Научная статья на тему 'Представление политики мандатного разграничения доступа через модель Харрисона-Руззо-Ульмана'

Представление политики мандатного разграничения доступа через модель Харрисона-Руззо-Ульмана Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1041
133
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ / МАНДАТНАЯ ПОЛИТИКА БЕЗОПАСНОСТИ / ДИСКРЕЦИОННАЯ ПОЛИТИКА БЕЗОПАСНОСТИ / РАЗГРАНИЧЕНИЕ ДОСТУПА / INFORMATION SECURITY / MANDATORY SECURITY POLICY / DISCRETIONARY SECURITY POLICY / ACCESS CONTROL

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Королев Игорь Дмитриевич, Поддубный Максим Игоревич

В защищенной автоматизированной информационной системе принятую модель разграничения доступа реализует монитор безопасности. Модели безопасности рассматриваются, как правило, в отношении системы, которая представляет собой единое целое и имеет единый монитор безопасности. Тем не менее, архитектура реальных автоматизированных информационных систем и процессы их функционирования могут характеризоваться распределенностью. Распределенная автоматизированная информационная система состоит более чем из одного локального сегмента, представляющего собой обособленную совокупность субъектов и объектов доступа. В распределенной системе локальные сегменты могут быть реализованы как на основе дискреционных, так и на основе мандатных моделей безопасности (т.е. являться разнородными). Одним из направлений обеспечения безопасности в данном случае является реализация общего монитора безопасности, обеспечивающего единую (согласованную) политику разграничения доступа. Для безопасного взаимодействия разнородных систем необходимо сведение их к единой модели. Следовательно, при объединении информационных систем неизменно становиться проблема организации их взаимодействия. При этом в системах, обрабатывающих информацию различного уровня конфиденциальности, необходимо реализовать мандатное разграничения доступа. В данной статье мандатная политика безопасности, представленная классической моделью Белла-ЛаПадула, описывается элементами классической модели Харрисона-Руззо-Ульмана. С использованием механизмов изменения матрицы доступов описывается возможность присвоения и изменение меток конфиденциальности, анализируется соблюдение свойств безопасности в рамках мандатного разграничения доступа. Доказывается безопасность применения данного подхода. Определяется перспективное направление исследования

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Королев Игорь Дмитриевич, Поддубный Максим Игоревич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

PRESENTATION OF MANDATORY POLICY OF ACCESS CONTROL VIA THE HARRISON-RUSSO-WILLIAM’S MODEL

The accepted model of the access control is realized with the monitor of safety in the protected automated information system. Models of safety are considered, as a rule, as a system which is a single whole and has the uniform monitor of safety. Nevertheless, the architecture of the real automated information systems and processes of their functioning can be characterized by distribution. The distributed automated information system consists more than of one local segment representing isolated set of subjects and objects of access. In the distributed system local segments can be realized both on the basis of discretionary, and on the basis of mandatory models of safety (i.e. to be diverse). One of directions of a safety in this case is realization of the general monitor of the safety providing the uniform (coordinated) policy of access control. For safe interaction of patchwork systems it’s necessary to bring them to a single model. Hence, while the integration of information systems the problem of their interaction becomes persistent. Thus in the systems processing the information of a various level of confidentiality, it is necessary to realize mandatory access control. In given clause the mandatory policy of the safety presented by classical model of Bell-LaPadula, is described by the elements of classical model of Harrison-Russo-William. Using the mechanisms of change of a matrix access the opportunity of assignment and change of confidentiality marks is described and the observance of safe practices within the limits of mandatory access control is analyzed. The safety of application of the given approach has been proved. The perspective direction of research has been defined

Текст научной работы на тему «Представление политики мандатного разграничения доступа через модель Харрисона-Руззо-Ульмана»

