Лекции по "Комплексной системе защиты информации"

Автор: Пользователь скрыл имя, 25 Марта 2011 в 16:25, курс лекций

Краткое описание

Работа содержит курс лекций по дисциплине "Комплексная система защиты информации".

Файлы: 15 файлов

11.doc

— 51.50 Кб (Открыть, Скачать)

13.doc

— 101.50 Кб (Открыть, Скачать)

14_15_16.doc

— 112.00 Кб (Открыть, Скачать)

8.doc

— 40.00 Кб (Открыть, Скачать)

9_10.doc

— 94.50 Кб (Скачать)

    Модель  управления доступом работает не со всеми  переменными состояния и функциями системы. Выбор для моделирования переменных и функций, имеющих отношение к безопасности, остается за разработчиком модели.

    Разработка  модели управления доступом включает в себя определение элементов  модели (переменных, функций, правил и  т.д) а также безопасного начального состояния. Математически доказывается, что начальное состояние безопасно и что все функции безопасны, после чего путем математической индукции делается вывод о том, что если система первоначально находилась в безопасном состоянии, система останется в безопасном состоянии независимо от того, какие функции и в каком порядке будут выполнены.

    Таким образом в разработке модели управления доступом можно выделить следующие шаги:

    1. Определение переменных состояния, имеющих отношение к безопасности. Обычно переменные состояния представляют субъекты и объекты системы, их атрибуты безопасности и права доступа между субъектами и объектами.

    2. Определение условий для безопасного  состояния. Это определение является  выражением отношений между значениями переменных состояния, истинность которого должна обеспечиваться при переходах состояния.

    3. Определение функций переходов  из состояния в состояние. Эти  функции описывают допустимые способы изменения переменных состояния. Они также называются правилами изменения доступа, поскольку их цель состоит в указании изменений, которые может производить система, а вовсе не в определении всех возможных изменений. Правила могут быть очень общими и могут допускать наличие функций, которых нет в реальной системе, однако система не может менять переменные состояния каким-либо способом, который не допускается функциями.

    Можно выделить несколько характерных  черт функций перехода:

  • назначение функции - определение взаимосвязи между переменными в предыдущем и новом состояниях;
  • функция не задает какого-либо конкретного порядка в выполнении алгоритма операции. Иными словами, функция может рассматриваться как определение того, что произойдет с состоянием по завершении операции;
  • функция элементарна. Это значит, что ее эффект не разделяем на более мелкие действия и не прерываем. Указанное изменение состояния происходит моментально, т.е. какого-либо промежутка времени, "в течение" которого происходил бы переход состояния, определить невозможно.

    Следует помнить, что каждая дополнительная переменная состояния и сопутствующие ей операции существенно усложняют как саму модель, так и доказательство ее свойств. Модель управления доступом предполагает представление только поведения системы, связанного с безопасностью.

    4. Доказывается, что функции обеспечивают сохранение безопасного состояния. Чтобы удостовериться в том, что модель является безопасной, необходимо для каждой функции перехода доказать, что, если система находится в безопасном состоянии до начала выполнения функции перехода, то система останется в безопасном состоянии по ее завершению.

    5. Определение начального состояния.  Математически начальное состояние  выражается как множество начальных значений всех переменных состояния системы. Простейшим начальным состоянием является состояние вообще без каких-либо субъектов и объектов. При этом нет необходимости определять начальные значения каких-либо других переменных состояния, поскольку состояние будет безопасным независимо от их значений. Более реалистичное безопасное начальное состояние предполагает наличие некоторого начального (произвольного) множества субъектов и объектов.

    6. Доказывается, что начальное состояние  безопасно в соответствии с  определением.

Модель  безопасности Белл-Ла Падула

 

    Одна  из первых моделей безопасности - и  впоследствии наиболее часто используемой - была разработана Дэвидом Беллом и Леонардо Ла Падула для моделирования работы компьютера.

    Рассмотрим  систему из двух файлов и двух процессов (рис.2). Один файл и один процесс являются несекретными, другой файл и процесс - секретными.

    Простое правило безопасности предотвращает  чтение секретного файла несекретным процессом. Оба процесса могут читать и записывать данные в несекретный файл. Однако, легко может произойти нарушение правил управления доступом, если секретный процесс считает информацию из секретного файла и запишет ее в несекретный файл. Это эквивалентно неавторизованному уменьшению класса доступа информации, хотя при этом не изменяется класс доступа ни одного файла.  

