Modele
bezpieczeństwa
danych
Modele
bezpieczeństwa
danych
Modele bezpieczeństwa
GK (OiBD(4) - 2011)
2
Formalny model bezpieczeństwa – model matematyczny
opisujący stan początkowy systemu informatycznego, sposób
przejścia do innego stanu oraz definicję „bezpiecznego” stanu
tego systemu.
Model może obejmować następujące mechanizmy ochrony:
uwierzytelnienie użytkownika,
szyfrowanie danych,
kontrolę dostępu,
kontrolę przepływu danych,
kontrolę możliwości wnioskowania,
audyt.
Najczęściej występującymi modelami bezpieczeństwa danych
są:
kratowy model zarządzania prawami dostępu do danych,
macierzowy model dostępu do danych,
model Bell-La Padula oraz model Biby dostępu do danych,
modele ochrony danych w bazach danych:
•
model Wooda,
•
model Sea View,
modele teoretycznych ograniczeń systemów bezpieczeństwa:
•
model Grahama- Denninga,
•
model Harrisona-Ruzzo-Ullmana (HRU),
•
model „take-grant”.
Modele bezpieczeństwa
GK (OiBD(4) - 2011)
3
Formalny model bezpieczeństwa jest definiowany
jako następująca piątka uporządkowana:
gdzie:
O
– zbiór obiektów podlegających ochronie,
Z
– zbiór zagrożeń,
B
– zbiór środków bezpieczeństwa,
R
– zbiór ścieżek penetracji,
P
– zbiór chronionych ścieżek penetracji.
(
)
SB
O,Z,B,R,P ,
=
Modele bezpieczeństwa
GK (OiBD(4) - 2011)
4
Kryteria klasyfikacji modeli systemów bezpieczeństwa:
polityka bezpieczeństwa (uznaniowa - DAC, obowiązkowa -
MAC),
typ systemu,
typ kontroli,
stosowane mechanizmy kryptograficzne.
Elementy opisu modeli systemów bezpieczeństwa:
obiekty,
podmioty,
tryby dostępu,
reguły kontroli dostępu,
autoryzacja,
uprawnienia,
aksjomaty.
Kratowy model dostępu do
danych
GK (OiBD(4) - 2011)
5
Kratowy model zarządzania prawami dostępu do
danych
opiera się na matematycznym pojęciu kraty. Krata
jest w istocie częściowo uporządkowanym zbiorem, w którym
dla każdej pary elementów można określić kres górny i dolny
[Szafrański B., Konopacki G.: Ocena efektywności kratowego modelu sterowania dostępem
do danych. Postępy cybernetyki, nr 3 (10), 1987.]
. Kratę definiuje się jako
następującą strukturę algebraiczną:
gdzie:
X
– skończony zbiór elementów,
– relacja częściowego porządku w zbiorze
X
,
,
– operator, odpowiednio, kresu górnego i dolnego par
elementów zbioru
X
.
Rozpatrywany model kratowy jest szczególnym
przypadkiem uogólnionego modelu zarządzania prawami
dostępu do danych zgodnie z zasadami wojskowej polityki
bezpieczeństwa. Każda dana (plik) musi być
przyporządkowana do jakiegoś poziomu tajności oraz muszą
być dla niej określone prawa dostępu, opisane znaną regułą,
że dana jest ujawniana tylko tym osobom, które jej
potrzebują do realizacji swoich zadań. Te prawa dostępu
wynikają z kategorii tajności, określających zakres danych w
ramach pewnej tematyki.
(
)
X, , ,
,
���
GK (OiBD(4) - 2011)
6
Uogólniony model zarządzania prawami dostępu do
danych
można opisać za pomocą następującej piątki
uporządkowanej
[Szafrański B., Konopacki G.: Ocena efektywności kratowego
modelu sterowania dostępem do danych. Postępy cybernetyki, nr 3 (10), 1987.]
:
gdzie:
P
– skończony zbiór nazw użytkowników ( osób, programów,
procesów, systemów informatycznych),
B
– skończony zbiór nazw jednostek danych (plików,
elementów baz danych),
T
– skończony zbiór nazw operacji na danych,
– relacja zakresu operacji (
TT
),
HF
– skończony zbiór funkcji modelu.
