Презентация на тему Модели безопасности на основе дискреционной политики

модели на основе матрицы доступа

модели распространения прав доступа

модель

Харисона-Рузо-Ульмана (HRU),
модель типизованной матрицы доступа,
теоретико-графовая модель TAKE-GRANT

безопасных доступов определяется дискретным набором троек "Пользователь (субъект)-поток (операция)-объект".
Конкретные

модели специфицируют
способ представления области безопасного доступа и
механизм проверки соответствия запроса субъекта на доступ области безопасного доступа.
Если запрос не выходит за пределы данной области, то он разрешается и выполняется.
При этом утверждается, что осуществление такого доступа переводит систему в безопасное состояние.

совокупность множеств
исходных объектов O (o1,o2,…,oM)
исходных субъектов S (s1,s2,…,sN) ,

при этом S ⊆ O
операций (действий) над объектами Op (Op1 ,Op2 ,…,OpL)
прав, которые м.б. даны субъектам по отношению к объектам R (r1,r2,…,rK) – т.н. "общие права"
NxM матрица доступа A, в которой
каждому субъекту соответствует строка, а каждому объекту - столбец.
В ячейках матрицы располагаются права r соотв.субъекта над соотв. объектом в виде набора разрешенных операций Opi

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь


A[si,oj]= aij - право

r из R (т.е. не общее, а конкр. право)

Каждый элемент прав rk специфицирует совокупность операций над объектом
rk ~ (Op1k,Op2k,…,OpJk)

безопасности объект,
содержащий информацию по политике разграничения доступа в

конкретной системе.
Вид МД определяется конкретными моделями и конкретными программно-техническими решениями КС, в которых она реализуется,
принцип (структура) организации МД,
размещение,
а также процессы создания, изменения МД

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

структура
СУБД, системная таблица с назначениями доступа

Децентрализованная распределенная информационная структура
Биты

защиты (UNIX)
Списки доступа (Windows)

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

в файловой системе ОС Windows (Access Control List –

ACL)

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

Объект 1

Объект 2

Владелец

Группа

Остальные польз-ли

Control List

Два способа размещения ACL





(c) 2010, А.М. Кадан, кафедра

системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

Control List


Структура ACL на примере NTFS
C каждым объектом NTFS

связан т.н. дескриптор защиты, состоящий из:

DACL – последовательность произв. кол-ва дискрипторов контроля доступа – АСЕ, вида:


SACL – системные данные для генерации сообщений аудита

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

ID влад.

ID перв. гр. влад.

DACL

SACL

Allowed /
Denied

ID субъекта
(польз., группа)

Права доступа
(отображ-е)

Флаги,
атрибуты

Объект 1

как формируются ячейки МД)
Принудительное управление доступом (жесткость, но четкий

контроль)
вводится т.н. доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)
заполнять и изменять ячейки матрицы доступа может только администратор
Добровольное управление доступом (гибкость, но более сложный контроль)
вводится т.н. владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)
в таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности,

ФаМИ, ГрГУ, Гродно, Беларусь

элементарных операций доступа Read, Write и т.д.,
вводятся также

примитивные операции Opk по изменению субъектами матрицы доступа:
Enter r into (s,o) - ввести право r в ячейку (s,o)
Delete r from (s,o) - удалить право r из ячейки (s,o)
Create subject s - создать субъект s (т.е. новую строку матрицы A)
Create object o - создать объект o (т.е. новый столбец матрицы A)
Destroy subject s - уничтожить субъект s
Destroy object o - уничтожить объект o

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

системы Q изменяется при выполнении команд C(α1, α2, …),

изменяющих состояние матрицы доступа A.
Команды инициируются пользователями-субъектами
Структура команды

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

Название

[Условия] (необяз.)

Операции

Command α(x1,…xk)
if r1 in A[s1,o1] and r2 in A[s2,o2] …
then; Op2 ; …;
end

xi – идентификаторы задействованных субъектов или объектов

компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь


Системы с добровольным управлением

доступом – модель Харрисона-Руззо-Ульмана. Пример команд

Command "создать файл"(s, f):
Create object f ;
Enter "own" into (s, f ) ;
Enter "read" into (s, f ) ;
Enter "write" into (s, f ) ;
end

Command «ввести право чтения"(s,s',f):
if own ⊆ (s, f ) ;
then
Enter r "read" into (s', f ) ;
end

Q1 = (S1,O1,A1)
Состояние системы с начальной конфигурацией Q0 безопасно

по праву r, если не существует (при определенном наборе команд и условий их выполнения) последовательности запросов к системе, которая приводит к записи права r в ранее его не содержащую ячейку матрицы A 0[s,o]
Для модели HRU проблема безопасности
разрешима для моно-операционных систем
в общем случае – не разрешима

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

потоков информации
в частности, контроля за порождением субъектов, следствием чего

могут быть так называемые "троянские" программы.
В модели HRU "правильность", легитимность инициируемых из объектов-источников субъектов доступа никак не контролируется.
В результате, злоумышленник в системе может осуществить неправомерный доступ к информации на основе подмены свойств субъектов доступа.

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь