конструктивное описание политики
MLS.
Определение. В системе с двумя доступами r и w
политика MLS определяется следующими правилами доступа
Структура решетки очень помогает
организации поддержки политики MLS. В самом деле, пусть имеется последовательная цепочка информационных потоков
Если
каждый из потоков разрешен, то свойства решетки позволяют утверждать, что
разрешен сквозной поток 
. Действительно, если информационный поток
на каждом шаге разрешен, то 
, тогда по свойству
транзитивности решетки 
, то есть сквозной поток разрешен.
MLS
политика
в современных системах защиты реализуется через мандатный контроль
(или, также говорят, через мандатную политику). Мандатный контроль реализуется
подсистемой защиты на самом низком аппаратно-программном уровне, что позволяет эффективно
строить защищенную среду для механизма мандатного контроля. Устройство
мандатного контроля, удовлетворяющее некоторым дополнительным, кроме перечисленных,
требованиям, называется монитором обращений. Мандатный контроль еще называют обязательным,
так как его проходит каждое обращение субъекта к объекту, если субъект и объект
находятся под защитой системы безопасности. Организуется мандатный контроль
следующим образом. Каждый объект О имеет метку с информацией о классе c(O). Каждый
субъект также имеет метку, содержащую информацию о том, какой класс доступа c(S)
он имеет. Мандатный контроль сравнивает метки и удовлетворяет запрос субъекта S
к объекту О на чтение, если c(S)>c(0) и удовлетворяет запрос на запись, если
c(S)<c(0). Тогда согласно изложенному выше мандатный контроль реализует
политику MLS.
Политика MLS устойчива к атакам
"Троянским конем". На чем строится защита от таких атак поясним на
примере, являющимся продолжением примера1 из параграфа 3.2.
Пример 1. Пусть пользователи U1
и U2 находятся на разных уровнях, то есть c(U1)>c(U2).
Тогда, если U1 может поместить в объект О1 ценную
информацию, то он может писать туда и c(U2)<c(U1)<c(01),
то есть с(U2)<с(01). Тогда
любой "Троянский конь" Т, содержащийся в объекте O2,
который может считать информацию в О1, должен отражать соотношение
.
Тогда c(O2)>c(U2) и пользователь U2
не имеет право прочитать в O2, что делает съем в О1 и
запись в O2 бессмысленным.
Несколько слов о реализации
политики безопасности MLS в рамках других структур, внесенных в информацию.
Опять обратимся к примеру реляционной базы данных. Пусть структура РМ и
структура решетки ценностей MLS согласованы, как это было сделано в параграфе
1.6. Пусть в системе реализован мандатный контроль, который при обращении
пользователя U к базе данных на чтение позволяет извлекать и формировать
"обзор" только такой информации,
Главная / безопасность пк / методы защиты информации 