Zakresem operacji
t
i
T
nazywa się zbiór operacji
{t
j
}
2
T
taki, że prawo wykonania operacji
t
i
implikuje prawo
wykonania dowolnej operacji ze zbioru
{t
j
}
.
Zakres operacji
{t
j
}
2
T
operacji
t
m
T
jest mniejszy
(równy) niż zakres operacji
{t
k
}
2
T
operacji
t
n
T
wtedy i
tylko wtedy, gdy
{t
j
} {t
k
}
.
(
)
AM
P,B,T, ,HF ,
=
Y
Kratowy model dostępu do
danych
GK (OiBD(4) - 2011)
7
Dla
t
m
t
n
T
zachodzi
(t
m
t
n
)
wtedy i tylko wtedy,
gdy zakres operacji
t
m
jest
mniejszy (równy) niż zakres
operacji
t
n
.
Proces dostępu do danych
jest następującym
zbiorem żądań dostępu do danych:
gdzie:
(
i
,
i
,
i
)
Z P B T
,
Z
- zbiór żądań dostępu do
danych.
HF
– zbiór funkcji modelu postaci:
HF={H1, H2, H3, HH}
,
H1
– funkcja przydziału operacji dostępu użytkownikom ze
zbioru
P
do obiektów ze zbioru
B
;
(H1: P
B T)
,
H2
– funkcja dostępu, która na podstawie żądania dostępu
do danych tworzy zezwolenie dostępu
H2: Z
A T T
w
taki sposób, że
(
i
,
i
,
i
) = (a
i
, b
i
),
gdzie
a
i
=
i
oraz
b
i
=
H1(
i
,
i
)
,
H3
–
H3: A
{
0,1}
w taki sposób, że:
(
)
(
)
(
)
{
}
1
1
1
i
i
i
I
I
I
, ,
,...,
, ,
,...,
, ,
,
a b g
a b g
a b g
P =
(
)
(
)
1
0
i
i
i
i
, jeżeli a ,b
,
H3 a ,b
w przypadku przeciwnym.
�
�Y
=�
�
Kratowy model dostępu do
danych
GK (OiBD(4) - 2011)
8
HH
– funkcja badania legalności procesu
;
HH:
{
0,1}
w
taki sposób, że:
Mechanizm zarządzania dostępem do danych oparty na
modelu
AM
funkcjonuje poprawnie, jeżeli zapewnia, że
wykona się tylko ten proces dostępu do danych
, dla
którego zachodzi
HH(
) = 1
.
Kratowym modelem zarządzania prawami dostępu do
danych nazywa się następującą czwórkę uporządkowaną:
gdzie:
P
,
B
,
HF
– jak w modelu
AM
,
AL
– krata zakresu operacji, która jest czwórką
uporządkowaną postaci:
gdzie oznaczenia jak w modelu
AM
. Ponadto wprowadza się
(jeżeli nie istnieją) do zbioru
T
uniwersalne
ograniczenie górne
t
max
i dolne
t
min
.
( )
(
)
(
)
i
i
i
i I
HH P =
H3 H2
, ,
.
a b g
�
�
(
)
LAM
P,B,AL,HF ,
=
(
)
AL
T, , ,
,
=
Y ��
Kratowy model dostępu do
danych
GK (OiBD(4) - 2011)
9
Macierzowy model dostępu do danych
może być
stosowanych do systemów operacyjnych (
Lampson, 1971)
i
baz danych (modele
ogólne Harrison, Ruzzo, Ullman, 1976.)
.
Omawiany model opiera się na tzw.
stanie ochrony
,
definiowanym jako następująca trójka uporządkowana:
gdzie:
P
– zbiór nazw podmiotów – użytkowników (osoby, programy,
procesy,
systemy informatyczne),
O
– zbiór nazw obiektów - jednostek danych dane, pliki,
elementy baz
danych, bazy danych oraz elementy zbioru
P
),
A
– macierz uprawnień podmiotów w stosunku do obiektów.
Występujące w modelu uprawnienia tworzą skończony zbiór
uprawnień
U
, obejmujący, między innymi:
R
– uprawnienie do odczytu,
W
– uprawnienie do zmiany zawartości,
Ap
– uprawnienie do dopisywania zawartości,
E
– uprawnienie do wykonywania programu,
N
– uprawnienie do zarządzania uprawnieniami do obiektu,
C
– uprawnienie do zarządzania uprawnieniami podmiotów
(użytkowników).
