Дискреционные модели управления доступом. Мо­дель Харрисона-Руззо-Ульмана

               Министерство образования и науки Российской Федерации

               Сибирский государственный аэрокосмический университет

                                 имени академика М. Ф. Решетнева

                         Факультет информатики и систем управления

                                                       Кафедра

                         «Безопасность информационных технологий»

                                               Технический отчёт

Дискреционные модели управления доступом. Мо­дель Харрисона-Руззо-Ульмана

Проверил:

___________С. В. Рогов

       ^{(подпись)}

_____________________

          ^{(оценка, дата)}

Выполнили:

П. О. Танбаев

А.  М. Кукарцев

М.  С. Черкасов

                                                   Красноярск

                                                         2005

Цель работы: воссоздать дискреционную модель управления доступом ХРУ. Протестировать её и попытаться обойти систему безопасности с помощью намеренного внедрения функций типа Троян в монитор безопасности.

1. Исходные данные:                                       

•   матрица доступа

Рассмотрим систему, состоящую из трёх субъектов и трёх объектов. Бу­дем рассматривать лишь две операции доступа: чтение и запись. При этом предположим, что в системе реализовано дискреционное управле­ние доступом, заданное матрицей вида:

R - чтение объекта (read object);

W - запись в объект (write object).

•  ядро монитора безопасности:

Программа представляет собой средство создания матрицы дискреционной модели управления доступом Харрисона-Руззо-Ульмана (ХРУ). Программа содержит ряд следующих функций:

– create_object

– create_subject

– destroy_object

– destroy_subject

– set_access – установка атрибутов ячейки матрицы доступа

– info – вывод сведений о состоянии матрицы доступа

– change_subject – задать текущего пользователя

– read_object – санкционированное чтение объекта текущим субъектом

– write_object – санкционированная запись в объект текущим субъектом

2.  В ходе работы была проведена проверка на доступ к объектам.  Дискреционная модель обеспечивала на­дежную  защиту по чтению и записи.

3.  Затем был применен механизм троянского коня, который эквивалентен полу­чению неавторизованным субъектом доступа на чтение и запись. Ат­рибуты второго субъекта изменились - он получил доступ по чтению и записи к нулевому объекту 0₀. Запись нового атрибута выполнила троянская функция .

4. Вывод: использование дискреционного разграничения доступа под управлением монитора безопасности даёт надёжную защиту, но так как монитор сам раздаёт права к матрице доступа, он может её модифицировать. Тем самым это создаёт угрозу того, что в монитор безопасности могут быть помещены функции типа Троян.