Модели безопасности на основе мандатной политики

системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

секретного делопроизводства, принятых в гос. учреждениях многих стран
Информация (документы, ее содержащие) категорируется специальными метками конфиденциальности – т.н. грифы секретности документов
Сотрудники по уровню благонадежности (доверия к ним) получают т.н. допуска определенной степени
Сотрудники с допуском определенной степени приобретают полномочия работы с документами определенного грифа секретности
Главная задача - не допустить утечки информации из документов с высоким грифом секретности к сотрудникам с низким уровнем допуска

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

с оператором доминирования
Устанавливается функция (процедура) присваивания субъектам и объектам уровней безопасности
Управление и контроль доступом субъектов к объектам производится на основе двух правил
Запрет чтения вверх (no read up - NRU) – субъект не может читать объект с уровнем безопасности, большим своего уровня безопасности
Запрет записи вниз (no write down - NWD) – субъект не может писать информацию в объект, уровень безопасности которого ниже уровня безопасности самого субъекта (т.н. *-свойство)
Для управления (разграничения) доступом к объектам одного уровня конфиденциальности используют дискреционный принцип, т.е. дополнительно вводят матрицу доступа

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

объект с уровнем безопасности, большим своего уровня безопасности

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

писать информацию в объект, уровень безопасности которого ниже уровня безопасности самого субъекта (т.н. *-свойство)

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

L – базовое множество уровней безопасности
≤ – оператор доминирования, определяющий частичное нестрогое отношение порядка на множестве L. Отношение, задаваемое ≤ , рефлексивно, антисимметрично и транзитивно:
∀ l ∈ L: l ≤ l ;
∀ l1, l2 ∈ L: (l1 ≤ l2 ∧ l2 ≤ l1) ⇒ l1 = l2 ;
∀ l1, l2, l3 ∈ L: (l1 ≤ l2 ∧ l2 ≤ l3) ⇒ l1 ≤ l3 ;
∙ – оператор, определяющий для любой пары l1, l2 ∈ L наименьшую верхнюю границу -
l1∙ l2 = l ⇔ l1, l2≤ l ∧∀ l'∈L: (l' ≤ l) ⇒ (l' ≤ l1 ∨ l' ≤ l2)
⊗ – оператор, определяющий для любой пары l1, l2 ∈ L наибольшую верхнюю границу -
l1 ⊗ l2 = l ⇔ l ≤ l1, l2 ∧∀ l'∈ L:(l' ≤ l1 ∧ l' ≤ l2) ⇒ (l' ≤ l)

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

уровней безопасности L решетки ΛL .
обратное отображение FL-1: L → X задает разделение всех сущностей КС на классы безопасности Xi, такие что:
X1 ∪ X2 ∪ …∪ XN = X , где N - мощность базового множества уровней безопасности L;
Xi  ∩ Xj ≡ ∅ , где i ≠ j;
∀ x'∈ Xi ⇒ fL(x')= li , где li ∈ L

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

верхнюю (sup),
так и точную нижнюю (inf)
грани.

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь

доступа R (в исх. виде всего два элемента - read и write)
матрицы доступа A[s,o]
решетки уровней безопасности L субъектов и объектов (допуска и грифы секретности)
функции уровней безопасности fL, отображающей элементы множеств S и O в L
множества состояний системы V, которое определяется множеством упорядоченных пар (fL,A)
начального состояния v0
набора запросов Q субъектов к объектам, выполнение которых переводит систему в новое состояние
функции переходов FT : (V x Q) → V, которая переводит систему из одного состояния в другое при выполнении запросов

(c) 2010, А.М. Кадан, кафедра системного программирования и компьютерной безопасности, ФаМИ, ГрГУ, Гродно, Беларусь