46571 (IDEF-моделирование мандатного разграничения доступа)
Описание файла
Документ из архива "IDEF-моделирование мандатного разграничения доступа", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "46571"
Текст из документа "46571"
УФИМСКИЙ ГОСУДАРСТВЕННЫЙ АВИАЦИОННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
Факультет ИРТ
Кафедра ВТиЗИ
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К КУРСОВОЙ РАБОТЕ
по дисциплине
"Теория информационной безопасности и методология защиты информации"
НА ТЕМУ:_IDEF–моделирование мандатного (полномочного) разграничения доступа
Выполнил: студ. Миргалеев И.В.. гр. ЗИ-322 .
Консультант: к.т.н, доцент Агзамов З.В. .
ученая степень, ученое звание, должность
Проверил: к.т.н, доцент Агзамов З.В. .
ученая степень, ученое звание, должность
Оценка:_______________________________
Уфа 2007
УФИМСКИЙ ГОСУДАРСТВЕННЫЙ АВИАЦИОННЫЙ
ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
КАЛЕНДАРНЫЙ ПЛАН
курсовой работы
студента:___________группы ЗИ-322 Миргалеева И.В.______________
Тема работы ___«IDEF–моделирование мандатного (полномочного) разграничения доступа»
| Наименование этапов курсовой работы | Срок | Объем от всей работы в % | Фактическое | |
| 1 | Утверждение темы курсовой работы. Анализ технического задания. | неделя | 10 | 10 |
| Поиск материалов в Интернете, перевод наиболее интересных статей | неделя | 30 | 30 | |
| 3 | Разработка функциональной модели | неделя | 25 | 25 |
| 4 | Разработка информационной модели | неделя | 20 | 20 |
| 6 | Оформление пояснительной записки. Подготовка к защите курсовой работы | неделя | 15 | 15 |
Студент ________________________
(подпись, дата)
Руководитель работы_________________________
(подпись, дата)
Реферат
В ходе выполнения данной курсовой работы была разработана модель разграничения доступа мандатного (полномочного) типа. Курсовая работа содержит 27 страниц, 17 рисунков.
В работе рассматривается мандатная (полномочная) система разграничения доступом. Суть ее такова, что в СЗИ вводятся уровни безопасности, или иначе уровни секретности. Работники с самым высоким уровнем безопасности могут работать с документами самой высокой степени секретности.
В качестве среды моделирования использовалась программа Design/IDEF 3.5. Посредством этой программы были разработаны функциональная и информационная модели проектируемой системы разграничения доступа мандатного (полномочного) типа. Для динамического моделирования использовалась программа построения сетей Петри Graf.
Содержание
Введение
1 Описание системы мандатного разграничения доступа
2 Разработка функциональной модели
2.1 Первый уровень функциональной модели
2.2 Второй уровень функциональной модели
2.3 Третий уровень функциональной модели
2.4 Четвертый уровень функциональной модели
2.5 Пятый уровень функциональной модели
3 Разработка информационной модели
4 Разработка динамической модели
Заключение
Список использованной литературы
Введение
Необходимость использования механизмов для разграничения прав доступа возникла довольно давно. В любой компьютерной системе, которая предоставляется для множества пользователей, необходимо тщательно продумать политику безопасности для обеспечения трех основных концепций защиты информации:
- конфиденциальность информации,
- целостность информации,
- доступность информации;
Основу для установки, анализа и применения политик безопасности в многопользовательских системах предоставляют модели контроля доступа. Обычно эти модели определяются в терминах известных обобщений субъектов, объектов и прав доступа.
Разграничив области доступа можно значительно снизить вероятность ошибок операторов. Система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах. Средства логического разграничения доступа определяют действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информационными ресурсами, процессами, устройствами и т. п.). Такие средства позволяют также обеспечить контроль (поддерживают режим протоколирования) за совершением этих действий. В отличие от физического управления доступом, которое осуществляется на операционном уровне, например, персоналом, регламентирующим доступ пользователя в специальные помещения (компьютерные классы), в данном случае имеется в виду доступ, который обеспечивается программно-техническими средствами.
