Lektsia 13

13 Лекция: Модели мандатного доступа (информационных
потоков).

Вопросы:
13.1 Модель безопасности Белла и Лападула (БЛМ);
13.2 Модель безопасности LOW-WATER-MARK (LWM).

Описанные ранее модели дискретного доступа обеспечивают хорошо гранулированную защиту, но обладают рядом недостатков. В частности, в системах, построенных на основе DAC, существует проблема троянских программ. Троянскую программу следует определять как любую программу, от которой ожидается выполнение некоторого желаемого действия, а она на самом деле выполняет какое-либо неожиданное и нежелательное действие. Так, троянская программа может выглядеть как вполне хороший продукт, но реально она может оказаться даже более опасной, чем можно было бы ожидать,
В отличие от DAC, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный доступ (MAC) накладывает ограничения на передачу прав доступа от одного пользователя другому. Это позволяет разрешить проблему троянских коней.
Классической моделью, лежащей в основе построения многих систем MAC и породившей остальные модели MAC, является модель Белла и Лападула. Она обосновывает и поддерживает политику MLS. К сожалению, данная модель не лишена недостатков и с целью устранения данных недостатков были порождены некоторые специфичные модели. К их числу относится модель LOW-WATER-MARK (LWM). Рассмотрению этих моделей посвящена данная тема.


13.1 Модель безопасности Белла и Лападула (БЛМ);

Модель, получившая название модели Белла и Лападула(БЛМ) до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности. Об этом свидетельствует огромное количество различных документов, ссылающихся в библиографии на первоначальную БЛМ. Данная модель лежит в основе построения MAC. Идеи, заложенные в БЛМ, могут быть использованы при построении различных политик безопасности.
Основным наблюдением, сделанным Беллом и Ла-падулой является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями безопасности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретные). Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам, этим субъектам с низкими уровнями безопасности не позволяется читать информацию из объектов с высокими уровнями безопасности. Это ведет к первому правилу БЛМ.
Простое свойство безопасности (ss-свойство), также известное как правило "нет чтения вверх" (NRU), гласит, что субъект с уровнем безопасности Xs может читать информацию из объекта с уровнем безопасности Хo, только если Xs преобладает над Хo Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа секретный попытается прочитать информацию из объекта, классифицированного как совершенно секретный, то такой доступ не будет разрешен.
Белл и Лападула сделали дополнительное наблюдение при построении своей модели: в правительстве США субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень безопасности. Например, когда совершенно секретный документ помещается в неклассифицированное мусорное ведро, может произойти утечка информации. Это ведет ко второму правилу БЛМ.
Свойство-*, известное как правило "нет записи вниз" (NRD), гласит, что субъект безопасности Xs может писать информацию в объект с уровнем безопасности Хo только если Хo преобладает над Xs. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа совершенно секретный попытается записать информацию в неклассифицированный объект, то такой доступ не будет разрешен.
Правило запрета по записи является большим упрощением некоторых реализаций БЛМ. Так, некоторые описания включают более детальное понятие типа доступа (например, такие как добавление и выполнение). Помимо этого, многие модели БЛМ включают понятие дискретной защиты с целью обеспечения хорошо гранулированной защиты при сохранении всех преимуществ БЛМ.
Правила запрета по записи и чтению БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным источникам.
Формализация БЛМ. В соответствии с определениями сделанными нами ранее:
S множество субъектов;
О множество объектов;
L решетка уровней безопасности;
F:S
·O
·L функция, применяемая к субъектам и объектам;
определяет уровни безопасности своих аргументов в данном состоянии;
V множество состояний множество упорядоченных пар (F, М), где М матрица доступа субъектов системы к объектам.
Система представляется начальным состоянием V0, определенным множеством запросов R и функцией переходов T:(VxR)
·
·V, такой, что система переходит из состояния в состояние после исполнения запроса. Сформулируем определения, необходимые для доказательства основной теоремы безопасности (ОТБ), доказанной для БЛМ.
Определение1. Состояние (F, М) безопасно по чтению (RS) тогда и только тогда, когда для
·V
·S и для
·o
·O, чтение
· M[s, о] ( F(s)
·
·F(o).
Определение2. Состояние (F, M) безопасно по записи (WS, *-свойство) тогда и только тогда, когда для
·s
·S и для
·o
·O, запись
· M[s, о] ( F(o)
·
·F(s).
ОпределениеЗ. Состояние безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.
Определение4. Система (V0, R, T) безопасна тогда и только тогда, когда состояние V0 безопасно и любое состояние, достижимое из v0 после исполнения конечной последовательности запросов из R безопасны в смысле определения 3.

