Классификация систем защиты. Доказательный подход к системам защиты.

⇐ ПредыдущаяСтр 13 из 27Следующая ⇒

Пусть задана политика безопасности Р. Тогда система защиты - хорошая, если она надежно поддерживает Р, и - плохая, если она ненадежно поддерживает Р. Однако надежность поддержки тоже надо точно определить. Здесь снова обратимся к иерархической схеме. Пусть политика Р выражена на языке Я ₁, формулы которого определяются через услуги U₁,..., U_k.

Пример 1. Все субъекты S системы разбиты на два множества S ₁ и S ₂, S ₁È S ₂= S, S ₁Ç S ₂=Æ. Все объекты, к которым может быть осуществлен доступ, разделены на два класса О ₁ и О ₂ O ₁È O ₂= О, O ₁Ç O ₂=Æ. Политика безопасности Р -тривиальная: субъект S может иметь доступ aÎ R к объекту О тогда и только тогда, когда SÎS_i, ОÎO_i, i = 1, 2. Для каждого обращения субъекта S на доступ к объекту О система защиты вычисляет функции принадлежности

для субъекта и объекта: I_s(S ₁), I_s(S ₂), I₀(O ₁), I₀(O ₂). Затем вычисляется логическое выражение:

(I_s(S ₁)Ù I₀(O ₁))Ú (I_s(S ₂)Ù I₀(O ₂)).

Если полученное значение - 1 (истинно), то доступ разрешен. Если - 0 (ложно), то - неразрешен. Ясно, что язык Я ₁, на котором мы выразили политику безопасности Р, опирается на услуги:

· вычисление функций принадлежности I_x(А);

· вычисление логического выражения;

· вычисление оператора "если x=l, то S ->0, если x=0, то S -+>О".

Для поддержки услуг языку Я ₁, требуется свой язык Я ₂, на котором мы определим основные выражения для предоставления услуг языку верхнего уровня. Возможно, что функции Я ₂ необходимо реализоватьопираясь на язык Я ₃ более низкого уровня и т.д.

Пусть услуги, описанные на языке Я ₂ мы умеем гарантировать. Тогда надежность выполнения политики Р определяется полнотой ее описания в терминах услуг U₁,...,U_k. Если модель Р - формальная, то есть язык Я ₁, формально определяет правила политики Р, то можно доказать или опровергнуть утверждение, что множество предоставленных услуг полностью и однозначно определяет политику Р. Гарантии выполнения этих услуг равносильны гарантиям соблюдения политики. Тогда более сложная задача сводится к более простым и к доказательству того факта, что этих услуг достаточно для выполнения политики. Все это обеспечивает доказанность защиты с точки зрения математики, или гарантированность с точки зрения уверенности в поддержке политики со стороны более простых функций.

Одновременно, изложенный подход представляет метод анализа систем защиты, позволяющий выявлять слабости в проектируемых или уже существующих системах. При этом иерархия языков может быть неоднозначной, главное - удобство представления и анализа.

Однако проводить подобный анализ в каждой системе дорого. Кроме того, методика проведения анализа государственных систем - конфиденциальная информация. Выход был найден в том, что условия теорем, доказывающих поддержку политики безопасности (включая соответствующую политику), формулировать без доказательства в виде стандарта. Такой подход американцы впервые применили в 1983 году, опубликовав открыто проект стандарта по защите информации в ЭСОД ("Оранжевая книга"), где сформулированы требования гарантированной поддержки двух классов политик - дискреционной и политики MLS. Затем этот метод они применили в 1987 г. для описания гарантированно защищенных распределенных сетей, поддерживающих те же политики, и в 1991 г.для описания требований гарантированно защищенных баз данных. Этот же путь использовали канадцы и европейские государства, создав свои стандарты защиты.

Дата добавления: 2016-01-05; просмотров: 15; Мы поможем в написании вашей работы!

Поделиться с друзьями:

⇐ Предыдущая 8 9 10 11 121314 15 16 17 Следующая ⇒

Мы поможем в написании ваших работ!