Теоретические основы компьютерной безопасности: Методические указания к выполнению лабораторных работ, страница 5

Контрольные вопросы по лабораторной работе

1.  Что составляет основу дискреционных моделей доступа?

2.  Перечислите признаки принадлежности модели Харрисона-Руззо-Ульмана к моделям дискреционного доступа.

3.  Каковы достоинства и недостатки дискреционных моделей?

4.  Поясните процесс реализации угроз при помощи троянской программы.

2.2 Лабораторная работа № 2.

Модели мандатного управления доступом. Модель Белла-ЛаПадула

Цель работы: овладеть методикой формирования мандатных моделей доступа, исследовать возможности мандатных моделей доступа.

Средства: методика проведения лабораторной работы, теоретический материал, персональный компьютер.

Время:  4 часа

Теоретические сведения

Модели мандатного управления доступом

Дискреционные модели управления доступом позволяют пользователям без ограничений передавать свои права другим пользователям. Это и исполь­зуется в троянских программах, которые перераспределяют права без уведом­ления их владельца. Модели мандатного управления доступом лишены подоб­ного недостатка. Классической моделью данного типа является модель Белла-ЛаПадула.

Модель Белла-ЛаПадула

Идеи, лежащие в основе модели Белла-ЛаПадула, взяты из мира бумаж­ных документов, в котором каждому субъекту и объекту ставится в соответст­вие уровень безопасности - от нулевого (unclassified) до совершенно секретно­го (top secret). В этом случае для предотвращения утечки информации пользо­вателю с низким уровнем безопасности не разрешается читать документ с бо­лее высоким уровнем секретности. Кроме того, запрещено помещать инфор­мацию в объекты, чей уровень безопасности ниже, чем у субъекта. Например, право чтения совершенно секретного файла никаким образом не может быть передано неклассифицированному пользователю.

Как и в модели Харрисона-Рузо-Ульмана, описание модели Белла-ЛаПадула содержит множества субъектов S, объектов О, прав доступа А и мат­рицу доступа М. Однако, в этой модели множества S и О не изменяются при переходе системы из состояния в состояние, и множество А содержит два пра­ва доступа:

   read;

   write.

В модели Белла-ЛаПадула используется решетка уровней безопасности L и функция F:SUO -> L, которая в данном состоянии системы сопоставляет субъекту или объекту уровень безопасности. Множество Vсостояний системы -это множество упорядоченных пар (F, М). Система определяется начальным состоянием v0 , определенным набором запросов Rи функцией переходов Т:( VxR) -> V, которая переводит систему из состояния в состояние при выполне­нии запроса. Однако самое важное отличие модели Белла-ЛаПадула заключа­ется в ведении ряда определений, которые являются необходимыми и доста­точными условиями безопасности системы:

Определение 1, Правило «нет чтения вверх» NRU (по readup), или простая безопасность. Состояние (F, M) безопасно по чтению тогда и только тогда, когда для "sÎS и для "oÎO и readÎ W[s, о] F(s)≥F(o).

Определение 2. Правило «нет записи вниз» NWD (nowritedown), или *-свойство. Состояние (F, М) безопасно по записи тогда и только тогда, когда для "sÎS и для "oÎO и writeÎ М[s, о] F(o)≥F(s).

Определение 3. Состояние системы безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.

Безопасность по чтению запрещает доступ низкоуровневого пользовате­ля к чтению высокоуровневых объектов. *-свойство защищает высокоуровне­вые файлы от копирования информации высокоуровневым троянским конём в файлы, к которым имеет доступ по чтению низкоуровневый пользователь.

Далее Белла и ЛаПадула доказали Основную теорему безопасности.

Теорема. Система (v0, R, Т) безопасна тогда и только тогда, когда:

1.  Состояние v0 безопасно,

2.  Т такова, что любое состояние v , достижимое из v0 при выполнении конеч­ной последовательности запросов из R, также безопасно,

3.  Если Т( v , с) = v *, где v =(F, М) и v *=(F*, m*), и переходы (Т) системы из со­стояния в состояние подчиняются следующим ограничениям для "sÎS и для "oÎO:

·  если readsÎM*[s, о] и readM[s, о], то F *(s)≥F *(о);