Мандатная политика безопасности с использованием модели Белла-ЛаПадулы

Заключение
В настоящей работе произведено подробное изучение классической модели управления доступом Белла-ЛаПадулы, а также выявлены основные недостатки данной модели, а именно:
1) Отсутствие защиты системы от понижения уровня безопасности объекта вплоть до минимального по запросу субъекта с максимальным уровнем безопасности;
2) Возможность удаленного чтения объекта с высоким уровнем безопасности низкоуровневым субъектом.
Как было сказано ранее, защита системы от понижения уровня безопасности объекта вплоть до минимального по запросу субъекта с максимальным уровнем безопасности решается путем введения двух правил:
1) Правило слабого спокойствия – запрещаются изменения уровней безопасности субъектов и объектов в ходе системной операции таким образом, который бы мог нарушить заданную полити ...

Оглавление
Введение 3
Глава I. Научно-технические аспекты информационной безопасности на основе управления доступом. 7
1.1. Научно-технические аспекты информационной безопасности. 7
1.2. Политика информационной безопасности на основе разграничения доступа 10
1.3. Технология мандатной политики безопасности. 14
Глава II. Модель управления доступом Белла-ЛаПадулы. 17
2.1. Классическая модель управления доступом Белла-ЛаПадулы. 17
2.2. Математическое обоснование модели управления доступом Белла-ЛаПадулы 26
2.3. Недостатки модели управления доступом Белла-ЛаПадула. 32
Глава III. Разработка модели управления доступом модели Белла-ЛаПадулы 34
3.1. Постановка задачи 34
3.2. Формальное описание разрабатываемой модели. 37
3.3. Описание технологии предоставления доступа в разрабатываемой модели 42
Глава IV. Разработка технологии управления информационной безопасностью, основанной на модели Белла-ЛаПадулы 44
4.1. Разработка политики безопасности 44
4.2. Разработка системы контроля и управления доступом 49
4.3. Алгоритм работы разработанной системы управления информационной безопасности. 52
Заключение 54
Список используемой литературы 57

 

Введение

Кто владеет информацией, тот владеет миром
Н.М. Ротшильд

Век информационных технологий, век нано-технологий, век информационных войн… Все это про наше время.
В современном мире трудно представить себе отсутствие свободного доступа в сеть Интернет, обмена информацией на огромных расстояниях. Одним нажатием клавиши или щелчком кнопки «мышки» мы способны отправить файл, порой содержащий жизненно важную информацию, информацию, подрывающую позиции компании на рынке, да что там – подрывающую обороноспособность страны, на удаленный компьютер, находящийся в сотнях, тысячах километрах от нас…

- уровни безопасности – определение самой возможности взаимодействия объектов и субъектов в системе. Объект может обладать только одним уровнем безопасности, в то время как уровень безопасности субъекта разделен на две части – категория доступа, определяющую возможную область доступа, и уровень доступа, определяющего возможность доступа определенного субъекта к определенному классу информации: от верхнего уровня конфиденциальности к нижнему, т.е. субъект, обладающий более высоким уровнем доступа имеет доступ к равному и ко всем нижестоящим уровням доступа.- матрица доступа – содержит информацию о разрешенных действиях конкретного объекта. Правила доступа, прописанные в матрице доступа для субъекта не являются достаточными условиями получения доступа к объекту.- список возможных запросов –описывает список всех возможных отношений субъекта в системе. Предусмотрены следующие запросы:Запрос на чтение объекта (r)Запрос на запись в объектЗапрос на модификацию объекта;Запрос на исполнение объекта;Запрос на отказ от доступа;Запрос на передачу права на доступ от субъекта к другому субъекту;Запрос на лишение права доступа другого субъекта;Запрос на создание объекта без сохранения согласованности; Запрос на создание объекта с сохранением согласованности;Запрос на уничтожение объекта;Запрос на изменение своего текущего уровня безопасности;Структуры, которые полностью описывают состояние системы – компоненты системы, содержащие информацию о:- текущем состоянии доступа, состоящего из набора субъект, объект и атрибуты доступа;- иерархии объектов, определяющей отношения между главным и последующим в иерархической структуре объектов, и состоящей из изолированных точек и корневых деревьев. Уровень допуска, которым наделен главный объект, выше или равен уровню допуска, которым наделен последующий объект.- таблицу допустимого допуска, образующую матрицу доступа, где текущее состояние доступа получается на пересечении уровней безопасности субъектов (по строкам) и объектов (по столбцам);- функции уровня, определяющей уровень доступа для объектов и субъектов. Свойства системы - работа системы основано на принципе «текущее состояние» - «запрос» - «решение поставленной задачи» - «новое состояние». Работа системы подчинена выполнением набора специальных свойств и правил:а) Свойства:«Свойство *» - запись в объекты более низкого уровня запрещена. На рисунке 3 приведено наглядное ищ«Простое свойство безопасности» - в случае присутствия в текущем состоянии доступа совокупности «субъект» - «объект» - «атрибуты доступа», и атрибутами доступа разрешен просмотри объекта, то уровень доступа субъекта главенствует над уровнем доступа объекта, что, иначе говоря обозначает запрет просмотра объектов более высокого уровня доступа;«Дискреционное свойство безопасности» - субъект может выполнять только те действия над объектом, которые предусмотрены в матрице допустимого доступа, т.е. данное свойство, в отличие от предыдущих, определяет в целом контроль доступа в системы, реализуя мандатный контроль доступа.б) Переход системы из текущего состояния в последующее определяются правилами, согласно которым и определяется решение в паре запрос-решение. Ниже приведены основные правила:Запрос на чтение (r) объекта oj субъектом si одобряется в случае выполнения условия: r mij и IB(si)  I(oj) и IT(si)  I(oj),где mij – наличие соответствующих прав доступа в матрице доступа; IB – базовый уровень безопасности IТ – текущий уровень безопасностиВ случае невыполнения приведенного условия – запрос отвергается. Таким образом, для одобрения системой запроса на чтения объекта необходимо наличие в матрице доступа соответствующего права чтения и превосходства уровня безопасности субъекта (текущего и базового) в соответствии с простым свойством безопасности.Запрос на запись (w) в объект oj субъектом si одобряется в случае выполнения условия:w mij и IB(si)  I(oj) и IT(si) = I(oj)Невыполнение указанного условия приведет к отклонению запроса. Так же, как и в случае с запросом на чтение, для одобрения системой запроса на запись в объект необходимо наличие в матрице доступа соответствующего права, а также равенства текущего уровня безопасности субъекта уровню безопасности объекта и превосходства базового уровня безопасности субъекта над уровнем безопасности объекта в соответствии со свойством «*».Запрос на изменение (модификацию) (a) объекта oj субъектом si одобряется в случае выполнения условия: a mij и IT(si)  I(oj).Невыполнение указанного условия приведет к отклонению запроса. Для одобрения системой запроса на изменение объекта необходимо наличие в матрице доступа соответствующего права, а также превосходства уровня безопасности объекта над текущим уровнем безопасности субъекта, что разрешено соответствующим правилом определения текущего уровня защиты субъекта, ввиду того, что субъекту прежнее содержимое объекта недоступно.4. Запрос на исполнение (е) объекта oj субъектом si одобряется, с случае e mij, и отклоняется в противном случае.Для одобрения выполнения запроса на исполнение объекта необходимо и достаточно наличия в матрице допуска соответствующего права «е», так как оставшиеся проверки производятся самим объектом.Отказ субъекта si от доступа, выходящего за рамки определенных прав доступа, к объекту oj одобряется безусловно.Запрос на передачу права на доступ любого из возможных (r,w,a,e) (x) к объекту oj субъектом sk субъекту si одобряется в случае наличия у субъекта sk доступа на изменение (w) к родительскому объекту (oo(j)) объекта oj. Иными словами, если выполняется условие:{sk, oo(j), w} b,В противном случае происходит отклонение запроса. В случае удовлетворения запроса, происходит изменение матрицы доступа, а именно в соответствующую ячейку добавляются новые, переданные права. Такие запросы позволяют динамически изменять права доступа различных субъектов. Поддержание иерархии уровня защищенности заложено в сохранении права объекта-родителя, другими словами, передающий права субъект должен обладать т.е. субъект, передающий права, должен обладать большими привилегиями, нежели наделяемый правами субъект.Лишение субъектом sk любого права на доступ (х) субъекта si к объекту oj одобряется при условии наличия у субъекта sk доступа «w» к родительскому объекту (oo(j)) объекта oj. Если выполняется условие:{sk, oo(j), w} b,запрос выполняется, а в противном случае – отклоняется. В случае одобрения запроса происходит изменение в матрице доступа в соответствующей ячейке.