Списки управления доступом
Рефераты >> Программирование и компьютеры >> Списки управления доступом

2)

Для пары сущностей x и y, обладающих уровнями безопасности a и b соответственно, обозначим наименьший уровень безопасности их комбинации как , при этом и . Тогда, если существует некоторый уровень c такой, что и , то должно иметь место отношение , поскольку - это максимальный уровень субъекта, для которого разрешена передача информации как в x, так и в y. Следовательно, должен быть наибольшей нижней границей a и b.

Смысл этих определений состоит в том, что для каждой пары элементов всегда можно указать единственный элемент, ограничивающий ее сверху или снизу таким образом, что между ними и этим элементом не будет других элементов.

Функция уровня безопасности F назначает каждому субъекту и объекту некоторый уровень безопасности из L, разбивая множество сущностей системы на классы, в пределах которых их свойства с точки зрения модели безопасности являются эквивалентными. Тогда оператор £ определяет направление потоков информации (если , то информация может передаваться от элементов класса A к элементам класса B).

Использование решетки для описания отношения между уровнями безопасности позволяет использовать в качестве атрибутов безопасности (элементов множества L) не только целые числа, для которых определено отношение “меньше или равно”, но и более сложные составные элементы.

2.4.2.2 Классическая мандатная модель Белла-ЛаПадулы

В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы.

Состояния системы делятся на:

— безопасные (отношения доступа не противоречат установленным в модели правилам)

— небезопасные (правила нарушаются, и происходит утечка информации)

Состояние (F,M) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: .

Состояние (F,M) называется безопасным по записи (или *-безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта: .

Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению и по записи.

Критерий безопасности модели Белла-ЛаПадулы:

Система безопасна тогда и только тогда, когда безопасны ее начальное состояние и все состояния, достижимые из путем применения конечной последовательности запросов из R.

Основная теорема безопасности модели Белла-ЛаПадулы:

Система безопасна тогда и только тогда, когда:

a) начальное состояние безопасно и

b) для любого состояния v, достижимого из путем применения конечной последовательности запросов из R таких, что , и , для каждого и выполняются следующие условия:

1) если и , то

2) если и , то

3) если и , то

4) если и , то

Таким образом, по утверждению теоремы система с безопасным начальным состоянием является безопасной тогда и только тогда, когда при любом переходе системы из одного состояния в другое не возникает никаких новых и не сохраняется никаких старых отношений доступа, которые будут небезопасны по отношению к функции уровня безопасности нового состояния.

Недостатки основной теоремы безопасности Белла-ЛаПадулы состоят в том, что:

§ данная теорема является избыточной по отношению к определению безопасного состояния, т.к. ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния

§ из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничениях, будут в некотором смысле безопасными, но при этом не гарантируется, что процесс осуществления перехода будет безопасным.

Таким образом, можно найти такую систему (Z-систему), в которой при попытке низкоуровнего субъекта прочитать информацию из высокоуровнего объекта будет происходить понижение уровня объекта до уровня субъекта, и осуществляться чтение. Функция перехода Z-системы удовлетворяет ограничениям основной теоремы безопасности в смысле критерия Белла-ЛаПадулы, но любой пользователь системы сможет прочитать любой файл, что несовместимо с безопасностью в обычном понимании.

Для гарантирования безопасности во время перехода между состояниями необходимо регламентировать изменения уровней безопасности во время перехода от состояния к состоянию с помощью дополнительных правил.


Страница: