Антонюк А.О. Теоретичні основи захисту інформації

Подождите немного. Документ загружается.

141

Розглянемо більш детально ці умови.

5.3.1. Санкціо н о в а не о т ри м а н н я п ра в д ос т уп у

Даний спосіб характеризується тим, що при передачі прав доступа не

накладаються жодні обмеження на кооперацію суб’єктів системи, що

приймають участь в цьому процесі.

Нехай х,у∈O – об’єкти графа доступу початкового стану G

=(S

α⊆R. Визна чи м о п ре ди к ат «можливий доступ» Р(α,х,у ,G

) наступним чином.

Означення. Предикат «можливий доступ» Р (α,х,у,G

) є істинн им тоді і

тільки тоді, коли існує послідовність графів доступів

=(S

),...,G

=(S

), така що G

op1

op2

...|-

opn

і (x,y,α)∈E

Означення. Вершини графа доступів називаються tg-зв’язними або що

вони злучені tg-шляхом, якщо (без урахування напрямку дуг) в графі між ними

існує такій шлях, щ о кожна д у га цього ш л яху помічена t або g. Верши ни

безпосередньо tg-зв’язні, якщо tg-шлях між ними складається з однієї дуги.

Тепер можна визначити умови можливості санкціонованого отримання

прав доступу.

Теорема. Нехай G

=(S

) – граф доступ ів, що містить тільки вершини-

суб’єкти. Тоді предикат «можливий доступ» Р(α,х,у,G

) буде істинним то ді і

тільки тоді, коли виконуються умови:

1) існують с у б’є кт и s

,...,s

, такі що (s

,у,δ

)∈Е

для ∀i=1,...,m i

α=δ

∪δ

∪...∪δ

;

2) в графі G

=(S

) суб’єкт х сполучений tg-шляхом з кожним

суб’єктом s

для ∀i=1,...,m.

Простіше кажучи, перша умова вимагає наявності суб’єктів s

, щ о м аю т ь

певні права доступу до суб’єкта у, д р уг а умова вим а гає зв’язку з н им и , тобто з

кожним з цих суб’єктів s

суб’єкт х повинен бути зв’язаним tg-шляхом. Це якраз

необхідні умови створення ланцюжка доступів.

142

Підкреслимо, що цей результат є справедливим лише для графів з

вершинами-суб’єктами. За певних умов [89] істинність п ре дик ата «можливий

доступ» також можна довести і для довільних графів.

5.3.2. Можли в іс ть к ра д іжки прав доступу

Спосіб передачі прав доступу, розглянутий вище, реалізується за умови

ідеального співробітництва суб’єктів. У випадку ж крадіжки п р ав доступу

припускається, що передача прав доступу об’єкту здійснюється без підтримки

суб’єкта, який первісно володів правами, що передаються. Тобто передача прав

доступу об’єкту може здійснюватися за підтримки суб’єкта, який первісно не

володів правами.

Нехай х,у∈O – об’єкти графа доступу початкового стану G

=(S

α⊆R. Визна чи м о п ре ди к ат «можлива крадіжка» Q(α,х,у,G

) наступним чином.

Означення. Предикат «можлива крадіжка» Q(α,х,у,G

) є істинним тоді і

тільки тоді, коли (x,y,α)∉E

і існує послідовність графів доступів

=(S

),...,G

=(S

), така що G

op1

op2

...|-

opn

і (x,y,α)∈E

, якщо ж

знайдеться суб’єкт s, такий що (s,y,α)∈E

, то для ∀z∈S

, j=0,1,...,n виконується

≠grant(α,s,z,y), k=1,...,n.

В означенні фіксується відсутність суб’єктів з первісною можливістю

передачі прав доступу, дії ж суб’єктів, які мають таку можливість, просто

обмежуються забороною користуватися правилом grant.

Теорема. Нехай G

=(S

) – довільний граф доступів. Предикат

«можлива крадіжка» Q(α,х,у,G

) є істинним тоді і тільки тод і, коли

виконуються умови:

1) (x,y,α)∉E

;

2) існую ть об’єкти s

,...,s

, такі що (s

,у,δ

)∈Е

для ∀i=1,...,m i

α=δ

∪δ

∪...∪δ

;

3) предикати «можливий доступ» Р(t,х,s

) є істинними для i=1,...,m.