Научный журнал КубГАУ, №107(03), 2015 года

1

УДК 004.02

05.00.00 Технические науки

ПРЕДСТАВЛЕНИЕ ПОЛИТИКИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА ЧЕРЕЗ МОДЕЛЬ ХАРРИСОНА-РУЗЗО-УЛЬМАНА

Королев Игорь Дмитриевич доктор технических наук, профессор РИНЦ (SPIN -код: 3629-2713)

Поддубный Максим Игоревич РИНЦ (SPIN - код: 4293-2165)

Филиал Военной академии связи (г. Краснодар), Краснодар, Россия

В защищенной автоматизированной информационной системе принятую модель разграничения доступа реализует монитор безопасности. Модели безопасности рассматриваются, как правило, в отношении системы, которая представляет собой единое целое и имеет единый монитор безопасности. Тем не менее, архитектура реальных автоматизированных информационных систем и процессы их функционирования могут характеризоваться распределенностью. Распределенная автоматизированная информационная система состоит более чем из одного локального сегмента, представляющего собой обособленную совокупность субъектов и объектов доступа. В распределенной системе локальные сегменты могут быть реализованы как на основе дискреционных, так и на основе мандатных моделей безопасности (т.е. являться разнородными). Одним из направлений обеспечения безопасности в данном случае является реализация общего монитора безопасности, обеспечивающего единую (согласованную) политику разграничения доступа. Для безопасного взаимодействия разнородных систем необходимо сведение их к единой модели. Следовательно, при объединении информационных систем неизменно становиться проблема организации их взаимодействия. При этом в системах, обрабатывающих информацию различного уровня конфиденциальности, необходимо реализовать мандатное разграничения доступа. В данной статье мандатная политика безопасности, представленная классической моделью Белла-ЛаПадула, описывается элементами классической модели Харрисона-Руззо-Ульмана. С использованием механизмов изменения матрицы доступов описывается возможность присвоения и изменение меток конфиденциальности, анализируется соблюдение свойств безопасности

UDC 004.02 Technical sciences

PRESENTATION OF MANDATORY POLICY OF ACCESS CONTROL VIA THE HARRISON-RUSSO-WILLIAM’S MODEL

Korolyov Igor Dmitrievich Dr.Sci.Tech., professor

Russian Science Citation Index (SPIN-code: 36292713)

Poddubny Maksim Igorevich Russian Science Citation Index (SPIN-code: 42932165)

Branch of the Military Academy of connection, Krasnodar, Russia

The accepted model of the access control is realized with the monitor of safety in the protected automated information system. Models of safety are considered, as a rule, as a system which is a single whole and has the uniform monitor of safety. Nevertheless, the architecture of the real automated information systems and processes of their functioning can be characterized by distribution. The distributed automated information system consists more than of one local segment representing isolated set of subjects and objects of access. In the distributed system local segments can be realized both on the basis of discretionary, and on the basis of mandatory models of safety (i.e. to be diverse). One of directions of a safety in this case is realization of the general monitor of the safety providing the uniform (coordinated) policy of access control. For safe interaction of patchwork systems it’s necessary to bring them to a single model. Hence, while the integration of information systems the problem of their interaction becomes persistent. Thus in the systems processing the information of a various level of confidentiality, it is necessary to realize mandatory access control. In given clause the mandatory policy of the safety presented by classical model of Bell-LaPadula, is described by the elements of classical model of Harrison-Russo-William. Using the mechanisms of change of a matrix access the opportunity of assignment and change of confidentiality marks is described and the observance of safe practices within the limits of mandatory access control is analyzed. The safety of application of the given approach has been proved. The perspective direction of research has been defined

http://ej.kubagro.ru/2015/03/pdf/111.pdf

Научный журнал КубГАУ, №107(03), 2015 года

2

в рамках мандатного разграничения доступа.

Доказывается безопасность применения данного подхода. Определяется перспективное направление исследования

Ключевые слова: БЕЗОПАСНОСТЬ Keywords: INFORMATION SECURITY,

ИНФОРМАЦИИ, МАНДАТНАЯ ПОЛИТИКА MANDATORY SECURITY POLICY ,

БЕЗОПАСНОСТИ, ДИСКРЕЦИОННАЯ DISCRETIONARY SECURITY POLICY, ACCESS

ПОЛИТИКА БЕЗОПАСНОСТИ, CONTROL

РАЗГРАНИЧЕНИЕ ДОСТУПА

ПРЕДСТАВЛЕНИЕ ПОЛИТИКИ МАНДАТНОГО РАЗГРАНИЧЕНИЯ ДОСТУПА ЧЕРЕЗ МОДЕЛЬ ХАРРИСОНА-

РУЗЗО-УЛЬМАНА

Интегральную совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает состояние защищенности информации в заданном пространстве угроз, называется политикой безопасности. Выделяют две основные (базовые) политики безопасности - дискреционная и мандатная. Формальное выражение политики безопасности (математическое, схемотехническое, алгоритмическое и т.д.) называется моделью безопасности [1].

Согласно основной аксиомы теории защиты информации, все вопросы безопасности информации описываются доступами субъектов к объектам [2]. Из основных критериев оценки безопасности следует, что все системы разграничения доступа (СРД) должны быть спроектированы на основе математических моделей.

В защищенной системе принятую модель разграничения доступа осуществляет монитор безопасности. Рассмотрение моделей безопасности, как правило, позиционируются в отношении системы, которая представляет из себя единое целое (монолитная система) и имеет единый монитор безопасности. Тем не менее, архитектура реальных автоматизированных информационных систем и процессы их функционирования могут характеризоваться распределенностью. Распределенной автоматизированной информационной системой

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

3

называется система, состоящая более чем из одного локального сегмента, представляющего собой обособленную совокупность субъектов и объектов доступа [2]. В распределенной системе локальные сегменты могут быть реализованы как на основе дискреционных, так и на основе мандатных моделей безопасности (т.е. являться разнородными). Одним из направлений обеспечения безопасности в данном случае является реализация общего монитора безопасности, обеспечивающего единую (согласованную) политику разграничения доступа.

Для безопасного взаимодействия разнородных систем необходимо сведение их к единой модели. Следовательно, при объединении информационных систем неизменно становиться проблема организации их взаимодействия [1].

Т. к. объединяемые автоматизированные информационные системы могут реализовывать разные политики безопасности, изучение взаимодействия разнородных моделей безопасности является актуальной задачей.

В моделях, реализующих мандатную политику безопасности, разграничение доступа осуществляется на основе присвоенных всем субъектам и объектам системы меток конфиденциальности. При этом ограничения не распространяются на сущности одного уровня. Для разграничения доступа в пределах одной степени конфиденциальности (доступа) применяется дискреционная политика безопасности. Из данного утверждения можно сделать вывод, что дискреционное разграничение доступа можно рассматривать, как частный случай мандатной политики безопасности информационной системы, в которой все сущности одинаковой степени конфиденциальности (уровня доступа).

Следовательно, описание объединения разнородных моделей безопасности возможно приведением мандатного разграничения доступа к дискреционному. Однако, устранение негативного информационного

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

4

потока от объектов с большим уровнем конфиденциальности к меньшим -выполняется в мандатном разграничении доступа. Следовательно, для автоматизированных информационных систем, обрабатывающих

информацию разного уровня конфиденциальности, приемлемым является мандатное разграничение доступа.

Для сведения разнородных моделей к мандатному разграничению доступа необходимо выразить его через модель, описывающую дискреционную политику безопасности.

Для анализа взаимодействия разнородных систем в качестве примера реализации дискреционного разграничения доступа рассмотрим классическую модель Харрисона-Руззо-Ульмана (ХРУ), мандатного -классическую модель Белла-ЛаПадула (БЛП).

Цель работы - представить классическую модель БЛП элементами классической модели ХРУ.

Объектом исследования при этом является классическая модель безопасности ХРУ.

Предметом исследования являются свойства модели ХРУ позволяющие описать мандатное разграничение доступа.

Для достижения поставленной цели определим следующие задачи:

представить мандатное разграничение доступа (модель БЛП) элементами модели ХРУ;

определить перспективы применения данного подхода при объединении автоматизированных информационных систем, реализующих разнородные модели безопасности;

определить дальнейшее направление исследования.

Применение механизмов изменения матрицы доступов ХРУ для описания мандатного разграничения доступов обладает научной новизной.

http://ej.kubagro.rU/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

5

Классическая модель Белла-ЛаПадула состоит из следующих элементов [3]:

О = {рДгде^ = l,j - множество объектов системы;

S = f^l, где i = 1,Т - множество субъектов системы;

R = где z = \rzt - множество видов прав доступа субъектов на объекты;

М - матрица доступов, строки которой соответствуют субъектам, а

столбцы - объектам. M[s,o]QR5 где R - права доступа субъекта sl на о

объект

- множество возможных множеств текущих доступов в системе, где - множество текущих доступов в системе;

(L,<) - решетка уровней конфиденциальности, например

L = f Un(unclussified), Sc (secret), TSc(top secret,)}^ где Un<Sc < TSc •

F = & x x LS - Тройка фуНКЦИЙ (/s>/o'/c),

определяющих - уровень доступа субъекта E(s3i);

f° (°f) ' ^ ^ _ ур0вень конфиденциальности объекта (°Л; _

текущий уровень доступа субъекта (si), при этом для любого справедливо неравенство/^ Csi) -

V=ВхМxF -

множество состояний системы;

- множество запросов системе;

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

6

D - {d^}, где у - 1,у _ множество ответов системы по запросам,

например: = 7esi = п°/ d3 = еттот ;

- множество действии системы, где четверка \ч erLVyr и г ^

означает, что система по запросу 3 * с ответом ау перешла из состояния v в состояние

N0 — {0/1/2 ...} _ множество значений времени;

В классической модели Белла-ЛаПадула рассматривается три вида запросов системе:

- запросы изменения множества текущих доступов ;

- запросы изменения функций Сfs’fo’fc);

- запросы изменения текущей структуры разрешения доступа в

di

матрице М.

Безопасность системы определяется с помощью трех свойств: ss - свойства простой безопасности, при этом: г Е fexecute, append); г е tread,write}к fs(si) >fo{0j)

* - свойство «звезда», при этом: г = execute •

г = append и f° (°/) -r=read nfc(sL) *fo{0j}. г = write и fc(?i) = fo(oj)

ds - свойство дискреционной безопасности, при этом: г е Mts,o\

Основываясь на базовой теории безопасности [3], можно сделать вывод, что система будет безопасной, если каждый доступ в системе обладает всеми тремя свойствами одновременно.

Элементами модели ХРУ являются [2]:

http://ej.kubagro.ru/2015/03/pdf/111.pdf

Научный журнал КубГАУ, №107(03), 2015 года

7

О = {рД где^ = l,j - множество объектов системы;

5 = fs^l, где i = 1/Г _ множество субъектов системы, где - °);

R = [ту}, где z = l,zT - множество видов прав доступа субъектов на объекты;

М - матрица доступов, строки которой соответствуют субъектам, а

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

столбцы - объектам. о

. где R - права доступа субъекта sl на

объект .

- множество состояний системы ХРУ.

В результате выполнения примитивного оператора а осуществляется

ia = (SrO,M

переход из состояния ^£+1 _ (S*rO*rM*). Указанный

> в результирующее состояние переход обозначается через

4i3 Pit# + *) . Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью видами примитивных операторов а. Т. к. модель БЛП не описывает администрирование системы, то для ее представления будут применяться только два из них:

«внести» право т е Я в М [s£,Oj]-«удалить» право г е Я из ^

Из примитивных операторов составляются команды, состоящие из двух частей:

условия, при которых выполняется команда; последовательности примитивных операторов.

