Тема лекции № 4. Формальные модели информационной безопасности. Основные положения формальной теории защиты информации.
Учебные вопросы:
1. Аксиомы и определения доступа субъектов к объектам.
2. Разграничение доступа. Методы разграничения доступа.
3. Монитор безопасности обращений (МБО) субъектов к объектам. Свойства МБО.
Вопрос №1.
Примем некоторые обозначения. Пусть А – конечный алфавит, А* - множество слов конечной длины в алфавите А,L ⊂ А* - язык, т.е. множество слов, выделенных по определённым правилам из А*.
Аксиома 1. Любая информация в автоматизированной системе представляется словом в некотором языке L.
Под объектом относительно языка L будем понимать произвольное конечное множество слов языка L. Очевидно, что в качестве объектов можно рассматривать многие элементы, входящие в состав АС. Например, текстовый файл представляет собой объект, поскольку в произвольный момент времени в него может быть записана некая последовательность символов, которая в общем случае будет представлять собой одно из конечного множества слов L над некоторым алфавитом А. Аналогично может быть составлен язык, описывающий клавиатуру и её состояние в произвольный момент времени. Языком описания клавиатуры можно считать множество возможных её состояний.
Преобразованием информации назовём отображение, заданное на множестве слов языка L. Иначе говоря, преобразование отображает слово, описывающее исходные данные, в другое слово. Само описание преобразования при этом также является словом. Примером преобразования служит программа, написанная на некотором языке программирования.
Программа может либо выполняться, либо просто храниться в файле на некотором носителе. Аналогично, преобразование может:
· храниться – в этом случае описание преобразования хранится в некотором объекте и ничем не отличается т других данных;
· действовать – преобразование может взаимодействовать с некоторыми ресурсами АС.
Ресурсы системы, выделенные для действия преобразования, называют доменом. Чтобы инициировать действие преобразования, ему надо передать управление. Преобразование, которому передано управление, называется процессом. Объект, описывающий преобразование, которому выделен домен и передано управление, называется субъектом.
Субъект для реализации преобразования использует информацию, содержащуюся в объекте, т.е. осуществляет доступ к объекту. Существует два основных вида доступа:
· чтение – если субъект S получает доступ к объекту О на чтение, то это означает, что производится перенос информации от объекта О к субъекту S – или, возникает информационный поток от О к S (рис.9.1).
| О |
| r |
| S |
Рис.9.1. Информационный поток от О к S.
· запись – если субъект S получает доступ к объекту О на запись, то производится перенос информации от субъекта S к объекту О, т.е. возникает информационный поток от S к О (рис.9.2).
| О |
| w |
| S |
Рис.9.2. Информационный поток от S к О.
Оба эти вида доступа являются базовыми. Существуют и более сложные варианты: например, активизация процесса, когда субъект S получает доступ к объекту О на активизацию процесса, записанного в О в виде данных. В этом случае для преобразования, описанного в О, формируется домен и этому преобразованию передаётся управление.
Любой субъект сам является объектом относительно некоторого языка. Поэтому, если S – множество всех субъектов в системе, а О – множество всех объектов, то S⊆О.
Аксиома 2. Все вопросы безопасности информации описываются доступами субъектов к объектам.
Данный подход сужает применимость формальной теории, поскольку ограничивается исключительно вопросами архитектуры систем безопасности, не рассматривая специфику их реализации.
Вопрос №2.
Под разграничением доступа принято понимать установление полномочий субъектов для последующего контроля санкционированного использования ресурсов, доступных в системе. Принято выделять два основных метода разграничения доступа:
дискреционное и мандатное.
Дискреционным называется разграничение доступа между поименованными субъектами и поименованными объектами.
На практике дискреционное разграничение доступа может быть реализовано, например, с использованием матрицы доступа.
Рис. 9.3. Схема матрицы доступа.
Как видно из рисунка, матрица доступа определяет права доступа для каждого пользователя по отношению к каждому ресурсу.
Очевидно, что вместо матрицы доступаможно использовать списки полномочий:например, каждому пользователю может быть сопоставлен список доступных ему ресурсов с соответствующими правами, или же каждому ресурсу может быть сопоставлен список пользователей с указанием их прав на доступ к данному ресурсу.
Мандатное разграничение доступа обычно реализуется как разграничение доступа по уровням секретности.
Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. При этом все ресурсы АС должны быть классифицированы по уровням секретности.
Принципиальноеразличиемеждудискреционнымимандатным разграничением доступасостоит в следующем: если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне, и владелец ресурса не может оказать на них влияния. Сам термин «мандатное» является неудачным переводом слова mandatory – «обязательный».