    

        

    

    

    

               
 

    Рис.2

    Когда процесс записывает информацию в  файл, класс доступа которого меньше, чем класс доступа процесса, имеет  место так называемый процесс  записи вниз. Ограничение, направленное на исключение нисходящей записи получило в модели Белл-Ла Падула название *-свойства или свойства ограничения.

    Таким образом, модель многоуровневой безопасности имеет два основных свойства:

  • простая безопасность: субъект может только читать объект, если класс доступа субъекта доминирует над классом доступа объекта. Другими словами, субъект может читать "вниз", но не может читать "вверх";
  • свойство ограничения: субъект может только записать в объект, если класс доступа субъекта превосходит класс доступа объекта. Субъект может записывать "вверх", но не может записать "вниз".

    Процесс не может ни читать объект с высшим классом доступа (свойство простой  безопасности), ни записать объект с  низшим классом доступа (*-свойство или свойство ограничения) (рис.3).

    При формализации многоуровневого управления безопасностью, модель Белл-Ла Падула определяет структуру класса доступа и устанавливает упорядочивание отношений между классами доступа (доминирование). Кроме того определяются два уникальных класса доступа: SYSTEM HIGH, который превосходит все остальные классы доступа, и SYSTEM LOW, который превосходят все другие классами. Изменения классов доступа в рамках модели Белл-Ла Падула не допускаются.

      
 
 

      
 

    

          

    

                        

      

    

Рис.3. 

    Управление  доступом в модели Белл-Ла Падула происходит как с использованием матрицы управления доступом, так и с использованием меток безопасности и ранее приведенных правил простой безопасности и свойства ограничения.

    В дополнение к имеющимся режимам  доступа чтения и записи, матрица  управления доступом включает режимы добавления, исполнения и управления - причем последний определяет, может  ли субъект передавать другим субъектам  права доступа, которыми он обладает по отношению к объекту.

    Управление  при помощи меток безопасности усиливает  ограничение предоставляемого доступа на основе сравнения атрибутов класса доступа субъектов и объектов.

    В модели Белл-Ла Падула определено около двадцати функций (правил операций), выполняемых при модификации компонентов матрицы доступа, при запросе и получении доступа к объекту (например при открытии файла), создании и удалении объектов; при этом для каждой функции доказывается сохранение ею, в соответствии с определением, безопасного состояния. Лишь немногие разработки безопасных систем использовали функции, предложенные Белл и Ла Падула, чаще использовались собственные функции, разработанные на основе функций модели Белл-Ла Падула. Поэтому в настоящее время, когда говорят о модели Белл-Ла Падула, имеются в виду только простое условие безопасности и свойство ограничения, а не функции, составляющие основу модели, и их доказательства.

     

    Разработка  и доказательство модели управления доступом системы является важным этапом в формальном методе разработки системы. Сам формальный метод разработки можно ограничить этапом формального моделирования, после которого следует практическая реализация системы.

    В более полном варианте метод формальной разработки включает также этап создания формальной спецификации. Спецификация отличается от модели тем, что помимо переменных и функций, относящихся к обеспечению безопасности, описывает переменные и функции, реализующие в системе иные задачи. При этом следует отметить, что соответствие формальной спецификации разработанной ранее модели безопасности строго доказывается. (18)

Лекци1.doc

— 47.00 Кб (Открыть, Скачать)

Лекци2.doc

— 55.00 Кб (Открыть, Скачать)

Лекци3.doc

— 69.00 Кб (Открыть, Скачать)

Лекци6.doc

— 49.50 Кб (Открыть, Скачать)

Лекции 4_5.doc

— 81.50 Кб (Открыть, Скачать)

Лекция 1.doc

— 47.00 Кб (Открыть, Скачать)

Лекция 2.doc

— 55.00 Кб (Открыть, Скачать)

Лекция 3.doc

— 69.00 Кб (Открыть, Скачать)

Лекция 6.doc

— 49.50 Кб (Открыть, Скачать)

Ш.doc

— 202.50 Кб (Открыть, Скачать)

Информация о работе Лекции по "Комплексной системе защиты информации"