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

8

Таким образом каждая команда может на основе заданных в ней условий выполнять несколько примитивных операторов. Следовательно, необходимо обеспечить выполнение всех запросов системе, реализующей модель БЛП и действия системы по ним с соблюдением всех свойств безопасности в рамках выполнения примитивных операторов в командах с определенными условиями.

Т. к. модель БЛП включает в себя дискреционную составляющую, некоторые элементы присущи также и модели ХРУ и не нуждаются в дополнительном представлении:

О - множество объектов системы, S - множество субъектов системы и М - матрица доступов, строки которой соответствуют субъектам, а

столбцы - объектам. M[s,o]QR5 где R - права доступа субъекта si на о

объект . При реализации дискреционного разграничения доступа в

автоматизированной информационной системе матрица доступа не храниться в явном виде, поскольку очень велика. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права группы предоставляются каждому субъекту группы. Ввиду большой градации в рамках СРД существуют противоречия (группе разрешен доступ, а одному субъекту группы нет), что приводит к наличию на пересечении строк и столбцов матрицы как разрешающего, так и запрещающего права доступа. При использовании дискреционного разграничения доступа автоматизированная система всегда содержит правила разрешения подобных противоречий.

В указанном подходе на практике фактически применяются как права разрешающие доступ, так и запрещающие его (активно применяется в операционных системах Windows) [5]. Исходя из этого, во множество

http://ej.kubagro.ru/2015/03/pdf/111.pdf

Научный журнал КубГАУ, №107(03), 2015 года

9

прав доступа включим права, разрешающие доступ всем

кроме указанного и обозначим , тогда,

R = {read', write', own, execute', append' ,re ad, write, own, execute, append},

при этом R* назначаются владельцем объекта и выполняют функцию дискреционного «ужесточения» модели БЛП, а R - предоставляются в соответствии со свойствами безопасности и выполняют функцию мандатного разграничения доступа. В автоматизированной системе при возникновении противоречия на запрещение и предоставление права доступа - запрещение будет являться приоритетным, т. е. ds-свойство безопасности соблюдается во всех командах.

Представим остальные элементы модели БЛП элементами модели

ХРУ.

-Ю -

в виде

где

=

1,а2 = ,

а3 =

при этом с S ;

для реализации (fs>fo’fc)е F = LS xL° xLs применим сегмент матрицы доступов ХРУ [4], в котором степени конфиденциальности (уровни доступа) выражены доступом (например, read) субъекта saе к определяемому объекту (включая оставшиеся S). Данные субъекты - часть системы безопасности, не хранят в себе информацию и являются доверенными. При этом для выражения /с О5)), в данном сегменте можно использовать еще одно право доступа из возможных (например, write), что позволит избежать расширения матрицы доступов. Однако, для упрощения

понимания работы модели для каждого {si}eS зададим субъект s'i, доступ субъекта sa к которому выражает значение fc{si). Применяемый сегмент матрицы доступов будет иметь вид, представленный в таблице.

Таблица - СЕГМЕНТ МАТРИЦЫ ХРУ РЕАЛИЗУЮЩИМ ТРОЙКУ ФУНКЦИИ fs'foJc.

- Si S'l S2 s't Si S'i Oi

http://ej.kubagro.ru/2015/03/pdf/111.pdf

Научный журнал КубГАУ, №107(03), 2015 года

10

STS read 0 0 0 0 0 read r

ss 0 read read 0 read read 0 r

su 0 0 0 read 0 0 0 r

Si 0 0 0 0 0 0 0 0 r

S2

:

Например: в указанном случае fs(.Si)-TScrf0(o1)-TScrfc(.Si)-Sc

^ - множество состояний системы БЛП, в виде - состояний системы ХРУ;

Текущие доступы в модели ХРУ предоставляются субъектам системы в рамках прав, заданных в матрице доступов, а множество всех

множеств доступов зададим аналогично БЛП

- множество запросов системе, в виде множества команд л ;

® - множество реакций системы, реализующей модель ХРУ,

предусматривает выполнение оператора а при соблюдении условий команды множества Х и невыполнение в обратном случае;

W - множество действий системы, в виде примитивных операторов а . При этом действия системы описанной БЛП полностью реализуемы

действиями системы описанной ХРУ, т.е. W = Q xD xV* xV представим в виде Ч\8 q&g + *) .

