Теоретичні основи захисту інформації Лекції 11-12


НазваТеоретичні основи захисту інформації Лекції 11-12
Дата конвертації19.02.2013
Розмір445 b.
ТипПрезентации


Теоретичні основи захисту інформації

  • Лекції 11-12


План лекції

  • Модель ADEPT-50

  • Модель HRU

  • Модель Take-Grant



Математичні моделі безпеки

  • Визначення. Формальне визначення політики безпеки називають математичною моделлю безпеки

  • Згідно вимог нормативних документів у галузі захисту інформації в інформаційних системах, системи захисту інформації будують на основі математичних моделей захисту інформації

    • Використання цих моделей дозволяє теоретично обґрунтувати відповідність системи захисту інформації вимогам заданої політики безпеки
  • Формальна теорія захисту інформації почала розвиватися відносно недавно, але сьогодні існує багато математичних моделей, які описують різні аспекти безпеки і надають доказову теоретичну базу для побудови сучасних систем захисту інформації



Основні види математичних моделей безпеки



Модель ADEPT-50

  • Вперше була опублікована у 1970 р.

  • Розглядає 4 типи об’єктів:

    • Користувачі (u)
    • Завдання (j)
    • Термінали (t)
    • Файли (f)
  • Кожний з об’єктів описується кортежем (A, C, F, M), який містить основні параметри безпеки

    • Компетенція (A) – скалярна величина – елемент з набору ієрархічно впорядкованих характеристик цінності, наприклад, грифів таємності
    • Категорія (С) – дискретний набір (множина) рубрик. Категорії не залежать від рівня компетенції
    • Повноваження (F) – множина користувачів, що мають право доступу до цього об’єкта
    • Режим (М) – набір (множина) дозволених видів доступів


Правила функціонування системи в ADEPT-50

  • U={ui, i=1,…,n} – множина усіх відомих системі користувачів

  • F(i)={uj, j=1,…,mn} – множина користувачів, що мають право використовувати об’єкт i

    • Об’єктом може бути завдання, термінал, або файл
  • Правила, за якими функціонує система 

    • Користувач ui отримує доступ до системи  тільки тоді, коли uiU
    • Користувач ui отримує доступ до термінала tj тільки тоді, коли uiF(tj)
    • Користувач ui отримує доступ до файлу fk тільки тоді, коли uiF(fk), A(jl)A(fk), C(jl)C(fk), M(jl)M(fk)


Матриця визначення параметрів безпеки



Модель HRU

  • M. Harrison, W. Ruzzo, J. Ullman

  • Вперше запропонована у 1971 р., формальний опис моделі з’явився у 1976 р.

  • Модель HRU використовується для аналізу системи захисту, що реалізує дискреційну політику безпеки та її матриці доступів

  • Основні уявлення моделі:

    • Система захисту є кінцевим автоматом, що функціонує відповідно до певних правил переходу
    • Стан системи визначається її матрицею доступів
    • Зміна стану (перехід) – це внесення змін до матриці доступів
  • Будемо називати системою автомат, що побудований відповідно до положень моделі HRU



Позначення

  • O – множина об’єктів системи

  • S – множина суб’єктів системи, причому SO

    • o та s – об’єкти та суб’єкти, відповідно
  • R – множина прав доступу суб’єктів до об’єктів (наприклад, read, write, own)

  • M – матриця доступу

    • Рядки матриці доступів відповідають суб’єктам
    • Стовпчики матриці доступів відповідають об’єктам та суб’єктам
    • Елементи матриці M[s,o]R – права доступу суб’єкта s до об’єкта o


Примітивні оператори



Команди

  • З примітивних операторів можна складати команди

    • Команди описують перехід QcQ' системи із стану Q=(S,O,M) в результуючий стан Q' =(S',O',M')
    • Новий стан відрізняється від попереднього принаймні одним компонентом
  • Кожна команда складається з двох частин

