Представление политики мандатного разграничения доступа через модель Харрисона-Руззо-Ульмана

Интегральную совокупность норм и правил, регламентирующих процесс обработки информации, выполнение которых обеспечивает состояние защищенности информации в заданном пространстве угроз, называется политикой безопасности. Выделяют две основные (базовые) политики безопасности — дискреционная и мандатная. Формальное выражение политики безопасности (математическое, схемотехническое, алгоритмическое и т. д.) называется моделью безопасности [1].

Согласно основной аксиомы теории защиты информации, все вопросы безопасности информации описываются доступами субъектов к объектам [2]. Из основных критериев оценки безопасности следует, что все системы разграничения доступа (СРД) должны быть спроектированы на основе математических моделей.

В защищенной системе принятую модель разграничения доступа осуществляет монитор безопасности. Рассмотрение моделей безопасности, как правило, позиционируются в отношении системы, которая представляет из себя единое целое (монолитная система) и имеет единый монитор безопасности. Тем не менее, архитектура реальных автоматизированных информационных систем и процессы их функционирования могут характеризоваться распределенностью. Распределенной автоматизированной информационной системой называется система, состоящая более чем из одного локального сегмента, представляющего собой обособленную совокупность субъектов и объектов доступа [2]. В распределенной системе локальные сегменты могут быть реализованы как на основе дискреционных, так и на основе мандатных моделей безопасности (т.е. являться разнородными). Одним из направлений обеспечения безопасности в данном случае является реализация общего монитора безопасности, обеспечивающего единую (согласованную) политику разграничения доступа.

Для безопасного взаимодействия разнородных систем необходимо сведение их к единой модели. Следовательно, при объединении информационных систем неизменно становиться проблема организации их взаимодействия [1].

Т. к. объединяемые автоматизированные информационные системы могут реализовывать разные политики безопасности, изучение взаимодействия разнородных моделей безопасности является актуальной задачей.

В моделях, реализующих мандатную политику безопасности, разграничение доступа осуществляется на основе присвоенных всем субъектам и объектам системы меток конфиденциальности. При этом ограничения не распространяются на сущности одного уровня. Для разграничения доступа в пределах одной степени конфиденциальности (доступа) применяется дискреционная политика безопасности. Из данного утверждения можно сделать вывод, что дискреционное разграничение доступа можно рассматривать, как частный случай мандатной политики безопасности информационной системы, в которой все сущности одинаковой степени конфиденциальности (уровня доступа). Следовательно, описание объединения разнородных моделей безопасности возможно приведением мандатного разграничения доступа к дискреционному. Однако, устранение негативного информационного потока от объектов с большим уровнем конфиденциальности к меньшим — выполняется в мандатном разграничении доступа. Следовательно, для автоматизированных информационных систем, обрабатывающих информацию разного уровня конфиденциальности, приемлемым является мандатное разграничение доступа.

Для сведения разнородных моделей к мандатному разграничению доступа необходимо выразить его через модель, описывающую дискреционную политику безопасности.

Для анализа взаимодействия разнородных систем в качестве примера реализации дискреционного разграничения доступа рассмотрим классическую модель Харрисона-Руззо-Ульмана (ХРУ), мандатного — классическую модель Белла-ЛаПадула (БЛП).

Цель работы — представить классическую модель БЛП элементами классической модели ХРУ.

Объектом исследования при этом является классическая модель безопасности ХРУ.

Предметом исследования являются свойства модели ХРУ позволяющие описать мандатное разграничение доступа.

Для достижения поставленной цели определим следующие задачи:

представить мандатное разграничение доступа (модель БЛП) элементами модели ХРУ;

определить перспективы применения данного подхода при объединении автоматизированных информационных систем, реализующих разнородные модели безопасности;

определить дальнейшее направление исследования.

Применение механизмов изменения матрицы доступов ХРУ для описания мандатного разграничения доступов обладает научной новизной.

Классическая модель Белла-ЛаПадула состоит из следующих элементов [3]:

— множество объектов системы;

— множество субъектов системы;

— множество видов прав доступа субъектов на объекты;

М — матрица доступов, строки которой соответствуют субъектам, а столбцы — объектам. М[s, o]?R, где R — права доступа субъекта на.