Macierzowy model dostępu do
danych
(
)
Q
P,O,A ,
=
GK (OiBD(4) - 2011)
10
Posiadanie przez podmiot uprawnienia typu
N
w
stosunku do obiektu
o
O
oznacza, że może on zarządzać
uprawnieniami innych podmiotów
tylko do tego obiektu
, a
więc innym podmiotom może nadawać uprawnienia do tego
obiektu, może również uprawnienia cofać.
Posiadanie przez podmiot uprawnienia typu
C
w
stosunku do innego podmiotu
p
P
oznacza, że może on
zarządzać uprawnieniami
tylko tego podmiotu
, a więc może
mu nadawać uprawnienia do wszystkich, bądź niektórych
obiektów, może również uprawnienia cofać.
W praktyce problem zarządzania uprawnieniami jest
możliwy do rozwiązania również i w inny sposób, np. poprzez
zastąpienie uprawnień typu
N
i
C
tzw. znacznikami:
kopiowania (*) i przekazywania (+) (Denning (1992)).
Znacznik kopiowania (*)
związany z dowolnym uprawnieniem
określonego podmiotu w stosunku do określonego obiektu
oznacza, że może on to uprawnienie do tego obiektu nadać
innemu podmiotowi. Takie postępowanie nie powoduje
utraty przekazanego uprawnienia przez jego pierwotnego
właściciela, ale zwiększa zbiór podmiotów dysponujących
takim samym uprawnieniem do tego samego obiektu.
Znacznik przekazywania (+)
związany z dowolnym
uprawnieniem określonego podmiotu w stosunku do
określonego obiektu oznacza, że może on to uprawnienie do
tego obiektu przekazać innemu podmiotowi, łącznie ze
znacznikiem (+).
Macierzowy model dostępu do
danych
GK (OiBD(4) - 2011)
11
Takie postępowanie powoduje utratę przekazanego
uprawnienia przez jego pierwotnego właściciela na rzecz
właściciela nowego, co zmienia zbiór podmiotów
dysponujących takim samym uprawnieniem do tego samego
obiektu, ale go nie zwiększa.
Modelowy zbiór uprawnień dostępu do bazy danych
może być w zależności od potrzeb modyfikowany poprzez
dołączanie warunków, których spełnienie umożliwia dopiero
dysponowanie uprawnieniem. Mogą to być warunki
nakładane na wartości danych, czas dostępu, kontekst
danych, częstość dostępu tego samego podmiotu itp. Zbiór
uprawnień poszerzony o zbiór warunków zwykle nosi nazwę
zbioru reguł decyzyjnych
. Przykłady reguł decyzyjnych:
podmiot mający uprawnienie czytania danej może z niego
skorzystać, jeżeli wartość danej nie przekracza ustalonej
wartości progowej,
podmiot mający uprawnienie czytania danej może z niego
skorzystać, jeżeli wartość danej czytanej i wartość innej
danej z nią związanej pozostają względem siebie w
określonej relacji,
podmiot mający uprawnienie czytania danej może z niego
korzystać tylko w czasie służbowym.
Macierzowy model dostępu do
danych
GK (OiBD(4) - 2011)
12
Centralnym elementem modelu macierzowego jest
macierz uprawnień
. Ma ona następującą strukturę:
przy czym
(p
k
, o
i
)
oznacza zbiór uprawnień podmiotu
p
k
do
obiektu
o
i
.
Zarządzanie w rozpatrywanym modelu jest
realizowane za pomocą następujących elementarnych
operacji ochrony:
dodanie uprawnienia,
odebranie uprawnienia,
utworzenie nowego podmiotu,
usunięcie podmiotu,
utworzenie nowego obiektu,
usunięcie obiektu.
Przykład: (administrator, dane_pesronalne_pracownika)
-={
R
,
W
,
E
,
N
}.
Macierzowy model dostępu do
danych
GK (OiBD(4) - 2011)
13
Wykonanie każdej z wymienionych operacji powoduje zmianę
stanu ochrony
Q
na stan
Q`
, (
Q =(P, O, A)
Q`(P`, O`, A`)
).
