<<
>>

Формальные модели безопасности

Наибольшее развитие получили два подхода, каждый из которых основан на своем видении проблемы безопасности и нацелен на решение определенных задач — это формальное моделирование политики безопасности и криптография.
Причем эти различные по происхождению и решаемым задачам подходы дополняют друг друга: криптография может предложить конкретные методы защиты информации в виде алго-ритмов идентификации, аутентификации, шифрования и контроля целостности, а формальные модели безопасности предоставляют разработчикам защищенных систем основополагающие принципы, которые лежат в основе архитектуры защи-щенной системы и определяют концепцию ее построения.

Модель политики безопасности — формальное выражение политики безопасности.

Формальные модели используются достаточно широко, потому что только с их помощью можно доказать безопасность системы, опираясь при этом на объективные и неопро-вержимые постулаты математической теории.

Основная цель создания политики безопасности инфор-мационной системы и описания ее в виде формальной модели — это определение условий, которым должно подчиняться поведение системы, выработка критерия безопасности и проведение формального доказательства соответствия системы этому критерию при соблюдении установленных правил и ограничений.

На практике это означает, что только соответствующим образом уполномоченные пользователя получат доступ к информации, и смогут осуществлять с ней только санкционированные действия.

Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и ман-датные (нормативные). В данном разделе в качестве примера изложены основные положения наиболее распространенных политик безопасности, основанных на контроле доступа субъектов к объектам.

Дискреционная модель Хоррисона-Руззо-Улъмана

Модель безопасности Харрисона-Руззо-Ульмана, являющаяся классической дискреционной моделью, реализует произвольное управление доступом субъектов к объектам и кон-троль за распространением прав доступа.

В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей — субъектов (множество Б), которые осуществляют доступ к информации, пассивных сущностей — объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа К={г1,...,гп}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение).

Причем для того, чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами.

Поведение системы моделируется с помощью понятия состоя-ния. Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав — 0x8x11. Текущее состояние системы О в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы М прав доступа, описывающей текущие права доступа субъектов к объектам: О = (Б, О, М). Строки матрицы соответствуют субъектам, а столбцы — объектам. Поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любая ячейка матрицы M[s,o] содержит набор прав субъекта s к объекту о, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями.

Элементарные операции, составляющие команду, выполняются только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы М, являются истинными.

Критерий безопасности модели Харрисона-Руззо-Ульмана формулируется следующим образом.

Для заданной системы начальное состояние Q„ = (S0, Q0) М0) является безопасным относительно права г0, если не су-ществует применимой к Q0 последовательности команд, в результате которой право г0 будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянии Q0.

Нужно отметить, что все дискреционные модели уязвимы по отношению к атаке с помощью “троянского коня”, поскольку в них контролируются только операции доступа субъектов к объектам, а не потоки информации между ними. Поэтому, когда “троянская” программа, которую нарушитель подсунул некоторому пользователю, переносит информацию из доступного этому объекта в объект, доступный нарушителю, то формально никакое правило дискреционной политики безопасности не нарушается, но утечка информации происходит.

Таким образом, дискреционная модель Харрисона-Руззо-Ульмана в своей общей постановке не дает гарантий безо-пасности системы, однако именно она послужила основой для целого класса моделей политик безопасности, которые ис-пользуются для управления доступом и контроля за распределением прав во всех современных системах.

Типизованная матрица доступа

Другая дискреционная модель, получившая название “Типизованная матрица доступа” (Type Access Matrix — далее ТАМ), представляет собой развитие модели ХаррисонаРуззо-Ульмана, дополненной концепцией типов, что позволяет несколько смягчить те условия, для которых возможно доказательство безопасности системы.

Состояние системы описывается четверкой Q = (S, О, t, М), где S, О, и М обозначают соответственно множество субъектов, объектов и матрицу доступа, a t:0—>Т — функция, ставящая в соответствие каждому объекту некоторый тип.

Состояние системы изменяется с помощью команд из множества С.

Команды ТАМ имеют тот же формат, что и в

модели Харрисона-Руззо-Ульмана.

Перед выполнением команды происходит проверка типов фактических параметров, и, если они не совпадают с указанными в определении, команда не выполняется. Фактически, введение контроля типов для параметров команд приво-дит к неявному введению дополнительных условий, так как команды могут быть выполнены только при совпадении типов параметров.

Смысл элементарных операций совпадает со смыслом аналогичных операций их классической модели ХаррисонаРуззо-Ульмана с точностью до использования типов.

Таким образом, ТАМ является обобщением модели Хар-рисона-Руззо-Ульмана, которую можно рассматривать как частный случай ТАМ с одним единственным типом, к которому относятся все объекты и субъекты. Появление в каждой?

команде дополнительных неявных условий, ограничивающих область применения команды только сущностями соответству-ющих типов, позволяет несколько смягчить жесткие условия классической модели, при которых критерий безопасности является разрешимым.

Несмотря на различающиеся подходы, суть всех моделей безопасности одинакова, поскольку они предназначены для решения одних и тех же задач. Целью построения модели является получение формального доказательства безопасности системы, а также определения достаточного критерия безопасности.

Безопасность системы определяется в равной степени тремя факторами: свойствами самой модели, ее адекватностью угрозам, воздействующим на систему, и тем, насколько корректно она реализована. Поскольку при существующем разнообразии теоретических наработок в области теории информационной безопасности выбор модели, адекватной заданным угрозам, не является проблемой, последнее, решающее, слово остается за ее реализацией в защищенной системе.

<< | >>
Источник: В. Б. Уткин. Информационные системы в экономике. 2008

Еще по теме Формальные модели безопасности:

  1. Формальное знание, стоимость и капитал
  2. Формально зарубежные
  3. Формально зарубежные
  4. Приложение: формальное определение рынка
  5. Эволюционно-симулятивная модель равновесия на фондовом рынке (модель «мм5»)
  6. Модель формирования финансовых потоков и разработка модели механизма принятия оптимального решения по выбору параметров страхования кредитного риска
  7. Сравнительный анализ стандартов информационной безопасности
  8. Исследование причин нарушений безопасности
  9. Информационная безопасность
  10. Безопасность
  11. Безопасность банковских систем
  12. Безопасность продукции как основной принцип
  13. Анализ информационной безопасности
  14. Управляемость и информационная безопасность персонализации
  15. А теперь возвратимся к теме безопасности
  16. Обеспеченне безопасности банка
  17. Обеспечение безопасности операций
  18. Информационная безопасность экономических систем