Модели безопасности на основе дискреционной политики



Для начала стоит отметить, для чего необходима так называемая модель безопасности. Её целью является формулировка требований к безопасности, которой должна обладать рассматриваемая система. Модель безопасности анализирует свойства системы и определяет те потоки информации, которые в ней разрешены.

При рассмотрении модели безопасности используются такие понятия как доступ к информации, правила разграничения доступа, объект и субъект доступа. Дадим точные определения каждого из них.

Доступ к информации подразумевает ознакомление с информацией и проведение над информацией таких операций как обработка, копирование, модификация и уничтожение информации.

Правила разграничения доступа — набор правил, регламентирующих права доступа субъектов к объектам доступа.

Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.

Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Сами модели безопасности различают по используемой в ней политики безопасности. Политика безопасности может зависеть от конкретной технологии обработки информации, используемых технических и программных средств и от расположения организации, в которой описана данная политика безопасности.

Рассмотрим основные модели безопасности, среди которых можно выделить, пятимерное пространство Хартсона, модели на основе матрицы доступа, модель Харисона-Руззо-Ульмана, а также модель take-grant и её модификация.

Своё название пятимерное пространство Хартсона получила из количества основных наборов:

1. Установленные полномочия (A);
2. Пользователи (U);
3. Операции (E);
4. Ресурсы (R);
5. Состояния (S);

Таким образом, область безопасности в данной модели будет представлять собой декартово произведение данных наборов. В данном случае, в качестве доступа будут считаться запросы, введённые пользователями для выполнения каких-либо операций над ресурсами системы.

Пользователи запрашивают доступ к ресурсам. Если у них это удаётся, система переходит в новое для неё состояние. Запрос в данном случае выглядит как четырёхмерный кортеж вида q = (u, e, R', s), где u ∈ U, e ∈ E, s∈ S, R' ⊆ R (R'- требуемый набор ресурсов).

После формирования кортежа происходит выполнение следующего алгоритма:

1. Вызываются все вспомогательные программы, которые необходимо задействовать для принятия того или иного решения.
2. Из U определяются та группа пользователей, которая владеет u. Из P происходит выбор тех полномочий, которыми обладают выбранные пользователи. Эти полномочия определяют привилегию самого пользователя.
3. Определяется набор полномочий F(e), для которых e считается основной операцией. Данное действие называется привилегией операции e.
4. Из множества A необходимо определить такой набор полномочий P=F(R'), который разрешал бы доступ к набору ресурсов R'. Такой набор полномочий будет определять привилегию ресурсов R'.
5. Требуется убедиться, что тот набор ресурсов, к которому пользователь запрашивает доступ содержится в домене запроса D(q).
6. Вся группа элементов D(q) разбивается на эквивалентные классы таким образом, чтобы полномочия содержались в одном классе.
7. Далее необходимо найти условие фактического доступа EAC, которое соответствует запросу.
8. Полученное значение EAC оценивается и на основании данной оценки принимается решение о разрешении или отказе в доступе.

Однако по мнению самого автора модели Хартстона данный алгоритм не всегда требуется осуществлять в полном объеме. Другими словами, некоторые их этих шагов можно опустить при решении задачи доступа к ресурсам.

Следует отметить, что в связи с трудоёмким алгоритмом модель безопасности Хартсона не получила широкого практического применения в отличие от модели на основе матрицы доступа. Она представляет собой прямоугольную таблицу строки которой соответствуют субъектам доступа, а столбцы — объектам доступа соответственно.

В ячейках такой таблицы 1 описаны все операции над объектам, которые разрешены субъекту.

Таблица 1

Матрица доступа

	O1	O2	…	Oj	…	ON
S1		w
S2	r
…
Si				r,w
…
SM						e

В данной таблице под w понимается запись объекта, под r — чтение объекта, под e — запуск объекта. Значения, записанные в ячейках таблицы определяют виды безопасных доступов соответствующего субъекта к соответствующему объекту.

Такой способ отображения прав доступа является гораздо более удобным, в отличие от пятимерного пространства Хартсона. Таблица содержит всю необходимую информацию о политике разграничения доступа в рассматриваемой компьютерной системе.

