Студопедия
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

X ®YÛc(X) ³c(Y), Х ®YÛc(X) £ c(Y).

Читайте также:
  1. В ОСНОВаНИИ ВуЛКа^1ИЧ£.СКИХ Дуг обрячуютрд ттпутг,Чтг rpnjir;™.
  2. Определение. В политике Biba информационный поток Х —> aY разрешен тогда и только тогда, когда c(Y) £ c(X).
  3. Х|£|У|£|К|.

Структура решетки очень помогает организации поддержки политики MLS. В самом деле, пусть имеется последовательная цепочка информационных потоков

O1®a O2®b O3®g…®d Ok

Если каждый из потоков разрешен, то свойства решетки позволяют утверждать, что разрешен сквозной поток О1®a...® dOk. Действительно, если информа­ционный поток на каждом шаге разрешен, то с(Oi+1) ³с(Oi), тогда по свойству транзитивности решетки с(O1,) £с(Ok,), то есть сквозной поток разрешен.

MLS политика в современных системах защиты реализуется через мандатный контроль (или, также говорят, через мандатную политику). Мандатный контроль реализуется подсистемой защиты на самом низком аппаратно-программном уровне, что позволяет эффективно строить защищенную среду для механизма мандатного контроля. Устройство мандатного контроля, удовлетворяющее некоторым дополнительным, кроме перечисленных, требованиям, называется монитором обращений. Монитор обращений реализует концепцию диспетчера доступа. Концепция диспетчера доступа- концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам. Эту машину называют монитором обращений или диспетчером доступа, что равнозначно по выполняющим ими функциям.

Мандатный контроль еще называют обязательным, так как его проходит каждое обращение субъекта к объекту, если субъект и объект находятся под защитой системы безопасности. Организуется мандатный контроль следующим образом. Каждый объект О имеет метку с информацией о классе с(O). Каждый субъект также имеет метку, содержащую информацию о том, какой класс доступа c(S) он имеет. Мандатный контроль сравнивает метки и удовлет­воряет запрос субъекта S к объекту О на чтение, если c(S) ³c(O) и удовлетворяет запрос на запись, если c(S) £ c(O). Тогда согласно изложенному выше ман­датный контроль реализует политику MLS. Более детально концепция диспетчера и структура монитора обращений будет рассмотрена в вопросе 10.3.

Политика MLS устойчива к атакам "Троянским конем". На чем строится защита от таких атак пояс­ним на примере, являющимся продолжением примера 1 из предыдущего вопроса.

Пример 1. Пусть пользователи U1 и U2 находятся на разных уровнях, то есть c(U1)>c(U2). Тогда, если U1 может поместить в объект О1 ценную информацию, то он может писать туда и c(U2)<c(U1) £ c(O1), то есть c(U2)<c(O1). Тогда любой "Троянский конь" Т, содержащийся в объекте О2, который может считать информацию в О1, должен отражать соотношение

с(O2) ³с(O1).

Тогда c(O2)>c(U2) и пользователь U2 не имеет право прочитать в O2 что делает съем в O1 и запись в O2 бессмысленным.

Несколько слов о реализации политики безопас­ности MLS в рамках других структур, внесенных в информацию. Опять обратимся к примеру реляционной базы данных. Пусть структура РМ и структура ре­шетки ценностей MLS согласованы, как это было сделано в лекции 8. Пусть в системе реализован мандатный контроль, который при обращении пользо­вателя U к базе данных на чтение позволяет извлекать и формировать "обзор" только такой информации, класс которой £c(U). Процедура генерации такого "об­зора" была описана в лекции 8. Аналогично, ман­датный контроль и правила декомпозиции позволяют поддерживать в нужном направлении информацион­ные потоки в процессе функционирования базы дан­ных. В результате получаем, что при наличии мандат­ного контроля построенная в лекции 8 реляционная много­уровневая база данных поддерживает политику MLS.

Политика MLS создана, в основном, для сохранения секретности информации. Вопросы целостности при помощи этой политики не решаются или решаются как побочный результат защиты секретности. Вместе с тем, пример 2 (тема 9) показывает, что они могут быть противоречивы. Это можно также показать на политике целостности Bida.

Пример 2. (Политика целостности Biba). Предпо­ложим, что опасности для нарушения секретности не существует, а единственная цель политики безопас­ности — защита от нарушений целостности инфор­мации. Пусть, по-прежнему, в информацию внесена решетка ценностей SC. В этой связи любой ин­формационный поток Х — > aY может воздействовать на целостность объекта Y и совершенно не воздей­ствовать на целостность источника X. Если в Y более ценная информация, чем в X, то такой поток при нарушении целостности Y принесет более ощутимый ущерб, чем поток в обратном направлении от более ценного объекта Y к менее ценному X. Biba предложил в качестве политики безопасности для защиты целостности следующее.



Дата добавления: 2014-12-15; просмотров: 117 | Поможем написать вашу работу | Нарушение авторских прав


lektsii.net - Лекции.Нет - 2014-2025 год. (0.007 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав