Лекція 3 План лекції


НазваЛекція 3 План лекції
Дата конвертації13.03.2013
Розмір445 b.
ТипЛекція


Теоретичні основи захисту інформації

  • Лекція 3


План лекції

  • Мовна модель

  • Об’єктно-суб’єктні уявлення

    • КС як сукупність об’єктів
    • Перетворення інформації
    • Графи доступів
    • Керування доступом
    • Базові положення об’єктно-суб’єктної моделі


Мовна модель

  • Нехай А кінцевий алфавіт, А – множина слів кінцевої довжини в алфавіті А

    • Слово – це будь-яка множина символів з алфавіту А
  • З А за допомогою деяких правил виділена підмножина М слів, що називають правильними, яка називається мовою: МА

  • Якщо М1 – мова опису однієї інформації, М2 – іншої, то можна говорити про мову М, що поєднує М1 і М2, яка описує ту чи іншу інформацію. Тоді М1 і М2 є підмовами М: М1,М2М; М=М1М2

  • Вважаємо далі, що будь-яка інформація може бути представлена у вигляді слова у деякій мові М. Крім того, можна вважати, що стан будь-якого пристрою в КС може бути описано словом у деякій мові.

    • Це дозволяє ототожнювати слова і стани пристроїв і механізмів обчислювальної системи чи довільної КС і подальший аналіз вести в термінах деякої мови


Об’єкт

  • Означення. Об’єктом щодо мови М (чи просто об’єктом, коли з контексту однозначно визначена мова) називається довільна скінченна множина слів мови М

  • Приклад 1. Довільний файл у комп’ютері є об’єктом

    • У будь-який момент у файл може бути записане одне слово зі скінченої множини слів мови М, у деякому алфавіті А, що відбиває вміст інформації, що зберігається у файлі
  • Приклад 2. Принтер комп’ютера – об’єкт

    • Існує якась (можливо, досить складна) мова, що описує принтер і його стани в довільний момент часу
    • Множина припустимих описів станів принтера є скінченною підмножиною слів у цій мові. Саме ця скінченна множина і визначає принтер як об'єкт.


КС як сукупність об’єктів

  • Для кожного об’єкта КС визначимо множину слів, що його описують

  • Під станом об’єкта будемо розуміти виділене слово з цієї множини

  • Стан характеризується атрибутами та поведінкою, що визначає способи зміни стану

  • Означення. Функціонально узгоджена група об’єктів називається компонентою КС

  • Стан кожної КС характеризується деякою множиною об’єктів, яка є скінченною

    • Стан КС – це набір станів об’єктів
    • Під час роботи системи об’єкти як видозмінюються, так і створюються та знищуються
  • Оскільки стани об’єктів змінюються дискретно, то зручно ввести дискретний час tN0, N0={0, 1, 2,…}



Перетворення інформації

  • Перетворення інформації має місце, якщо існує відповідність між словом, що описує вихідні дані, і деяким іншим словом

    • Опис перетворення даних також є словом
    • Прикладами об'єктів, що описують перетворення даних, є комп’ютерні програми
  • Кожне перетворення інформації повинно:

    • зберігатися;
    • діяти.
  • У випадку а) мова йде про збереження опису перетворення в деякому об'єкті (файлі)

    • У цьому випадку саме перетворення нічим не відрізняється від інших даних
  • У випадку б) опис програми повинен взаємодіяти з іншими ресурсами КС – пам'яттю, процесором, комунікаціями й ін., що також описуються деякими словами



Перетворення інформації – деякі означення

  • Означення. Ресурси КС, виділені для дії перетворення, називаються доменом

  • Для здійснення перетворення одних даних в інші крім домену необхідно передати цьому перетворенню особливий статус у системі, при якому ресурси КС почнуть здійснюють перетворення. Цей статус будемо називати керування

    • Будемо вважати, що з контексту при розгляді будь-якої КС повинно бути ясно, що значить передати керування перетворенню
  • Означення. Перетворення, якому передане керування, називається процесом

  • Активність – це можливість виконання певних операцій одних об’єктів над іншими

  • Означення. Об'єкт, що описує перетворення, якому виділено домен і передано керування, називається суб'єктом

    • Інакше кажучи, суб'єкт – це пара (домен, процес)
    • Суб’єкт є активним об’єктом


Перетворення інформації – деякі означення

  • Означення. Користувач – це об’єкт, який є активізованим у будь-який момент часу

    • Об’єкт-користувач створюється або активізується в процесі входження фізичного користувача в КС
    • Об’єкт-користувач діє в системі від імені фізичного користувача і володіє його повноваженнями
    • У сучасних моделях безпеки вважають, що суб’єкт є суперпозицією об’єкта-користувача і об’єкта-процеса
  • Будемо надалі позначати множину об'єктів у системі оброблення даних через О, а множину суб'єктів у цій системі через S