Модель Харисона-Руззо-Ульмана используется при формальной верификации в высокозащищённых автоматизированных системах. Она, помимо самой матрицы доступа, имеются множества исходных объектов и субъектов. При этом, если у субъекта имеется право, то он может проводить следующие операции над объектами:

‒ добавление нового права субъекту над объектом;

‒ удаление права субъекта над объектом;

‒ создание нового субъекта;

‒ создание нового объекта;

‒ удаление субъекта;

‒ удаление объекта.

Преимуществом такой модели являются простота, эффективность и высокий уровень безопасности. То есть, для реализации данного алгоритма не обязательно знание сложных механизмов оперирования субъектами и объектами, при этом непосредственное управление правами пользователей происходит в матрице доступа, в которой описаны сами права субъектов. Эти права могут быть подвергнуты очень гибкой настройке.

Недостатком такой системы является тот факт, что для произвольной системы необходим свой собственный алгоритм проверки на безопасность. Кроме того, данная модель считается сильно уязвимой к «троянским коням», так как отсутствует проверка потоков данных между субъектами.

В качестве основы модель Take-Grant использует понятие графов. Напомним, что графом называется объект, содержащий вершины и рёбра. В качестве узлов в данной модели используются либо объекты, либо субъекты. При этом данные узлы (вершины) соединены дугами (ребрами). Значения данных дуг характеризуют права, которыми обладает такой узел. Существуют 4 различных правила преобразования:

‒ take;

‒ grant;

‒ create;

‒ remove.

Правило take позволяет субъекту брать права другого объекта, grant позволяет субъекту предоставлять собственные права другому объекту, create позволяет субъекту создавать новые объекты, а remove — удалять права субъекта, которыми тот обладает над каким-либо объектом.

Использование модель безопасности компьютерных систем take-grant можно установить, каким образом изменяется состояние системы при изменении прав субъектов над объектами. Таким образом, с использованием графа можно продемонстрировать, возможна ли утечка информации при изменении прав.

Хорошая наглядность данной модели стала причиной возникновения расширенной модели take-grant. Основным отличием от классической модели является наличие шести различных операций преобразования графа доступов. Первые два правила названий не имеют. Одно из них заключается в том, что субъект имеет возможность записи информации сам в себя, осуществляя при этом доступ к определенному объекту. Вторая операция позволяет субъекту читать информацию путём доступа к объекту. Кроме этого, в данной модели используются операции post, spy, find, pass.

Команда post означает возможность чтения информации субъектом через объект от другого субъекта, который также имеет доступ к объекту. При этом второй субъект имеет возможность записи информации в первый.

При использовании команды spy субъект 1 приобретает возможность чтения и записи информации из объекта через субъект 2. Субъект 2 при этом также имеет доступ-чтение к объекту.

При использовании команды find субъект 1 приобретает возможность чтения и записи информации из объекта через субъект 2. Субъект 2 при этом также имеет доступ-запись к объекту.

Команда pass означает, что субъект получает доступ-чтение к объекту 1 на внесение из него информации в объект 2. При этом к объекту 2 субъект имеет доступ-запись.

Модель take-grant предназначена для анализа систем защиты с дискреционной политикой безопасности. В ней описаны те правила, при которых происходит передача или несанкционированное получение прав доступа. С практической точки зрения, в основном, возникают довольно простые взаимосвязи объектов. Сами правила take и grant также используются довольно редко. Чаще всего используются права доступа на чтение и запись.

Таким образом, основой дискреционной политики безопасности можно назвать дискреционное управление доступом, которое содержит два основных правила:

‒ все субъекты и объекты, используемые в данной модели должны быть однозначно определены или идентифицированы;

‒ права доступа субъекта системы к объекту определяются из некоторого правила, которое заранее не описано.

Достоинством дискреционной политики безопасности является простая реализация механизмов защиты, так как современные автоматизированные системы удовлетворяют правилам конкретной политики безопасности.

Недостатком можно назвать отсутствие гибкости в настройке системы. Кроме этого, при использовании дискреционной политики возникает вопрос о том, какие правила распространения прав доступа следует использовать и как они влияют на безопасность системы в целом.

Литература:

1. Девянин П. Н. Элементы теории ХРУ // Модели безопасности компьютерных систем. — М.: Академия, 2005. — 144 с.
2. Гаценко О. Ю. Защита информации. Основы организационного управления. — СПб: Сентябрь, 2001. — 228 с.
3. Прокопьев И. В., Введение в теоретические основы компьютерной безопасности: учебное пособие — М.: МИЭМ, 1998. — 184 с.