Вопрос 2. Формальные модели защиты

Рассмотрим так называемую матричную модель защиты, получившую на сегодняшний день наибольшее распространение на практике.

В терминах матричной модели, состояние системы защиты описывается тройкой:

(S, О, М),

где S – множество субъектов доступа, являющихся активными структурными элементами модели (в большинстве случаев субъекты в свою очередь могут рассматриваться как объекты доступа, т. е. S является подмножеством О);

О – множество объектов доступа, являющихся пассивными защищаемыми элементами модели; каждый объект однозначно идентифицируется с помощью имени объекта;

М – матрица доступа, в которой строки соответствуют субъектам, а столбцы объектам; значение элемента матрицы М[S,О] определяет права доступа субъекта S к объекту О.

Права доступа регламентируют способы обращения субъекта 5 к различным типам объектов доступа. Так, например, права доступа к файлам или сегментам памяти обычно определяют как чтение (К), запись (АУ) и выполнение (Е). В некоторых системах используется еще одно право доступа – дополнение (А), означающее право субъекта производить запись данных в свободные области объекта без перекрытия имеющихся данных.

С помощью матрицы доступа может быть описано состояние любой, сколь угодно сложной системы защиты в произвольный момент ее существования. Однако, несмотря на гибкие изобразительные возможности, матричным моделям присущи и серьезные недостатки.

Во-первых, низкий, излишне детализированный уровень описания отношений субъектов и объектов затрудняет анализ соблюдения так называемых правил разграничения доступа, то есть тех высокоуровневых отношений между субъектами – людьми и объектами – документами, которые приняты в социальных группах для регулирования доступа к секретным’ «и другим охраняемым данным.

Во-вторых, вследствие трудно поддающегося регулированию разрастания размеров матриц доступа в реальных системах, процедуры по их обслуживанию и поддержанию в адекватном изменяемым условиям] состоянии оказываются весьма трудоемкими. Централизованная в руках администратора защиты служба сопровождения становится узким местом в работе систем, обладающих большой динамикой состава пользователей и программ.

Для преодоления указанных выше недостатков матричных моделей разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла Падулы и решетчатая модель Деннинга.

Многоуровневые модели переносят в операционную среду ЭВМ, в мир "электронных" документов, общепринятые и хорошо отработанные принципы обращения с бумажными секретными, особо важными, конфиденциальными документами, в течение многих лет применяемые на практике.

Для последующего выявления аналогий с организационными мерами защиты напомним основные правила обращения с секретными документами, определенные соответствующими инструкциями.

Каждому охраняемому документу присваивается метка, отражающая уровень конфиденциальности (секретности) содержащихся в этом документе сведений. Помимо этого документу может быть присвоена одна или несколько меток, отражающих категории конфиденциальности (секретности) документа.

Любому лицу, привлекаемому к работе с секретными, конфиденциальными документами, также приписывается аналогичный набор признаков, определяющих возможность его доступа к информации определенного уровня. И при этом уровню конфиденциальности документа соответствует уровень допуска лица, а категории конфиденциальности документа – категория допуска лица. Набор категорий определяется организационной принадлежностью лица.

Дисциплина разграничения доступа к документам определяется следующими двумя фундаментальными правилами:

– лицо допускается к работе с документом только в том случае, если уровень допуска лица равен или выше уровня конфиденциальности Документа, а в наборе категорий доступа данного лица содержатся все категории, определенные для данного документа;

– только специально уполномоченное лицо может снизить уровень Документа или исключить признак категории документа.

Более детальное разграничение доступа (при обязательном выполнении Указанных правил) достигается за счет явного указания взаимосвязи конкретных документов с конкретными лицами по принципу "положено знать". Для этого в документ включается специальный список, определяющий полный перечень лиц, которым ознакомление с данным документом разрешено и необходимо для выполнения своих прямых производственных, функциональных обязанностей.

Многоуровневая модель защиты определяет аналогичные взаимоотношения между элементами, участвующими в вычислительном процессе.

Активные элементы вычислительного процесса (пользователи, задачи и т. п.) наделяются определенными правами доступа, надежно зафиксированными в мандате субъекта. Для задачи (процесса) они, например, могут, определятся в соответствии с уровнем допуска лица, обслуживаемого данной задачей.

Пассивные элементы вычислительного процесса – разнообразные] контейнеры данных (периферийные устройства внешней памяти, тома и наборы данных, файлы, разделы, сегменты внешней и основной памяти т. п.) наделяются определенными признаками конфиденциальности, зависящими от уровня содержащейся в этих контейнерах информации. Признаки конфиденциальности надежно фиксируются в метке объекта. (В связи с использованием терминов "мандат" и "метка" многоуровневую защиту часто называют мандатной защитой или защитой с метками конфиденциальности).

Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности (возможно пустого). Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например, конфиденциально, секретно, только для узкого круга лиц, несекретно и т. п. Отдельно взятые категории равнозначны, однако их наборы (множества) могут быть упорядочены на основании отношения включения подмножеств.

Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. За счет более высокого "интеллекта", содержащегося в решетчатых моделях, системы защиты с контролем доступа на уровне потоков данных во многих случаях могут без вмешательства человека принимать решения о допуске пользователей к охраняемым данным, что снижает опасность образования узких мест, связанных с деятельностью администратора защиты.

Однако в реализации многоуровневых систем разграничения доступа имеются серьезные теоретические и технические проблемы.

Одна из них – возникновение состояний избыточной конфиденциальности (секретности), связанных с необходимостью автоматической деклассификании конфиденциальных данных. Другие проблемы, связанные с трудностями реализации многоуровневых систем разграничения доступа, рассматриваются в последующем материале.

Данный текст является ознакомительным фрагментом.

Вопрос 2. Формальные модели защиты

Читайте также

9.8. Обратный ход модели

Другие модели

Вопрос 3. Система защиты конфиденциальной информации

Вопрос 2. Модель и методика корпоративной системы защиты информации

Вопрос 3. Систематизация видов защиты информации

Вопрос 3. Принципы защиты банковских автоматизированных систем

Вопрос 2. Унифицированная концепция защиты информации

Вопрос 1. Юридические и организационные меры защиты

Вопрос 2. Программно-аппаратные методы и средства защиты

Модели и самолеты

III. Масса, пространство и другие формальные категории Книга третья, рассказывающая о чувствах, пробуждаемых в нас зодчеством

Погрешности: модели