- •Тема 7. Математические модели анализа политики безопасности информации
- •Москва – 2010
- •Введение
- •1. Основные понятия и определения политики безопасности информации.
- •1.1. Понятие политики безопасности
- •1.2. Понятия доступа и монитора безопасности
- •1.3. Понятие ядра безопасности.
- •2. Математические модели анализа дискреционной политики безопасности информации
- •2.1. Модель матрицы доступов Харрисона-Руззо-Ульмана
- •Рассмотрим вопросы безопасности системы.
- •2.2. Типизованная матрица доступов
- •2.3. Модель распространения прав доступа Take-Grant
- •2.4. Модель Харрисона-Руззо-Ульмана.
- •3. Математические модели мандатной политики управления доступом
- •3.1. Классическая модель системы безопасности Белла-ЛаПадула
- •3.2. Модель безопасности Мак-Лина (безопасная функция перехода)
- •С точки зрения модели уполномоченных субъектов система (vo,r, Ta) считается безопасной в том случае, если:
- •Модель совместного доступа
- •3.3. Модель совместного доступа с уполномоченными объектами
- •3.4. Решетка мандатных моделей безопасности
- •3.5. Применение мандатных моделей безопасности.
3.2. Модель безопасности Мак-Лина (безопасная функция перехода)
Недостаток основной теоремы безопасности Белла-ЛаПадула состоит в
том, что ограничения, накладываемые теоремой на функцию перехода, совпадают с критериями безопасности состояния, поэтому данная теорема является избыточной по отношению к определению безопасного состояния. Кроме того, из теоремы следует только то, что все состояния, достижимые из безопасного состояния при определенных ограничения, будут в некотором смысле безопасны, но при этом не гарантируется, что они будут достигнуты без потери свойства безопасности в процессе осуществления перехода. Так как нет никаких определенных ограничений на вид функции перехода, кроме указанных в условиях теоремы, и допускается, что уровни безопасности субъектов и объектов могут изменяться, то можно представить такую гипотетическую систему (она получила название Z-системы), в которой при попытке низкоуровневого субъекта прочитать информацию из высокоуровневого объекта будет происходить понижение уровня объекта до уровня субъекта и осуществляться чтение. Функция перехода Z-системы удовлетворяет ограничениям основной теоремы безопасности, и все состояния такой системы также являются безопасными в смысле критерия Белла-ЛаПадулы, но вместе с тем в этой системе любой пользователь сможет прочитать любой файл, что, очевидно, несовместимо с безопасностью в обычном понимании.
Следовательно, необходимо сформулировать теорему, которая бы не только констатировала, безопасность всех достижимых состояний для системы, соответствующей определенным условиям, но и гарантировала бы безопасность в процессе осуществления переходов между состояниями. Для этого необходимо регламентировать изменения уровней безопасности при переходе от состояния к состоянию с помощью дополнительных правил.
Такую интерпретацию мандатной модели осуществил Мак-Лин, предложивший свою формулировку основной теоремы безопасности, основанную не на понятии безопасного состояния, а на понятии безопасного перехода.
При таком подходе функция уровня безопасности представляется с помощью двух функций, определенных на множестве субъектов и объектов: Fs:SL и Fo: OL.
Функция перехода Т считается безопасной по чтению, если для любого перехода T(r, v) = v*, выполняются следующие три условия:
если read M[s, o] и read M [s, o] то: Fs(s) Fo(o) и F=F;
если FsFs то: M = M,
Fo = Fo,
для s и o, для которых Fs(s) Fo(o), read M [s, o];
если Fo Fo то: M = M,
Fs = Fs,
для s и o, для которых Fs(s) Fo(o), read M [s, o];
Функция перехода Т считается безопасной по записи, если для любого перехода T(r, v) = v*, выполняются следующие три условия:
если write M[s, o] и write M [s, o] то: Fo(o) Fs(s) и F=F;
если Fs Fs то: M = M,
Fo = Fo,
для s и o, для которых Fs(s) Fo(o), write M [s, o];
3) если Fo Fo то: M = M,
Fs = Fs,
для s и o, для которых Fs(s) Fo(o), write M [s, o].
