АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Модели разграничения доступа

Читайте также:
  1. Crown Victoria одна из популярных в США моделей (в полиции, такси, прокате, на вторичном рынке). Производство в Канаде. Дебют модели состоялся в 1978.
  2. I. ПСИХОДИНАМИЧЕСКИЕ МОДЕЛИ КОНСУЛЬТАТИВНОЙ ПРАКТИКИ
  3. II этап. Разработка модели.
  4. II. Основные модели демократического транзита.
  5. Simulating Design Functionality (моделирование функциональности разрабатываемого счетчика).
  6. Verifying Functionality using Behavioral Simulation (верификация функциональности за счет использования моделирования поведения (работы).
  7. Абстрактное моделирование
  8. Абстрактные модели защиты информации
  9. Азы моделирования
  10. Азы моделирования.
  11. Алмазно- расточной станок модели
  12. Альтернативные интерфейсы доступа к многомерным данным

Известные модели разграничения доступа, построенные по принципу предоставления прав, делятся на два основных типа: модели дискреционного и мандатного доступа. Предлагаются [60–62] различные отечественные реализации дискреционного механизма, отличающиеся, в первую очередь, составом набора общих прав.

В СЗИ НСД «Dallas Lock» [60] неявно используются атрибуты Y — право полного доступа субъекта к объекту (на чтение, запись, модификацию и т. д.); N — отсутствие такого права. В соответствии с этим каждому субъекту-пользователю ставится в соответствие либо список разрешенных объектов, либо список запрещенных объектов.

В СЗИ НСД «Secret Net» [61] набор применяемых атрибутов шире, а именно R — право (разрешение) на чтение; W — право на модификацию; X — право на запуск задачи.

Наиболее полный набор общих прав используется в СЗИ НСД «Аккорд» [62] и включает

· R — разрешение на открытие файлов только для чтения;

· W — разрешение на открытие файлов только для записи;

· C — разрешение на создание файлов на диске;

· D — разрешение на удаление файлов;

· N — разрешение на переименование файлов;

· V — видимость файлов;

· O — эмуляция разрешения на запись информации в файл;

· M — разрешение на создание каталогов на диске;

· E — разрешение на удаление каталогов на диске;

· G — разрешение перехода в этот каталог;

· X — разрешение на запуск программ.

Заметим, что наборы атрибутов RS и RA близки к атрибутам, применяемым в ОС UNIX и NetWare соответственно.

Опуская особенности реализации, рассмотрим некоторые возможности применения различных наборов атрибутов для описания политик информационной безопасности.

Пусть набор атрибутов — U 1 и U 2. Каждый пользователь имеет право полного доступа Y к некоторому множеству объектов, иными словами, для пользователя U 1 определен список разрешенных объектов О1. Для пользователя U2 соответственно определен список разрешенных объектов О2.

В случае, когда , т. е. когда существует хотя бы один объект, который содержится в списке разрешенных объектов как для пользователя U 1, так и для пользователя U 2, возможна утечка информации.

Покажем это. Пусть существует: и следующим образом: интересуют данные, хранящиеся в объекте помещает в объект О данные из объекта , а пользователь получает доступ к информации, хранящейся в объекте не имеет права доступа, т. е. происходит утечка информации.

Для описанного состава атрибутов утечка информации возможна в любом случае, когда

Комментарий. С субъективной точки зрения результат понятен специалисту, соответствует реальности, но, в определенном смысле, он не вытекает из модели и даже ей противоречит. Причина — некорректное описание модели: смешение чисто формальной терминологии математики с бытовым и профессиональным сленгом. Из определений «вдруг» оказывается, что общее право — это не одно право (например, чтения), а несколько прав (в том числе, право копирования, право изменения текста). Да и само понятие «утечка информации» не определено. На таком поле понятий можно сконструировать любое предложение, в том числе, и противоположное. Например,

В случае, когда O 1 I O 2 = Æ, т. е. когда не существует ни одного объекта, который содержался бы в списке разрешенных объектов как для пользователя U1 так и для пользователя U2, возможна утечка информации.

Для обоснования достаточно подразумевать (но умолчать в утверждении!), что существует третий пользователь U3, для которого определен список разрешенных объектов, имеющий непустое пересечение со списками для пользователя U1 и для пользователя U2. Как и раньше, здесь кое-что (наличие третьего пользователя) недоговорено. Но если умолчание разрешено для первого положения, то почему недопустимо для второго?

Как следствие, некорректен и вывод из модели, что «…существует только одна выполнимая политика безопасности, а именно: списки разрешенных пользователям объектов не имеют общих элементов». Этот вывод вытекает «по здравому смыслу», но формально не следует из модели. И действительно, если право «полного доступа» состоит из единственного «права чтения», то вывод, как легко видеть, неверен. А вот если из единственного «права записи», то — верен. Общее и частные права необходимо задавать конкретно, описывать совокупностью характеристик, например, транзитивность, коммутативность и др.

Понятия: «определен», «право», «доступ» или, еще более расплывчатого — «полный доступ», в модели определены некорректно. «Право» есть характеристика субъекта, «доступ» есть операция на множестве из субъектов и объектов, это абсолютно разные математические характеристики. Для существования права не нужны объекты, а вот операция доступа без наличия объектов немыслима. Что отличает «полный доступ» от просто «доступа»? Существует ли «неполный доступ», и что это такое? Разумеется, из контекста понятно, о чем на самом деле идет речь, но в модели подобное недопустимо.

«Здравый смысл» — это не доказательство, а только предпосылка существования доказательства. Разумеется, на начальных этапах развития проблематики защиты информации подобные неформальные модели допустимы, а зачастую — и необходимы. Только на основе таких моделей можно перейти к обобщению частных результатов и их формализации.

Перейдем к дальнейшему обзору. Рассмотрим теперь набор атрибутов . Этот набор шире . Действительно, атрибуты из могут быть описаны атрибутами из , а именно: ; . Обратное — невозможно.

Предположим, что в системе действуют два пользователя U 1 и имеет права доступа U 2 имеет право доступа { R }к объекту O 2. Предположим, что пользователя U 2 интересуют данные, хранящиеся в объекте O 1. При этом пользователь U 1, пользуясь имеющимся у него правом W на модификацию объекта O 1, может переименовать его в O 2. Пользователь U 2, в свою очередь, пользуясь имеющимися у него правами { R } на объект O 2, получает доступ к данным, которые содержались в объекте O 1, т. е. происходит утечка информации. При этом ни пользователь U 1, ни пользователь U 2не нарушают политики безопасности. Таким образом, для данного состава атрибутов утечка информации возможна в том случае, если хотя бы один из пользователей имеет право доступа { W } к защищаемому объекту.

Это также очень сильное ограничение, и в этой связи возможности разграничения доступа, предоставляемые данным набором атрибутов, обычно усиливаются дополнительными механизмами.

Атрибуты из RS, в свою очередь, могут быть описаны атрибутами из RA, а именно:

Комментарий принципиально не отличается от приведенного при анализе атрибутов


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 | 53 | 54 | 55 | 56 | 57 | 58 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.031 сек.)