объект ;

— множество возможных множеств текущих доступов в системе, где — множество текущих доступов в системе;

— решетка уровней конфиденциальности, например, где ;

— тройка функций, определяющих — уровень доступа субъекта; - уровень конфиденциальности объекта; - текущий уровень доступа субъекта, при этом для любого справедливо неравенство;

— множество состояний системы;

— множество запросов системе;

— множество ответов системы по запросам, например: ;

— множество действий системы, где четверка означает, что система по запросу с ответом перешла из состояния в состояние ;

— множество значений времени;

В классической модели Белла-ЛаПадула рассматривается три вида запросов системе:

• — запросы изменения множества текущих доступов ;
• — запросы изменения функций ;
• — запросы изменения текущей структуры разрешения доступа в матрице М.

Безопасность системы определяется с помощью трех свойств:

ss — свойства простой безопасности, при этом:

;

.

* - свойство «звезда», при этом:

;

и ;

и ;

и .

ds — свойство дискреционной безопасности, при этом:

.

Основываясь на базовой теории безопасности [3], можно сделать вывод, что система будет безопасной, если каждый доступ в системе обладает всеми тремя свойствами одновременно.

Элементами модели ХРУ являются [2]:

— множество объектов системы;

— множество субъектов системы, где ;

— множество видов прав доступа субъектов на объекты;

М — матрица доступов, строки которой соответствуют субъектам, а столбцы — объектам.. где R — права доступа субъекта на объект .

— множество состояний системы ХРУ.

В результате выполнения примитивного оператора б осуществляется переход из состояния в результирующее состояние.

. Указанный переход обозначается через. Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью видами примитивных операторов б. Т. к. модель БЛП не описывает администрирование системы, то для ее представления будут применяться только два из них:

«внести» право в ;

«удалить» право из .

Из примитивных операторов составляются команды, состоящие из двух частей:

условия, при которых выполняется команда;

последовательности примитивных операторов.

Таким образом каждая команда может на основе заданных в ней условий выполнять несколько примитивных операторов. Следовательно, необходимо обеспечить выполнение всех запросов системе, реализующей модель БЛП и действия системы по ним с соблюдением всех свойств безопасности в рамках выполнения примитивных операторов в командах с определенными условиями.

Т. к. модель БЛП включает в себя дискреционную составляющую, некоторые элементы присущи также и модели ХРУ и не нуждаются в дополнительном представлении:

О — множество объектов системы, S — множество субъектов системы и М — матрица доступов, строки которой соответствуют субъектам, а столбцы — объектам. М[s, o]?R, где R — права доступа субъекта на объект. При реализации дискреционного разграничения доступа в автоматизированной информационной системе матрица доступа не храниться в явном виде, поскольку очень велика. Для сокращения объема матрицы доступа используется объединение субъектов доступа в группы. Права группы предоставляются каждому субъекту группы. Ввиду большой градации в рамках СРД существуют противоречия (группе разрешен доступ, а одному субъекту группы нет), что приводит к наличию на пересечении строк и столбцов матрицы как разрешающего, так и запрещающего права доступа. При использовании дискреционного разграничения доступа автоматизированная система всегда содержит правила разрешения подобных противоречий.

В указанном подходе на практике фактически применяются как права разрешающие доступ, так и запрещающие его (активно применяется в операционных системах Windows) [5]. Исходя из этого, во множество прав доступа включим права, разрешающие доступ всем кроме указанного и обозначим, тогда,, при этом назначаются владельцем объекта и выполняют функцию дискреционного «ужесточения» модели БЛП, а R — предоставляются в соответствии со свойствами безопасности и выполняют функцию мандатного разграничения доступа. В автоматизированной системе при возникновении противоречия на запрещение и предоставление права доступа — запрещение будет являться приоритетным, т. е. ds-свойство безопасности соблюдается во всех командах.

Представим остальные элементы модели БЛП элементами модели ХРУ.

— в виде, где ,.

при этом ;

для реализации применим сегмент матрицы доступов ХРУ [4], в котором степени конфиденциальности (уровни доступа) выражены доступом (например, read) субъекта к определяемому объекту (включая оставшиеся S). Данные субъекты — часть системы безопасности, не хранят в себе информацию и являются доверенными. При этом для выражения, в данном сегменте можно использовать еще одно право доступа из возможных (например, write), что позволит избежать расширения матрицы доступов. Однако, для упрощения понимания работы модели для каждого зададим субъект, доступ субъекта к которому выражает значение. Применяемый сегмент матрицы доступов будет иметь вид, представленный в таблице.

