Когда мы перестаем вкладывать наши силы в молодое поколение, тогда, пожалуй, наша работа на этой земле окончена. © Джордж Макдональд 1097 - | 691 - или читать все...
Обратная связь Пожаловаться на материал

Дискреционная политика безопасности.


⇐ ПредыдущаяСтр 3 из 25Следующая ⇒

Существуют следующие типы политик безопасности: дискреционная, мандатная и

ролевая.

Основой дискреционной(дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control – DAC), которое определяется двумя свойствами:

1) все субъекты и объекты должны быть идентифицированы;

2) права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.

 

Т.е. администратором задается набор троек следующего вида (Sj,Oj,Tk), где Si € S – субъекты компьютерной системы.  Oj € O – объекты компьютерной системы. Tk T – множество прав доступа, которое разрешено выполнять Si над объектом Oj.

Для формального описания данной политики часто используется дискреционная матрица доступа, строки которой соответствуют S, столбцы соответствуют O, а на пересечений i-строки и j-ого столбца перечисляются все права доступа.

При реализации дискреционной политики безопасности необходимо исходить из принципа минимизации привилегий, т.е. администратор ни в коем случае не должен наделять избыточными правами на доступ к объекту. Ему должны быть предоставлены только те права, которые необходимы ему для выполнения им своих служебных полномочий.

При хранении матриц доступов в компьютерной системе это можно делать централизованно и распределено.

При распределенном хранении, эта матрица храниться не в виде единого объекта, а распределяется по объектам файловой системы, с каждым из которых вместе храниться соответствующий им столбец матрицы. Эти списки называться столбцы доступа (ACL-списки).

Также данная матрица может разбиваться и храниться построчно, в этом случае с каждым субъектом связывается строка с матрицей доступа, называемая списком привилегий, в котором указывается какие виды доступа имеет S. (Win 2000,XP).

По принципу создания и управления матрицы доступа выделяют два подхода:

1. Принудительное управление доступом.

2. Добровольное управление доступом.

 

В 1-ом случае правами создания изменения матрицы доступов имеет непосредственно только администратор КС. Во втором случае (используется когда количеств объектов очень велико), в этом случае изменять матрицу доступа S к искомому O может владелец этого объекта. Под владельцем данного объекта понимают S который инициализировал операцию создания данного объекта.

 

К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию соответствующих механизмов защиты.

К недостаткам относится статичность модели. Это означает, что данная политика безопасности не учитывает динамику изменений состояния, не накладывает ограничений на состояния системы.

Кроме этого, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность. В общем случае при использовании данной политики безопасности перед монитором безопасности объектов (МБО), который при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача: проверить − приведут ли его действия к нарушению безопасности или нет.

 

Мандатная политика безопасности.

 

Основу мандатной(полномочной) политики безопасности составляет мандатное управление доступом (Mandatory Access Control – МАС), которое подразумевает, что:

− все субъекты и объекты системы должны быть однозначно идентифицированы;

− задан линейно упорядоченный набор меток секретности;

− каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности ;

− каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему в системе – максимальное значение метки секретности объектов, к которым субъект имеет доступ; метка секретности субъекта называется его уровнем доступа.

 

Данные модели строятся на основе следующих положений:

1. Имеется множество атрибутов безопасности. A={открыто, конфиденциально, секретно, совершенно секретно, гос.тайна}

Эти атрибуты упорядочены между собой, на данном множестве введено отношение доминирования, с помощью которого атрибуты можно сравнивать между собой. Самый низкий – открыто, наивысший – гос.тайна.

2. С каждым объектом компьютерной системы Oj связывается атрибут безопасности Ai € A который называется грифом секретности объекта и соответствует его ценности, чем более ценен объект тем более высокий гриф ему назначается.

(в рамках вышеприведенных атрибутов безопасности, ценность определяется ущербом, который будет нанесен владельцу информационного ресурса при нарушении его конфиденциальности.

3. Каждому субъект КС ставиться в соответствие атрибут безопасности Ai, который называется уровнем допуска субъекта. Максимальный уровень допуска равен максимальному из грифов секретности объектов, к которым субъект будет иметь доступ.

