Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности




НазваниеЛекция Основные определения и базовые принципы построения формальных моделей политик безопасности
страница1/8
Дата публикации30.01.2014
Размер1.07 Mb.
ТипЛекция
shkolnie.ru > Информатика > Лекция
  1   2   3   4   5   6   7   8

Лекция 1. Основные определения и базовые принципы построения формальных моделей политик безопасности



Базовые определения и основные положения формальных моделей политик безопасности

Одними из важнейших понятий в теории компьютерной безопасности являются политика безопасности и модель безопасности. Политика безопасности определяет множество требований по обеспечению безопасности информации, которые должны быть выполнены в автоматизированной системе обработки информации и управления (АСОИУ) посредством системы защиты информации (СЗИ). При этом любая реализация системы защиты информации должна основываться на определенной модели безопасности. Под моделью безопасности понимается формальное математическое описание механизмов защиты информации в терминах «сущность», «субъект», «объект», «ресурс», «операция», «доступ», «уровень безопасности», «степень доверия» некоторой политики безопасности. Под информацией понимается «сведения о лицах, предметах, явлениях, процессах и объектах (независимо от формы их представления), используемые в целях получения знаний, оптимизации, принятия решений и управления объектами». Рассмотрим основные положения наиболее распространенных политик и моделей безопасности, основанных на контроле доступа субъектов к объектам в пространстве состояний, одни из которых являются безопасными, а другие - небезопасными. Все рассматриваемые модели безопасности основаны на следующих базовых представлениях:

1. Система является совокупностью взаимодействующих сущностей - субъектов и объектов. Объекты можно интуитивно представлять в виде контейнеров, содержащих информацию, а субъекты можно считать выполняющимися программами, которые воздействуют на объекты различными способами. При таком представлении механизм обеспечения информационной безопасности реализуется путем решения задачи управления доступом субъектов к объектам в соответствии с заданным набором правил и ограничений, которые образуют политику безопасности. Считается, что система безопасна, если субъекты не имеют возможности нарушить правила политики безопасности.

2. Все взаимодействия в системе моделируются установлением отношений определенного типа между субъектами и объектами. Множество типов отношений определяется в виде набора операций, которые субъекты могут производить над объектами.

3. Все операции контролируются монитором взаимодействий и либо запрещаются, либо разрешаются в соответствии с правилами политики безопасности.

4. Политика безопасности задается в виде правил, в соответствии с которыми должны осуществляться все взаимодействия между субъектами и объектами. Взаимодействия, приводящие к нарушению этих правил, пресекаются средствами контроля доступа и не могут быть осуществлены.

5. Совокупность множеств субъектов, объектов и отношений между ними (установившихся взаимодействий) определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности.

6.Базовый принцип модели безопасности - наличие формального доказательства того, что система, находящаяся в безопасном состоянии, не может перейти в небезопасное состояние при соблюдении всех установленных правил и ограничений.
^ Алгоритмизация понятия политика безопасности

Политика безопасности включает в себя :

  • множество возможных операций над объектами;

  • множество разрешенных операций, являющееся подмножеством возможных операций для каждой пары “субъект, объект’’.

Например, операции "создание объекта", "удаление объекта", "перенос информации от произвольного объекта к предопределенному объекту" (операция "чте­ния") и т. д.

Рассмотрим базовые аксиомы построения формальных политик безопасности.

Аксиома 1. В защищенной АС всегда присутствует активный компо­нент (субъект), выполняющий контроль операций субъектов над объектами. Этот компонент фактически отвечает за реализацию некоторой поли­тики безопасности.

Аксиома 2. Для выполнения в защищенной АС операций над объек­тами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объ­ектами.

Аксиома 3. Все вопросы безопасности информации в АС описыва­ются доступами субъектов к объектам.

При описании формальных моделей ПБ практически всегда рас­сматривается модель произвольной АС в виде конечного множества эле­ментов. Указанное множество можно разделить на два подмножества: множество объектов и множество субъектов. Данное разделение основано на свойстве элемента "быть активным" или "получать управление" (при­меняется также термин "использовать ресурсы" или "пользоваться вычис­лительной мощностью").

Аксиома 4. Субъекты в АС могут быть порождены из объектов толь­ко активным компонентом (субъектами).

Механизм порождения новых субъектов определяется следующим образом:

Определение 1. Объект Оj называется источником для субъекта Sт., если существует субъект б Sj, в результате воздействия которого на объект Оi в АС возникает субъект Sт .

Субъект Sj , порождающий новый субъект из объекта Оi , называется активизирующим субъектом для субъекта Sт , Sт назовем порожденным объектом. Свойство субъекта "быть активным" реализуется и в возможности выполнения действия над объектами. При этом отметим, что пассивный статус объекта необходимо требует существования потока информации от объекта к объекту (в противном случае невозможно говорить об изме­нении объектов), причем данный поток инициируется субъектом.

Определение 2. Объект Оi в момент времени t ассоциирован с субъектом Sт ,если состояние объекта Оi повлияло на состояние субъекта в следующий момент времени.

Определение 3. Потоком информации между объектом От. и объек­том Оj называется произвольная операция над объектом Оj, реализуемая в субъекте Si и зависящая от От.

В определении подчеркнуто, что поток ин­формации рассматривается не между субъектом и объектом, а между объектами, например объектом и ассоциированными объектами субъекта (либо между двумя объектами). Активная роль субъекта выражается в реализации данного потока так, что поток всегда инициируется (по­рождается) субъектом.

Определение 4. Доступом субъекта Si к объекту Оj, будем называть порождение потока информации между некоторым объектом (например, ассоциированным с субъектом объектами Si({От})) и объектом Оj.

Выделим все множество потоков Р для фиксированной декомпозиции АС на субъекты и объекты во все моменты времени и произвольным образом разобьем его на два непересекающихся подмножества: и L.

Обозначим: N - подмножество потоков, характеризующее несанкцио­нированный доступ; L - подмножество потоков, характеризующих легаль­ный доступ. Дадим некоторые пояснения к разделению на множества L и N. Понятие "безопасности" подразумевает наличие и некоторого состоя­ния опасности - нежелательных состояний какой-либо системы (в данном случае АС). Будем считать парные категории типа "опасный-безопасный" априорно заданными для АС и описываемыми политикой безопасности, а результатом применения политики безопасности к АС - разделение всего множества потоков на множества "опасных" потоковN и множество "безопасных" L. Деление на L и N может описывать как свойство целост­ности (потоки из N нарушают целостность АС) или свойство конфиденци­альности (потоки из N нарушают конфиденциальность АС), так и любое другое произвольное свойство.

Определение 5. Правила разграничения доступа субъектов к объек­там есть формально описанные потоки, принадлежащие подмножеству L .

В предлагаемой субъектно-ориентированной модели не уточняются известные модели политик безопасности (политика безопасности описы­вает только критерии разбиения на множества L и N), но формулируются условия корректного существования элементов АС, обеспечивающих реа­лизацию той или иной политики безопасности. Для разделения всего множества потоков в АС на подмножества L и N необходимо существование активного компонента (субъекта), который:

  • активизировался бы при возникновении любого потока;

  • производил бы фильтрацию потоков в соответствии с принадлежно­стью множествам L или N .

Определение 6. Монитор обращений (МО) - субъект, активизирую­щийся при возникновении потока от любого субъекта к любому объекту.

Можно выделить два вида МО: индикаторный МО - устанавливаю­щий только факт обращения субъекта к объекту; содержательный МО - субъект, функционирующий таким образом, что при возникновении потока от ассоциированного объекта От любого субъекта Si к объекту Оj и обрат­но существует ассоциированный с МО объект Ото (в данном случае речь идет об ассоциированных объектах-данных), тождественный объекту От или одному из Si({От}). Содержательный МО полностью участвует в пото­ке от субъекта к объекту (в том смысле, что информация проходит через его ассоциированные объекты-данные и существует тождественное ото­бражение объекта на какой-либо ассоциированный объект МО).

Теперь сформулируем понятие монитора безопасности (в литературе также применяется понятие монитора ссылок). Это понятие связано с упоминаемой выше задачей фильтрации потоков. Поскольку целью явля­ется обеспечение безопасности АС, то и целевая функция монитора -фильтрация для обеспечения безопасности (отметим еще раз, что разде­ление на N и L задано априорно).