1 Описание системы мандатного разграничения доступа
Исходным толчком к разработке мандатной политики послужили проблемы с контролем распространения прав доступа, и, в особенности, проблема «троянских» программ в системах с дискреционным доступом. Исследователи и критики дискреционной политики, понимая, что основная проблема дискреционных моделей заключается в отсутствии контроля за информационными потоками, проанализировали, каким образом подобные проблемы решаются в секретном делопроизводстве.
Было отмечено следующее:
-
Разграничение доступа и порядок работы с конфиденциальными «бумажными» документами организуется на основе парадигмы градации доверия определенным группам работников в отношении государственных секретов определенной степени важности. С этой целью вводиться система уровней безопасности, или иначе уровней секретности. Работники с самым высоким уровнем безопасности (уровнем доверия), могут работать с документами самой высокой степени секретности. На более низком уровне доверия, т.е. на более низком уровне безопасности, вводятся ограничения в отношении работы с документами более высокой степени секретности и т.д. Соответственно, все работники получают так называемый допуск к работе с секретными документами определенного уровня, а документы снабжаются определенной меткой, отражающей требования к уровню безопасности при работе с ними, - так называемы гриф секретности.
-
Критерием безопасности является невозможность получение информации из документов определенного уровня безопасности работником, чей уровень безопасности, т.е. уровень доверия, ниже, чем уровень безопасности соответствующих документов.
Данный критерий безопасности фактически означает запрет определенных информационных потоков, которые трактуются как опасные или недопустимые.
Кроме того, были проанализированы правила и система назначений, изменений, лишений и т.д. допусков сотрудников к работе с секретными документами, правила создания, уничтожения документов, присвоения или изменения грифов их секретности, в том числе и рассекречивания, а также другие особенности работы с секретными документами. В частности было отмечено, что получения доступа к документам различаются в зависимости от характера работы с ними – изучение (чтение) или изменение (создание, уничтожение, внесение дополнений, редактирование, т.е. запись в них). На этой основе было выявлено два основных правила, гарантирующих безопасность:
Правило 1 (no read up (NRU) – нет чтения вверх). Работник не имеет права знакомиться с документом (читать), гриф секретности (уровень безопасности) которого выше его степени допуска (уровня безопасности).
Правило 2 (no write down (NWD) – нет записи вниз). Работник не имеет права вносить информацию (писать) своего уровня безопасности в документ с более низким уровнем безопасности (с более низким грифом секретности).
Первое правило является естественным и очевидным способом обеспечения безопасности при осуществлении информационных потоков из документов к работникам и иначе может быть сформулировано так: - работнику нельзя получать информацию, уровень секретности которой выше его уровня доверия. Второе правило обеспечивает безопасность при осуществлении информационных потоков от работника к документу и иначе может быть сформулировано так: - работнику нельзя передавать информацию своего уровня секретности в тех случаях, когда в результате передачи с ней могут ознакомиться работники с более низким уровнем безопасности.
Формализация данных механизмов разграничения доступа в секретном делопроизводстве применительно к субъектно-объектой модели компьютерной системы показала необходимость решения ряда следующих задач:
- разработка процедур формализации правила NRU, и в особенности правила NWD;
- построение формального математического объекта и процедур, адекватно отражающих систему уровней безопасности (систему допусков и грифов секретности).
Нетрудно увидеть, что при представлении работников, работающих с секретными документами, субъектами доступа, а секретных документов в качестве объектов доступа компьютерной системы, буквальное следование правилу NWD приводит к автоматическому включению в механизмы обеспечения безопасности субъективного фактора в лице субъекта-пользователя, который при внесении информации в объекты-документы, с более низким грифом секретности должен субъективно оценить соответствие вносимой информации уровню безопасности документа. Задача исключения данного субъективного фактора может решаться различными способами, самым простым из которых является полный запрет изменения субъектами (доступ write) объектов с уровнем безопасности, более низким, чем уровень безопасности соответствующих субъектов.
При этом, однако, помимо существенного снижения функциональности компьютерной системы, логика такого запрета, автоматически приводит к «не запрету» (т.е. к разрешению) возможностей изменения объектов-документов с более высоким уровнем безопасности, чем уровень безопасности соответствующих субъектов-пользователей. Действительно, внесение информации более низкого уровня секретности в объекты с более высоким уровнем секретности не может привести к нарушению безопасности системы в смысле рассмотренного выше критерия безопасности.