    • Кожен суб'єкт є об'єктом щодо деякої мови (який, узагалі говорячи, може в активній фазі сам змінювати свій стан). Тому SO.
  • Суб'єкт S для реалізації перетворення використовує інформацію, що міститься в об'єкті О

    • Таким чином, суб’єкт і об’єкт можуть обмінюватись інформацією, тобто між ними виникає потік інформації
  • Означення. Доступом суб’єкта S до об'єкта О називається процес створення потоку інформації між ними

  • Множину можливих доступів у системі позначимо R



Деякі приклади доступів

  • Приклад 3. Доступ суб'єкта S до об'єкта O на зчитування (r) даних в об'єкті О

    • При цьому доступі деякі дані зчитуються в об'єкті О и використовуються як параметри в суб'єкті S
  • Приклад 4. Доступ суб'єкта S до об'єкта O на записування (w) даних в об'єкті О

    • При цьому доступі деякі дані процесу S записуються в об'єкт О
    • Тут можливе стирання попередньої інформації
  • Приклад 5. Доступ суб'єкта S до об'єкта О на активізацію процесу, записаного в О як дані (ехе)

    • При цьому доступі формується деякий домен для перетворення, описаного в О, і передається керування відповідній програмі
  • Існує множина інших доступів, деякі з них будуть визначені далі



Аксіома

  • Усі питання безпеки інформації описуються доступами суб'єктів до об'єктів

    • Ця аксіома охоплює практично усі відомі способи порушення безпеки у будь-яких варіантах розуміння безпеки
      • навіть якщо включити в розгляд такі процеси як пожежа, повінь, фізичне знищення і т.д.
    • З наведеної аксіоми випливає, що для подальшого розгляду питань безпеки і ЗІ досить розглядати множину об'єктів і послідовності доступів
    • Ця аксіома була покладена в основу стандарту Міністерства оборони США TCSEC (“Оранжева книга”)


Графи доступів

  • Нехай час дискретний, Оt – множина об'єктів у момент t, St – множина суб'єктів у момент t, 0 t T

  • На множині об'єктів Оt як на вершинах визначимо орієнтований граф доступів Gt у такий спосіб: дуга з міткою p R належить Gt тоді і тільки тоді, коли в момент t суб'єкт S має множину доступів р до об'єкта О

  • Відповідно до аксіоми, з погляду ЗІ у процесі функціонування системи нас цікавить тільки множина графів доступів {Gt }t=1T

  • Позначимо через ={G } множину можливих графів доступів. Тоді  можна розглядати як фазовий простір системи, а траєкторія у фазовому просторі  відповідає функціонуванню КС



Задача ЗІ у термінах графів доступів

  • У фазовому просторі  визначені можливі траєкторії Ф

  • У Ф виділена деяка підмножина N несприятливих траєкторій чи ділянок таких траєкторій, яких ми хотіли б уникнути

  • Задача ЗІ полягає в тому, щоб будь-яка реальна траєкторія обчислювального процесу у фазовому просторі Ф не потрапила в множину N

  • Як правило, у будь-якій конкретній КС можна наділити реальним змістом компоненти моделі , Ф і N



Керування доступом

  • Чим можна керувати, щоб траєкторії обчислювального процесу не вийшли в N?

  • Практично таке керування можливо тільки обмеженням на доступ у кожен момент часу

    • Ці обмеження можуть залежати від усієї передісторії процесу
  • Основна складність ЗІ полягає в тому, що, маючи можливість використовувати лише набір локальних обмежень на доступ у кожен момент часу, необхідно вирішити глобальну проблему недопущення виходу будь-якої можливої траєкторії в несприятливу множину N

    • При цьому траєкторії множини N не обов'язково визначаються обмеженнями на доступи конкретних суб'єктів до конкретних об'єктів


Активізація

  • Для будь-якого моменту часу на множині суб'єктів S уведемо бінарне відношення a активізації:

    • Суб'єкт S1 здійснює активізацію, якщо він, володіючи керуванням і ресурсами, може передати S2 частину ресурсів і керування
  • Тоді в графах, що визначаються введеним бінарним відношенням на множині об'єктів, для яких визначене поняття активізації, можливі вершини, у які ніколи не входить жодної дуги

    • Такі об'єкти є користувачами, що за означенням є завжди активованими
  • Суб'єкти, у яких ніколи не входять дуги і з яких ніколи не виходять дуги, виключаються з розгляду



Приклад 6

  • Нехай у системі є два користувачі U1 і U2, один процес S зчитування файлу на екран і набір файлів O1,…,Om

  • У кожен момент працює один користувач, потім система виключається й інший користувач включає її заново

    • На графі використано позначення R, тому що різні користувачі можуть, узагалі говорячи, по-різному запускати процес S (тобто використовувати різні види доступів)
  • Можливі такі графи доступів

  • (1)

  • Множина таких графів – . Траєкторії – послідовності графів виду (1). Несприятливими вважаються траєкторії, що для деякого і=1,...,m містять стани