Перша вимога фіксує первісну відсутність прав доступу α суб’єкта х до

об’єкта у, проте за друго ї прип у с кає ть ся існу в ан н я суб’єктів, що мають певні

143

доступи до y. Третя ж визна ча є мож л и в іст ь суб’є кт а х «брати» права доступу до

них.

5.3.3. Розшир е н а модель Take-Grant

В розширеній моделі Take-Grant [41,73] розгл яда ю ть ся шляхи і вартості

виникнення інформаційних потоків в системах з дискреційним розмежуванням

доступу. Важливою особливістю розш иреної моделі є те, що в ній

розглядаються не тільки правила де-юре, які є формальним змістом моделі і

обов’язкові до виконання, але і так звані правила де-факто, які дозволяють

аналізувати фактичну ситуацію в системі.

В класичній моделі Take-Grant фактично розглядаються права доступу – на

читання read (r), на запис write (w), t і g, а також чо ти р и правила (правила де-

юре) перетворення графа доступів: take, grant, create, remove. В розширеній

модели додатково розглядається також шість правил (правила де-факто)

перетворення графа доступів: post, spy, find, pass і два правила без назви,

позначимо їх п1 і п2.

Правила де-факто вводяться для пошуку шляхів виникнення можливих

інформаційни х потоків в системі, які не регламе то в ан і правилами де-юре. Вони

є наслідком того, що у деяких об’єктів системи фактично уже мож уть

виникнути права доступу і вони можуть бути причиною виникнення

інформаційно го п от о ку від од н ог о об ’єк та до ін ш о го об’єкта навіть без їх

безпосередньої взаємодії.

В результаті застосування до графу доступу правил де-факто до нього

додаються уявні дуги, що помічаються r или w, але зображу ю ть ся пу н кт и р ом .

Разом з дугами графа, що відповідають реальним правам доступу r і w

(суцільними дугами), у явн і дуги вказують на наявність та напрям

інформаційних каналів між об’єктами в системі.

Важливо зазначити, щ о до уявних дуг не можна застосовувати правила де-

юре перетворення графа доступів, оскільки вони позначають лише наявність та

напрям інформаційних каналів, які неможливо брати або передавати іншим

об’єктам системи.

144

Для пояснення смислу кожного з правил де-факто розглянемо приклади.

Приклад. Нехай суб’єкт x має право w на объект y, а z у свою чергу має

право r на суб’єкт у. Записа н а суб’єктом x інф о р м ац ія в y може бути

прочитаною суб’єктом z. Отже, в системі може виникнути інформаційний канал

від об’єкта х до об’єкта z, що демонструє перше правило де-факто без назви п1.

Приклад. Нехай суб’єкт y має право w на об’єкт z, а на об’єкт x має право

r. Су б ’єк т y, прочитавши ін ф о р ма ц ію з об’єкту x, може її записати в об’єкт z.

Отже, в системі може виникнути інформаційний канал від об’єкта х до об’єкта

z, що демонстр у є д р уг е п р ав и л о де-факто без назви п2.

Приклад. Нехай суб’єкт х має право r на суб’єкт у , а суб’єкт z у свою

чергу має право w на об’єкт у. Тоді суб’єкт х може, проглядаючи (читаючи)

інформацію в у, спр о бу в а ти шукати в ньому інф о р м ац ію з z або про z, оскіл ьк и

z, користучись п р ав о м w, м іг щ о сь за п и сат и в у. Це озн а ча є, щ о фак ти ч но в

системі може виникн ути інформаційний канал від об’єкта z до суб’єкта х, що

демонструє п равило де-факто post (об’єкт у в якості поштової скриньки). Ясно,

що якщо б z був об’єктом, тобто пасивним елементом системи, то він не зміг би

зробити запис в у і ін фо р м ац ій н и й канал в ід z до х виникнути не міг би. Тобто