Запрос на создание субъектом si «дочернего» объекта ot(j), родителем которого является объект oj, с одновременным наследованием уровня безопасности, одобряется в случае, если список текущего доступа (b) содержит запись{si, oj, w}В противном случае запрос отклоняется. При этом, в случае принятия запроса, в матрице доступа добавляется новый столбец для созданного дочернего объекта, а самому объекту присваивается ряд атрибутов, соответствующих уровню безопасности родителя.9. Запрос на создание дочернего объекта ot(j) (родитель – объект oj) с уровнем безопасности I(ot(j)) субъектом si, одобряется в случае если уровень безопасности дочернего объекта I(ot(j)) ниже либо равен уровню безопасности родительского объекта, т.е. I(ot(j))  I(oj)и в списке текущего доступа (b) содержится запись:{si, oj, w},В противном случае запрос откланяется. Уничтожение объекта oj (и всех его дочерних объектов) субъектом si одобряется, в случае наличия у субъекта si прав доступа на изменение объекта (w) к родителю объекта oj, (oo(j)) и отклоняется в противном случае.В случае выполнения запроса, из списка текущего доступа происходит удаление всех записей, содержащих удаляемого объекта и его дочерних объектов, а из матрицы доступа удаляются соответствующие столбцы.Запрос на изменение субъектом si своего текущего уровня безопасности (IT(si)) на новый уровень безопасности (IT') разрешается в случае одновременного выполнения следующих условий:а) IT' IB(si);б) IT'  min( I(oj) ), где min(I(oj)) – минимальный уровень безопасности объекта oj, но при услови, что субъект si наделен правом доступа на дописывание без чтения (а) к какому-либо объекту oj;в) IT'= I(oj), для субъекта si, наделенного правом изменения объекта с доступом к содержимому (с предварительным чтением) (w) к какиму-либо объекту oj;г) IT'   max( I(oj) ), где max(I(oj)) – максимальный уровень безопасности объекта oj, по отношению к которому субъект si наделен правом доступа на чтение (r) к какому-либо объекту oj.Если какое-то из условий не соблюдается, запрос отклоняется. При выполнении запроса происходит изменение уровня безопасности субъекта в соответствии с описанными ранее правилами. Теоремы и доказательства, которые подтверждают защищенность системы. Основной теоремой является теорема безопасности, которая гласит, что в случае изначального безопасного состояния системы и последующих безопасных переходов системы из одного состояния в другое, система является полностью безопасной.Математическое обоснование модели управления доступом Белла-ЛаПадулыКонтроль доступа субъекта к объекту производится в соответствии с уровнем безопасности взаимодействующих сторон сети. Это взаимодействие происходит согласно правилам:Субъект может читать документы с уровнем безопасности равным или ниже собственного уровня безопасности. Доступ к содержимому документов с превышающим уровнем безопасности, объекту запрещен.На рисунке 5 приведена иллюстрация данного правила:Рисунок 5. Правило чтения информации в модели управления доступом Белла-ЛаПадулыСубъект не может записывать информацию в документы, уровень безопасности которых ниже собственного уровня безопасности субъекта, т.е. запись информации в документ возможно только в том случае, когда уровень безопасности субъекта равен или выше уровня безопасность документа.На рисунке 6 приведена иллюстрация указанного правила.Рисунок 6. Запись информации в модели управления доступом Белла-ЛаПадулыОбобщенная иллюстрация правил модели Белла-ЛаПадулы приведена на рисунке 7.Рисунок 7. Иллюстрация правил модели Белла-ЛаПадулы.Исходя из изложенных правил становиться понятно, что для мандатной системы управления доступом, основанной на модели Белла-ЛаПадулы, нет разницы между парой объектов или парой субъектов с одинаковым уровнем безопасности, что свидетельствует о неявном управлении доступа на основе мандатной политики безопасности, другими словами, мандатная политика безопасности в классическом варианте не регламентирует отношение сущностей системы одного уровня безопасности.Пусть:S – множество субъектов системы, осуществляющих доступ к информации;O – множество объектов системы, которые содержат информацию, подлежащую защите;Для того, чтобы иметь возможность включения в область действия модели безопасности взаимоотношения между субъектами системы, считают, что множество субъектов включено в множество объектов, т.