    • Умови, за якими виконується команда
    • Послідовність примітивних операторів
  • Запис команди:

    • command C(x1, …, xk)
    • if (r1M[xs1,xo1]) and … and (rmM[xsm,xom]) then
    • α1;
    • αn;
    • end
    • Тут x1,…,xk – формальні параметри команди (ідентифікатори об’єктів і суб’єктів), r1,…,rmR – права доступу, α1,…,αn – послідовність примітивних операторів
    • Умови в тілі команди не обов'язкові


Деякі означення

  • Витік права rR є можливим за результатом виконання команди c, якщо при переході системи зі стану Q у стан Q виконується такий примітивний оператор, що вносить право r в елемент матриці доступів M, який до того (тобто, у стані Q) не містив це право

  • Початковий стан Q0 називається безпечним відносно деякого права rR, якщо з Q0 неможливий перехід системи у такий стан Q, в якому може виникнути витік права r

  • Система називається моноопераційною, якщо кожну команду виконує лише примітивний оператор



Дві важливі теореми

  • Існує алгоритм, що дозволяє здійснювати перевірку, чи є вихідний стан моноопераційної системи безпечним для даного права rR

  • Задача перевірки довільних систем алгоритмічно нерозв’язувана

    • Тобто, для загального випадку доведено негативний результат
    • А саме, не існує алгоритму, який може для довільної системи, її початкового стану Q0 і загального права r вирішити, чи є ця конфігурація безпечною
    • Доведення спирається на властивості машини Тьюринга, за допомогою якої моделюється послідовність переходів системи зі стану в стан


Приклади систем, для яких задача є розв’язуваною

  • Моноопераційні системи

    • Неможливо реалізувати вимоги деяких політик безпеки
    • Наприклад, неможливо надавати суб’єктам специфічні права на створювані ними об’єкти (не існує оператора, який би і створював об’єкт, і надавав права на нього)
  • Системи, в яких відсутня операція “створити”

  • Монотонні і моноумовні системи

    • Тобто, системи, в яких немає операторів “знищити” і “видалити” і в частині умов кожної команди присутнє не більш як одне речення
  • Задача безпеки для системи зі скінченною множиною суб’єктів розв’язувана, але обчислювально складна



Модель Take-Grant

  • Виявилося, що у багатьох моделях дискреційного доступу виявилась проблема несанкціонованого поширення прав доступу

  • У 1976 році була запропонована модель Take–Grant

    • Як основний елемент моделі використовуються графи доступів і правила їх перетворень
    • Призначенням моделі Take–Grant є аналіз шляхів розповсюдження прав доступу по вихідному графу прав доступу у системах дискреційного розмежування доступу
    • Модель Take–Grant допускає наявність прав доступу не лише у суб’єктів до об’єктів, але і у об’єктів до об’єктів
  • У подальшому з’явилась розширена модель Take–Grant

  • Модель Take–Grant стала одним з методів дослідження захищених систем



Формальний опис моделі Take-Grant

  • Основні елементи моделі Take–Grant

    • О – множина об’єктів системи,
    • S О – множина суб’єктів системи,
    • R = {r1,r2,...,rm}{t, g} – множина видів прав доступу,
      • t (take) – право брати права доступу,
      • g (grant) – право надавати права доступу.
  • Основу моделі Take–Grant складає скінченний помічений орієнтований граф доступів без петель G(S,О,E), який визначає поточні доступи в системі

  • У цьому графі елементи множин S і О є вершинами графу, які позначаються як:

    •  – об’єкти (елементи множини О \ S),
    •  – суб’єкти (елементи множини S),
  • Елементи множини Е О × О × R – ребра графу, кожне з яких помічено непустою підмножиною множини видів прав доступу R



Переходи із стану до стану

  • Порядок переходу із стану до стану системи моделі Take–Grant визначається операціями або правилами перетворення графу доступів

    • Перетворення графа G в граф G' у результаті виконання правила ор позначимо через Gор G'.
  • У класичній моделі Take–Grant розглядаються чотири де-юре правила перетворення графа

    • Виконання кожного з правил може бути ініційовано лише суб’єктом, який є активною компонентою системи
    • Правило tаke(,x,y,z) – право брати права доступу
    • Правило grant(,x,y,z) – право надавати права доступу
    • Правило create(,x,y) – право створювати новий об’єкт
    • Правило remove(,x,y) – право видалити права доступу на об’єкт


Правило tаke(,x,y,z)

  • Нехай x S, y, z O – різні вершини графу G, R, .

