Модель контроля целостности биба

Мандатную модель целостности Биба – метки целостности:

1. целостный ОВ

2. уровень: нецелостный

1 уровень > 2 уровень

Правила Биба:

1. NRD – no read down - не читать снизу низкоуровнему пользователю не читать информацию верхнего уровня

2. NWU – no write up – не писать сверху – нельзя писать секретное в несекретное

Правила Биба автоматически выполняют принципы целостности и доступности и конфиденциальности.

Пример по правилам представлен на рис. 11, где S – субъект, О – объект.

Рисунок 11

Модификация модели биба

Понижения уровня субъекта.

Субъект если считал информацию из объекта с меньшем уровнем целостности, то его уровень должен быть понижен.

Пример: пусть в защищенной сети есть узел. Пусть узел загрузил информацию с более низким уровнем целостности извне, предположительно вирусный код. Тогда узел должен быть изолирован из данной сети.

Понижение уровня объекта.

Если в высокоуровневый объект записана информация низкоуровневым субъектом, тогда доверие к объекту должно быть понижено.

Пример: (writetocopy) при загрузке .dll, меняя его мы работаем с его копией.

Теория модели безопасности, монитор безопасности

Субъект – активный компонент системы (S).

Объект - пассивный компонент системы (O).

Ассоциированный объект с субъектом – такой объект, на который субъект имеет полный доступ.

Поток информации между объектами – чтение из одного объекта и запись в другой объект.

Только субъекты могут порождать потоки информации.

Монитор безопасности – специальный субъект, который предоставляет доступ субъектов к объектам.

Рисунок 12

БДУЗ - база данных учетных записей;

ПРД- правила разграничения доступа;

ЖА - журнал аудита;

S –субъект;

O- объект.

Функции монитора безопасности:

1. Идентификация, аутентификации и авторизация

2. Предоставление доступа в соответствии с ПРД

3. Аудит произошедших событий, журналирование

Доступ субъекта к объекту – порождение потока в/из, объект – ассоциированный объект с данным пользователем.

Пример: при чтении книги создаем поток памяти. Книга – объект, ассоциированный объект – память человека.

Образ процессы в памяти - ассоциированный объект для активного процесса в системе.

Субъект всегда абстрактен.

Основная теорема информационной безопасности – безопасность системы целиком и полностью определяется ПРД.

Нарушение безопасности ( по РД) – появление паразитных потоков информации, которые запрещены по РД.

Пример нарушения безопасности:

Рисунок 13 - Скрытый канал утечки информации

Может появиться поток информации S2 из О2 в О1 и S1 получит доступ к О2.

Рисунок 14

Проблема безопасностей моделей

Если система находилась в безопасном состоянии изначально S0, то необходимо ответить на вопрос: «Будет ли она безопасна на n –шаге изменений?»

Для матрицы доступа доказано, что проблема в общем случае неразрешима. Доказательство основывается на неразрешимости машины Тьюринга.

Для мандатной модели проблема безопасности разрешима. Существует математическое доказательство.

Монитор безопасности должен быть единственным. Пример: ОС Windows. В системе установлено СУБД MS SQL, в ней есть свой внутренний монитор безопасности. Монитор безопасности должен быть основным.