е. , т.е. субъект одновременно является и объектом системы.R – множество прав доступа (чтение (r), запись (w), определяющих полномочия субъектов на выполнение соответствующих запросов;L – множество, включающее все уровни безопасности, используемые в системе; - решетка уровней безопасности системы, состоящая из трех операторов и множества уровней безопасности., где: - оператор, который определяет частичное нестрогое отношение порядка для уровней секретности; - оператор, определяющий наименьшую верхнюю границу; - оператор, определяющий наибольшую нижнюю границу.V – множество, содержащее все состояния системы. Данное множество представлено упорядоченными парами (F,M), описываемыми функцией уровня безопасности (F), которая сопоставляет для каждого объекта и субъекта системы определенный уровень безопасности, а также матрица доступа (М), содержащая текущую конфигурацию прав доступа.Оператор наделен свойствами, перечисленными ниже:Свойство рефлексивности, определяемое выражением:Это свойство определяет, что обмен информации между субъектами и объектами одного уровня безопасности разрешен.Свойство антисимметричности, заданное выражением:Данное свойство определяет следующее: если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, так и от субъектов и объектов уровня B к субъектам и объектам уровня A, то эти уровни эквивалентны.Свойство транзитивности, определяемое выражением:Это свойство определяет, что если информация может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня B, и от субъектов и объектов уровня B к субъектам и объектам уровня C, то она может передаваться от субъектов и объектов уровня A к субъектам и объектам уровня C.Определение оператора минимальной верхней границы () задается выражением:А оператор максимальной нижней границы – выражением: Исходя из приведенных определений следует, что каждой паре в системе соответствует только один элемент минимальной верхней границы и максимальной нижней границы.Таким образом, модель Белла-ЛаПадула описывает систему как:, где - соответствует начальному состоянию системы; - определяет множество прав доступа, предусмотренных в системе; - задает функцию перехода, переводящую систему из одного состояния в другое в ходе выполнения запросов, при этом состояние v считается достижимым в случае, если существует последовательность:При этом, начальное состояние считается достижимым по умолчанию.В модели Белла-ЛаПадула существует определения безопасности системы по чтению, по записи, безопасность системы в целом.Система считается безопасной по чтению, если находится в таком состоянии (F,М), когда уровень безопасности каждого субъекта, который осуществляет доступ к объекту по чтению, превосходит уровень безопасности объекта. Данное состояние описывается выражением:Система считается безопасной по записи, если находится в таком состоянии (F, М), когда уровень безопасности субъекта системы, который осуществляет доступ к объекту по записи, не превосходит уровень безопасности объекта системы. Иными словами, в данном случае уровень безопасности объекта, к которому субъект хочет получить доступ по записи, должен доминировать над уровнем безопасности субъекта, пославшего запрос на доступ. Это состояние описывается выражением:Если в состояние системы удовлетворяет вышеописанным состояниям, то есть текущее состояние системы (F,М) безопасно и записи, и по чтению, то такое состояние считается безопасным.Следовательно, обобщая все вышеизложенное, система:считается безопасной в том случае, если ее изначальное состояние v0 было безопасным, а также все состояния, которые достижимы из начального состояния через выполнение последовательности запросов, принадлежащих множеству R, безопасны.Обобщение, изложенного ранее, находится в основной теореме безопасности модели Белла-ЛаПадулы, которая гласит, что системабезопасна тогда и только тогда, когда:безопасно начальное состояние системы v0для любого достижимого из начального состояния v0 состояния v, через применение последовательности запросов, принадлежащих множеству R,:, и для любого объекта и субъекта системы ( ) выполняются условия:Если    и  , то  Если    и  , то  Если    и  , то  Если    и , то  Недостатки модели управления доступом Белла-ЛаПадула.Согласно теореме, система считается безопасной только в том случае, когда при переходе системы из безопасного начального состояния, все дальнейшие переходы происходят без возникновения новых и сохранений старых отношений доступа, которые небезопасны для функции уровня безопасности нового состояния системы.Основная теорема безопасности модели Белла-ЛаПадула имеет свои недостатки, а именно:Избыточность теоремы в отношении безопасного состояния, потому что накладываемые теоремой ограничения на функцию перехода совпадают с критериями безопасности, принятыми для состояния системы.Не гарантируется безопасность процесса перехода системы в новое состояние.Указанные недостатки могут привести к обнаружению некоторой системы (Z-системы), в которой субъект, обладающий низким уровнем безопасности, при попытке получить доступ по чтению к объектам с высоким уровнем безопасности, вызовет процесс понижения уровня объекта до уровня субъекта с последующим получением доступа по чтению. При этом функция перехода Z-системы будет удовлетворят ограничениям основной теоремы безопасности Белла-ЛаПадулы в отношении критерия безопасности, в то время как любой пользователь сможет получить доступ на чтение к любому объекту системы. Безопасность перехода системы из одного состояния в другое возможно обеспечить введением дополнительных правил.Так же классическая модель Белла-ЛаПадулы не защищает систему от понижения уровня безопасности объекта вплоть до минимального по запросу субъекта с максимальным уровнем безопасности. Например, субъект с уровнем безопасности H получает доступ на чтение к объекту с таким же уровнем безопасности, а затем субъект понижает свой уровень безопасности до L, на котором создает объект с таким же уровнем безопасности, в который записывает ранее скопированное содержимое объекта с высокого уровня безопасности H. При этом, формальная часть модели Белла-ЛаПадулы не была нарушено, но безопасность всей системы в целом, несомненно, нарушена.Для удаления этой уязвимости системы вводятся два правила:Правило слабого спокойствия – запрещаются изменения уровней безопасности субъектов и объектов в ходе системной операции таким образом, который бы мог нарушить заданную политику безопасности;Правило сильного спокойствия – запрещаются любые изменения уровней безопасности объектов и субъектов в ходе системной операции.Еще одним недостатком модели управления доступом Белла-ЛаПадулы является возможность удаленного чтения объекта с высоким уровнем безопасности низкоуровневым субъектом. Данная уязвимость проявляется только в распределенных системах, в которых возможен перехват трафика субъектом низкого уровня доступа, и соответственно, произойдет раскрытие конфиденциальной информации.Глава III. Разработка модели управления доступом модели Белла-ЛаПадулыПостановка задачиРазработка политики безопасности подразумевает наличие какой-то информационной системы, в которой есть подлежащие защите информационные ресурсы. Для разработки мандатной политики безопасности в данной работе выбрана информационная система медицинского учреждения, в которой защищаемыми объектами являются данные пациентов (персональные данные, истории болезни, аллергические реакции организма на медицинские препараты и т.д.) – то есть данные, которые являются медицинской тайной, доступ к которым должен быть контролируемым и строго ограниченным.В медицинском учреждении используется распределенный доступ к серверу, на котором расположена единая база данных. С этой точки зрения наиболее эффективным средством контроля доступа к информации является разграничение прав доступа на уровне базы данных. Применяемые в современных системах управления базами данных правила разграничения доступа основаны в основном на комбинации дискретной и ролевой политик безопасности, защищающие в основном объекты базы данных, таких как представления, таблицы и т.д. Субъектами в данном случае выступают пользователи (группа пользователей), которым для каждого защищаемого объекта в явном виде задается список на разрешенные действия с этими объектами (операциями над ними) – например, чтение, удаление, редактирование, вставка и т.д.В виду огромного числа защищаемых объектов и субъектов информационной системы, задание прав доступа к каждому объекту для каждого субъекта занимает огромное количество времени и требует особой внимательности администратора. При этом, в системе возникают ситуации, требующие быстрого изменения прав доступа субъекта или объекта, которые могут повлечь за собой появление ошибок в матрице доступа.Назначение прав доступа зависит от следующих положений:Время доступа. Доступ на изменение (модификацию) к данным после определенного интервала времени должен быть запрещен.