Теоретические основы компьютерной безопасности: Методические указания к выполнению лабораторных работ, страница 18

11.  Убедиться в наличии доступа к высокоуровневой информации в системе с реализованной моделью невыводимости  и в том, что информация о системе, доступная низкоуровневому субъекту, не меняется при возникновении в сис­теме нового высокоуровневого субъекта.

12.  Выйти из программы security.exe.

Содержание отчета

В отчете необходимо привести

1.      Исходные данные:

•   набор субъектов и объектов, а также соответствующие атрибуты,

•  содержимое prefile и postfile, если они применялись.

2.      Результаты, подтверждающие оба варианта обхода защиты.

3.      Способ восстановления и результаты его применения.

4.      Выводы по лабораторной работе.

Пример отчета

Модель невмешательства подразумевает полное разграничение потоков информации в системе от низко- и высокоуровневых пользователей, что доста­точно легко моделируется с помощью настройки файла инициализации. Копи­рование высокоуровневого объекта в высокоуровневый выполняется как по­следовательное создание объекта, чтение и запись. Остановимся на исследо­вании модели невыводимости как более сложной.

Предположим, что изначально в простейшей системе имеется два субъ­екта. Один - с высокой степенью доверия, другой - с низкой. Данные субъекты могут инициировать в системе потоки информации.

Модель невыводимости требует, чтобы низкоуровневые субъекты не по­лучали новой информации о состоянии системы, если на входе системы есть дополнительные высокоуровневые пользователи.

Для моделирования подобной ситуации используем операцию reads, считая, что она позволяет «прочитать» состояние системы. Соответственно ат­рибуты субъектов будут называться «наблюдаю работу первого субъекта», «наблюдаю работу второго субъекта» и «наблюдаю работу третьего субъекта». Пусть существует атрибут, позволяющий создавать второй субъект.

Рассмотрим модель невыводимости лишь относительно двух операции: reads (как чтение состояния субъекта) и creates (как создание субъекта).

Таким образом, в момент инициализации в системе определено два субъекта. Низкоуровневый субъект не может прочитать состояние второго субъекта и не может его создать. Первый субъект может создать другой субъ­ект.

По требованию безопасности для модели невыводимости низкоуровне­вый субъект не должен считать новую информацию при появлении на входе системы дополнительного субъекта, порожденного, например, первым субъек­том.

Тогда файл описания модели будет выглядеть следующим образом:

// info.ini

S(1, 1,1,1,1,0,0,0,0); //высокая степень доверия

S(3, 1,0,1,0,0,0,0,0); //низкая степень доверия

ATTRNAME watch_S1 IS ATTRS(1);

ATTRNAME watch_S2 IS ATTRS(2);

ATTRNAME watch_S3 IS ATTRS(3);

ATTRNAME can_create_S2 IS ATTRS(4);

RULES

      READS   IF(

                      (THISO==1 &&watch_S1[THISS])||

                      (THISO==2 && watch_S2[THISS]) ||

                      (THISO==3 &&watch_S3[THISS])

                       )

      CREATES IF(can_create_S2[THISS])

ENDRULES

Prefile и postfile не использовались.

Контрольные вопросы по лабораторной работе

1.      Что послужило причиной создания информационных моделей безопасности?

2.      Что понимается под невмешательством?

3.      В чем заключается требование невмешательства?

4.      В каком случае система считается не-выводимо безопасной?

5.      Каковы недостатки информационных моделей?

ПОДГОТОВКА  К  ЭКЗАМЕНУ

После изучения курса проводится итоговый контроль знаний в виде экзамена.

Вопросы итогового контроля

В ходе подготовки к экзамену студенту необходимо изучить следующие вопросы.

1. Защита информации. Общие понятия.

2. Источники угроз безопасности информации.        

3. Анализ угроз безопасности информации.

4. Защита информации от несанкционированного доступа.

6. Принципы защиты от несанкционированного доступа.

7. Методы идентификации и аутентификации пользователей.

8. Схемы контроля доступа.

9.  Целостность данных в АС.

10. Метод контроля целостности Кларка-Вильсона.

11. Криптографические методы защиты информации.