Функция перехода является безопасной тогда и только тогда, когда она одновременно безопасна и по чтению и по записи.
Смысл введения перечисленных ограничений и их принципиальное отличие от условий теоремы Белла-ЛаПадулы состоит в следующем: нельзя изменять одновременно более одного компонента состояния системы — в процессе перехода либо возникает новое отношение доступа, либо изменяется уровень объекта, либо изменяется уровень субъекта.
Следовательно, функция перехода является безопасной тогда и только тогда, когда она изменяет только один из компонентов состояния и изменения не приводят к нарушению безопасности системы.
Так как безопасный переход из состояния v в состояние v* позволяет изменяться только одному элементу из v и так как этот элемент может быть изменен только способами, сохраняющими безопасность состояния, была доказана следующая теорема о свойствах безопасной системы:
Теорема безопасности Мак-Лина:
Система безопасна в любом состоянии и в процессе переходов между ними, если ее начальное состояние является безопасным, а ее функция перехода удовлетворяет критерию Мак-Лина.
Обратное утверждение неверно. Система может быть безопасной по определению Белла-ЛаПадулы, но не иметь безопасной функции перехода, о чем свидетельствует рассмотренный пример Z-системы.
Такая формулировка основной теоремы безопасности предоставляет в распоряжение разработчиков защищенных систем базовый принцип их построения, в соответствии с которым для того, чтобы обеспечить безопасность системы как в любом состоянии, так и в процессе перехода между ними, необходимо реализовать для нее такую функцию перехода, которая соответствует указанным условиям.
Уполномоченные субъекты.
Формулировка основной теоремы безопасности в интерпретации Мак-Лина позволяет расширить область ее применения по сравнению с классической теоремой Белла-ЛаПадула, однако, используемый критерий безопасности перехода не всегда соответствует требованиям контроля доступа, возникающим на практике.
Так как в процессе осуществления переходов могут изменяться уровни безопасности сущностей системы, желательно контролировать этот процесс, явным образом разрешая или запрещая субъектам осуществлять подобные переходы. Для решения этой задачи Мак-Лин расширил базовую модель путем выделения подмножества уполномоченным субъектов, которым разрешается
инициировать переходы, в результате которых у сущностей системы изменяются уровни безопасности. Система с уполномоченными субъектами также описывается множествами S, О и L, смысл которых совпадает с аналогичными понятиями модели Белла-ЛаПадула, а ее состояние также описывается набором упорядоченных пар (F, M), причем функция перехода F и матрица отношений М доступа играют ту же роль. Новым элементом модели является функция управления уровнями C: SO (S) (здесь и далее (S) обозначает множество всех подмножеств S). Эта функция определяет подмножество субъектов, которым позволено изменять уровень безопасности, для заданного объекта или субъекта. Модель системы (v0,R,Ta) состоит из начального состояния vo множества запросов R и функции перехода Ta, которая переводит систему из состояния в состояние по мере выполнения запросов. Но теперь у функции перехода, которая определяет следующее состояние системы после выполнения определенным субъектом некоторого запроса, появился еще один аргумент — субъект, от которого исходит этот запрос, поскольку результат перехода зависит от того, какой субъект его инициировал: Ta:(SVR)v. Как и прежде система, находящаяся в состоянии vV, при получении запроса rR, от субъекта sS переходит из состояния v в состояние v*=Ta(s, v, r).
Функция перехода в модели с уполномоченными субъектами Та называется авторизованной функцией перехода тогда и только тогда, когда для каждого перехода Ta(s, v, r) = v*, при котором v=(F, M) и v*=(F*, M*) выполняется следующее условие:
для xSO : если F*(х) F(х), то sC(x).
Другими словами, в ходе авторизованного перехода уровень безопасности субъекта или объекта может изменяться только тогда, когда субъект, выполняющий переход, принадлежит множеству субъектов, уполномоченных изменять уровень этого субъекта или объекта.