Методи в алгебра Lipnitsky, BSUIR (Met manual)/Ch_1_Thematic_materials

Моделът за контрол на достъпа е слабо подходящ за идентифициране на слабости в сигурността, като скрити канали, които по същество са непланирани (и предимно незаконни) информационни потоци. Напълно възможно е моделът за контрол на достъпа, безупречен по отношение на дефиниции и доказателства, да съдържа много скрити канали, благодарение на които всички усилия за прилагане на установената политика за сигурност стават безсмислени.

Прикритите канали се идентифицират доста ефективно по време на анализа

информационен поток, базиран на модел за сигурност.

На практика анализът на потока рядко се извършва на система на ниво абстрактен модел. Докато анализът на потока в модел може, разбира се, да разкрие много потенциални нарушения на потока, той също може да пропусне редица такива нарушения. Това е възможно, тъй като моделът оставя много системни детайли, като променливи на състоянието и функции, които не засягат безопасното състояние на системата и по дефиниция не са включени в модела за безопасност. Тези вътрешни променливи на състоянието позволяват появата на скрити канали.

От друга страна, анализът на информационния поток, извършен на нивото на системния модел, дава възможност да се идентифицират и елиминират нежеланите скрити канали, преди разработчиците да започнат да извършват следващите стъпки от метода за официално разработване на системата.

Тъй като съществуват строги правила и методи за идентифициране на потенциалните потоци, тяхното анализиране и доказване на тяхната допустимост, понякога те говорят за модела на информационния поток (вж. По-горе), което не изглежда напълно правилно, тъй като официалният модел на сигурността има и собствена цел да служи като основа за извършване на анализ на информационния поток.

Разработването и доказването на модел за контрол на достъпа до системата е важна стъпка в официалния метод за проектиране на системата. Самият метод за формално развитие може да бъде ограничен до етапа на формалното моделиране, последван от практическото прилагане на системата.

В по-пълна форма формалният метод за разработка включва и етапа на създаване на официална спецификация. Спецификацията се различава от модела по това, че в допълнение към променливите и функциите, свързани със сигурността, тя описва променливи и функции, които изпълняват други задачи в системата. Трябва да се отбележи, че съответствието на официалната спецификация с предварително разработения модел за сигурност е строго доказано.

3.12. Системи за контрол на достъпа

Основната роля в осигуряването на вътрешната сигурност на компютъра

страница

системите се извършват чрез системи за контрол на достъпа (контрол на достъпа) на субектите за достъп до обекти, които реализират концепцията за единен мениджър на достъп (в английската версия "справочен монитор" - буквално, връзка монитор).

3.12.1. Мениджър на достъп

Същността на концепцията за мениджър на достъп е, че някакъв абстрактен механизъм е посредник при всички извиквания на субекти към обекти (Фигура 3.5).

Мениджърът на достъпа трябва да изпълнява следните функции:

• • проверете правата за достъп на всеки субект до всеки обект въз основа на информацията, съдържаща се в базата данни за сигурност (правила за контрол на достъпа);

• • ако е необходимо, регистрирайте факта на достъп и неговите параметри в системния дневник.

Основните изисквания за внедряване на мениджър за достъп са:

• • изискването за пълнота на контролираните операции, съгласно което всички операции на всички субекти над всички обекти на системата трябва да бъдат проверени. Заобикалянето на диспечера се приема за невъзможно;

• • изискването за изолация, т.е. защита на диспечера от възможни промени от субектите за достъп, за да се повлияе на процеса на неговото функциониране;

• • изискване за официална проверка на правилното функциониране;

• • минимизиране на ресурсите, използвани от мениджъра.

В най-общия си вид работата на контролите за достъп до субекти до обекти се основава на проверка на информацията, съхранявана в базата данни за сигурност.

База данни за сигурност се разбира като база данни, която съхранява информация за правата на достъп на субектите на системата до обекти и други субекти.

За да направи промени в базата данни за защита, системата за контрол на достъпа трябва да включва средства за привилегирован потребител (администратор на защитата) да поддържа тази база данни. Такъв контрол на достъпа трябва да предоставя възможността за:

• • добавяне и премахване на обекти и обекти;

Формата на представяне на базата данни за сигурност може да бъде различна. Като цяло основата на базата данни за сигурност е матрицата за достъп

или неговото представяне (виж Таблица 3) Всеки елемент от тази матрица е кортеж, който определя правата на достъп (за всички възможни видове достъп) на всеки субект към всеки обект или друг субект.

Сложността на контрола на достъпа (поддържане на матрицата за достъп) в реални системи е свързана не само с голямото измерение на матрицата (голям брой субекти и обекти) и високата динамика на нейната настройка, но и с необходимостта от постоянно наблюдение голям брой зависимости между стойностите на определени кортежи по време на такива корекции. Наличието на такива зависимости е свързано с ограниченията и правилата за наследяване на правомощия в йерархията на обекти и субекти, които обективно съществуват в предметната област. Например потребителят трябва да наследи разрешенията на потребителска група, към която принадлежи; правата на достъп на някои потребители до директории и файлове не трябва да надвишават съответните права за достъп до диска, на който се намират и т.н.).

Съществуващите ограничения и зависимости между властите значително усложняват процедурите за поддържане на матрици за достъп. Това доведе до появата на голям брой начини за имплицитно дефиниране на матрицата (списъци за достъп, изброяване на правомощия, схема на атрибути и т.н.).

Основните критерии за оценка на ефективността на различни методи на имплицитно възлагане са както следва:

• • консумация на памет за съхраняване на изображението на матрицата за достъп;