  • і

  • Тобто, несприятливою вважають ситуацію, коли обидва користувачі можуть прочитати той самий об'єкт

  • Ясно, що механізм захисту повинен впроваджувати обмеження на черговий доступ виходячи з множини об'єктів, з якими вже ознайомився інший користувач



Приклад 7

  • Нехай у системі, що описана у попередньому прикладі, несприятливою є будь-яка траєкторія, що містить, граф виду

  • У цьому випадку видно, що система буде захищена обмеженням доступу на зчитування користувача U1 до об'єкта О1



Переваги об’єктно-суб’єктної моделі

  • Скінченна множина об’єктів фактично відображає реальну дискретну природу будь-яких інформаційних систем

  • Завдяки можливості введення різноманітних механізмів взаємодії між об’єктами вдається змістовно визначити такі основні поняття захисту інформації як загроза, порушник, а також властивості захищеної інформації

  • Завдяки можливості визначення різноманітних правил взаємодії між об’єктами з’являється можливість створювати різноманітні системи безпеки і досліджувати їх



Базові положення об’єктно-суб’єктної моделі безпеки

  • Система є сукупністю взаємодіючих сутностей – суб’єктів та об’єктів

    • Об’єкти можна інтуїтивно представляти у вигляді контейнерів, що містять інформацію, а суб’єктами вважати програми, що виконуються і взаємодіють з об’єктами різними способами
  • При такому представленні системи її безпека забезпечується шляхом вирішення задачі управління доступом суб’єктів до об’єктів відповідно до заданих правил та обмежень, які є змістом політики безпеки

    • Тоді вважається, що система є безпечною, якщо суб’єкти не мають можливості порушити правила політики безпеки
    • Саме розподіл всіх сутностей на суб’єкти та об’єкти є основною проблемою моделювання, оскільки самі визначення понять суб’єкт та об’єкт в різних моделях можуть суттєво розрізнятися
  • Усі взаємодії в системі моделюються встановленням відношень певного типу між суб’єктами та об’єктами

    • Множина типів відношень визначається у вигляді наборів операцій, які суб’єкти можуть здійснювати над об’єктами


Базові положення об’єктно-суб’єктної моделі безпеки

  • Безпека системи забезпечується шляхом вирішення задачі керування доступом суб’єктів до об’єктів відповідно до заданих правил та обмежень, які є змістом політики безпеки

  • Задача керування доступом суб’єктів до об’єктів вирішується особою компонентою системи – монітором взаємодій

    • Всі операції контролюються монітором взаємодій і забороняються чи дозволяються відповідно до заданих правил політики безпеки
  • Політика безпеки задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії між суб’єктами та об’єктами

    • Взаємодії, що призводять до порушень цих правил, блокуються засобами контролю доступу і не можуть здійснюватися
  • Сукупність множин суб’єктів, об’єктів та відношень між ними (встановлених взаємодій) визначають стан системи

    • Кожний стан системи є або безпечним або небезпечним відповідно до обраного в моделі критерію безпеки
  • Основний елемент безпеки – це доказ твердження (теореми) про те, що система, яка знаходиться в безпечному стані, не може перейти в небезпечний стан при виконанні певних правил та обмежень



Схожі:

Лекція 3 План лекції iconПлан лекції: План лекції
Суспільно-політичне та економічне становище України на початку XX ст. Україна в Першій Світовій війні
Лекція 3 План лекції iconЛекція 2 тема термінальні стани. Серцево-легенево-мозкова реанімація план лекції

Лекція 3 План лекції iconПлан лекції. План лекції
Культура в 30-х роках 28 грудня 1920 р між рсфрр та усрр був укладений договір про військовий та господарський союз
Лекція 3 План лекції iconЛекція 13 План лекції
Модель б-л побудована для обґрунтування безпеки систем, що використовують політику mls
Лекція 3 План лекції iconЛекція 5 План лекції
Підмножина потоків, що пов’язані з несанкціонованим доступом для ознайомлення з інформацією
Лекція 3 План лекції iconПлан лекції План лекції
України періоду міжвоєнного часу та часів голодоморів. Сформувати у майбутніх лікарів почуття гордості за свій багатостраждальний...
Лекція 3 План лекції iconПечінка Підшлункова залоза План лекції: План лекції

Лекція 3 План лекції iconЛекція 3 тема гостра дихальна недостатність план лекції анатомо-фізіологічні особливості органів дихання. Поняття про гіпоксію

Лекція 3 План лекції iconЛекція 4 План лекції
...
Лекція 3 План лекції iconВодневий показник. Буферні системи, класифікація та механізм їх дії. План лекції: План лекції
Гідрогену, тобто значення рН середовища, при добавлянні до них невеликих кількостей кислоти чи лугу або при розбавлянні їх

Додайте кнопку на своєму сайті:
dok.znaimo.com.ua


База даних захищена авторським правом ©dok.znaimo.com.ua 2013
звернутися до адміністрації
dok.znaimo.com.ua
Головна сторінка