Основная теорема безопасности БЛМ
Теорема .(ОТБ) Система (V0, R, Т) безопасна тогда и только тогда, когда состояние V0 безопасно и Т таково, что для любого состояния V, достижимого из V0 после исполнения конечной последовательности запросов из R безопасны, если T(v, c)=v', где v=(F, М) и v'=(F', М'), такие что для
·s
·S и для
·o
·O
если чтение
· M'[s, о] и чтение
· M[s, о], то F'(s)
·
·F'(o);
если чтение
·M[s, о] и F'(s)· M'[s, о];
если запись
· M'[s, о] и запись
· M[s, о], то F'(o)
·
·F'(s);
если запись
·M[s, о] и F'(o)· M'[s, о];
Доказательство:
1. Необходимость. Предположим система безопасна. Состояние V0 безопасно по определению. Если имеется некоторое состояние V, достижимое из состояния V0 после исполнения конечной последовательности запросов из R, таких что T(v, c)=v', хотя v' не удовлетворяет одному из двух первых ограничений для Т, то v' будет достижимым состоянием, но противоречащим ограничению по чтению. Если v' не удовлетворяет одному из двух последних ограничений для Т, то v' будет достижимым состоянием, но противоречащим ограничению по записи. В любом случае система небезопасна.
2. Достаточность. Предположим, что система небезопасна. В этом случае, либо V0 должно быть небезопасно, либо должно быть небезопасное состояние v, достижимое из состояния v после исполнения конечной последовательности запросов из R. Если V0 небезопасно все доказано. Если V0 безопасно, допустим что v' первое в последовательности запросов небезопасное состояние. Это означает, что имеется такое безопасное состояние v, такое что T(v, c)=v', где v небезопасно. Но это противоречит четырем ограничениям на Т.

Управление доступом в модели БЛМ происходит как с использованием матрицы управления доступом, так и с использованием меток безопасности и ранее приведенных правил простой безопасности и свойства ограничения.
В дополнение к имеющимся режимам доступа чтения и записи, матрица управления доступом включает режимы добавления, исполнения и управления - причем последний определяет, может ли субъект передавать другим субъектам права доступа, которыми он обладает по отношению к объекту.
Управление при помощи меток безопасности усиливает ограничение предоставляемого доступа на основе сравнения атрибутов класса доступа субъектов и объектов.
В модели БЛМ определено около двадцати функций (правил операций), выполняемых при модификации компонентов матрицы доступа, при запросе и получении доступа к объекту (например при открытии файла), создании и удалении объектов; при этом для каждой функции доказывается сохранение ею, в соответствии с определением, безопасного состояния. Лишь немногие разработки безопасных систем использовали функции, предложенные Беллом и Лападулом, чаще использовались собственные функции, разработанные на основе функций модели БЛМ. Поэтому в настоящее время, когда говорят о модели БЛМ, имеются в виду только простое условие безопасности и свойство ограничения, а не функции, составляющие основу модели, и их доказательства

Несмотря на все достоинства, оказалось, что при использовании БЛМ в контексте практического проектирования и разработки реальных компьютерных систем возникает ряд технических вопросов. Данные вопросы являются логическим следствием достоинства БЛМ ее простоты. Проблемы возникают при рассмотрении вопросов построения политик безопасности для конкретных типов систем, т.е. на менее абстрактном уровне рассмотрения. Как следствие, в мире компьютерной безопасности ведется широкая полемика по поводу применимости БЛМ для построения безопасных систем.
При формализации многоуровневого управления безопасностью, модель Белл(Лападула определяет структуру класса доступа и устанавливает упорядочивание отношений между классами доступа (доминирование).. Изменения классов доступа в рамках модели Белл(Ла Падула не допускаются.
В предыдущем описании правил БЛМ не было указано, какие субъекты должны подчиняться этим правилам. Например, компьютерные системы обычно имеют администратора, который управляет системой, добавляя и удаляя пользователей, восстанавливает функционирование после сбоев, устанавливает специальное программное обеспечение, устраняет ошибки в операционной системе или приложениях, и т.п. Очевидно, что процессы, действующие в интересах таких администраторов не могут управляться правилами БЛМ или каких-либо других моделей, не позволяющих им выполнить функции администрирования.
Это наблюдение высвечивает еще одну техническую проблему, связанную с правилами БЛМ. Можно сказать, что эти правила обеспечивают средства для предотвращения угрозы нарушения секретности для нормальных пользователей, но не говорят ничего по поводу той же проблемы для так называемых доверенных субъектов. Доверенные субъекты могут функционировать в интересах администратора. Также они могут быть процессами, обеспечивающими критические службы, такие как драйвер устройства или подсистема управление памятью. Такие процессы часто не могут выполнить свою задачу, не нарушая правил БЛМ. Неприменимость БЛМ для доверенных субъектов может быть выражена путем внесения поправки в данное в ранее определение операций чтения и записи БЛМ. Но хотя это и делает определение более точным, это нисколько не облегчает задачу для разработчика, желающего построить безопасный драйвер или утилиту поддержки работы администратора.
Одним из решений, рассматриваемых в литературе по безопасности, было предложение представлять и использовать для потока информации модель, требующую того, чтобы никакая высокоуровневая информация никогда не протекала на более низкий уровень. В параграфе 2.2.1.3 представлен примеры моделей безопасности, сфокусированной на понятиях, известных как выводимость и вмешательство. В данных моделях низкоуровневые пользователи не могут сделать выводы или затронуть работу высокоуровневых пользователей.


