Расширенная модель Take-Grant

В расширенной модели Take-Grant рассматриваются пути и стои­мости возникновения информационных потоков в системах с дискрецион­ным разграничением доступа

В классической модели Take-Grant по существу рассматриваются два права доступа t и g, а также четыре правила (правила де-юре) преобразо­вания графа доступов take, grant, create, remove В расширенной модели дополнительно рассматриваются два права доступа на чтение r (read) и на запись w (write), а также шесть правил (правила де-факто) преобразо­вания графа доступов post, spy, find, pass и два правила без названия

Правила де-факто служат для поиска путей возникновения возмож­ных информационных потоков в системе. Эти правила являются следст­вием уже имеющихся у объектов системы прав доступа и могут стать при­чиной возникновения информационного потока от одного объекта к друго­му без их непосредственного взаимодействия.

В результате применения к графу доступов правил де-факто в него добавляются мнимые дуги, помечаемые r или w и изображаемые пункти­ром (рис.6.) Вместе с дугами графа, соответствующими правам доступа r и w (реальными дугами), мнимые дуги указывают на направления ин­формационных каналов в системе.

Рис.6.Правило де-факто (везде вместо реальных дуг могут быть мнимые дуги)

Важно отметить, что к мнимым дугам нельзя применять правила де-юре преобразования графа доступов Информационные каналы нельзя брать или передавать другим объектам системы

Чтобы пояснить смысл правил де-факто рассмотрим ряд примеров

Пример 1.Пусть субъект х не имеет право r на объект z но имеет это право на субъект у. Пусть, кроме этого, х имеет право r на у Тогда х может, просматривая информацию в у, пытаться искать в нем информацию из z. Таким образом, в системе может возникнуть информационный канал от объекта z к субъекту х что демонстрирует правило де-факто spy. Очевидно также, если бы у был объектом т е пассивным элементом системы, то информационный канал от z к х возникнуть не мог.

Пример 2.Пусть субъект у имеет право rна объект z и право w на объект х. Прочитанная субъектом у информация в z может быть записана в х. Следователь­но, в системе может возникнуть информационный канал от объекта z к объекту х, что демонстрирует правило де-факто pass.

Проблемы взаимодействия - центральный вопрос при похищении прав доступа.

Каждое правило де-юре требует для достижения своей цели участия одного субъекта, а для реализаций правила де-факто необходимы один или два субъекта. Например, в де-факто правилах post, spy, find обяза­тельно взаимодействие двух субъектов. Желательно во множестве всех субъектов выделить подмножество так называемых субъектов-заговорщиков - участников процессов передачи прав или информации. В небольших системах эта задача легко решаема. Многократно просматри­вая граф доступов и применяя к нему все возможные правила де-юре и де-факто, можно найти замыкание графа доступов, которое будет содер­жать дуги, соответствующие всем информационным каналам системы. Однако, если граф доступов большой, то найти его замыкание весьма сложно.

Можно рассмотреть проблему поиска и анализа информационных каналов в ином свете. Допустим, факт нежелательной передачи прав или информации уже состоялся .Каков наиболее вероятный путь его осущест­вления? В классической модели Take-Grant не дается прямого ответа на этот вопрос - что есть возможность передачи прав или информации, но не можем определить, какой из путей при этом ис­пользовался

Предположим, что чем больше узлов на пути между вершинами, по которому произошла передача прав доступа или возник информационный поток, тем меньше вероятность использования этого пути Например, на рис 4 9 видно, что интуитивно наиболее вероятный путь передачи инфор­мации от субъекта z к субъекту х лежит через объект у В тоже время зло­умышленник для большей скрытности может специально использовать более длинный путь.

Рис 7. Пути возникновения информационного канала от z к х

Таким образом, в расширенную модель Take-Grant можно включить понятие вероятности или стоимости пути передачи прав или информации. Путям меньшей стоимости соответствует наивысшая вероятность и их надо исследовать в первую очередь. Есть два основных подхода к опре­делению стоимости путей.

1. Подход, основанный на присваивании стоимости каждой дуге на пути в графе доступов. В этом случае стоимость дуги определяется в за­висимости от прав доступа, которыми она помечена, а стоимость пути есть сумма стоимостей пройденных дуг.

2. Подход, основанный на присваивании стоимости каждому исполь­зуемому правилу де-юре или де-факто. Стоимость правила при этом мож­но выбрать, исходя из сферы применения модели Take-Grant. Стои­мость может:

• быть константой;

• зависеть от специфики правила;

• зависеть от числа участников при применении правила;

• зависеть от степени требуемого взаимодействия объектов.

Стоимость пути в этом случае определяется как сумма стоимостей примененных правил.

Заключение

В заключение можно отметить, что модель Take-Grant служит для анализа систем защиты с дискреционной политикой безопасности. В модели опре­делены условия, при которых происходит передача или похищение прав доступа. Однако на практике редко возникает необходимость в использо­вании указанных условий, так как при анализе большинства реальных сис­тем защиты не возникают столь сложные по взаимосвязи объектов графы доступов. А сами правила take и grant сравнительно редко используются на практике. В тоже время наиболее часто в реальных системах субъекты используют права доступа на чтение и запись. Поэтому предложенные в расширенной модели Take-Grant подходы к поиску и анализу путей воз­никновения в системе информационных каналов, определению их стоимости представляются наиболее интересными и актуальными.

Список литературы

1.Теоретические основы компьютерной безопасности: Учеб. пособие для вузов / П.Н. Девянин, 0.0. Михальский, Д.И. Пра­виков и др.-М.: Радио и связь, 2000.

2.Методы и средства защиты информации. В.А. Хорошко, А.А. Чекатков. Киев «Издательство «Юниор», 2003г.

3. Грушо А. А., Тимонина Е.Е. Теоретические основы защиты информации –М. Изд-во агентства "Яхтсмен" -1996.