Вопрос 2. Формальные модели защиты
Вопрос 2. Формальные модели защиты
Рассмотрим так называемую матричную модель защиты, получившую на сегодняшний день наибольшее распространение на практике.
В терминах матричной модели, состояние системы защиты описывается тройкой:
(S, О, М),
где S – множество субъектов доступа, являющихся активными структурными элементами модели (в большинстве случаев субъекты в свою очередь могут рассматриваться как объекты доступа, т. е. S является подмножеством О);
О – множество объектов доступа, являющихся пассивными защищаемыми элементами модели; каждый объект однозначно идентифицируется с помощью имени объекта;
М – матрица доступа, в которой строки соответствуют субъектам, а столбцы объектам; значение элемента матрицы М[S,О] определяет права доступа субъекта S к объекту О.
Права доступа регламентируют способы обращения субъекта 5 к различным типам объектов доступа. Так, например, права доступа к файлам или сегментам памяти обычно определяют как чтение (К), запись (АУ) и выполнение (Е). В некоторых системах используется еще одно право доступа – дополнение (А), означающее право субъекта производить запись данных в свободные области объекта без перекрытия имеющихся данных.
С помощью матрицы доступа может быть описано состояние любой, сколь угодно сложной системы защиты в произвольный момент ее существования. Однако, несмотря на гибкие изобразительные возможности, матричным моделям присущи и серьезные недостатки.
Во-первых, низкий, излишне детализированный уровень описания отношений субъектов и объектов затрудняет анализ соблюдения так называемых правил разграничения доступа, то есть тех высокоуровневых отношений между субъектами – людьми и объектами – документами, которые приняты в социальных группах для регулирования доступа к секретным’ «и другим охраняемым данным.
Во-вторых, вследствие трудно поддающегося регулированию разрастания размеров матриц доступа в реальных системах, процедуры по их обслуживанию и поддержанию в адекватном изменяемым условиям] состоянии оказываются весьма трудоемкими. Централизованная в руках администратора защиты служба сопровождения становится узким местом в работе систем, обладающих большой динамикой состава пользователей и программ.
Для преодоления указанных выше недостатков матричных моделей разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла Падулы и решетчатая модель Деннинга.
Многоуровневые модели переносят в операционную среду ЭВМ, в мир "электронных" документов, общепринятые и хорошо отработанные принципы обращения с бумажными секретными, особо важными, конфиденциальными документами, в течение многих лет применяемые на практике.
Для последующего выявления аналогий с организационными мерами защиты напомним основные правила обращения с секретными документами, определенные соответствующими инструкциями.
Каждому охраняемому документу присваивается метка, отражающая уровень конфиденциальности (секретности) содержащихся в этом документе сведений. Помимо этого документу может быть присвоена одна или несколько меток, отражающих категории конфиденциальности (секретности) документа.
Любому лицу, привлекаемому к работе с секретными, конфиденциальными документами, также приписывается аналогичный набор признаков, определяющих возможность его доступа к информации определенного уровня. И при этом уровню конфиденциальности документа соответствует уровень допуска лица, а категории конфиденциальности документа – категория допуска лица. Набор категорий определяется организационной принадлежностью лица.
Дисциплина разграничения доступа к документам определяется следующими двумя фундаментальными правилами:
– лицо допускается к работе с документом только в том случае, если уровень допуска лица равен или выше уровня конфиденциальности Документа, а в наборе категорий доступа данного лица содержатся все категории, определенные для данного документа;
– только специально уполномоченное лицо может снизить уровень Документа или исключить признак категории документа.
Более детальное разграничение доступа (при обязательном выполнении Указанных правил) достигается за счет явного указания взаимосвязи конкретных документов с конкретными лицами по принципу "положено знать". Для этого в документ включается специальный список, определяющий полный перечень лиц, которым ознакомление с данным документом разрешено и необходимо для выполнения своих прямых производственных, функциональных обязанностей.
Многоуровневая модель защиты определяет аналогичные взаимоотношения между элементами, участвующими в вычислительном процессе.
Активные элементы вычислительного процесса (пользователи, задачи и т. п.) наделяются определенными правами доступа, надежно зафиксированными в мандате субъекта. Для задачи (процесса) они, например, могут, определятся в соответствии с уровнем допуска лица, обслуживаемого данной задачей.
Пассивные элементы вычислительного процесса – разнообразные] контейнеры данных (периферийные устройства внешней памяти, тома и наборы данных, файлы, разделы, сегменты внешней и основной памяти т. п.) наделяются определенными признаками конфиденциальности, зависящими от уровня содержащейся в этих контейнерах информации. Признаки конфиденциальности надежно фиксируются в метке объекта. (В связи с использованием терминов "мандат" и "метка" многоуровневую защиту часто называют мандатной защитой или защитой с метками конфиденциальности).
Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности (возможно пустого). Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например, конфиденциально, секретно, только для узкого круга лиц, несекретно и т. п. Отдельно взятые категории равнозначны, однако их наборы (множества) могут быть упорядочены на основании отношения включения подмножеств.
Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. За счет более высокого "интеллекта", содержащегося в решетчатых моделях, системы защиты с контролем доступа на уровне потоков данных во многих случаях могут без вмешательства человека принимать решения о допуске пользователей к охраняемым данным, что снижает опасность образования узких мест, связанных с деятельностью администратора защиты.
Однако в реализации многоуровневых систем разграничения доступа имеются серьезные теоретические и технические проблемы.
Одна из них – возникновение состояний избыточной конфиденциальности (секретности), связанных с необходимостью автоматической деклассификании конфиденциальных данных. Другие проблемы, связанные с трудностями реализации многоуровневых систем разграничения доступа, рассматриваются в последующем материале.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
9.8. Обратный ход модели
9.8. Обратный ход модели Фаза исследования только что созданной теории включает деятельность по двум направлениям. Первое — это всесторонняя проверка теории, сравнение ее с опытом, поиск изъянов. Но допустим, теория хороша. Тогда на первый план выступает второе
Другие модели
Другие модели Полученный при конструировании системы телеслежения опыт поможет читателю в создании других моделей. Компания, производящая Erector Sets, постоянно совершенствует и обновляет ассортимент интересных конструкторских наборов, выпускаемых на рынок. Эти наборы,
Вопрос 3. Система защиты конфиденциальной информации
Вопрос 3. Система защиты конфиденциальной информации Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический
Вопрос 2. Модель и методика корпоративной системы защиты информации
Вопрос 2. Модель и методика корпоративной системы защиты информации В соответствии со ст. 20 Федерального закона «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки
Вопрос 3. Систематизация видов защиты информации
Вопрос 3. Систематизация видов защиты информации В практической деятельности по применению мер и средств защиты информации выделяются следующие самостоятельные направления, определяемые в соответствии со сложившимися отраслевыми структурами и видами информационной
Вопрос 3. Принципы защиты банковских автоматизированных систем
Вопрос 3. Принципы защиты банковских автоматизированных систем Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:? организационную структуру банка;? объем и характер информационных потоков (внутри банка в
Вопрос 2. Унифицированная концепция защиты информации
Вопрос 2. Унифицированная концепция защиты информации Унифицированной концепцией защиты информации (УКЗИ) будем называть инструментально-методическую базу, обеспечивающую практическую реализацию каждой из стратегий защиты (оборонительной, наступательной,
Вопрос 1. Юридические и организационные меры защиты
Вопрос 1. Юридические и организационные меры защиты Юридические средства защиты сводятся, в основном, к административной и уголовной ответственности за умышленное создание и распространение вируса или «троянских коней» с целью нанесения ущерба Трудность их применения
Вопрос 2. Программно-аппаратные методы и средства защиты
Вопрос 2. Программно-аппаратные методы и средства защиты В современных персональных ЭВМ реализован принцип разделения программных и аппаратных средств. Поэтому программные вирусы и «троянские кони» не могут эффективно влиять на аппаратуру, исключением случаев, когда
Модели и самолеты
Модели и самолеты Продолжение, начало в ИА №1/20012-й ВЫПУСК: «В цветах “Интерфлюга” и “Аэрофлота”» (1963 – 1969 г.г.) «Каравелла»3 авиакомпании «Эр Франс» в московском аэропорту Домодедово (фото из архива Г.Петрова).Формальным поводом для качественной переработки продукции,
III. Масса, пространство и другие формальные категории Книга третья, рассказывающая о чувствах, пробуждаемых в нас зодчеством
III. Масса, пространство и другие формальные категории Книга третья, рассказывающая о чувствах, пробуждаемых в нас зодчеством В первой книге, да и отчасти во второй мы говорили преимущественно о языке архитектуры. Как будто само здание или его автор что-то хотят нам
Погрешности: модели
Погрешности: модели Когда мы что-то измеряем, имеющуюся к моменту начала измерений информацию (как осознанная, так и неосознанная) удобно представить в виде моделей объекта или явления. Модель «нулевого уровня» — это модель наличия величины. Мы верим в то, что она есть —
Артемов А. В.
Просмотр ограничен
Смотрите доступные для ознакомления главы 👉