Контрольные вопросы по лабораторной работе
1. Что составляет основу дискреционных моделей доступа?
2. Перечислите признаки принадлежности модели Харрисона-Руззо-Ульмана к моделям дискреционного доступа.
3. Каковы достоинства и недостатки дискреционных моделей?
4. Поясните процесс реализации угроз при помощи троянской программы.
2.2 Лабораторная работа № 2.
Модели мандатного управления доступом. Модель Белла-ЛаПадула
Цель работы: овладеть методикой формирования мандатных моделей доступа, исследовать возможности мандатных моделей доступа.
Средства: методика проведения лабораторной работы, теоретический материал, персональный компьютер.
Время: 4 часа
Теоретические сведения
Модели мандатного управления доступом
Дискреционные модели управления доступом позволяют пользователям без ограничений передавать свои права другим пользователям. Это и используется в троянских программах, которые перераспределяют права без уведомления их владельца. Модели мандатного управления доступом лишены подобного недостатка. Классической моделью данного типа является модель Белла-ЛаПадула.
Модель Белла-ЛаПадула
Идеи, лежащие в основе модели Белла-ЛаПадула, взяты из мира бумажных документов, в котором каждому субъекту и объекту ставится в соответствие уровень безопасности - от нулевого (unclassified) до совершенно секретного (top secret). В этом случае для предотвращения утечки информации пользователю с низким уровнем безопасности не разрешается читать документ с более высоким уровнем секретности. Кроме того, запрещено помещать информацию в объекты, чей уровень безопасности ниже, чем у субъекта. Например, право чтения совершенно секретного файла никаким образом не может быть передано неклассифицированному пользователю.
Как и в модели Харрисона-Рузо-Ульмана, описание модели Белла-ЛаПадула содержит множества субъектов S, объектов О, прав доступа А и матрицу доступа М. Однако, в этой модели множества S и О не изменяются при переходе системы из состояния в состояние, и множество А содержит два права доступа:
• read;
• write.
В модели Белла-ЛаПадула используется решетка уровней безопасности L и функция F:SUO -> L, которая в данном состоянии системы сопоставляет субъекту или объекту уровень безопасности. Множество Vсостояний системы -это множество упорядоченных пар (F, М). Система определяется начальным состоянием v0 , определенным набором запросов Rи функцией переходов Т:( VxR) -> V, которая переводит систему из состояния в состояние при выполнении запроса. Однако самое важное отличие модели Белла-ЛаПадула заключается в ведении ряда определений, которые являются необходимыми и достаточными условиями безопасности системы:
Определение 1, Правило «нет чтения вверх» NRU (по readup), или простая безопасность. Состояние (F, M) безопасно по чтению тогда и только тогда, когда для "sÎS и для "oÎO и readÎ W[s, о] F(s)≥F(o).
Определение 2. Правило «нет записи вниз» NWD (nowritedown), или *-свойство. Состояние (F, М) безопасно по записи тогда и только тогда, когда для "sÎS и для "oÎO и writeÎ М[s, о] F(o)≥F(s).
Определение 3. Состояние системы безопасно тогда и только тогда, когда оно безопасно по чтению и по записи.
Безопасность по чтению запрещает доступ низкоуровневого пользователя к чтению высокоуровневых объектов. *-свойство защищает высокоуровневые файлы от копирования информации высокоуровневым троянским конём в файлы, к которым имеет доступ по чтению низкоуровневый пользователь.
Далее Белла и ЛаПадула доказали Основную теорему безопасности.
Теорема. Система (v0, R, Т) безопасна тогда и только тогда, когда:
1. Состояние v0 безопасно,
2. Т такова, что любое состояние v , достижимое из v0 при выполнении конечной последовательности запросов из R, также безопасно,
3. Если Т( v , с) = v *, где v =(F, М) и v *=(F*, m*), и переходы (Т) системы из состояния в состояние подчиняются следующим ограничениям для "sÎS и для "oÎO:
·
если readsÎM*[s, о] и read
M[s, о], то F *(s)≥F *(о);
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.