для реалізації такого інформаційного каналу необхідна участь принаймні двох

суб’єктів

Приклад. Нехай суб’єкт х має право r на суб’єкт у, а суб’єк т у у свою

чергу має право r на об’єкт z. Тоді суб’єкт х може, проглядаючи інформацію в у,

спробувати шукати (про читати) в ньому інформац ію з z або про z. Це озн а чає ,

що фактично в системі може виникнути інформаційний канал від об’єкта z до

суб’єкта х, що якраз демонструє прав и л о де-факто spy (шпигунство). Очевидно

також, що якщо у був би об’єктом, тобто пасивним елементом системи, то

інформаційни й канал від z до х виникнути не міг би. З но в у для реалізації такого

інформаційно го к ан ал у н ео бх ід н а у ча сть п р ин а йм н і д во х су б ’є ктів .

Приклад. Нехай суб’єкт х має право w на суб’єкт у, а у має також право w

на об’єкт z. Записана суб’єкто м х інфор м ац ія в у може бути переписана

суб’єктом у в z. Отже, в с и сте м і може виникнути інформац ій ни й канал від

145

суб’єкта х до об’єкта z, що де м о нс тр у є правило де-факто find. Як бачимо, для

реалізації такого інформаційного каналу необхідна участь принаймні двох

суб’єктів.

Приклад. Нехай суб’єкт у має право r на об’єкт z і пр ав о w на об’єкт х.

Прочитана суб’єктом у інформація з z може бути записаною в х. Отже , в с ис те м і

може виникнути інформаційний канал від об’єкта z до об’єкта х, що демонструє

правило де-факто pass (передача).

Проблеми взаємодії – центральне питання при крадіжці прав доступу.

Оскільки його розгляд є ретельна, детальна і досить складна задача, розглянемо

його лише в загальному ідейному плані.

Як показує аналіз, кожне правило де-юре потребує для досягнення своєї

мети участі одного суб’єкта, а для реалізацій правил де-факто необхідні один

або два суб’єкти. Н апри клад, в правилах де-факто post, spy, find обов’язковою є

взаємодія двох суб’єктів. З цього виникає, що першочерговою задачею є – на

множині всіх суб’єктів виділити підмножину так званих суб’єктів-заколотників

– учасників процесів передачі прав або інформації. Саме наявність коаліцій

суб’єктів є необх ідною ум овою несанкціон ован ої передачі прав або інформації.

Зрозуміло, що в невеликих системах цю задачу вирішити досить легко. Проте в

класичній моделі Take-Grant не дається прямої відповіді як це зробити. Тобто

можна говорити, що є можливість передачі прав або інформації, але не можна

визначити, який зі шляхів при цьому використано. На практиці багатократно

проглядаючи граф доступів і застосовуючи до нього всі можливі правила де-

юре і де-факто, можна знайти множину графів доступів, яка буде містити дуги,

що відповідають всім інформаційним каналам системи. Однак, якщо граф

доступів великий, розв’язати таку задачу дуже важко. В таких випадках

доцільно користуватися наближеними методами.

Зокрема, можна розглядати проблему пошуку та аналізу інформаційних

каналів з великими графами з іншої точки зору. Припустимо, що факт

небажаної передачі прав або інформації уже стався. Оскільки істинний шлях

146

знайти практично неможливо, можна п остави ти питання хоча б про пош ук

найбільш ймовірного шляху його реалізації.

Найбільш проста думка, яка ґрунтується на здоровому глузді, полягає в

наступному: чи м біл ьш е ву зл ів на ш ля х у між вер ш и н ам и , по яко м у від бу л ас я

передача прав доступу або виник інформаційний потік, тим менше ймовірність

використання цього шляху і, звичайно, тим більша його вартість. Правда,

зловмисник для більшої скритності може спеціально використати більш довгий

шлях, але це уже інша і нетривіальна ситуація, яка вимагає спеціальних

досліджень.

Однак наведена думка призводить до важливого висновку – в розширену

модель Take-Grant можна включати поняття ймовірності або навіть вартості

шляхів передачі прав доступу або інформації. Звичайно, ш ляхам меншої

вартості буде відповідати найбільша ймовірність, а, отже, саме такі шляхи слід

досліджувати в першу чергу. Існують принаймні два підходи щодо вирішення

проблеми вартості шляхів.