13.2 Модель LOW-WATER-MARK (LWM).

Данная модель является конкретизацией модели Б-Л, а также дает пример того, что происходит, когда изменения уровня секретности объекта возможны. Политика безопасности прежняя: все объекты системы классифицированы по узлам решетки ценностей (MLS) и поток информации разрешен только "снизу вверх".
В рассматриваемой системе один объект (неактивный), три операции с объектом, включающие запросы на доступ:
read,
write,
reset.
Эти операции используются несколькими субъектами (процессами), имеющими фиксированные уровни секретности (для простоты классы секретности образуют линейный порядок). Напомним формальное требование политики о том, что информация может двигаться только "снизу вверх". Поток информации возможен тогда и только тогда, когда реализуется доступ субъекта к объекту вида w или г. При помощи г поток считается разрешенным, если fs(S)
·
· fo (0).
При команде w поток считается разрешенным, если субъект S не может прочитать информацию в объекте уровня fs(S)
·
· fo(0) и записать в объект, для которого fs(S)
·
·fo(O), причем хотя бы в одном из этих соотношений неравенство строгое (напомним, что по условию текущие уровни субъектов f c(S)
·
·fs (S) для любого S). Из этих свойств следует, что в системе должны выполняться условия ss и *. Условие ds автоматически выполняется, так как нет ограничений на доступ, кроме перечисленных.
Таким образом, условия ss в данной системе выглядят стандартно: если X=w или г, то могут быть разрешены доступы (S, О, X) при выполнении fs(S)
·
· fo(O).
Условие *:
если X=w, то fs(S)= fo (O),
еслиХ=г, то fs(S)
·
· fo(O).
Опишем функционирование системы и докажем, что выполняются условия ss и *. Уровень объекта О в LWM может меняться: при команде write может снизиться, а при команде reset подняться следующим образом. По команде reset класс объекта поднимается и становится максимальным в линейном порядке После этого все субъекты приобретают право w, но read имеют право только субъекты, находящие на максимальном уровне решетки. При команде write гриф объекта снижается до уровня субъекта, давшего команду w. При снижении уровня секретности объекта вся прежняя информация в объекте стирается и записывается информация процессом, вызвавшем команду write. Право write имеет любой субъект, у которого fs(S)
·
·fo(O), где fo(O) текущий уровень объекта. Право reset имеет только тот субъект, который не имеет право write. Право read имеет любой субъект, для которого fs (S)>fo(0)
Суммируем вышесказанное в следующей таблице.
Операция
Организация
доступа
Результат операции

Read
fs(S)
·
·
·fo(O).
Процесс S получает содержимое объекта 0

Write (данные)
fs(S)
·
·fo(O)
Уровень объекта становится равным уровню S Данные от S записываются в 0

Reset
fs(S)
·
·fo(O)
Уровень объекта устанавливается выше всех уровней процессов


Лемма. Для любого состояния системы LWM выполнены условия ss и *.
Доказательство. Если fs(S)
·
· fo(O),то г доступ S к О разрешен. Если fs(S)= fo (O),то w доступ S к О разрешен. Таким образом ss и * выполнены Что и требовалось доказать.
Однако все рассуждения останутся теми же, если отказаться от условия, что при команде write в случае снижения уровня объекта все стирается То есть здесь также будут выполняться условия * и ss, но ясно, что в этом случае возможна утечка информации В самом деле, любой процесс нижнего уровня, запросив объект для записи, снижает гриф объекта, а получив доступ w, получает возможность г Возникает канал утечки (
· w, >г), при этом в предыдущей модели свойство * выбрано для закрытия канала (
· г, >w). Данный пример показывает, что определение безопасного состояния в модели Б-Л неполное и смысл этой модели только в перекрытии каналов указанных видов. Если "доверенный" процесс снижения грифа объекта работает неправильно, то система перестает быть безопасной.
Литература:
1. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Издательство Агентства “Яхтсмен”, - 1996. C.73-83(глава
2.Теория и практика обеспечения информационной безопасности. Под редакцией П.Д.Зегжды. - М.: Издательство Агентства “Яхтсмен”, - 1996. Cтр.30-31

Вопросы для самоконтроля и собеседования:
1. Основные правила модели БЛМ.
2. Определения, необходимые для доказательства основной теоремы безопасности БЛМ
3. Основная теорема безопасности БЛМ.
4. Достоинства и недостатки БЛМ.
5. Модель LOW-WATER-MARK (LWM). Основные идеи и правила.



1515Основной текст вместеОсновной текстЮН"C:\WINDOWS\Рабочий стол\ЛекТ16.docЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ16.asdЮН$C:\WINDOWS\TEMP\Автокопия ЛекТ16.asdЮН(C:\WINDOWS\Рабочий стол\ТОЗИ\Тема13н.docLexu$1C:\Алексей\Политех\Защита\лекции\1\лекция №13.doc
·
·
·
·
·
·
·
·
·
·
·
·
·х 

Приложенные файлы

  • doc 18814319
    Размер файла: 69 kB Загрузок: 0

Добавить комментарий