Таблица — СЕГМЕНТ МАТРИЦЫ ХРУ РЕАЛИЗУЮЩИЙ ТРОЙКУ ФУНКЦИЙ .

Например: в указанном случае .

— множество состояний системы БЛП, в виде — состояний системы ХРУ;

Текущие доступы в модели ХРУ предоставляются субъектам системы в рамках прав, заданных в матрице доступов, а множество всех множеств доступов зададим аналогично БЛП .

множество запросов системе, в виде множества команд ;

— множество реакций системы, реализующей модель ХРУ, предусматривает выполнение оператора при соблюдении условий команды множества Х и невыполнение в обратном случае;

— множество действий системы, в виде примитивных операторов. При этом действия системы описанной БЛП полностью реализуемы действиями системы описанной ХРУ, т. е. представим в виде .

Реализация мандатного разграничения доступа моделью ХРУ будет выполнена при соблюдении двух условий:

• — все запросы системе реализованы;
• — при выполнении действий в соответствии с запросами система остается безопасной относительно условий безопасности модели БЛП.

Т. к. все элементы модели БЛП сведены к множествам, все запросы системе (рассматриваемые в БЛП) реализуемы:

• — запрос изменения матрицы возможных доступов М осуществляется в рамках модели ХРУ всеми примитивными операторами б, но для осуществления дискреционной функции будут применяться права доступа ;
• — запрос на изменение тройки функций выполняется примитивными операторами «внести» право в, «удалить» право из ;
• — запросы изменения множества текущих доступов реализуется в объеме прав доступа в матрице М, устанавливаемых примитивными операторами «внести» право в, «удалить» право из .

При этом система будет безопасной лишь в том случае, если все команды формируемые в ней по запросам будут безопасны. Выполнение данного условия можно доказать проверкой соблюдения свойств безопасности каждой командой. Доказательство становиться разрешимой задачей, если запросы системе будут выполняться командами, являющимися универсальными (выполняют весь спектр запросов, не изменяясь в условиях и примитивных операторах).

Запрос на изменение матрицы возможных доступов М является дискреционной составляющей и не требует дополнительного анализа [4].

Представим остальные запросы командой модели ХРУ.

Запрос на изменение тройки функций необходимо рассматривать в виде двух видов команд:

команда на изменение () присваивает заданному объекту системы определенную администратором степень конфиденциальности. Рассмотрим присвоение на примере метки — TSc.

«присвоить метку конфиденциальности TSc» :

«удалить» право read из ;

«внести» право read в ;

Endif.

«удалить» право read из ;

«внести» право read в ;

endif.

end.

В данном случае присвоением уровней конфиденциальности (доступа) в системе занимается специально выделенный доверенный субъект (администратор). Представленная команда «присвоить уровень конфиденциальности TSc» универсальна, т. к. в качестве, могут выступать любые субъекты и объекты системы. Неформально выполнение представленной команды можно описать так: проверяется уровень конфиденциальности объекта, исключая TSc, т. к. в этом случае исходное состояние совпадет с последующим. При выполнении условия удаляется текущая метка конфиденциальности и присваивается — TSc. Аналогично составляются команды на присвоение метки Sc и Un.

Т. к. субъект (администратор) и множество субъектов (элементы описанного сегмента матрицы ХРУ — часть системы безопасности) являются доверенными субъектами, команда на изменение функций безопасна. Запрос же на изменение функции неразрывно связан с запросом на изменение множества текущих доступов, и будет рассматриваться совместно с ним.

Запрос на изменение текущих доступов рассмотрим на примере предоставления права доступа read субъекту на объект .

Доступы предоставляются субъекту в рамках прав доступа. Следовательно, если соблюдаются требования безопасности при предоставлении прав доступа, текущие доступы, реализующие данное право, также будут безопасны. Условия команды формируются путем проверки всех возможных комбинаций прав доступа субъектов множества на объекты основания команды. Удалив условия, нарушающие свойства безопасности, обеспечим безопасную реализацию мандатного разграничения доступа при предоставлении права чтения. Следует особо отметить, что система, реализующая мандатное разграничение доступа, в рамках свойств безопасности может вести себя по-разному [1]. Для доказательства корректности выражения БЛП элементами ХРУ установим: для предоставления доступа текущий уровень субъекта принимает необходимое значение, но, доступы, нарушающие свойства безопасности, при изменении текущего доступа субъекта удаляются. Описанное действие системы будет выражено командой:

«предоставить доступ read» :

«внести» право read в ;

endif.

«внести» право read в ;

«удалить» право read из ;

«внести» право read в ;

«удалить» право append из ко всем О-Sc;

«удалить» право write из ко всем О-Sc;

endif.

«внести» право read в ;

«удалить» право read из ;

«внести» право read в ;

«удалить» право append из ко всем О-Sc, Un;

«удалить» право write из ко всем О-Un;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

«удалить» право read из ;

«внести» право read в ;

«удалить» право append из ко всем О-Un;

«удалить» право write из ко всем О-Un;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

«удалить» право read из ;

«внести» право read в ;

«удалить» право append из ко всем О-Un;

«удалить» право write из ко всем О-Un;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

endif.

«внести» право read в ;

endif.

end.

Т. к. все условия различны, соблюдение возможно лишь одного из них. Если в запрос не подпадает ни под одно из заданных условий, то он противоречит свойствам безопасности, и выполнен не будет. Особое внимание необходимо обратить на оператор «удалить» право из ко всем О-Un (Sc, TSc). В данном случае система должна проверить все объекты обладающие определенной степенью конфиденциальности на предмет наличия права доступа, противоречащего свойствам безопасности, и удалить его. Т. к. в этом случае объекты в основании команды будут меняться, то одним примитивным оператором это выполнить невозможно. Следовательно, необходимо производить запуск дополнительной команды по поиску и удалению прав доступа, нарушающих свойства безопасности системы, а указанный примитивный оператор будет выполнять лишь «флаговую» функцию (т. е. сигнализировать системе имеющимися средствами о необходимости запуска команды). Например:

«удалить» право write из ко всем О-Un" :

«удалить» право write из ;

endif.

end.

При этом в основание команды подставляются попеременно все объекты множества O. Из условий наглядно видно, что право записи субъекта во все объекты имеющие степень конфиденциальности Un будет удалено.

Т. к. все условия команды обладают свойствами безопасности, а все исключенные условия создают угрозу, то команда безопасна.

Аналогично строятся универсальные команды для предоставления остальных заданных в системе прав доступов. Т. к. любой запрос может быть представлен универсальными и соблюдающими свойства безопасности командами, представление является безопасным.

Выводы

• 1. Через модель ХРУ возможно выразить политику МРД, при этом полученная модель будет безопасной.
• 2. Данный подход применим при анализе безопасности информации при объединении автоматизированных информационных систем, реализующих разнородные модели безопасности.
• 3. Если обозначить полученное развитие модели ХРУ, как активное состояние, то дальнейшим направлением исследования будет являться создание алгоритма безопасного автоматического перехода системы в активное состояние и обратно.

Гайдамакин Н. А. Теоретические основы компьютерной безопасности: Учеб. пособие / Н. А. Гайдамакин — Екатеринбург 2008 — 212 с.

Девянин П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений / П. Н. Девянин — М.: Издательский центр «Академия», 2005 — 144 с.

Девянин П. Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений. 2-е издание / П. Н. Девянин — М.: Горячия линия — Телеком, 2013 — 337 с.

Поддубный М. И. Применение сегмента матрицы доступов ХРУ в анализе информационной безопасности систем, реализующих мандатное разграничение доступа / Королев И. Д., Поддубный М. И., Носенко С. В. //Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. — Краснодар: КубГАУ, 2014. — № 07(101). — IDA [article ID]: 1 011 407 042. — Режим доступа: http://ej.kubagro.ru/2014/07/pdf/119.pdf, 0,813 у.п.л.

Проскурин В. Г. Защита в операционных системах: Учеб. пособие для высш. учеб. заведений / В. Г. Проскурин, С. В. Крутов, И. В. Мацкевич — М.: «Радио и связь», 2000 — 168 с.