  • Правило визначає порядок одержання нового графа доступів G′ з графу G

  • Суб'єкт х бере в об'єкта y права на об'єкт z



Правило grant(,x,y,z)

  • Нехай xS, y, zO – різні вершини графу G, R, .

  • Правило визначає порядок одержання нового графу доступів G' із графу G

  • Суб'єкт х надає об'єкту y права на об'єкт z



Правило create(,x,y)

  • Нехай xS,   R, ≠ .

  • Правило визначає порядок одержання нового графу з графу G; уО – новий об’єкт або суб’єкт

  • Суб'єкт х створює новий – доступний об'єкт y



Правило remove(,x,y)

  • Нехай xS, yO – різні вершини графу G, R, .

  • Правило визначає порядок одержання нового графа G′ з графа G

  • Суб'єкт х видаляє право доступу на об'єкт y



Умови застосування де-юре правил take, grant, create, remove



Санкціоноване отримання прав доступу

  • Спосіб санкціонованої передачі прав доступу характеризується тим, що не накладаються жодні обмеження на кооперацію суб’єктів системи, що беруть участь у цьому процесі

  • Нехай x,yO – об’єкти графа доступу початкового стану G0=(S0,O0,E0), R

  • Означення. Предикат “можливий доступ” P(,x,y,G0) є істинним тільки тоді, коли існує послідовність графів доступів G1=(S1,O1,E1),…,Gn=(Sn,On,En), така, що G0├ор1G1├ор2├орnGn і (x,y, )En

  • Означення. Вершини графа доступів називаються tg-зв’язними, або поєднаними tg-шляхом, якщо без урахування напряму дуг у графі між ними існує такий шлях, що кожна дуга цього шляху позначена t або g

    • Вершини безпосередньо tg-зв’язні, якщо tg-шлях між ними складається з однієї дуги


Умови можливості санкціонованого отримання прав доступу

  • Теорема. Нехай G0=(S0,O0,E0) – граф доступів, що містить тільки вершини-суб’єкти. Тоді предикат “можливий доступ” P(,x,y,G0) буде істинним тільки тоді, коли виконуються умови:

    • існують суб’єкти s1,…,sm такі, що (si,y,)E0 для i=1,…,m і =12…m;
    • у графі G0=(S0,O0,E0) суб’єкт x сполучений tg-шляхом з кожним суб’єктом si для i=1,…,m.
  • Перша умова вимагає наявності суб’єктів si, що мають певні права доступу до суб’єкта y

  • Друга умова вимагає tg-зв’язку з ними

    • Це необхідні умови створення ланцюжка доступів


Можливість крадіжки прав доступу

  • Вище був розглянутий спосіб, що реалізується за умови співробітництва суб’єктів

  • Крадіжка прав доступу – це передача прав доступу, яка здійснюється без підтримки суб’єкта, що цими правами володів

    • Тобто, передача прав здійснюється за підтримки суб’єкта, який цими правами не володів
  • Нехай x,yO – об’єкти графа доступу початкового стану G0=(S0,O0,E0), R

  • Означення. Предикат “можлива крадіжка” Q(,x,y,G0) є істинним тільки тоді, коли (x,y,)E0 та існує послідовність графів доступів G1=(S1,O1,E1),…,Gn=(Sn,On,En) така, що G0├ор1G1├ор2├орnGn і (x,y,)En Якщо s такий, що (s,y,)E0 , то для zSj, j=0,1,…,n виконується opkgrant(,s,z,y), k=1,…,n



Умови можливості крадіжки прав доступу

  • Теорема. Нехай G0=(S0,O0,E0) – довільний граф доступів. Тоді предикат “можлива крадіжка” Q(,x,y,G0) буде істинним тільки тоді, коли виконуються умови:

    • (x,y,)E0;
    • існують суб’єкти s1,…,sm такі, що (si,y,)E0 для i=1,…,m і =12…m;
    • предикати “можливий доступ” P(t,x,si,G0) є істинними для i=1,…,m.
  • Перша умова фіксує первісну відсутність прав доступу  суб’єкта x до об’єкта y

  • Друга умова вимагає наявність деяких суб’єктів, що мають певні права доступу до y

  • Третя умова визначає права суб’єкта x брати права доступу до суб’єктів з другої умови



Розширена модель Take-Grant

  • У розширеній моделі Take-Grant розглядаються шляхи і вартості виникнення інформаційних потоків у системах із дискреційним розмежуванням доступу

  • У розширеній моделі Take-Grant розглядаються не лише правила де-юре, які є формальним змістом моделі і обов’язкові до виконання, але і так звані правила де-факто, які дозволяють аналізувати фактичну ситуацію у системі



Правила розширеної моделі Take-Grant

  • У класичній моделі Take-Grant розглядаються:

    • Права доступу до об’єкта:
      • r (read),
      • w (write),
      • t (take),
      • g (grant)
    • Чотири правила де-юре перетворення графа доступів:
      • take,
      • grant,
      • create,
      • remove
  • У розширеній моделі Take-Grant додатково розглядаються:

    • шість правил де-факто перетворення графа доступів
      • post
      • spy
      • find
      • pass
      • п1
      • п2


Правила де-факто

  • Правила де-факто вводять для пошуку шляхів виникнення інформаційних потоків у системі, які не регламентовані правилами де-юре

  • У результаті застосування до графу доступу правил де-факто, до нього додаються уявні дуги, що позначаються r або w, але зображуються пунктиром

  • Разом із дугами графа, що відповідають реальним правам доступу r і w (суцільними дугами), уявні дуги вказують на наявність та напрям інформаційних каналів між об’єктами в системі

  • До уявних дуг не можна застосовувати правила де-юре перетворення графу доступів, оскільки вони позначають наявність і напрям каналів, які неможливо брати і передавати іншим об’єктам у системі



Правило де-факто post

  • Нехай

    • суб’єкт x має право r на об’єкт y
    • суб’єкт z має право w на об’єкт y
  • Суб’єкт x, переглядаючи інформацію в об’єкті y, може шукати в ньому інформацію з z або про z

  • Таким чином, у системі може виникнути інформаційний канал від суб’єкта z до суб’єкта x

    • (Об’єкт як поштова скринька)
  • Для реалізації такого каналу необхідна участь принаймні двох суб’єктів



Правило де-факто spy

  • Нехай

    • суб’єкт x має право r на суб’єкт y
    • суб’єкт y має право r на об’єкт z
  • Суб’єкт x, переглядаючи інформацію в об’єкті y, може шукати в ньому інформацію з z або про z

  • Таким чином, у системі може виникнути інформаційний канал від об’єкта z до суб’єкта x

    • (Шпигунство)
  • Для реалізації такого каналу необхідна участь принаймні двох суб’єктів



Правило де-факто find

  • Нехай

    • суб’єкт x має право w на суб’єкт y
    • суб’єкт y має право w на об’єкт z
  • Інформація, записана суб’єктом x в y, може бути переписана суб’єктом y в z

  • Таким чином, у системі може виникнути інформаційний канал від суб’єкта x до об’єкта z

  • Для реалізації такого каналу необхідна участь принаймні двох суб’єктів



Правило де-факто pass

  • Нехай

    • суб’єкт y має право r на об’єкт z
    • суб’єкт y має право w на об’єкт x
  • Інформація, прочитана суб’єктом y в z, може бути записана в x