1. Підхід, що базується на присвоєнні вартості c

кожній j-ій дузі на i-ому

шляху в графі доступів. Тоді вартість окремої дуги можна поставити у

відповідність до прав доступу, якими вона помічена. Загальна ж вартість i-ого

шляху просто дорівнюватиме сумі вартостей пройдених n

дуг

∑

iji

2. Підхід, що базується на присвоєнні вартості кожному правилу де-юре або

де-факто, які використані на цьому шляху. Вартість кожного правила обирається

з урахуванням конкретної сфері застосування моделі Take-Grant. Вартість

залежить від багатьох чинників і її можна обирати так:

• вона може бути постійною;

• вона може залежати від специфіки самого правила;

• вона може залежати від кількості учасників при застосуванні

правила;

147

• вона може залежати від ступеня а бо важливості взаємодії об’єктів;

• вона може залежати від сфері застосування самої моделі.

Звичайно, загальна вартість всього шляху знову визначається як сума

вартостей застосованих правил

∑

iji

або за більш складною формулою

∑

ijiji

cwc

де w

– вагові коефіцієнти, за допомогою яких можна більш точно

враховувати додаткові обмеження. Їх можна отрим ат и за допом ого ю

експертних оцінок.

5.4. Модель Бе лла-Лападула

Далі розглянемо більш складну модель системи безпеки Белла-ЛаПадула

(Б-Л) [71,72,80]. Модель Б-Л стала важливим етапом в теорії інформаційної

безпеки, оскільки вона дозволила дослідити цілий клас захищених систем, а,

отже, її також мож на вважати математичним методом дослідження захищених

систем.

Модель Б-Л побудована для обґрунтування безпеки систем, що

використовують політику MLS. Матеріали, у яких опублікована модель у 1976

р., дотепер недоступні. Тому у викладі моделі Б-Л будемо користуватися

роботою J. McLean (1987), у якій класи об'єктів передбачаються незмінними.

Основні теореми подаються без доказів.

Основним положенням даної моделі, взятим із реального життя, є

призначення усім учасникам процесу обробки інформації, що захищається, і

документам, в яких вона міститься, спеціальної мітки, наприклад, таємно,

цілком таємно і т. д., що отримала назву рівня безпеки. Всі рівні безпеки

впорядковуються за допомогою встановленого відношення домінування,

наприклад, рівень цілком таємно вважається більш високим ніж рівень таємно,

148

або домінує над ним. Контроль доступу здійснюється залежно від рівнів

безпеки взаємодіючих сторін на основі двох простих правил:

1. Уповноважена особа (суб’єкт) має право читати тільки ті документи,

рівень безпеки яких не перевищує його особистий рівень безпеки.

2. Уповноважена особа (суб’єкт) має право заносити інф ормацію тільки в

ті документи, рівень безпеки яких не нижче його особистого рівня безпеки.

Перше правило забезпечує захист інформації, що обробляється більш

довіреними (високорівневими) особами, від доступу з боку менш довірених

(низкорівневих). Друге правило запобігає витоку інформації з боку

високорівневих участників процесу обробки інформації до низкорівневих.

Таким чином, якщо в дискреційних моделях керування доступом

відбувається шляхом надання користувачам повноважень здійснювати певні

операції над певними об’єк там и, то манд атн і моделі керу ю ть доступом неявним

чином – за допомогою надання усім сутностям системи рівнів безпеки, які

визначають усі мож ливі взаємодії між ними. Отже, мандатне керування

доступом не розрізняє сутності, яким присвоєно однаковий рівень безпеки, і на

їх взаємо дії обмеженн я відсутні. Тому в тих ситуаціях, коли кер у в ан н я

доступом вимагає більш гнучкого підходу, мандатна модель застосовується

сумісно з деякою дискреційною, яка використо вує додатко ві обмеж ення дл я

контролю за взаємодіями між сутностями одного рівня, що може суттєв о

посилити мандатну модель.

З формальної точки зору модель Б-Л є дуже складною. Отже, нижче

представлені лише основні поняття, означення та твердження без доказів, тобто

фактично це тільки вступ до основного варіанта моделі. Вважаємо, що детальні

математичні викладки не нададуть більшого розуміння щодо основних ідей

моделі, проте їх слід навести хоча б для того, щоб підкреслити складність

проблеми.

