Содержание данной главы
2.3 Типы моделей управления доступом.
- Модель конечного автомата описывает систему как абстрактную математическую машину. В этой модели переменные состояния представляют состояния машины, а функции перехода описывают способ изменения переменных.
Модель управления доступом имеет дело только с наиболее существенными переменными состояниями, влияющими на безопасность и потому намного проще, чем полная модель конечного автомата для данной системы.
- Модель матрицы доступа (частный случай реализации модели машины состояний).
Состояния безопасности системы представлены в виде таблицы, содержащей по одной строке для каждого субъекта системы и по одной колонке для каждого субъекта и объекта.
Каждое пересечение в массиве определяет режим доступа данного субъекта к каждому объекту или другому субъекту системы.
| Субъекты |
Объекты |
Субъекты |
| 1 |
2 |
3 |
1 |
2 |
3 |
| 1 |
чтение, запись |
чтение |
- |
- |
запись |
запись |
| 2 |
чтение |
чтение, исполнение |
чтение, запись |
пересылка |
- |
- |
| 3 |
- |
чтение, запись |
исполнение |
пересылка |
запись |
- |
Второй составляющей модели матрицы доступа является набор функций перехода, описывающих способ изменения матрицы доступа. Более часто матрица доступа используется не как самостоятельная модель управления доступом, а в качестве одной из нескольких переменных состояния в более общей модели конечного автомата.
Другим способом описания управления доступом является модель, выраженная в терминах меток безопасности, приписываемых субъектом и объектом системы.
Режим доступа, которым обладает субъект по отношению к объекту, определяется при сравнении их меток безопасности вместо того, чтобы искать соответствующие пересечения строки и столбца в матрице доступа.
Модель может использовать как матрицу доступа, так и атрибуты безопасности.
- Вариантом модели управления доступом является модель информационных потоков, которая предназначена для анализа потоков информации из одного объекта в другой на основании их меток безопасности.
- Модель интерференции, в которой субъекты, работающие в различных доменах, защищены от взаимовлияния друг на друга, любым способом, нарушающим свойства безопасности системы.
Характеристики модели безопасности.
Модель является лишь формулировкой математических терминов, свойств безопасности, которым должна удовлетворять система. Не существует формального способа, с помощью которого можно доказать, что формальная модель управления доступом соответствует правилам управления доступом, принятым в данной системе.
С другой стороны, модель может иметь ряд характеристик, назначение которых не столь очевидно. Поскольку модель должна стремиться к математическому совершенству в определении свойств, составляющих политику безопасности, это часто влечет за собой включение ограничений или дополнительных свойств, присутствие которых ранее не предусматривалось.
Описание модели управления доступом (МУД) к системе как конечного автомата.
Представление МУД как конечного автомата получило предпочтение из-за того, что они представляют компьютерную систему способом, имитирующим работу ОС и аппаратуры. Переменное состояние является абстракцией для каждого бита и байта в системе, изменяющихся по мере работы в системе. Функция перехода из состояния в состояние - это абстракция обращений к ОС, явно описывающая то, как состояние может (или не может) измениться.
МУД работает не со всеми переменными состояния и функциями системы.
Выбор для моделирования переменных и функций, имеющих отношение к безопасности, остается за разработчиком модели.
Разработка моделей управления доступом включает в себя определение элементов моделей (переменных, функций, правил и т.д.), а также безопасного начального состояния.
Математически доказывается, что начальное состояние безопасно, и что все функции безопасны, после чего, путем математической индукции делается вывод о том, что если система первоначально находилась в безопасном состоянии, система остается в безопасном состоянии независимо от того, какие функции, и в каком порядке будут выполнены.
Таким образом, в разработке МУД можно выделить следующие шаги:
- Определение переменных состояний, имеющих отношение к безопасности. Обычно переменные состояния представляют объекты и субъекты системы, их атрибуты безопасности и права доступа между субъектами и объектами.
- Определение условий для безопасного состояния. Это определение является выражением отношений между значениями переменных состояния, истинность которого должна обеспечиваться при переходах состояния.
- Определение функций переходов из состояния в состояние. Эти функции описывают допустимые способы изменения переменных состояния. Они также называются правилами изменения доступа, поскольку их цель состоит в указании изменений, которые может производить система, а вовсе не в определении всех возможных изменений. Правила могут быть очень общими и могут допускать наличие функций, которых нет в реальной системе, однако система не может менять переменные состояния каким-либо способом, который не допускается функциями.
Можно выделить несколько характерных черт функций перехода:
- назначение функции.
- определение взаимосвязи между переменными, предыдущим и новым состояниями.
- функция не задает какого-либо конкретного порядка в выполнении алгоритма операции.
- функция элементарна.
- Доказывается, что функции обеспечивают сохранение безопасного состояния.
Чтобы удостовериться в том, что модель является безопасной, необходимо для каждой функции перехода доказать, что если система находится в безопасном состоянии до начала выполнения функции перехода, то система останется в этом состоянии по ее завершении.
- Определение начального состояния.
Математически, начальное состояние выражается как множество начальных значений всех переменных состояний системы. Простейшим начальным состоянием является состояние вообще без каких-либо субъектов и объектов.
При этом нет необходимости определять начальные значения каких-либо других переменных состояний, поскольку состояние будет безопасным независимо от их значения. Более реалистичное безопасное начальное состояние предполагает наличие некоторого начального множества субъектов и объектов.
- Доказывается, что начальное состояние безопасно в соответствии с определением.
- Списки управления доступом к объектам.
В данной модели полномочия доступа определяются в виде списка картежей для всех субъектов, имеющих доступ к данному объекту.
| Объекты |
Списки картежей |
Методы доступа |
| O1 |
S1 |
r (чтение) |
w (запись) |
c (копирование) |
| O2 |
S2 |
w |
r |
x (удаление) |
Достоинства данной модели:
- экономия памяти
- удобство получения сведений о субъектах, имеющих доступ к данному объекту
Недостатки:
- неудобство получения сведений об объектах, к которым имеет доступ данный субъект
- неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъекта
- Списки полномочий субъектов.
| Списки картежей |
Объекты |
Методы доступа |
| S1 |
O1 |
r (чтение) |
w (запись) |
c (копирование) |
| S2 |
O2 |
w |
r |
x (удаление) |
В данной модели полномочия доступа субъекта представляются в виде списка картежей для всех объектов, в которых он имеет доступ.
Профиль субъекта используется для отслеживания событий аудита в ОС Microsoft и MSNT.
Достоинства модели:
- экономия памяти
- удобство получения сведений об объектах, к которым имеет доступ данный субъект
Недостатки:
- неудобство получения сведений о субъектах, которые имеют доступ данному объекту
- Атрибутная схема.
Атрибутные способы задания матрицы доступа основаны на присвоении субъектом и объектом определенных меток (содержащих значения атрибутов). Такая схема используется в ОС семейства Unix.
Матрица задана в неявном виде.
Вычисление уровня доступа субъекта к объекту происходит динамически.
Существуют также многоуровневые модели управления доступом.
назад содержание вперед на
главную
|
