Теоретические основы компьютерной безопасности: Методические указания к выполнению лабораторных работ, страница 6

·  если readsÎM[s, о] и F* (s)<F*(о), то readM*[s, о];

·  если writeÎM *[s, о] и writeM[s, о], то F*(o)≥F*(s);

·  если writeÎM[s, о] и F *(o)<F*(s), то write M* [s, o].

Достоинства модели Белла-ЛаПадула

К достоинствам моделей мандатного управления доступом следует от­нести следующее:

·  понятность и простота реализации;

·  решение проблемы троянских программ.

Недостатки модели Белла-ЛаПадула

Недостатками этих моделей являются:

·  разрешение доступа, не указанного в модели;

·  проблема системы Z;

·  нарушение безопасности доверенными субъектами;

·  скрытые каналы утечки информации.

Хотя модель Белла-ЛаПадула содержит набор А прав доступа из двух операций: readÎAи writeÎA, ничто не мешает нарушителю использовать такие виды доступа, как deleteили create. Это не приводит к утечке информации, но может послужить причиной ее уничтожения или потери.

Кроме того, в модели Белла-ЛаПадула возникает следующая проблема: переход системы из состояния в состояние должен гарантировать не только безопасность последующих состояний, но и безопасный способ их достижения. В качестве примера можно привести так называемую систему Z, в которой при запросе субъектом доступа к объекту все сущности деклассифицируются до самого низкого уровня, и тем самым доступ разрешается. Это приводит к поте­ре секретности и к деградации системы, хотя состояния по-прежнему безопас­ны, и Z-система удовлетворяет требованиям модели Белла-ЛаПадула и Ос­новной теореме безопасности.

Для решения проблемы Z-систем были введены требования сильного и слабого спокойствия. Правило сильного спокойствия гласит, что уровни безо­пасности субъектов и объектов никогда не меняются в ходе системной опера­ции. Очевидный недостаток применения этого метода - потеря гибкости систе­мы при выполнении операций. Правило слабого спокойствия требует, что уровни безопасности сущностей никогда не меняются в ходе системной опера­ции таким образом, чтобы нарушить заданную политику безопасности. Напри­мер, уровень объекта не должен меняться, когда к нему обращается некоторый субъект.

Отметим, что в описании модели не дается характеристика субъектов. Компьютерные системы обычно имеют администратора. Доверенные субъек­ты могут функционировать в интересах этого администратора или исполнять некоторые критические службы. В системе с реализованной моделью Белла-ЛаПадула доверенные субъекты не смогут работать, не нарушая правил безо­пасности.

Кроме того, серьезную проблему представляют скрытые каналы утечки информации. Рассмотрим систему, в которой существуют монитор безопасно­сти и низкоуровневый субъект. Субъект пытается записать информацию в не­существующий высокоуровневый файл, периодически создаваемый и удаляе­мый высокоуровневым злоумышленником. Если нарушитель успеет создать файл к моменту записи, то субъект не узнает, кому попала его информация, т.к. он не сможет ее прочитать. Несмотря на то, что скрытые каналы могут быть выявлены другими методами, подобные тесты обычно проводятся на завер­шающей стадии разработки компьютерных систем, когда внесение изменений оборачивается огромной тратой материальных и интеллектуальных средств.

Выполнение лабораторной работы

1.  Получить доступ к набору служебных программ «Монитор безопасности»:

·  expert.exe (программа преобразования файла описания модели в ехе.файл);

·  security.exe (основная программа «Монитора безопасности»).

2.  Создать файл описания модели Белла-ЛаПадула при помощи языка описа­ния. Исходные данные для его создания задаются преподавателем. Особен­ности языка и правила описания модели приведены в Приложении 2.

Примечание:следует определить только права доступа по чтению и записи.

3.  Используя программу expert.exe, получить ехе-файл описания. Последова­тельность работы с утилитой expert.exe определена в Приложении 3.

4.  Запустить программу security.exe. Описание ее возможностей приведено в Приложении 4.

5.  Выбрать в меню FILE созданный ехе- файл.