Курс лекций Защита Информации/Язык описания политики безопасности

Курс лекций Защита Информации/Текст с двух сторон Язык определения политики безопасности задается спецификациями.

Язык определения политики безопасности должен обладать достаточной выразительной силой. На основании предлагаемого языка необходимо иметь возможность описывать достаточно широкий круг политик безопасности.

Язык определения политики безопасности в зависимости от выбранных в политике безопасности правил разрешения доступа способен специфицировать

• закрытые политики безопасности (все разрешенные виды доступа должны быть специфицированы);
• открытые политики безопасности (все запрещенные виды доступа должны быть специфицированы);
• гибридные политики безопасности;
• гибридные политики безопасности с разрешенными противоречиями.

Язык определения политики безопасности должен определять корректные спецификации. Спецификация политики безопасности является корректной, если она непротиворечива и полна. Под непротиворечивостью спецификации понимается наличие только одного решающего правила для каждого доступа субъекта системы к объекту (доступ не может быть одновременно разрешен и запрещен). Под полнотой спецификации понимается существование правила для каждого доступа субъекта системы к объекту, запрещающего или разрешающего его. Если для некоторого доступа не определена авторизация, должно присутствовать разрешающее правило-умолчание.

Язык определения политики безопасности состоит из следующих множеств:

• ${\displaystyle \{O\}}$ — множество объектов;
• ${\displaystyle \{S\}}$ — множество субъектов;
  • ${\displaystyle \{U\}}$ — пользователи - отдельные пользователи, работающие с системой;
  • ${\displaystyle \{G\}}$ — группы - множества пользователей (единственным ограничением на членство в группе является ацикличность);
• ${\displaystyle \{R\}}$ — роли - именованные списки привилегий, необходимые для работы в системе (как и группы, роли могут быть организованы в иерархию).

Eсли ${\displaystyle S_{i}}$ член ${\displaystyle S_{j}}$ ( ${\displaystyle S_{i}\subseteq S_{j}}$ ), то ${\displaystyle S_{j}}$ не может быть членом ${\displaystyle S_{i}}$ ( ${\displaystyle S_{j}\nsubseteq S_{i}}$ ). Уровни ${\displaystyle S_{1}}$, ${\displaystyle S_{2}}$ и ${\displaystyle S_{3}}$ ничего не знают друг о друге.

Именованный список привилегий, необходимых для выполнения некоторых обязанностей в системе.

Отображение, которое отображает четверку ${\displaystyle O}$, ${\displaystyle U}$, ${\displaystyle R}$, ${\displaystyle a}$, состоящую из объектов, пользователей, ролей и действий, в множество либо авторизованное, либо запрещенное.

${\displaystyle auth:(O,U,R,a)\rightarrow \{authed,denied\}}$

Задав множество действий ${\displaystyle \{A\}}$, можно получить множество знаковых авторизованных типов ${\displaystyle ~SA=\{\pm a\mid a\in A\}}$.

Алфавит языка описания политик безопасности состоит из предикатов. Курс лекций Защита Информации/Определение

${\displaystyle cando(O,S,SA)=cando(O,S,\pm a),a\in A}$

Представляет авторизацию, определяемую системой с использованием логических правил

${\displaystyle dorcando(O,S,SA)=(O,S,\pm a),a\in A}$

Предикат представляет авторизацию, которую имеет каждый субъект для каждого объекта

${\displaystyle do(O,S,\pm a),a\in A}$

Предикат представляет или запрещает доступ для каждого субъекта к каждому объекту

${\displaystyle grant(O,S,R,\pm a),a\in A}$

Предикат представляет доступы, выполненные субъектом

${\displaystyle done(O,S,R,\pm a,n\in N),a\in A}$

${\displaystyle active(S,r)}$

${\displaystyle dirin(S_{i}),in(S_{j})}$

${\displaystyle typeof(O,t)}$

${\displaystyle error()}$

• На военную кафедру в аудитории A (для занятий по ГО и ЧС) могут входить все студенты, только вместе с преподавателем по ГО и ЧС, а также сам преподаватель.
• На военную кафедру в аудитории B (для занятий по военной подготовке) могут входить лишь учащиеся военной кафедры и офицеры.
• На военную кафедру в аудитории для преподавателей C, могут входить только офицеры, а также студенты, проходящие обучение на военной кафедре, с разрешения преподавателя.
• В кабинет директора E, может входить офицер исполняющий роль директора военной кафедры; а также офицеры и студенты, проходящие обучение на военной кафедре, только с разрешения директора военной кафедры.
• В пункты выдачи секретных тетрадей и материалов F, могут входить офицеры и учащиеся военной кафедры, которые исполняют роль секретчика взвода.
• Секретчики взвода получают секретную литературу(транспортируемую по военной кафедре в специальных чемоданах), в соответствии с уровнем секретности (С, СС, ОВ)
• Директор может входить во все аудитории и кабинеты, находящиеся на территории военной кафедры.
• В случае пожара, все секретчики берут с собой всю секретную литературу и несут за неё полную ответственность.
• В случае пожара все студенты и офицеры, находящиеся на территории военной кафедры, следуют к пожарному и основному выходам.
• На территории военной кафедры, всё, что не является разрешённым-запрещено.

• Cando (A, s, +access) ← s∈O or s∈D or s∈T;
• Cando (B, s, +access) ← s∈U or s∈O or s∈D;
• Cando (C, s, +access) ← s∈O or s∈D;
• Cando (E, s, +access) ← s∈D;
• Cando (F, s, +access) ← s∈D or s∈O.

---

• Dorcando (o, s, -action) ← ¬cando(o, s, +access).

---

• Do (A, s, +access) ← s∈S and done (A, t1, +access) and t1∈T;
• Do (C, s, +access) ← s∈U and done (C, o1, +access) and o1∈O;
• Do (E, s, +access) ← s∈U or s∈O and done(E, d1, +access) and d1∈D;
• Grant (F, s, r, +action) ← s∈Sec and r∈R;
• Dorcando (F, s, +access) ← s∈U и ∃ r∈R(U): r = Sec.

---

• Error() ← grant(F, Sec, r, +action) and grant(F, Sec, r, -action);
• Error() ← ¬grant(F, Sec, r, +action) and ¬grant(F, Sec, r, -action).

Курс лекций Защита Информации/Текст с двух сторон