Для опису моделі нам буде потрібно трохи інший опис самої

обчислювальної системи. Нехай визначені кінцеві множини S, О, R, L.

S – множина суб'єктів системи;

149

О – множина об'єктів, що не є суб'єктами;

R – множина прав доступу, наприклад, R={read (r), write (w), execute (е),

append (а)};

L – множина рівнів таємності, наприклад, L={U,C,S,TS}, причому

U<C<S<TS.

Множина V станів системи визначається множиною:

HFMBV ×××=

де співмножники визначаються в такий спосіб.

В – множина поточних доступів і є підмножина множини підмножин

добутку

ROS ××

. Підм но ж и н и множини В будемо позначати b, т об то

B={b⊆

ROS ××

}, і вони представляють у поточний момент часу t∈N

множини

графів поточного доступу (у кожен момент часу t∈N

суб'єкт може мати тільки

один вид доступу до даного об'єкта).

М – матриця дозволених доступів, M=|M

|, M

⊆R, F – множина векторів

LLL

××

, де

Ffffff

∈= ),,,(

– вектор, що складається з трьох

компонентів, кожна з яких є функцією (або відображенням ). Вон и

визначаються наступним чином:

– рівень допуску суб'єктів (відображення f

: S

→

L);

– рівень таємності об'єктів (відображення f

: O

→

L);

– поточний рівень таємності суб'єктів (відображення f

: S

→

L).

Елементи підмножини F, що допущені для визна че нн я стану, повинні

задовольняти співвідношенню:

)()(, sfsfSs

≥∈∀

Н – поточний рівень ієрархії об'єктів, у роботі McLean цей рівень не

змінюється, збігається з f

і далі не розгляд ає тьс я.

Елементи множини V станів будуть позначатися через v. Не х ай в и зн а чен і

множина Q запитів системі і множина D рішень із приводу цих запитів,

наприклад, D={yes, nо, error}. Визначимо множину W дій системи як

VVDQvvdqW ×××⊆= )},,,{(

150

Кожна дія системи (q, d, v

, v

)∈W має наступний сенс: якщо система

знаходилася в даний момент у стані v

, надійш о в запит q, тоді прийнято

рішення d і система перейшла в стан v

Нехай N

– множина значень часу (N

=0,1,…). Визначимо множину наборів

із трьох множ ин ф у н кц ій (х, у , z)∈X×Y×Z:

множина функцій X, що за да є всі можливі послідо в н ос ті запитів до

системи х∈X: N

→

множина функцій Y, що задає всі можливі послідовності відповідей на

запити до системи у∈Y: N

→

множина функцій Z, щ о задає всі мож л и ві послідовності стан ів системи

z∈Z: N

→

Означення. Системою ∑(Q, D, W, z

) називається підм но жи на

ZYX ××

така, що (x, y, z)∈ ∑(Q, D, W, z

) тоді і тільк и тоді, коли (x

, y

, z

t-1

)∈W для

кожного значення t∈N

, де z

– початковий стан системи.

Означення. Кожен набір (х, у, z)∈∑(Q, D, W, z

) називається реалізацією

системи.

Означення. Якщо (х, у, z) – реалізація системи, то кожна четвірка (x

, y

, z

t-1

) називається дією систем и.

Неважко бачити, що при відсутності обмежень на запити в такий спосіб

визначений деякий автомат, у якого вхідний алфавіт Q, а вих ід ни й D, а

множина внутрішніх станів V. Автомат за да єть ся множиною своїх реа л ізац ій .

Перейдемо до визначення понять, зв'язаних з безпекою системи.

Безпека системи визначається за допомогою трьох властивостей:

1) ss – властивості простої безпеки (simple security);

2) * – властивості «зірка»;

3) ds – властивості дискреційної безпеки (discretionary security).

Означення. Доступ (трійка) (s,o,r)∈S×O×R задовольняє властивості

простої безпеки (ss-властивість) відносно

Ffffff

∈= ),,,(

, якщо

виконується одна з умов: