Теоретические основы компьютерной безопасности: Методические указания к выполнению лабораторных работ, страница 7

6.  Убедиться в защите, предоставляемой моделью Белла-ЛаПадула. Для этого необходимо:

·  выполнить операции чтения и записи для пар «субъект-объект», кото­рые удовлетворяют правилам NRU и NWD. Убедиться в возможности выполнения таких операций.

·  выполнить операции чтения-записи с нарушением правил модели Белла-ЛаПадула. Убедиться в невыполнимости такого рода действий.

7.  Выполнить одно из неописанных в файле описания модели действий, на­пример, delete object. Убедиться, что оно разрешается моделью. Исследо­вать модель подобным образом для различных операций.

8.  Выйти из программы security.exe и вернуться к редактированию файла опи­сания модели.

9.  Реализовать в файле описания Z-систему, позволяющую нарушить защиту модели Белла-ЛаПадула.

Примечание:на данном этапе возможно использование дополнительных файлов prefile и postfile.

10.  Повторить выполнение пунктов 3 - 5.

11.  Убедиться в возможности обхода защиты, предоставляемой мандатной мо­делью Белла-ЛаПадула, в системе Z. Для этого необходимо:

·  снять атрибуты субъектов и объектов;

·  выполнить чтение или запись высокоуровневого объекта;

·  снова снять атрибуты сущностей

12.  Выйти из программы security.exe и продолжить редактирование файла опи­сания модели.

13.  Реализовать правило слабого спокойствия.

14.  Повторить действия пунктов 3 - 5.

15.  Убедиться защищенности информации и невозможности реализации проблемы Z-системы. Для этого необходимо повторить действия пункта 11.

16.  Выйти из программы security.exe.

Содержание отчета

В отчете требуется привести:

1.  Исходные данные:

·  наборы субъектов и объектов, а также соответствующие им уровни секретности;

·  файл описания модели Белла-ЛаПадула;

·  содержимое файлов prefile и postfile, если таковые применялись

2.  Результаты, подтверждающие защищенность информации по чтению и за­писи в системе с реализованной моделью Белла-ЛаПадула и ее незащи­щенность при использовании других операций.

3.  Последовательность действий при обходе защиты модели Белла-ЛаПадула в Z-системе и файл описания, который реализует угрозу.

4.  Результаты применения правила слабого спокойствия для Z-системы.

5.  Выводы по лабораторной работе.

Пример отчета

1.      Исходные данные:

Рассмотрим систему, содержащую два субъекта и два объекта:

·  S1,   с уровнем безопасности «секретно»;

·  S2с уровнем безопасности «несекретно»;

·  О1 с уровнем секретности «несекретно»;

·  О2 с уровнем секретности «секретно».

Таким образом, мы можем построить решетку уровней:

1 ------------Sl------------O2-------- «секретно»

0-----------S2-----------О1----------«несекретно»

Очевидно, что S1 может читать O1 и О2а S2 – только O1. Записывать информацию разрешено S1в О2, а S2 в О1 и О2. Тогда файл описания модели будет выглядеть следующим образом:

// листинг файла инициализации b_l_m.ini

//1 - секретно; 0 - несекретно

S(1,  1,   0,0,0,0,0,0,0);

S(2,  0,   0, 0, 0, 0, 0, 0, 0);

O(1, 0,   0, 0, 0,0, 0, 0,0);

О(2,  1,   0, 0,0,0, 0, 0, 0);

ATTRNAME seclevelS IS ATTRS(1);

ATTRNAME seclevelO IS ATTRO(1);

RULES

     READO   IF(seclevelS[THISS]>=seclevelO[THISO])

     WRITEO IF(seclevelO[THISO]>=seclevelS[THISS])

ENDRULES

Prefile и postfiie не используются.

2.      В ходе работы с реализованной в п.(1) данного отчета моделью Белла-ЛаПадула была проведена проверка на доступ к объектам по чтению и записи. Данные операции выполнялись в соответствии с правилами NRU и NWD: S1смог читать О1 и О2 а S2 - только О1. Записывать информацию было разреше­но S1 в O2, , aS2в О1 и O2. Операция, не определенная в модели Белла-ЛаПадула (например, смена атрибутов объекта), разрешена, что нарушает за­щищенность информации в системе.

3.      Затем в файл описания модели были внесены изменения, чтобы реализо­вать проблему Z-системы. Для простоты реализован вариант Z-системы, в ко­тором у запросившего доступ субъекта изменяется уровень безопасности до уровня объекта, и доступ тем самым разрешается. В этом варианте, т.к. меня­ется уровень не всех сущностей, а только одного субъекта.