Определение 7. Монитор безопасности объектов (МБО) – монитор обращений, который разрешает поток, принадлежащий только множеству легального доступа L. Разрешение потока в данном случае понимается как выполнение операции над объектом-получателем потока, а запреще­ние -как невыполнение (т.е. неизменность объекта-получателя потока).

^ Монитор безопасности объектов фактически является механизмом реализации политики безопасности в АС.
Понятие "доверенная вычислительная среда" (Trusted Computing Base - ТСВ)

Смысл характеристики "доверенная" поясняется следующим образом.

Содержание характеристики "безопасный" в сочетании с утверждением "ничто не бывает безопасным на сто процентов" приводит к необходимости использования более гибкого термина, позволяющего оценивать, в какой степени созданная за­щищенная АС соответствует ожиданиям заказчиков. В этом отношении характеристика "доверенный" более адекватно отражает ситуацию, когда оценка, выраженная этой характеристикой (безопасный или доверенный), основана не на мнении разработчиков, а на совокупности факторов, включая мнение независимой экспертизы, опыт предыдущего сотрудничества с разработчиками, и в конечном итоге, является прерогативой заказчика, а не разработчика.

Доверенная вычислительная среда (ТСВ) включает все компоненты и механизмы защищенной автоматизированной системы, удовлетворяющие приведенным ранее аксиомам и определениям и отвечающие за реализацию политики безопасности. Таким образом, заказчик должен быть уверен в том, что ТСВ корректно реализует заданную политику безопасности даже в том случае, если отдельные модули или подсистемы АС разработаны высококвалифицированными злоумышленниками .


^

Дискреционная модель Харрисона-Руззо-Ульмана



Модель безопасности Харрисона-Руззо-Ульмана является классической дискреционной моделью, которая реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа. В рамках этой модели система обработки информации представляется в виде совокупности активных сущностей - субъектов (множество S), которые осуществляют доступ к информации, пассивных сущностей – объектов (множество О), содержащих защищаемую информацию, и конечного множества прав доступа R = {r1, ..., rN}, означающих полномочия на выполнение соответствующих действий (например, чтение, запись, выполнение). Причем для того, чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами - SO. Поведение системы моделируется с помощью понятия состояния. Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав - OxSxR. Текущее состояние системы Q в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа М, описывающей текущие права доступа субъектов к объектам, Q=(S,O,M). Строки матрицы соответствуют субъектам, а столбцы - объектам, поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любая ячейка матрицы M[s,o] содержит набор прав субъекта s к объекту O, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу М с помощью команд следующего вида:

command (x1, …, хk)

if r1 in М[хs1 , хo1] and; (условия выполнения команды)

r1 in М[хs1 , хo1] and;

….

rm in М[хsm , хom] and;

then

op1 , op2 ... opn .(операции, составляющие команду)

Здесь  - имя команды; хi - параметры команды, являющиеся идентификаторами субъектов и объектов, si и оi - индексы субъектов и объектов в диапазоне от 1 до k; opi - элементарные операции. Элементарные операции, составляющие команду, выполняются только в том случае, если все условия, означающие присутствие указанных прав доступа в ячейках матрицы М, являются истинными. В классической модели допустимы только следующие элементарные операции:

enter r into M[s,o] (добавление субъекту s права r для объекта о);

delete r from М[s,о] (удаление у субъекта s права r для объекта о);

create subject s (создание нового субъекта s);

create object о (создание нового объекта о);

destroy subject s (удаление существующего субъекта s);

destroy object о (удаление существующего объекта о).

Операция enter вводит право r в существующую ячейку матрицы доступа. Содержимое каждой ячейки рассматривается как множество, т.е. если это право уже имеется, то ячейка не изменяется. Операция называется enter монотонной, поскольку она только добавляет права в матрицу доступа и ничего не удаляет. Действие операции delete противоположно действию операции enter. Она удаляет право из ячейки матрицы доступа, если оно там присутствует. Поскольку содержимое каждой ячейки рассматривается как множество, delete не делает ничего, если удаляемое право отсутствует в указанной ячейке. Поскольку delete удаляет информацию из матрицы доступа, она называется немонотонной операцией. Операции create subject и destroy subject представляют собой аналогичную пару монотонной и немонотонной операции.Применение любой элементарной операции ор в системе, находящейся в состоянии Q=(S,O,M), влечет за собой переход в другое состояние Q'=(S',0',M'), которое отличается от предыдущего состояния Q по крайней мере одним компонентом.