  • Таким чином, у системі може виникнути інформаційний канал від об’єкта z до об’єкта x

  • Для реалізації трьох з чотирьох розглянутих вище правил необхідна співпраця двох суб’єктів

    • Суб’єкти-заколотники – необхідно виділяти їх як підмножину усіх суб’єктів


Правила де-факто п1 і п2

  • п1

    • Нехай суб’єкт x має право w на суб’єкт y
    • Таким чином, у системі може виникнути інформаційний потік від суб’єкта x до суб’єкта y
    • Де-факто це еквівалентно тому, що суб’єкт y має право r на суб’єкт x
  • п2

    • Нехай суб’єкт x має право r на суб’єкт y
    • Таким чином, у системі може виникнути інформаційний потік від суб’єкта y до суб’єкта x
    • Де-факто це еквівалентно тому, що суб’єкт y має право w на суб’єкт x
  • Таким чином, аналізуючи результат застосування правил де-факто достатньо розглядати лише право r або лише право w



Схожі:

Теоретичні основи захисту інформації Лекції 11-12 iconТеоретичні основи захисту інформації Лекції 14-15
Вважаємо, що оброблення інформації на об’єктах системи здійснюється в умовах дії на інформацію загроз (або дестабілізуючих факторів...
Теоретичні основи захисту інформації Лекції 11-12 iconТеоретичні основи захисту інформації Лекції 6-7 План лекції
Модель загроз це абстрактний формалізований або неформалізований опис методів і способів здійснення загроз
Теоретичні основи захисту інформації Лекції 11-12 iconЛекція 1 Література
Теоретичні основи моделювання та аналізу систем захисту інформації. Національний університет дпс україни. 2010
Теоретичні основи захисту інформації Лекції 11-12 iconТеоретичні основи рідинної хроматографії Теоретичні основи рідинної хроматографії
Рідинна хроматографія це метод розділення і аналізу складних сумішей, в якому рухомою фазою є рідина
Теоретичні основи захисту інформації Лекції 11-12 iconІнформації є Адміністрація Держспецзв’язку (Закон України "Про Державну службу спеціального зв’язку та захисту інформації України")
Органом державного регулювання діяльності у сфері захисту інформації є спеціально уповноважений центральний орган виконавчої влади...
Теоретичні основи захисту інформації Лекції 11-12 iconІнформації є Адміністрація Держспецзв’язку (Закон України "Про Державну службу спеціального зв’язку та захисту інформації України") державна служба спеціального
Органом державного регулювання діяльності у сфері захисту інформації є спеціально уповноважений центральний орган виконавчої влади...
Теоретичні основи захисту інформації Лекції 11-12 iconМетодичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (нд тзі 7-001-99)
Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (Постанова...
Теоретичні основи захисту інформації Лекції 11-12 iconМетодичні вказівки по розробці технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі (нд тзі 7-001-99)
Загальні положення із захисту інформації в комп'ютерних системах від несанкціонованого доступу (нд тзі 1-002-99)
Теоретичні основи захисту інформації Лекції 11-12 iconІнформації в операційних системах, базах даних і мережах Лекції 11-12 Апаратні засоби Завдання апаратного забезпечення засобів захисту
За усталеною термінологією склад аззз визначається не за ознакою апаратної реалізації, а за колом завдань, що вирішуються
Теоретичні основи захисту інформації Лекції 11-12 iconОснови титриметричного аналізу Лектор доц. Н. А. Василишин
Теоретичні основи титриметричного (об׳ємного) аналізу. Закон еквівалентів Основні поняття титриметрії

Додайте кнопку на своєму сайті:
dok.znaimo.com.ua


База даних захищена авторським правом ©dok.znaimo.com.ua 2013
звернутися до адміністрації
dok.znaimo.com.ua
Головна сторінка