С целью устранения обозначенных недостатков Лендвером и Мак-Лином в модели передачи военных сообщений (MMS - military message system) были предложены определения; сформулированы и доказаны формальная и неформальная модели MMS.
Определение 1
Классификация - обозначение, накладываемое на информацию, отражающее ущерб, который может быть причинен неавторизованным доступом, включающим уровни: Secret, Top secret, и метки Crypto, Nuclear и т.д. Множество классификаций и отношений между ними образуют решетки.
Определение 2
Степень доверия пользователю - уровень благонадежности персоны. Каждый пользователь имеет степень доверия, и операции, производимые системой для данного пользователя, могут проверить степень доверия пользователю и классификацию объекта, с которыми он оперирует.
Определение 3
Пользовательский идентификатор - строка символов, используемая для того, чтобы отметить пользователя системы. Чтобы использовать систему, пользователь должен предъявить ей пользовательский идентификатор, а система должна провести его аутентификацию. Данная процедура называется логин. Каждый пользователь должен иметь уникальный логин.
|
|
Пользователь - это персона, уполномоченная для использования системы.
Определение 4
Роль - это работа, исполняемая пользователем. Пользователь всегда ассоциирован как минимум с одной ролью в некоторый момент времени. Он может менять роль в течение сессии. Для действий в данной роли пользователь должен быть уполномочен. Некоторые роли могут быть связаны только с одним пользователем в данный момент времени.
Определение 5
Объект - это одноуровневый блок информации. Это минимальный блок информации в системе, который имеет классификацию, т.е. объект не содержит других объектов и он не многоуровневый.
Определение 6
Контейнер - многоуровневая информационная структура. Имеет классификацию и может содержать объекты, каждый со своей классификацией, и/или другие контейнеры. Пример контейнера - файл.
Определение 7
Сущность - это объект или контейнер.
Определение 8
Требования степени доверия контейнеров - атрибут некоторых контейнеров. Для некоторых контейнеров важно требовать минимум степени доверия, т.е. пользователь, не имеющий соответствующий уровень благонадежности, не может просматривать содержимое контейнера. Такие контейнеры помечаются соответствующим атрибутом - CCR. Если у нас есть пользователь со степенью доверия «confidential», то он не может просматривать параграф сообщения «confidential» из документа «top secret», если этот документ находится в CCR-контейнере. Если нужно это разрешить -документ необходимо извлечь из контейнера.
|
|
Определение 9
Идентификатор (ID) - имя сущности без ссылки на другие сущности. Пример - имя файла является идентификатором файла. Обычно все сущности имеют идентификатор.
Определение 10
Ссылка на сущность является прямой, если это идентификатор сущности.
Определение 11
Ссылка на сущность является косвенной, если это последовательность двух или более имен сущностей, из которых только первое - идентификатор.
Определение 12
Операция - функция, которая может быть применена к сущности. Она может позволять просматривать или модифицировать сущность. Некоторые операции могут использовать более одной сущности (например, копирование).
Определение 13
Множество доступа - множество троек (пользовательский идентификатор или роль, операция, индекс операнда), которые связаны с сущностью.
Определение 14
Сообщение - особый тип, реализуемый в данной модели. Является контейнером. Включает поля «куда», «откуда», «время», «предмет», «текст», «автор». Чертежные сообщения включают поле чертежа.
Неформальная модель MMS
Пользователь получает доступ к системе только после прохождения процедуры login. Для этого пользователь предоставляет системе пользовательский идентификатор, и система производит аутентификацию, используя пароли, отпечатки пальцев или другую адекватную технику. После успешного прохождения аутентификации пользователь запрашивает у системы операции для использования функций системы. Операции, которые пользователь может запросить у системы, зависят от его Id или роли, для которой он авторизован.
С использованием операций пользователь может просматривать или модифицировать объекты или контейнеры. При этом система реализует следующие ограничения:
1) Предположение безопасности:
А1: офицер безопасности системы присваивает уровни доверия, производит классификацию устройств и создает множество ролей корректно;
А2: пользователь вводит корректную классификацию, когда изменяет, объединяет и переклассифицирует информацию; A3: пользователь классифицирует сообщения и определяет множество доступа для сущностей, которые он создает так, что только пользователь с требуемой благонадежностью может просматривать информацию;
А4: пользователь должным образом контролирует информацию объектов, требующих благонадежности;
2) Ограничение безопасности (относятся к компьютерной системе):
В1: Авторизация. Пользователь может запрашивать операции над
сущностями, только если пользовательский идентификатор или
текущая роль присутствуют во множестве доступа сущности вме
сте с этой операцией и со значением индекса, соответствующим
позиции операнда, в которой сущность относят к требуемой опе
рации.
