|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Модели разграничения доступаИзвестные модели разграничения доступа, построенные по принципу предоставления прав, делятся на два основных типа: модели дискреционного и мандатного доступа. Предлагаются [60–62] различные отечественные реализации дискреционного механизма, отличающиеся, в первую очередь, составом набора общих прав. В СЗИ НСД «Dallas Lock» [60] неявно используются атрибуты Y — право полного доступа субъекта к объекту (на чтение, запись, модификацию и т. д.); N — отсутствие такого права. В соответствии с этим каждому субъекту-пользователю ставится в соответствие либо список разрешенных объектов, либо список запрещенных объектов. В СЗИ НСД «Secret Net» [61] набор применяемых атрибутов шире, а именно R — право (разрешение) на чтение; W — право на модификацию; X — право на запуск задачи. Наиболее полный набор общих прав используется в СЗИ НСД «Аккорд» [62] и включает · R — разрешение на открытие файлов только для чтения; · W — разрешение на открытие файлов только для записи; · C — разрешение на создание файлов на диске; · D — разрешение на удаление файлов; · N — разрешение на переименование файлов; · V — видимость файлов; · O — эмуляция разрешения на запись информации в файл; · M — разрешение на создание каталогов на диске; · E — разрешение на удаление каталогов на диске; · G — разрешение перехода в этот каталог; · X — разрешение на запуск программ. Заметим, что наборы атрибутов RS и RA близки к атрибутам, применяемым в ОС UNIX и NetWare соответственно. Опуская особенности реализации, рассмотрим некоторые возможности применения различных наборов атрибутов для описания политик информационной безопасности. Пусть набор атрибутов — U 1 и U 2. Каждый пользователь имеет право полного доступа Y к некоторому множеству объектов, иными словами, для пользователя U 1 определен список разрешенных объектов О1. Для пользователя U2 соответственно определен список разрешенных объектов О2. В случае, когда , т. е. когда существует хотя бы один объект, который содержится в списке разрешенных объектов как для пользователя U 1, так и для пользователя U 2, возможна утечка информации. Покажем это. Пусть существует: и следующим образом: интересуют данные, хранящиеся в объекте помещает в объект О данные из объекта , а пользователь получает доступ к информации, хранящейся в объекте не имеет права доступа, т. е. происходит утечка информации. Для описанного состава атрибутов утечка информации возможна в любом случае, когда Комментарий. С субъективной точки зрения результат понятен специалисту, соответствует реальности, но, в определенном смысле, он не вытекает из модели и даже ей противоречит. Причина — некорректное описание модели: смешение чисто формальной терминологии математики с бытовым и профессиональным сленгом. Из определений «вдруг» оказывается, что общее право — это не одно право (например, чтения), а несколько прав (в том числе, право копирования, право изменения текста). Да и само понятие «утечка информации» не определено. На таком поле понятий можно сконструировать любое предложение, в том числе, и противоположное. Например, В случае, когда O 1 I O 2 = Æ, т. е. когда не существует ни одного объекта, который содержался бы в списке разрешенных объектов как для пользователя U1 так и для пользователя U2, возможна утечка информации. Для обоснования достаточно подразумевать (но умолчать в утверждении!), что существует третий пользователь U3, для которого определен список разрешенных объектов, имеющий непустое пересечение со списками для пользователя U1 и для пользователя U2. Как и раньше, здесь кое-что (наличие третьего пользователя) недоговорено. Но если умолчание разрешено для первого положения, то почему недопустимо для второго? Как следствие, некорректен и вывод из модели, что «…существует только одна выполнимая политика безопасности, а именно: списки разрешенных пользователям объектов не имеют общих элементов». Этот вывод вытекает «по здравому смыслу», но формально не следует из модели. И действительно, если право «полного доступа» состоит из единственного «права чтения», то вывод, как легко видеть, неверен. А вот если из единственного «права записи», то — верен. Общее и частные права необходимо задавать конкретно, описывать совокупностью характеристик, например, транзитивность, коммутативность и др. Понятия: «определен», «право», «доступ» или, еще более расплывчатого — «полный доступ», в модели определены некорректно. «Право» есть характеристика субъекта, «доступ» есть операция на множестве из субъектов и объектов, это абсолютно разные математические характеристики. Для существования права не нужны объекты, а вот операция доступа без наличия объектов немыслима. Что отличает «полный доступ» от просто «доступа»? Существует ли «неполный доступ», и что это такое? Разумеется, из контекста понятно, о чем на самом деле идет речь, но в модели подобное недопустимо. «Здравый смысл» — это не доказательство, а только предпосылка существования доказательства. Разумеется, на начальных этапах развития проблематики защиты информации подобные неформальные модели допустимы, а зачастую — и необходимы. Только на основе таких моделей можно перейти к обобщению частных результатов и их формализации. Перейдем к дальнейшему обзору. Рассмотрим теперь набор атрибутов . Этот набор шире . Действительно, атрибуты из могут быть описаны атрибутами из , а именно: ; . Обратное — невозможно. Предположим, что в системе действуют два пользователя U 1 и имеет права доступа U 2 имеет право доступа { R }к объекту O 2. Предположим, что пользователя U 2 интересуют данные, хранящиеся в объекте O 1. При этом пользователь U 1, пользуясь имеющимся у него правом W на модификацию объекта O 1, может переименовать его в O 2. Пользователь U 2, в свою очередь, пользуясь имеющимися у него правами { R } на объект O 2, получает доступ к данным, которые содержались в объекте O 1, т. е. происходит утечка информации. При этом ни пользователь U 1, ни пользователь U 2не нарушают политики безопасности. Таким образом, для данного состава атрибутов утечка информации возможна в том случае, если хотя бы один из пользователей имеет право доступа { W } к защищаемому объекту. Это также очень сильное ограничение, и в этой связи возможности разграничения доступа, предоставляемые данным набором атрибутов, обычно усиливаются дополнительными механизмами. Атрибуты из RS, в свою очередь, могут быть описаны атрибутами из RA, а именно: Комментарий принципиально не отличается от приведенного при анализе атрибутов Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |