Модели безопасности на основе мандатной политики презентация

Модели безопасности на основе мандатной политики

Общая характеристика моделей полномочного (мандатного) доступа Модель Белла-ЛаПадулы

Общая характеристика моделей мандатного доступа Основаны на на субъектно-объектной модели КС на правилах организации секретного делопроизводства, принятых в гос. учреждениях многих стран Информация (документы, ее содержащие) категорируется специальными метками конфиденциальности – т.н. грифы секретности документов Сотрудники по уровню благонадежности (доверия к ним) получают т.н. допуска определенной степени Сотрудники с допуском определенной степени приобретают полномочия работы с документами определенного грифа секретности Главная задача - не допустить утечки информации из документов с высоким грифом секретности к сотрудникам с низким уровнем допуска

Основные положения моделей мандатного доступа Вводится система "уровней безопасности" – решетка с оператором доминирования Устанавливается функция (процедура) присваивания субъектам и объектам уровней безопасности Управление и контроль доступом субъектов к объектам производится на основе двух правил Запрет чтения вверх (no read up - NRU) – субъект не может читать объект с уровнем безопасности, большим своего уровня безопасности Запрет записи вниз (no write down - NWD) – субъект не может писать информацию в объект, уровень безопасности которого ниже уровня безопасности самого субъекта (т.н. *-свойство) Для управления (разграничения) доступом к объектам одного уровня конфиденциальности используют дискреционный принцип, т.е. дополнительно вводят матрицу доступа

Запрет чтения вверх (no read up - NRU) субъект не может читать объект с уровнем безопасности, большим своего уровня безопасности

Запрет записи вниз (no write down - NWD) субъект не может писать информацию в объект, уровень безопасности которого ниже уровня безопасности самого субъекта (т.н. *-свойство)

Решетка уровней безопасности L - алгебра (L, , , ), где L – базовое множество уровней безопасности  – оператор доминирования, определяющий частичное нестрогое отношение порядка на множестве L. Отношение, задаваемое  , рефлексивно, антисимметрично и транзитивно:  l  L: l  l ;  l1, l2  L: (l1  l2  l2  l1)  l1  l2 ;  l1, l2, l3  L: (l1  l2  l2  l3)  l1  l3 ;  – оператор, определяющий для любой пары l1, l2  L наименьшую верхнюю границу - l1 l2  l  l1, l2 l  l'L: (l'  l)  (l'  l1  l'  l2)  – оператор, определяющий для любой пары l1, l2  L наибольшую верхнюю границу - l1  l2  l  l  l1, l2  l' L:(l'  l1  l'  l2)  (l'  l)

Функция уровня безопасности FL: X L однозначное отображение множества сущностей КС X = S  O во множество уровней безопасности L решетки ΛL . обратное отображение FL-1: L  X задает разделение всех сущностей КС на классы безопасности Xi, такие что: X1  X2  … XN = X , где N - мощность базового множества уровней безопасности L; Xi   Xj   , где i  j;  x' Xi  fL(x')= li , где li  L

Решетка. Пример частично упорядоченное множество, в котором каждое двухэлементное подмножество имеет как точную верхнюю (sup), так и точную нижнюю (inf) грани.

Модель Белла-ЛаПадулы Система защиты – совокупность: множества субъектов S множества объектов O множества прав доступа R (в исх. виде всего два элемента - read и write) матрицы доступа A[s,o] решетки уровней безопасности L субъектов и объектов (допуска и грифы секретности) функции уровней безопасности fL, отображающей элементы множеств S и O в L множества состояний системы V, которое определяется множеством упорядоченных пар (fL,A) начального состояния v0 набора запросов Q субъектов к объектам, выполнение которых переводит систему в новое состояние функции переходов FT : (V x Q)  V, которая переводит систему из одного состояния в другое при выполнении запросов

Критерий безопасности в модели Белла-ЛаПадулы Состояние называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: sS, oO, read  А[s,o]fL(s)fL(o) Состояние называется безопасным по записи (или *-безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности объекта доминирует над уровнем безопасности этого субъекта: sS, oO, write  А[s,o]fL(o)fL(s) Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению, и по записи Критерий Безопасности: Система (v0 , Q, FT) безопасна тогда и только тогда, когда ее начальное состояние v0 безопасно и все состояния, достижимые из v0 путем применения конечной последовательности запросов из Q безопасны