В2: Классификационная иерархия. Классификация контейнера всегда больше или равна классификации сущностей, которые он содержит.
ВЗ: Изменение объектов. Информация, переносимая из объекта, всегда наследует классификацию данного объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта.
В4: Просмотр. Пользователь может просматривать только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия к пользователю.
В5: Доступ к контейнерам, требующим степени доверия. Пользователь может получить доступ к косвенно адресованной сущности
внутри контейнера, требующего степени доверия, только если его степень доверия не ниже классификации контейнера. В6: Преобразование косвенных ссылок. Пользовательский идентификатор признается законным для сущности, к которой он обратился косвенно, только если он авторизован для просмотра этой сущности через ссылку.
В7: Требование меток. Сущности, просмотренные пользователем, должны быть помечены его степенью доверия. В8: Установка степеней доверия, ролей, классификации устройств. Только пользователь с ролью офицера безопасности системы может устанавливать данные значения. Текущее множество ролей пользователя может быть изменено офицером безопасности или самим пользователем.
|
|
В9: Понижение классификации информации. Никакая классифицированная информация не может быть понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью «пользователь, уменьшающий классификацию информации».
В10: Уничтожение информации. Эта операции проводится только пользователем с ролью «пользователь, уничтожающий информацию».
Формальная модель MMS
Разработаем формальную модель MMS, соответствующую неформальным спецификациям, данным выше.
Предполагая существование множества возможных пользователей и множества возможных сущностей, можно определить состояние системы, включая ее безопасное состояние. Далее определяется система и ее история, вводятся ограничения на переход из одного состояния в другое. Система, все переходы которой удовлетворяют данным ограничениям, безопасна для переходов. В заключение определяется безопасная история и безопасность системы.
Основной идеей проведения формализации является взгляд на компьютерную систему как на взаимоотношения между состояниями системы и самой системой. Предполагается, что состояние системы состоит из сущностей и их отношений, и система добавляет к данным отношениям пользователей и пользовательские операции над сущностями. Следовательно, все ограничения на свойства пользователей включены в определение безопасности системы. Данный взгляд разделяет состояние системы и саму систему в терминах статики в противоположность динамическим свойствам. Статические свойства - свойства, которые сохраняются для всех состояний системы, и, следовательно, могут быть проверены для изолированного состояния системы; динамические состояния - те, кото-
|
|
рые нуждаются в исследовании взаимоотношений между состояниями безопасности, и, следовательно, могут быть проверены только исследованием двух или более состояний. В определение безопасности состояния включены только статические свойства.
Принципиальной трудностью, возникающей при формализации модели, является интерпретация «копирования», «просмотра», «вывода системы» и «авторизованной операции». Информация считается копируемой не только тогда, когда она непосредственно переносится из одной сущности в другую, но и когда она дает потенциальный вклад в другую сущность. Например, если операция сканирует файл сообщений А и копирует сообщения, выбранные фильтром Ф в файл сообщений Б, то и А, и Ф являются потенциальным вкладом в модификацию Б (и, следовательно, субъектом для ограничений, вызванных безопасностью копирования и CCR безопасностью), даже если и А, и Ф - пусты. Семантика для просмотра - проста: сущность может быть просмотрена, если операция делает ее членом выходного контейнера.
В формализации вывод системы интерпретируется как множество контейнеров; другие сущности, части сущностей, ссылки и классификации, которые видны пользователю, интерпретируются как копирующиеся в контейнер выхода.
Семантика авторизованных операций неспецифицирована. Можно только сказать, что неавторизованные операции не должны изменять состояние системы, исключая сообщения об ошибке.
6.2.3. Достоинства и недостатки моделей предоставления прав
Достоинства:
1) Интуитивная понятность.
2) Возможность реализации с высокой степенью точности.
Недостатки:
1) Возможность образования скрытых каналов утечки информации. Скрытые каналы утечки информации обнаружить несложно, но лишь в процессе эксплуатации системы, поэтому их сложно ликвидировать.