Формальное описание некой конкретной системы (Q,R,C) будет состоять из следующих элементов:

1. Конечный набор прав доступа R = {r1, … , rn};

2. Конечные наборы исходных субъектов S0 ={s1, ..., sl} и объектов O0={o1, ..., om}, где S0 О0;

3. Исходная матрица доступа, содержащая права доступа субъектов к объектам – M0;

4. Конечный набор команд C={i(xi,... xk,)}, каждая из которых состоит из условий выполнения и интерпретации в терминах перечисленных элементарных операций.

Поведение системы во времени моделируется с помощью последовательности состояний {Qi}, в которой каждое последующее состояние является результатом применения некоторой команды из множества С к предыдущему Qn+1 = Cn(Qn). Таким образом, для заданного начального состояния только от условий команд из С и составляющих их операций зависит, сможет ли система попасть в то или иное состояние или нет. Каждое состояние определяет отношения доступа, которые существуют между сущностями системы в виде множества субъектов, объектов и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа, для заданного начального состояния системы должна существовать возможность определить множество состояний, в которые она сможет из него попасть. Это позволит задавать такие начальные условия (интерпретацию команд С, множества объектов О0, субъектов S0 и матрицу доступа М0), при которых система никогда не сможет попасть в состояния, нежелательные с точки зрения безопасности. Следовательно, для построения системы с предсказуемым поведением необходимо для заданных начальных условий получить ответ на вопрос: сможет ли некоторый субъект s когда-либо приобрести право доступа r для некоторого объекта o. Поэтому критерий безопасности модели Харрисона-Руззо-Ульмана формулируется следующим образом:

Для заданной системы начальное состояние Q0=(S0,O0,M0) является безопасным относительно права r, если не существует применимой к Q0 последовательности команд, в результате которой право r будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянииQ0.

Смысл данного критерия состоит в том, что для безопасной системы субъект никогда не получит право r доступа к объекту, если он не имел его изначально. Таким образом, по сути дела данная модель описывает не только доступ субъектов к объектам, а распространение прав доступа от субъекта к субъекту.

^

Лекция 2. Формальные модели политик безопасности

Типизованная матрица доступа



Другая дискреционная модель, получившая название "Типизованная матрица доступа" (Type Access Matrix - далее ТАМ ), представляет собой развитие модели Харрисона-Руззо-Ульмана, дополненной концепцией типов, что позволяет несколько смягчить те условия, для которых возможно доказательство безопасности системы.

Формальное описание модели ТАМ включает следующие элементы:

1. Конечный набор прав доступа R = {r1, … , rn};

2. Конечный набор типов Т = {t1, ..., tg};

3. Конечные наборы исходных субъектов S0 ={s1, ..., sn} и объектов

O0={o1, ..., on}, где S0 O0;

4. Матрица М, содержащая права доступа субъектов к объектам, и ее начальное состояние М0;

5. Конечный набор команд С = {i(x1, …, хk)}, включающий условия выполнения команд и их интерпретацию в терминах элементарных операций.

В этом случае состояние системы описывается четверкой Q=(S,O,t, M), где S, О, и М обозначают соответственно множество субъектов, объектов и матрицу доступа, а t: O  Т - функция, ставящая в соответствие каждому объекту некоторый тип. Состояние системы изменяется с помощью команд из множества С. Команды ТАМ имеют тот же формат, что и в модели Харрисона-Руззо-Ульмана, но всем параметрам приписывается определенный тип:

command (x1:t1, …, хk:tk)

if r1 in М[хs1 , хo1] and; (условия выполнения команды)

r1 in М[хs1 , хo1] and;

….

rm in М[хsm , хom] and;

then

op1 , op2 ... opn (операции, составляющие команду).