4. Если объект Oj имеет гриф секретности Aj а субъект Ai, то субъект Si получит доступ к Oj тогда и только тогда, когда Ai ≥ Aj

 

Представленная выше исходная мандатная модель имеет канал утечки информации заключающийся в том что S с наивысшим уровнем допуска могут случайно либо преднамеренно читать информацию из объектов с высоким грифом секретности и записывать в менее секретные объекты. Для устранения этого недостатка исходной мандатной политики безопасности было введено расширение этой модели: Бэлла-Лападулы. В этой модели вводиться два правила разграничения субъектов  к объектам:

1. Нельзя читать сверху – Not read up (NRU).

2. Нельзя записывать вниз – Not write down (NWD).

 

Существуют и другие политики – Модель Биба:

В данной политике вместо грифов секретности вводят уровни целостности объекта:

- Совершенно нецелостные (объекты, целостность которых ничем не контролируется и ничем не подтверждена).

- Немного целостные (целостность информации подтверждена путем расчета и проверки контрольных сумм).

- Довольно целостные (целостность информации подтверждена путем расчета стойких контрольных сумм).

- Совершенно целостные (целостность объекта подтверждена с помощью имитовставок и контрольных сумм).

Информация находиться с уровнем целостности: совершенно целостный может рассматриваться как «чистая» информация, которой мы можем доверять, когда в такие объекты попадает информация с уровнем целостности совершенно нецелостная – грязная «информация», это есть нарушение свойств целостности, поэтому попадание информации из объектов менее целостных в объекты более целостные необходимо запретить, т.е. необходимо запретить чтение снизу и записи наверх. Это мандатная модель (В ней работает NRD и NRW).

Возможно отклонение от правил этой модели. Известна модель Бибо с понижением уровня субъекта и модель Бибо с понижением уровня объекта.

В первом варианте чтение снизу может быть разрешено, но при выполнении такого чтения субъектом, субъект автоматически получает уровень целостности того объекта из которого он прочитал информацию.

В модели понижения уровня объекта разрешается запись наверх, однако, после выполнения такой записи целостность объекта понижается до уровня целостности S, который производил эту запись.

 

 

Ролевое управление доступом.

 

В 2001 г. Национальный институт стандартов и технологий США предложил проект стандарта ролевого управления доступом.

Ролевое разграничение доступа (РРД) представляет собой развитие политики дискреционного разграничения доступа; при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. РРД является составляющей многих современных систем и применяется в системах защиты СУБД, сетевых ОС.

Роль является совокупностью прав доступа на объекты системы. Вместе с тем РРД не является частным случаем дискреционного разграничения доступа, так как правила РРД определяют порядок предоставления прав доступа субъектам системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. В то же время правила РРД являются более гибкими, чем правила мандатного разграничения доступа, построенные на основе жестко определенной решетки (шкалы) ценности информации. Суть ролевого разграничения доступа состоит в том, что между пользователями и их привилегиями появляются промежуточные сущности – роли. Для каждого пользователя одновременно могут быть активными несколько ролей, каждая из которых дает ему определенные права.

Ролевой доступ нейтрален по отношению к конкретным видам прав и способам их проверки; его можно рассматривать как объектно-ориентированный каркас, облегчающий администрирование, поскольку он позволяет сделать подсистему разграничения доступа управляемой при сколь угодно большом числе пользователей, прежде всего за счет установления между ролями связей, аналогичных наследованию в объектно-ориентированных системах. Кроме того, ролей должно быть значительно меньше, чем пользователей. В результате число администрируемых связей становится пропорциональным сумме (а не произведению) количества пользователей и объектов, что по порядку величины уменьшить уже невозможно.

 

Ролевое управление доступом оперирует следующими основными понятиями:

− пользователь (человек, интеллектуальный автономный агент и т.п.);

− сеанс работы пользователя;

− роль (определяется в соответствии с организационной структурой);

− объект (сущность, доступ к которой разграничивается; например, файл ОС или таблица СУБД);

− операция (зависит от объекта; для файлов ОС – чтение, запись, выполнение и т.п.;

для таблиц СУБД – вставка, удаление и т.п., для прикладных объектов операции могут

быть более сложными);

− право доступа (разрешение выполнять определенные операции над определенными объектами).

Ролям приписываются пользователи и права доступа; можно считать, что они (роли) именуют отношения "многие ко многим" между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько

сеансов.

 

Дата добавления: 2018-05-12; просмотров: 5046; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345678910Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.023)