Модели безопасности на основе дискреционной политики

матрицы доступа
модели распространения прав доступа
модель Харисона-Рузо-Ульмана (HRU),
модель типизованной матрицы доступа,
теоретико-графовая модель TAKE-GRANT

дискретным набором троек "Пользователь (субъект)-поток (операция)-объект".
Конкретные модели специфицируют
способ представления области безопасного доступа и
механизм проверки соответствия запроса субъекта на доступ области безопасного доступа.
Если запрос не выходит за пределы данной области, то он разрешается и выполняется.
При этом утверждается, что осуществление такого доступа переводит систему в безопасное состояние.

O (o1,o2,…,oM)
исходных субъектов S (s1,s2,…,sN) , при этом S ⊆ O
операций (действий) над объектами Op (Op1 ,Op2 ,…,OpL)
прав, которые м.б. даны субъектам по отношению к объектам R (r1,r2,…,rK) – т.н. "общие права"
NxM матрица доступа A, в которой
каждому субъекту соответствует строка, а каждому объекту - столбец.
В ячейках матрицы располагаются права r соотв.субъекта над соотв. объектом в виде набора разрешенных операций Opi

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

ГрГУ, Гродно, Беларусь

A[si,oj]= aij - право r из R (т.е. не общее, а конкр. право)

Каждый элемент прав rk специфицирует совокупность операций над объектом
rk ~ (Op1k,Op2k,…,OpJk)

информацию по политике разграничения доступа в конкретной системе.
Вид МД определяется конкретными моделями и конкретными программно-техническими решениями КС, в которых она реализуется,
принцип (структура) организации МД,
размещение,
а также процессы создания, изменения МД

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

с назначениями доступа
Децентрализованная распределенная информационная структура
Биты защиты (UNIX)
Списки доступа (Windows)

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

ОС Windows (Access Control List – ACL)

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

Объект 1

Объект 2

Владелец

Группа

Остальные польз-ли

размещения ACL

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

на примере NTFS
C каждым объектом NTFS связан т.н. дескриптор защиты, состоящий из:
DACL – последовательность произв. кол-ва дискрипторов контроля доступа – АСЕ, вида:
SACL – системные данные для генерации сообщений аудита

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

ID влад.

ID перв. гр. влад.

DACL

SACL

Allowed /
Denied

ID субъекта
(польз., группа)

Права доступа
(отображ-е)

Флаги,
атрибуты

Объект 1

МД)

Принудительное управление доступом (жесткость, но четкий контроль)
вводится т.н. доверенный субъект (администратор доступа), который и определяет доступ субъектов к объектам (централизованный принцип управления)
заполнять и изменять ячейки матрицы доступа может только администратор
Добровольное управление доступом (гибкость, но более сложный контроль)
вводится т.н. владение (владельцы) объектами и доступ субъектов к объекту определяется по усмотрению владельца (децентрализованный принцип управления)
в таких системах субъекты посредством запросов могут изменять состояние матрицы доступа

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

Read, Write и т.д.,
вводятся также примитивные операции Opk по изменению субъектами матрицы доступа:
Enter r into (s,o) - ввести право r в ячейку (s,o)
Delete r from (s,o) - удалить право r из ячейки (s,o)
Create subject s - создать субъект s (т.е. новую строку матрицы A)
Create object o - создать объект o (т.е. новый столбец матрицы A)
Destroy subject s - уничтожить субъект s
Destroy object o - уничтожить объект o

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

при выполнении команд C(α1, α2, …), изменяющих состояние матрицы доступа A.
Команды инициируются пользователями-субъектами
Структура команды

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

Название

[Условия] (необяз.)

Операции

Command α(x1,…xk)
if r1 in A[s1,o1] and r2 in A[s2,o2] …
then; Op2 ; …;
end

xi – идентификаторы задействованных субъектов или объектов

ГрГУ, Гродно, Беларусь

Системы с добровольным управлением доступом – модель Харрисона-Руззо-Ульмана. Пример команд

Command "создать файл"(s, f):
Create object f ;
Enter "own" into (s, f ) ;
Enter "read" into (s, f ) ;
Enter "write" into (s, f ) ;
end

Command «ввести право чтения"(s,s',f):
if own ⊆ (s, f ) ;
then
Enter r "read" into (s', f ) ;
end

системы с начальной конфигурацией Q0 безопасно по праву r, если не существует (при определенном наборе команд и условий их выполнения) последовательности запросов к системе, которая приводит к записи права r в ранее его не содержащую ячейку матрицы A 0[s,o]
Для модели HRU проблема безопасности
разрешима для моно-операционных систем
в общем случае – не разрешима

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

ГрГУ, Гродно, Беларусь

контроля за порождением субъектов, следствием чего могут быть так называемые "троянские" программы.
В модели HRU "правильность", легитимность инициируемых из объектов-источников субъектов доступа никак не контролируется.
В результате, злоумышленник в системе может осуществить неправомерный доступ к информации на основе подмены свойств субъектов доступа.

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь