· с другой стороны, проблема безопасности разрешима для монооперационных систем (первая теорема), но тогда модель получается слишком слабой для реализации большинства политик. Например, монооперационные системы не позволяют воплотить политику, которая наделяла бы субъекта специальными правами доступа к дочернему объекту, т.к. отсутствует единая операция создания объекта и обозначения его принадлежности к субъекту-родителю. В таком случае невозможно отличить потомков одного предка от потомков другого. Это приводит к тому, что операция create становится, по существу, бесполезной.
Харрисон, Руззо, Ульман также показали, что безопасными помимо монооперационных являются системы, которые:
· не содержат операций create;
· являются или монотонными (не содержат операций destroy и delete), или моноусловными (условная часть запроса содержит, как максимум, один элемент) одновременно.
Однако такие системы сильно ограничены в возможностях. Безопасность даже для монотонных систем становится неразрешимой, если мы позволим осуществление биусловных запросов (условная часть запроса содержит, как максимум, два элемента).
Достоинства дискреционных моделей
В качестве достоинств дискреционных моделей можно отметить следующее:
• хорошая гранулированность защиты;
• простота реализации.
Недостатки дискреционных моделей
Самым крупным недостатком дискреционных моделей, в частности модели Харрисона-Руззо-Ульмана, является наличие проблемы троянских коней.
Троянская программа (троянский конь) - программа, которая «на поверхности» выполняет одно действие (например, редактирование файла), а «в глубине» производит нечто неожиданное и нежелательное (например, передает нелегальному пользователю право чтения). Пользователь запускает какую-нибудь программу на компьютере. Это инициирует последовательность операций, зачастую скрытых от его взора. Такие процессы управляются операционной системой. Троянские кони рассчитывают на то, что когда пользователь вызывает такой набор операций, он обычно верит в то, что система произведет все, как полагается.
Результаты исследования модели Харрисона-Руззо-Ульмана показали, что сложно предсказать, каким образом будут распределяться права доступа в данной модели, даже если мы имеем полное представление о программах, ответственных за распределение прав. Например, пользователь имеет право на запуск программы другого пользователя. Первый пользователь может не знать, что эта программа без явных указаний передаст набор его прав второму.
Однако троянские кони ограничены схемой авторизации, т.е. набором прав в системе. Они могут модифицировать состояние системы, используя только те команды, которые доступны им в текущем состоянии.
Все это позволяет сделать следующий вывод: модель Харрисона-Руззо-Ульмана обладает большими выразительными свойствами, но чрезвычайно слабыми защитными характеристиками. Ограничения, вводимые с целью повышения защитных свойств, приводят к снижению практического эффекта модели. Не существует какого-либо общего случая модели Харрисона-Руззо-Ульмана, для которого проблема безопасности была бы эффективно разрешима.
Выполнение работы
1. Получить доступ к набору служебных программ «Монитор безопасности»:
· expert.exe (программа преобразования файла описания модели в ехе-файл);
· security.exe (основная программа «Монитора безопасности»).
2. Создать файл описания модели Харрисона-Руззо-Ульмана при помощи языка описания. Исходные данные для создания файла описания получить у преподавателя. Особенности языка и правила описания модели приведены в Приложении 2.
3. Используя программу expert.exe, получить из файла описания модели ехе-файл. Последовательность работы с утилитой expert.exe приведена в Приложении 3.
4. Запустить программу security.exe. Описание ее возможностей приведено в Приложении 4.
5. Выбрать в меню FILE созданный ехе-файл.
6. Убедиться в хорошей гранулированности защиты дискреционной модели Харрисона-Руззо-Ульмана.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.