Реализация мандатного разграничения доступа моделью ХРУ будет выполнена при соблюдении двух условий:

- все запросы системе реализованы;

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

11

- при выполнении действий в соответствии с запросами система остается безопасной относительно условий безопасности модели БЛП.

Т. к. все элементы модели БЛП сведены к множествам S,0 я R ^ все запросы системе (рассматриваемые в БЛП) реализуемы:

- запрос изменения матрицы возможных доступов М осуществляется в рамках модели ХРУ всеми примитивными операторами а, но для осуществления дискреционной функции будут применяться права доступа Я'- запрос на изменение тройки функций fs^fa^fc выполняется

примитивными операторами «внести» право r ^R в ^ [sa'°j\ «удалить» право г е Я из ^

- запросы изменения множества текущих доступов реализуется в объеме прав доступа в матрице М, устанавливаемых примитивными

операторами «внести» право г в ^ «удалить» право 1 е^ из

М [sL,Oj].

При этом система будет безопасной лишь в том случае, если все команды формируемые в ней по запросам будут безопасны. Выполнение данного условия можно доказать проверкой соблюдения свойств безопасности каждой командой. Доказательство становиться разрешимой задачей, если запросы системе будут выполняться командами, являющимися универсальными (выполняют весь спектр запросов, не изменяясь в условиях и примитивных операторах).

Запрос на изменение матрицы возможных доступов М является дискреционной составляющей и не требует дополнительного анализа [4].

Представим остальные запросы командой модели ХРУ.

Запрос на изменение тройки функций fsrfo’fc необходимо рассматривать в виде двух видов команд:

http://ej.kubagro.ru/2015/03/pdf7111.pdf

Научный журнал КубГАУ, №107(03), 2015 года

12

команда на изменение f° (°Л (fsisi)) присваивает заданному объекту системы определенную администратором степень конфиденциальности. Рассмотрим присвоение на примере метки - TSc.

command «присвоить метку конфиденциальности TSc» {s^sTSc'0j)\

if Сread е M[sSc, о}]) then

«удалить» право read из

«внести» право read в endif

lf Oj]) then «удалить» право read из M[sUn,Oj].^ «внести» право read в M[sTSc,of\.^

endif

end.

В данном случае присвоением уровней конфиденциальности (доступа) в системе занимается специально выделенный доверенный субъект (администратор). Представленная команда «присвоить уровень конфиденциальности TSc» универсальна, т. к. в качестве °J, могут выступать любые субъекты и объекты системы. Неформально выполнение представленной команды можно описать так: проверяется уровень конфиденциальности объекта, исключая TSc, т. к. в этом случае исходное состояние совпадет с последующим. При выполнении условия удаляется текущая метка конфиденциальности и присваивается - TSc. Аналогично составляются команды на присвоение метки Sc и Un.

Т. к. субъект Si (администратор) и множество субъектов (элементы описанного сегмента матрицы ХРУ - часть системы безопасности) являются доверенными субъектами, команда на изменение функций fs’fa безопасна. Запрос же на изменение функции f с неразрывно связан с запросом на изменение множества текущих доступов, и будет рассматриваться совместно с ним.

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

13

Запрос на изменение текущих доступов рассмотрим на примере

о

предоставления права доступа read субъекту st на объект .

