11. Убедиться в наличии доступа к высокоуровневой информации в системе с реализованной моделью невыводимости и в том, что информация о системе, доступная низкоуровневому субъекту, не меняется при возникновении в системе нового высокоуровневого субъекта.
12. Выйти из программы security.exe.
Содержание отчета
В отчете необходимо привести
1. Исходные данные:
• набор субъектов и объектов, а также соответствующие атрибуты,
• содержимое prefile и postfile, если они применялись.
2. Результаты, подтверждающие оба варианта обхода защиты.
3. Способ восстановления и результаты его применения.
4. Выводы по лабораторной работе.
Пример отчета
Модель невмешательства подразумевает полное разграничение потоков информации в системе от низко- и высокоуровневых пользователей, что достаточно легко моделируется с помощью настройки файла инициализации. Копирование высокоуровневого объекта в высокоуровневый выполняется как последовательное создание объекта, чтение и запись. Остановимся на исследовании модели невыводимости как более сложной.
Предположим, что изначально в простейшей системе имеется два субъекта. Один - с высокой степенью доверия, другой - с низкой. Данные субъекты могут инициировать в системе потоки информации.
Модель невыводимости требует, чтобы низкоуровневые субъекты не получали новой информации о состоянии системы, если на входе системы есть дополнительные высокоуровневые пользователи.
Для моделирования подобной ситуации используем операцию reads, считая, что она позволяет «прочитать» состояние системы. Соответственно атрибуты субъектов будут называться «наблюдаю работу первого субъекта», «наблюдаю работу второго субъекта» и «наблюдаю работу третьего субъекта». Пусть существует атрибут, позволяющий создавать второй субъект.
Рассмотрим модель невыводимости лишь относительно двух операции: reads (как чтение состояния субъекта) и creates (как создание субъекта).
Таким образом, в момент инициализации в системе определено два субъекта. Низкоуровневый субъект не может прочитать состояние второго субъекта и не может его создать. Первый субъект может создать другой субъект.
По требованию безопасности для модели невыводимости низкоуровневый субъект не должен считать новую информацию при появлении на входе системы дополнительного субъекта, порожденного, например, первым субъектом.
Тогда файл описания модели будет выглядеть следующим образом:
// info.ini
S(1, 1,1,1,1,0,0,0,0); //высокая степень доверия
S(3, 1,0,1,0,0,0,0,0); //низкая степень доверия
ATTRNAME watch_S1 IS ATTRS(1);
ATTRNAME watch_S2 IS ATTRS(2);
ATTRNAME watch_S3 IS ATTRS(3);
ATTRNAME can_create_S2 IS ATTRS(4);
RULES
READS IF(
(THISO==1 &&watch_S1[THISS])||
(THISO==2 && watch_S2[THISS]) ||
(THISO==3 &&watch_S3[THISS])
)
CREATES IF(can_create_S2[THISS])
ENDRULES
Prefile и postfile не использовались.
Контрольные вопросы по лабораторной работе
1. Что послужило причиной создания информационных моделей безопасности?
2. Что понимается под невмешательством?
3. В чем заключается требование невмешательства?
4. В каком случае система считается не-выводимо безопасной?
5. Каковы недостатки информационных моделей?
ПОДГОТОВКА К ЭКЗАМЕНУ
После изучения курса проводится итоговый контроль знаний в виде экзамена.
Вопросы итогового контроля
В ходе подготовки к экзамену студенту необходимо изучить следующие вопросы.
9. Целостность данных в АС.
10. Метод контроля целостности Кларка-Вильсона.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.