Теоретические основы компьютерной безопасности: Методические указания к выполнению лабораторных работ, страница 17

Теория данных моделей в настоящее время активно формируется.

Модель невмешательства

Невмешательство - это ограничение, при котором ввод высокоуровневого пользователя не может смешиваться с выводом низкоуровневого.

Рассмотрим систему, вывод которой пользователю и определен функци­ей out(u, hist.read(u)), где hist.read(u) - история ввода системы, чей последний ввод был read(u), т.е. чтение пользователем и.

Для определения безопасности системы необходимо определить очи­щение историй ввода (purge), выполнение которого приводит к удалению из ис­тории команд, выполненных пользователями, чей уровень безопасности мень­ше уровня и.

Считается, что система удовлетворяет требованию невмешательства, если и только если для всех пользователей и, всех историй ввода Т и всех ко­манд вывода с выполняется равенство

оut(u, T.c(u)) = out(u, purge(u, T).c(u)).

Модель невыводимости

Модель невыводимости выражается в терминах пользователей и ин­формации, связанных с одним из двух возможных уровней секретности: высо­кий и низкий.

Система считается невыводимо безопасной, если пользователи с низким уровнем безопасности не могут получить информацию с высоким уровнем сек­ретности в результате любых действий высокоуровневых пользователей. Дан­ное определение просто требует, чтобы низкоуровневые пользователи не были способны использовать доступную им информацию для получения высоко­уровневой информации (это объясняет, почему определение названо невыводимостью).

В терминах историй ввода, рассматриваемых в модели невмешательст­ва, система считается невыводимо безопасной, если высокоуровневые выводы могут быть всегда удалены из истории, и это не повлияет на то, что видят низ­коуровневые пользователи. Кроме того, низкоуровневые пользователи не должны получать новую информацию, основываясь на видимом ими поведении системы (вводы/выводы), если на входе системы есть дополнительные высо­коуровневые пользователи.

Недостатки информационных моделей

Информационные модели обладают следующими недостатками:

·  модель невмешательства разрешает низкоуровневым пользователям копировать один высокоуровневый файл в другой высокоуровневый (в этом смысле она слабее модели Белла - ЛаПадула);

·  модель невыводимости не предохраняет информацию высокоуровне­вого пользователя от просмотра низкоуровневым.

Порядок выполнения работы

1.  Получить доступ к набору служебных программ «Монитор безопасности»:

·  expert.exe (программа преобразования файла описания модели в ехе-файл);

·  security.exe (основная программа «Монитора безопасности»),

2.  Создать файл описания модели невмешательства при помощи языка зада­ния. Исходные данные выдаются преподавателем. Особенности языка и правила описания модели приведены в Приложении 2.

3.  Используя программу expert.exe, получить ехе-файл. Последовательность работы с утилитой expert.exe определена в Приложении 3.

4.  Запустить программу security.exe. Описание ее возможностей приведено в Приложении 4.

5.  Выбрать в меню FILE созданный ехе- файл.

6.  Убедиться в возможности копирования низкоуровневым пользователем вы­сокоуровневого объекта в системе с реализованной моделью невмешатель­ства. Для этого использовать операции чтения, создания сущности и записи низкоуровневым пользователем на высоком уровне секретности.

7.  Выйти из программы security.exe.

8.  Создать файл определения модели невыводимости с целью проверки ут­верждения: «низкоуровневые пользователи не должны получить новой ин­формации, основываясь на видимом ими поведении системы (вводы/выводы), если на входе системы есть дополнительные высокоуровне­вые пользователи». Исходные данные выдаются преподавателем.

9.  Примечание:использовать доступ по чтению, чтобы низкоуровневый пользо­ватель мог «видеть» состояние системы, и операцию создания для получе­ния дополнительных субъектов в системе.

10.  Повторить выполнение пунктов 3-5.