Доступы предоставляются субъекту si в рамках прав доступа

. Следовательно, если соблюдаются требования безопасности при предоставлении прав доступа, текущие доступы, реализующие данное право, также будут безопасны. Условия команды формируются путем проверки всех возможных комбинаций прав доступа субъектов множества на объекты основания команды. Удалив условия, нарушающие свойства безопасности, обеспечим безопасную реализацию мандатного

разграничения доступа при предоставлении права чтения. Следует особо отметить, что система, реализующая мандатное разграничение доступа, в рамках свойств безопасности может вести себя по-разному [1]. Для доказательства корректности выражения БЛП элементами ХРУ установим: для предоставления доступа текущий уровень субъекта fc{sd принимает необходимое значение, но /c(si)*доступы, нарушающие свойства

безопасности, при изменении текущего доступа субъекта с Описанное действие системы будет выражено командой

command «предоставить доступ read» (si's t,0j):

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

«внести» право read в М[^,оД.

flsi)

удаляются.

s ij}then

endif

read е М [sTSc, SjD and (read e M[sr5c,0/]) and (r «внести» право read в M[sL,Oj\^

«удалить» право read из «внести» право read в M[sTScrsl «удалить» право append из м si ко всем O-Sc; «удалить» право write из м si ко всем О-Sc;

*Sc>S f]

http://ej.kubagro.rU/2015/03/pdf/111.pdf

Научный журнал КубГАУ, №107(03), 2015 года

14

endif

if (read е М[sTSc, st-D and (read e M[sr5c,Oj-]) and (read eMls^s)]

«внести» право read в

«удалить» право read из №[sUnrsl

«внести» право read в M[sTScrsl

«удалить» право append из M sl ко всем О-Sc, Un;

«удалить» право write из М U ко всем O-Un; endif

' TSc

.0/1).

У

«внести» право read в

endif

' TSc

,5;])

.у]).

У

е MLSt.?c,s i-l

«внести» право read в M[sL,Oj\.

endif

.у]).

у

^ead еМЬ№ yD and (т «внести» право read в 1 «удалить» право read из №[sUnrsl «внести» право read в

«удалить» право append из М У ко всем O-Un; «удалить» право write из М У ко всем O-Un;

е М Lsy^s jj

endif

' TSc

,у])

1 Un

,у])

«внести» право read в M[sL,Oj\.

endif

'TSc

,5;])

,y])

1 Un* У

«внести» право read в

>irod •

endif

' TSc

1 Un

,y])

«внести» право read в M[sL,Oj\.

endif

bSc

Д,-])

,y]).

'TSC’S i-

SSC'S i-

' Un*s f in fieri

'Sc У

e M s j J

«внести» право read в

У1

endif

Чс

,Sil)

.у]).

У

е М [Sy^s j]

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

15

«внести» право read в «удалить» право read из ;

«внести» право read в M[sSc,s!

«удалить» право append из М sl ко всем O-Un; «удалить» право write из М si ко всем О-Ш;

endif

endif

if .

«внести» право read в endif

endif

end.

Т. к. все условия различны, соблюдение возможно лишь одного из них. Если в запрос не подпадает ни под одно из заданных условий, то он противоречит свойствам безопасности, и выполнен не будет. Особое внимание необходимо обратить на оператор «удалить» право из М sL к0 всем О-Un (Sc, TSc). В данном случае система должна проверить все объекты обладающие определенной степенью конфиденциальности на предмет наличия права доступа, противоречащего свойствам безопасности, и удалить его. Т. к. в этом случае объекты в основании команды будут меняться, то одним примитивным оператором это выполнить невозможно. Следовательно, необходимо производить запуск дополнительной команды по поиску и удалению прав доступа, нарушающих свойства безопасности системы, а указанный примитивный оператор будет выполнять лишь «флаговую» функцию (т. е. сигнализировать системе имеющимися средствами о необходимости запуска команды). Например: command «удалить» право write из М sL к0 всем О-Un» {si.’sun’°j)\

http://ej.kubagro.ru/2015/03/pdf/! 11 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

16

read <EM[sUn,oj])and {wri «удалить» право write из

h'Qji

>£,0;]

endif

end.

