является избыточной по отношению  к определению безопасного сотояния, т.к. ограничения, накладываемые теоремой на функцию перехода, совпадают с критерием безопасности состояния;

—   из теоремы  следует только то, что все состояния, достижимые из безопасного состояния  при определенных ограничениях, будут  в некотором смысле безопасными, но при этом не гарантируется, что  процесс осуществления перехода будет безопасным.

 

Таким образом, можно найти такую систему (Z-систему), в которой при попытке низко-уровнего субъекта прочитать информацию из высоко-уровнего объекта будет происходить понижение уровня объекта до уровня субъекта и осуществляться чтение. Функция перехода Z-системы удовлетворяет ограничениям основной теоремы безопасности, и все состояния системы также безопасны в смысле критерия Белла-ЛаПадулы, но любой пользователь системы сможет прочитать любой файл, что несовместимо с безопасностью в обычном понимании.