В качестве основы для решения второй задачи при создании моделей мандатного доступа был использован аппарат математических решеток.
Введем следующие определения.
Определение 1. Решеткой уровней безопасности AL называется формальная алгебра AL(L, ≤, •, 
),
где L – базовое множество уровней безопасности;
≤ - оператор, который определяет частичное нестрогое отношение порядка для элементов множества L, обладающее свойствами антисимметричности, транзитивности и рефлективности:
(рефлективность);
(антисимметричность);
(транзитивность).
• - оператор, задающий для любой пары 
элементов множества L единственный элемент наименьшей верхней границы:
- оператор, задающий для любой пары элементов множества L наибольшей нижней границы:
Определение 2. Функцией уровня безопасности FL:X→L называется однозначное отображения множества сущностей компьютерной системы X=S
O во множество уровней безопасности L решетки AL.
Обратное отображение FL-1:L→X задает разделение всех сущностей компьютерное системы на классы безопасности 
такие, что:
где N – мощность базового множества уровней безопасности L;
где 
где 
Покажем, что введенная решетка и функция уровней безопасности адекватно отражают парадигму градуированного доверия и критерий безопасности систем на ее основе.
-
Предположим, что информация может передаваться от сущностей класса
![]()
к сущностям класса ![]()
и наоборот, т.е. от сущности класса ![]()
к сущностям класса ![]()
. Тогда для выполнения критерия безопасности сущности классов ![]()
и ![]()
должны образовывать один общий класс ![]()
. Для того, чтобы не создавать избыточных классов, необходимо, чтобы отношение, задаваемое оператором доминирования ![]()
, было антисимметричным. -
Предположим, что информация может передаваться от сущностей класса
![]()
к сущностям класса ![]()
, и, кроме того, от сущностей класса ![]()
к сущностям класса ![]()
. Если каждая такая передача безопасна в отдельности, то, очевидно, безопасна и передача информации от сущностей класса ![]()
к сущностям класса ![]()
. Таким образом, отношение, задаваемое оператором ![]()
, должно быть транзитивным. -
Внутри класса сущности имеют одинаковый уровень безопасности. Следовательно, передача информации между сущностями одного класса безопасна. Отсюда следует сравнимость по оператору
![]()
сущностей одного класса между собой и самих собой, т.е. рефлективность отношения ![]()
. -
Предположим, что имеется два различных класса сущностей
![]()
и ![]()
. Тогда, из соображений безопасности, очевидно, что существует только один класс ![]()
, потоки от сущностей которого безопасны по отношению к сущностям класса ![]()
или класса ![]()
, совпадающий с классом ![]()
или с классом ![]()
, и не имеется никакого другого класса ![]()
, менее безопасного чем ![]()
, и с такими же возможностями по потокам к сущностям классов ![]()
и ![]()
. Это означает, что ![]()
должен быть наименьшей верхней границей по уровням безопасности классов ![]()
и ![]()
. -
Аналогично по условиям предыдущего пункта должен существовать ближайший снизу к классам
![]()
и ![]()
класс ![]()
, такой, что потоки от сущностей классов ![]()
и ![]()
к сущностям класса ![]()
безопасны, и совпадающий с классом ![]()
или с классом ![]()
, при этом не имеется никакого другого класса ![]()
, более безопасного, чем ![]()
, и с такими же возможностями по потокам от сущностей классов ![]()
и ![]()
. Это означает, что ![]()
должен быть наибольшей нижней границей по уровням безопасности классов ![]()
и ![]()
.
и наоборот, т.е. от сущности класса 
. Для того, чтобы не создавать избыточных классов, необходимо, чтобы отношение, задаваемое оператором доминирования 
, было антисимметричным.
. Если каждая такая передача безопасна в отдельности, то, очевидно, безопасна и передача информации от сущностей класса 
, потоки от сущностей которого безопасны по отношению к сущностям класса 
, менее безопасного чем Таким образом, аппарат решетки и функция уровней безопасности адекватно отражают сущность принципов и отношений политики мандатного разграничения доступа, на базе которых строятся конкретные модели, специфицирующие, в том числе, формализацию правил NRU и NWD, а также другие особенности мандатного доступа.