При этом в основание команды подставляются попеременно все объекты множества O. Из условий наглядно видно, что право записи субъекта sl во все объекты имеющие степень конфиденциальности Un будет удалено.

Т. к. все условия команды обладают свойствами безопасности, а все исключенные условия создают угрозу, то команда безопасна.

Аналогично строятся универсальные команды для предоставления остальных заданных в системе прав доступов. Т. к. любой запрос может быть представлен универсальными и соблюдающими свойства

безопасности командами, представление является безопасным.

Выводы:

1. Через модель ХРУ возможно выразить политику МРД, при этом полученная модель будет безопасной.

2. Данный подход применим при анализе безопасности информации

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

при объединении автоматизированных информационных систем,

реализующих разнородные модели безопасности.

3. Если обозначить полученное развитие модели ХРУ, как активное состояние, то дальнейшим направлением исследования будет являться создание алгоритма безопасного автоматического перехода системы в активное состояние и обратно.

Список литературы:

1. Гайдамакин Н.А. Теоретические основы компьютерной безопасности: Учеб. пособие / Н.А. Гайдамакин - Екатеринбург 2008 - 212 с.

2. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин - М.: Издательский центр «Академия», 2005 - 144 с.

3. Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. 2-е издание / П.Н. Девянин - М.: Горячия линия -

http://ej.kubagro.ru/2015/03/pdf/111 .pdf

Научный журнал КубГАУ, №107(03), 2015 года

17

Телеком, 2013 - 337 с.

4. Поддубный М.И. Применение сегмента матрицы доступов ХРУ в анализе информационной безопасности систем, реализующих мандатное разграничение доступа / Королев И.Д., Поддубный М.И., Носенко С.В. //Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2014. - №07(101). - IDA [article ID]: 1011407042. - Режим доступа: http://ej.kubagro.ru/2014/07/pdf/119.pdf, 0,813 у.п.л.

5. Проскурин В.Г. Защита в операционных системах: Учеб.пособие для высш. учеб. заведений / В.Г. Проскурин, С.В. Крутов, И.В. Мацкевич - М.: «Радио и связь», 2000 - 168 с.

References

1. Gajdamakin N.A. Teoreticheskie osnovy komp'juternoj bezopasnosti: Ucheb. posobie / N.A. Gajdamakin - Ekaterinburg 2008 - 212 s.

2. Devjanin P.N. Modeli bezopasnosti komp'juternyh sistem: Ucheb. posobie dlja stud. vyssh. ucheb. zavedenij / P.N. Devjanin - M.: Izdatel'skij centr «Akademija», 2005 -144 s.

3. Devjanin P.N. Modeli bezopasnosti komp'juternyh sistem: Ucheb.posobie dlja stud. vyssh. ucheb. zavedenij. 2-e izdanie / P.N. Devjanin - M.: Gorjachija linija -Telekom, 2013 - 337 s.

4. Poddubnyj M.I. Primenenie segmenta matricy dostupov HRU v analize informacionnoj bezopasnosti sistem, realizujushhih mandatnoe razgranichenie dostupa / Korolev I.D., Poddubnyj M.I., Nosenko S.V. //Politematicheskij setevoj jelektronnyj nauchnyj zhurnal Kubanskogo gosudarstvennogo agrarnogo universiteta (Nauchnyj zhurnal KubGAU) [Jelektronnyj resurs]. - Krasnodar: KubGAU, 2014. - №07(101). -IDA [article ID]: 1011407042. - Rezhim dostupa: http://ej.kubagro.ru/2014/07/pdf/119.pdf, 0,813 u.p.l.

5. Proskurin V.G. Zashhita v operacionnyh sistemah: Ucheb.posobie dlja vyssh. ucheb. zavedenij / V.G. Proskurin, S.V. Krutov, I.V. Mackevich - M.: «Radio i svjaz'», 2000 - 168 s.

http://ej.kubagro.ru/2015/03/pdfZ111.pdf

i Надоели баннеры? Вы всегда можете отключить рекламу.