Перед выполнением команды происходит проверка типов фактических параметров, и, если они не совпадают с указанными в определении, команда не выполняется. Фактически введение контроля типов для параметров команд приводит к неявному введению дополнительных условий, т. к. команды могут быть выполнены только при совпадении типов параметров. В модели используются те же шесть элементарных операций, что и в модели Харрисона-Руззо-Ульмана. Отличие состоит только в использовании типизованных параметров в операциях создания субъектов и объектов:

enter r into M[s,o];

delete r from M[s,o];

create subject s of type t;

create object о of type t;

destroy subject s;

destroy object о.

Таким образом, ТАМ является обобщением модели Харрисона-Руззо-Ульмана, которую можно рассматривать как частный случай ТАМ с одним единственным типом, к которому относятся все объекты и субъекты. Появление в каждой команде дополнительных неявных условий, ограничивающих область применения команды только сущностями соответствующих типов, позволяет несколько смягчить жесткие условия классической модели, при которых критерий безопасности является разрешимым.

В работе Харрисон, Руззо и Ульман показали, что критерий безопасности дискреционной модели может быть доказан для систем, в которых все команды i(xi, ... xk) являются одноусловными и монотонными.

Строгий контроль соответствия типов позволяет смягчить требование одноусловности, заменив его ограничением на типы параметров команд, при выполнении которых происходит создание новых сущностей, и доказать критерий безопасности систем для более приемлемых ограничений.
^

Мандатная модель Белла-Лападула



Мандатная модель управления доступом основана на правилах секретного документооборота, принятых в государственных и правительственных учреждениях многих стран. Основным положением модели Белла-Лападулы является назначение всем участникам процесса обработки защищаемой информации и документам, в которых она содержится, специальной метки, например, «секретно», «сов. секретно» и т.д., получившей название уровня безопасности.

Все уровни безопасности упорядочиваются с помощью установленного отношения доминирования, например, уровень «совершенно секретно» считается более высоким чем уровень «секретно» или доминирует над ним. Контроль доступа осуществляется в зависимости от уровней безопасности взаимодействующих сторон на основании двух простых правил:

1. Уполномоченное лицо (субъект) имеет право читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.

2. Уполномоченное лицо (субъект) имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безопасности.

Первое правило обеспечивает защиту информации, обрабатываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых).

Второе правило предотвращает утечку информации (сознательную или несознательную) со стороны высокоуровневых участников процесса обработки информации к низкоуровневым. Таким образом, если в дискреционных моделях управление доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом — с помощью назначения всем сущностям системы уровней безопасности, которые определяют все допустимые взаимодействия между ними.

Следовательно, мандатное управление доступом не различает сущностей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Поэтому в тех ситуациях, когда управление доступом требует более гибкого подхода, мандатная модель применяется совместно с какой-либо дискреционной, которая используется для контроля за взаимодействиями между сущностями одного уровня и для установки дополнительных ограничений, усиливающих мандатную модель.

Система в модели безопасности Белла-Лападулы, как и в модели Харрисона-Руззо-Ульмана, представляется в виде множеств субъектов S, объектов О (множество объектов включает множество субъектов, SO) и прав доступа read (чтение) и write (запись). В мандатной модели рассматриваются только эти два вида доступа, и, хотя она может быть расширена введением дополнительных прав (например, правом на добавление информации, выполнение программ и т.д.), все они будут отображаться в базовые (чтение и запись).

Использование столь жесткого подхода, не позволяющего осуществлять гибкое управление доступом, объясняется тем, что в мандатной модели контролируются не операции, осуществляемые субъектом над объектом, а потоки информации, которые могут быть только двух видов: либо от субъекта к объекту (запись), либо от объекта к субъекту (чтение).

Уровни безопасности субъектов и объектов задаются с помощью функции уровня безопасности F:SOL , которая ставит в соответствие каждому объекту и субъекту уровень безопасности, принадлежащий множеству уровней безопасности L.

^ Классическая мандатная модель Белла-Лападула
В мандатных моделях функция уровня безопасности F вместе с решеткой уровней определяют все допустимые отношения доступа между сущностями системы, поэтому множество состояний системы V представляется в виде набора упорядоченных пар (F,M), где М - это матрица доступа, отражающая текущую ситуацию с правами доступа субъектов к объектам, содержание которой аналогично матрице прав доступа в модели Харрисона-Руззо-Ульмана, но набор прав ограничен правами read и write.

Модель системы (v0,R,T) состоит из начального состояния v0, множества запросов R и функции перехода T:(VxR)V, которая в ходе выполнения запроса переводит систему из одного состояния в другое. Система, находящаяся в состоянии vV, при получении запроса rR переходит в следующее состояние v* =T(v,r). Состояние v достижимо в системе (v0,R,T) тогда и только тогда, когда существует последовательность <(r0,v0),...,(rn-1,vn-1),(rn,v)> такая, что T(ri, vi) = vi+1 для 0<=i0 тривиально достижимо.

Как и для дискреционной модели состояния системы делятся на безопасные, в которых отношения доступа не противоречат установленным в модели правилам, и небезопасные, в которых эти правила нарушаются и происходит утечка информации.

Белл и Лападула предложили следующее определение безопасного состояния:

  1. Состояние (F,M) называется безопасным по чтению (или просто безопасным) тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ чтения к объекту, уровень безопасности этого субъекта доминирует над уровнем безопасности этого объекта: .

  2. Состояние (F,M) называется безопасным по записи (или *-безопасным), тогда и только тогда, когда для каждого субъекта, осуществляющего в этом состоянии доступ записи к объекту, уровень безопасности этого объекта доминирует над уровнем безопасности этого субъекта: .

  3. Состояние безопасно тогда и только тогда, когда оно безопасно и по чтению и по записи.

В соответствии с предложенным определением безопасного состояния критерий безопасности системы выглядит следующим образом.

Система (v0,R,T) безопасна тогда и только тогда, когда ее начальное состояние v0 безопасно и все состояния, достижимые из v0 путем применения конечной последовательности запросов из R безопасны.

^ Ролевая политика безопасности
Ролевая политика безопасности представляет собой существенно усовершенствованную модель Харрисона-Руззо-Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандатным, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов. Поэтому ролевая модель представляет собой совершенно особый тип политики, основанной на компромиссе между гибкостью управления доступом, характерной для дискреционных моделей, и жесткостью правил контроля доступа, присущей мандатным моделям.

В ролевой модели классическое понятие «субъект» замещается понятиями «пользователь» и «роль».

Пользователь - это человек, работающий с системой и выполняющий определенные служебные обязанности.

Роль – это активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимых для осуществления определенной деятельности.

Самым распространенным примером роли является присутствующий почти в каждой системе административный бюджет (например, root для UNIX и Administrator для Windows NT), который обладает специальными полномочиями и может использоваться несколькими пользователями.

При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам, и, во-вторых, каждому пользователю назначается список доступных ему ролей.

Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей работы набором полномочий.
Ролевая модель описывает систему в виде следующих множеств:

U – множество пользователей;

R – множество ролей;

P – множество полномочий на доступ к объектам, представленное, например, в виде матрицы прав доступа;

S – множество сеансов работы пользователей с системой.

Для перечисленных множеств определяются следующие отношения (рис. 1):

PA  PxR - отображает множество полномочий на множество ролей, устанавливая для каждой роли набор присвоенных ей полномочий;

UA  UxR - отображает множество пользователей на множество ролей, определяя для каждого пользователя набор доступных ему ролей.



Рис .1. Ролевая модель управления доступом
Правила управления доступом ролевой политики безопасности определяются следующими функциями:

user: S  U – для каждого сеанса s эта функция определяет пользователя, который осуществляет этот сеанс работы с системой: user(s)=u;

roles: S  P(R) – для каждого сеанса s эта функция определяет набор ролей из множества R, которые могут быть одновременно доступны пользователю в этом сеансе: roles(s)={ ri| (user(s), ri)  UA};

permissions: S  P – для каждого сеанса s эта функция задает набор доступных в нем полномочий, который определяется как совокупность полномочий всех ролей, задействованных в этом сеансе: permissions(S)=Urroles{pi | (pi,r)  PA}.

В качестве критерия безопасности ролевой модели используется следующее правило: система считается безопасной, если любой пользователь системы, работающий в сеансе s, может осуществлять действия, требующие полномочия p только в том случае, если p permissions(s).

Из формулировки критерия безопасности ролевой модели следует, что управление доступом осуществляется главным образом не с помощью назначения полномочий ролям, а путем задания отношения UA, назначающего роли пользователям, и функции roles, определяющей доступный в сеансе набор ролей.

Поэтому многочисленные интерпретации ролевой модели различаются видом функций user, roles и permission, а также ограничениями, накладываемыми на отношения PA и UA.

В качестве примера рассмотрим ролевую политику управления доступом с иерархической организацией ролей, а также несколько наиболее часто встречающихся типовых ограничений на отношения PA и UA и функции user и roles.
^ Иерархическая ролевая модель
Иерархическая организация ролей представляет собой наиболее распространенный тип ролевой модели, поскольку она очень точно отражает установившееся в реальном мире отношение подчиненности между участниками процессов обработки информации и разделение между ними сфер ответственности.

Отметим, что роли в иерархии упорядочиваются по уровню предоставляемых полномочий. Чем выше роль находится в иерархии, тем больше с ней связано полномочий, поскольку считается, что если пользователю присвоена некоторая роль, то ему автоматически назначаются и все подчиненные ей по иерархии роли.

Иерархия ролей допускает множественное наследование. Иерархическая ролевая модель отличается от классической следующими отношениями:

RH  RxR - частичное отношение порядка на множестве R, которое определяет иерархию ролей и задает на множестве ролей оператор доминирования >=, такой, что, если r1>=r2, то r1 находится в иерархии выше чем r2;

Uah  UxR - назначает каждому пользователю набор ролей, причем вместе с каждой ролью в него включаются и все роли, подчиненные ей по иерархии, т. е. для  r, r’  R,uU: rr’  (u, r) UAh  (u,r’) UAh.

Rolesh : SP(R) - назначает каждому сеансу s набор ролей из иерархии ролей пользователя, работающего в этом сеансе: roles h(s){ri | ( r'ri (user(s),r')  UAh)};

permissionsh:SP - определяет полномочия сеанса как совокупность полномочий всех задействованных в нем ролей и полномочий всех ролей, подчиненных им: permissionsh(S)=Urrolesh(s) {pi | ( r"i,r")  PA)}.

Таким образом, каждому пользователю назначается некоторое подмножество иерархии ролей, а в каждом сеансе - доступная совокупность полномочий ролей, составляющих фрагмент этой иерархии.

Такой подход позволяет существенно упростить управление доступом за счет неявного назначения полномочий, поскольку пользователи, как правило, жестко упорядочены по степени ответственности, соответствующей уровню полномочий, которыми они обладают.

  1   2   3   4   5   6   7   8

Похожие:

Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности icon5 основные принципы построения системы комплексной защиты информации
Определения
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconЛекция Введение. Основные понятия информатики. 3
Лекция Документальные информационные системы. Назначения и основные понятия 29
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconЛекция: Основные понятия технологии проектирования информационных...
ИС, состав и назначение подсистем. Основные особенности современных проектов ис. Этапы создания ис: формирование требований, концептуальное...
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconПринципы построения ксо
Принципы ксо являются принципами процесса обучения как материального процесса взаимодействия обучающих и обучаемых. Основой построения...
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconРуководство для преподавателей
...
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconРассказ 1 «Два подхода к построению моделей»
Способов построения моделей существует великое множество, ибо, пытаясь разобрабраться в сложившемся положении вещей. Можно совершенно...
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconЛабораторная работа №1 исследование математических моделей линейных импульсных систем (лис)
Исследовать математические модели лис и способы построения этих моделей для линейных непрерывных объектов
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconУспеха в работе бизнес-тренера
В первой книге серии описаны основные метафорические ме­тоды, используемые при проведении бизнес-тренингов любой те­матики. Представлена...
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconКурсовой проект по дисциплине “ Проектирование информационных систем” Цель курсового проекта
Цель работы: Изучить основные принципы и получить базовые навыки подготовки технических заданий на разработку информационных систем,...
Лекция Основные определения и базовые принципы построения формальных моделей политик безопасности iconЛекция Структура категории «обеспечение информационной безопасности»
Лекция Структура категории «обеспечение информационной безопасности». Введение в основы информационной безопасности астнк
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2014
shkolnie.ru
Главная страница