Курс лекций Защита Информации/Модель Харрисона-Рузза-Ульмана: различия между версиями

Содержимое удалено Содержимое добавлено
Нет описания правки
Нет описания правки
Строка 80:
<center><math>Q_{n+1}=C(Q_n)</math></center>
Каждое состояние определяется отношением доступа, которое существует между сущностями системы в виде множеств [[../Основные понятия и определения#Субъект доступа| субъектов]], [[../Основные понятия и определения#Объект доступа| объектов]] и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа для заданного начального состояния системы, должна существовать возможность определить множество состояний, в которых она сможет из него попасть. Это позволит задавать такие начальные условия, при которых система никогда не сможет попасть в нежелательное состояние с точки зрения безопасности. Следовательно, для построения системы с предсказуемым поведением, необходимо для задания начальных условий получить ответ на вопрос: сможет ли некоторый [[../Основные понятия и определения#Субъект доступа| субъект]] <math>S</math> когда-либо приобрести права доступа <math>R</math> для некоторого [[../Основные понятия и определения#Объект доступа| объекта]] <math>O</math>. Исходя из изложенного критерия безопасности в модели Харрисона-Руззо-Ульмана для заданной системы начальное состояние
<math>Q_0=(S_0,O_0,M_0)</math> является безопасным относительно права <math>R</math>, если не существует приминимая к <math>Q_o</math> последовательность команд, в результате которой право <math>R</math> будет занесено в ячейку матрицы <math>M</math>, в которой оно отсутствовало в состоянии <math>Q_0</math>.
 
Смысл данного критерия состоит в том, что для безопасной конфигурации системы [[../Основные понятия и определения#Субъект доступа| субъект]] <math>S</math> никогда не получит права доступа <math>R</math> к [[../Основные понятия и определения#Объект доступа| объекту]] <math>O</math>, если он не имел его изначально. Запрет внесения права <math>R</math> в ячейку матрицы не является решением задачи, в силу того, что удаление [[../Основные понятия и определения#Субъект доступа| субъекта]] или [[../Основные понятия и определения#Объект доступа| объекта]] приводит к уничтожению всех прав в соответствующей строке или столбце матрицы, но не влечет за собой уничтожение самого столбца или строки и сокращения размеров матрицы. Следовательно, если в какой-либо ячейке в начальном состоянии существовало право <math>R</math> и после удаления [[../Основные понятия и определения#Субъект доступа| субъекта]] или [[../Основные понятия и определения#Объект доступа| объекта]], к которому относилось это право, ячейка будет очищена, но впоследствии в результате создания [[../Основные понятия и определения#Субъект доступа| субъекта]] или [[../Основные понятия и определения#Объект доступа| объекта]] появиться вновь и в эту ячейку с помощью команды <math>enter</math> снова будет занесено право <math>R</math>, то это не будет означать нарушение безопасности.