Wyniki wykonania poszczególnych operacji:
dodanie uprawnienia
u
do zbioru uprawnień
(p
k
, o
i
)
:
•P`
=
P
,
•O`
=
O
,
•(p
k
, o
i
)`
=
(p
k
, o
i
)
{
u
}
,
•
(l{1,2,…,K}\{k}) (j{1,2,…,I}\{i}) (
(p
l
, o
i
)`
=
(p
l
, o
j
)
),
odjęcie (odebranie) uprawnienia
u
ze zbioru uprawnień
(p
k
,
o
i
)
:
•P`
=
P
,
•O`
=
O
,
•(p
k
, o
i
)`
=
(p
k
, o
i
)\{
u
}
,
•
(l{1,2,…,K}\{k}) (j{1,2,…,I}\{i}) (
(p
l
, o
i
)`
=
(p
l
, o
j
)
),
utworzenie nowego podmiotu
:
•P`
=
P
{
}
,
•O`
=
O
,
•
(
p
l
,
P
)
(
o
i
O
) (
(p
l
, o
i
)`
=
(p
l
, o
j
)
),
•
(
o
i
O`
) (
(
, o
i
)`
=
),
Macierzowy model dostępu do
danych
GK (OiBD(4) - 2011)
14
usunięcie podmiotu
:
• P`
=
P\{
}
,
• O`
=
O
,
•
(
p
l
,
P`
)
(
o
i
O`
) (
(p
l
, o
i
)`
=
(p
l
, o
j
)
),
utworzenie nowego obiektu
:
• P`
=
P
,
• O`
=
O
{
}
,
•
(
p
l
,
P
)
(
o
i
O
) (
(p
l
, o
i
)`
=
(p
l
, o
j
)
),
•
(
p
l
,
P`
) (
(p
l
,
)`
=
),
usunięcie obiektu
:
• P`
=
P
,
• O`
=
O\{
}
,
•
(
p
l
,
P`
)
(
o
i
O`
) (
(p
l
, o
i
)`
=
(p
l
, o
j
)
).
Opisane operacje elementarne umożliwiają definiowanie
różnych złożonych operacji ochrony, zmieniających stan
ochrony. Przy tworzeniu takich operacji należy liczyć się z
możliwością tzw.
przeciekania uprawnień
. Przeciekanie
uprawnienia ma miejsce wtedy, gdy w wyniku wykonania
złożonej operacji ochrony określone uprawnienie zostaje
włączone do zbioru uprawnień niewłaściwego podmiotu.
Macierzowy model dostępu do
danych
GK (OiBD(4) - 2011)
15
Model Bella–LaPaduli
jest zorientowany na ochronę
dostępu do systemów operacyjnych z kontrolą obowiązkową.
Model ten jest rozszerzeniem modelu macierzowego i
obejmuje ochronę plików, obszarów pamięci oraz
programów. Każdy z tych obiektów ma przypisany mu
poziom bezpieczeństwa, proporcjonalny do wrażliwości
(ceny, znaczenia) zawartych w nim danych. Każdy poziom
bezpieczeństwa jest definiowany jako para uporządkowana:
gdzie:
k
– klasa bezpieczeństwa; zbiór klas bezpieczeństwa jest
czteroelementowym zbiorem uporządkowanym
{J
(jawne),
F
(poufne),
T
(tajne),
S
(ściśle tajne)
}
, w którym
J<F<T<S
,
C
– zbiór kategorii bezpieczeństwa, który jest podzbiorem
nieuporządkowanego zbioru elementów,
charakterystycznych dla środowiska i obszaru zastosowań
systemu (np. zarząd, kierownik działu, ekspert).
Zbiór poziomów bezpieczeństwa tworzy
kratę
, co oznacza, że
poziom bezpieczeństwa
L
i
(k
i
,C
i
)
dominuje nad poziomem
L
j
(k
j
,C
j
)
(
L
i
L
j
) wtedy i tylko wtedy gdy jednocześnie
zachodzą:
k
i
k
j
oraz
C
j
C
i
. Jeżeli nie zachodzi żadna
relacja
L
i
L
j
oraz
L
i
L
j
, to oznacza, że poziomy
bezpieczeństwa
L
i
i
L
j
są
nieporównywalne
.
Model Bella–LaPaduli
(
)
L
k,C ,
=
GK (OiBD(4) - 2011)
16
Każdy
użytkownik
w systemie ma określony
poziom
autoryzacji
, tj. najwyższy osiągalny dla danego podmiotu
poziom bezpieczeństwa, umożliwiający mu rejestrowanie się
w systemie na dowolnym
poziomie bezpieczeństwa
nie
wyższym jednak niż jego poziom autoryzacji. Procesy
uruchamiane przez użytkownika otrzymują poziom
bezpieczeństwa równy jego poziomowi autoryzacji.
W rozpatrywanym modelu uwzględnia się uprawnienia do
obiektów, podobne do uprawnień, które występowały w
modelu macierzowym, tj.:
R
– uprawnienie do odczytu,
W
– uprawnienie do zmiany zawartości (implikuje
uprawnienie do czytania),
Ap
– uprawnienie do dopisywania zawartości bez możliwości
ich oglądu,
E
– uprawnienie do wykonywania programu.
Problem zarządzania uprawnieniami do obiektów jest
rozwiązywany poprzez przypisywanie uprawnienia
N
zarządzania obiektami. Właściciel (twórca) obiektu ma
uprawnienia do przekazywania i cofania dowolnego
uprawnienia do tego obiektu innym użytkownikom, z
wyjątkiem uprawnienia
N
.
Niech – jak w modelu macierzowym –
O
– zbiór
obiektów,
P
– zbiór podmiotów,
T
– zbiór uprawnień oraz
L
–
zbiór poziomów bezpieczeństwa.
Model Bella–LaPaduli
GK (OiBD(4) - 2011)
17
Stanem bezpieczeństwa systemu
nazywa się czwórkę
uporządkowaną:
gdzie:
D
– zbiór aktualnych uprawnień podmiotów do obiektów (
D =
{(p,o,t): p
P, o
O, t
T}
, przy czym
(p,o,t)
oznacza aktualne
uprawnienia
t
do obiektu
o
posiadane przez podmiot
p
),
A
– macierz uprawnień, które może mieć każdy podmiot do
poszczególnych obiektów (jak w modelu macierzowym),
g
– funkcja poziomu bezpieczeństwa obiektu lub poziomu
bezpieczeństwa podmiotu,
H
– bieżąca hierarchia obiektów, którą stanowi drzewo
obiektów (jego wierzchołki) przy czym poziom bezpieczeństwa
każdego obiektu nie może być niższy niż poziom bezpieczeństwa
jego rodzica.
Funkcja
g: O
P
L
przypisuje:
każdemu
obiektowi
tylko jeden poziom bezpieczeństwa
g
o
L
w
chwili jego tworzenia,
każdemu
podmiotowi
dwa poziomy bezpieczeństwa: poziom
autoryzacji
g
a
(p)
L
i bieżący poziom bezpieczeństwa
g
b
(p)
L
,
który może być zmieniany stosownie do potrzeb i sytuacji, ale
nie może on być wyższy niż poziom autoryzacji (
g
a
(p)
g
b
(p)
).
Model Bella–LaPaduli
(
)
Q
D,A,g,H ,
=
GK (OiBD(4) - 2011)
18
Stan bezpieczeństwa systemu
Q=(D,A,g,H)
może
zostać zmieniony na
Q`=(D`,A`,g`,H`)
po wykonaniu jednej z
następujących operacji:
inicjuj(p,o,t)
– inicjowanie dostępu podmiotu
p
do obiektu
o
w żądanym trybie dostępu
t
,
•D`
=
D
(p,o,t),
•A`
=
A
,
•g`
=
g
,
•H`
=
H
,
cofnij(p,o,t)
– cofnięcie zainicjowanego dostępu podmiotu
p
do obiektu
o
w żądanym trybie dostępu
t
,
•D`
=
D\(p,o,t),
•A`
=
A
,
•g`
=
g
,
•H`
=
H
,
przekaż_t(p,p`,o,t)
– przekazanie przez podmiot
p
podmiotowi
p`
uprawnienia dostępu do obiektu
o
w trybie
dostępu
t
,
•D`
=
D,
•(p`,o)`
=
(p`,o)
{t}
A`
=
A
(p`,o)`
,
•g`
=
g
,
•H`
=
H
,
Model Bella–LaPaduli
GK (OiBD(4) - 2011)
19
unieważnij_t(p,p`,o,t)
– odebranie przez podmiot
p
od
podmiotu
p`
wcześniej przekazanego mu uprawnienia
dostępu do obiektu
o
w żądanym trybie dostępu
t
,
• (p`,o)`
=
(p`,o)\{t}
,
• D`
=
D\(p`,o,t)
,
• A`
=
A\(p`,o)`
,
• g`
=
g
,
• H`
=
H
,
utwórz_obiekt(o)
– dodanie obiektu nieaktywnego
o
do
hierarchii obiektów,
• D`
=
D,
• A`
=
A
,
• g`
=
g
,
• H`
=
H
{o}
,
usuń_obiekt(o)
– usuwanie obiektu aktywnego
o
do
hierarchii obiektów,
• D`
=
D,
• g`
=
g
,
• H`
=
H
,
• H`
=
H\{o}
,
Model Bella–LaPaduli
GK (OiBD(4) - 2011)
20
zmień_poziom_bezp_podmiotu(p)
– zmiana poziomu
bezpieczeństwa podmiotu
p
,
• L`=L
g`
b
(p)|g`
b
(p)
g
a
(p)
,
• D`
=
D
,
• A`
=
A
,
• g`
=
g
,
• H`
=
H
,
zmień_poziom_bezp_obiektu(p,o)
– zmiana poziomu
bezpieczeństwa obiektu
o
przez podmiot
p
,
• L`=L
g`
o
(o)|g`
o
(o)>g
o
(o)
g`
o
(o)
g
a
(p)
,
• D`
=
D,
• A`
=
A
,
• g`
=
g
,
• H`
=
H
.
W modelu wprowadzono pojęcie
podmiotu zaufanego
, który
gwarantuje utrzymanie bezpieczeństwa poprzez kontrolę i
ewentualne nakładanie ograniczeń na żądania
formułowane przez podmioty nie mające statusu podmiotu
zaufanego.
Model Bella–LaPaduli
GK (OiBD(4) - 2011)
21
Właściwości systemu bezpieczeństwa są opisywane za
pomocą następujących aksjomatów:
1.Aksjomat bezpieczeństwa prostego
. Podmiot może mieć
uprawnienia czytania (
R
) lub pisania (
W
) do obiektu wtedy i
tylko wtedy, gdy poziom autoryzacji podmiotu jest poziomem
bezpieczeństwa równym lub wyższym niż pozom
bezpieczeństwa obiektu.
2.Aksjomat gwiazdki
. Stan
Q=(D,A,g,H)
systemu spełnia
aksjomat
gwiazdki
wtedy i tylko wtedy, gdy dla każdego
podmiotu
p
P '
, gdzie
P’
P
jest zbiorem podmiotów
niebędących zaufanymi i dla każdego obiektu
o
O
są
spełnione następujące warunki:
•t
A(p,o) g
o
(o) ≥ g
b
(p)
-
podmiot nie będący zaufanym
może mieć uprawnienie
t
do obiektu, jeżeli poziom
bezpieczeństwa obiektu jest nie niższy niż aktualny poziom
bezpieczeństwa podmiotu,
•R
A(p,o) g
o
(o) ≤ g
b
(p)
-
podmiot nie będący zaufanym
może mieć uprawnienie
czytania (R)
do obiektu, jeżeli
aktualny poziom bezpieczeństwa podmiotu jest nie niższy niż
poziom bezpieczeństwa obiektu,
•W
A(p,o) g
o
(o) = g
b
(p)
-
podmiot nie będący zaufanym
może mieć uprawnienie
pisania (W)
do obiektu, jeżeli
aktualny poziom bezpieczeństwa podmiotu jest równy
poziomowi bezpieczeństwa obiektu,
Model Bella–LaPaduli
GK (OiBD(4) - 2011)
22
3. Aksjomat stałości
. Żaden podmiot nie może modyfikować
klasyfikacji aktywnego obiektu (model pierwotny). W
modelach współczesnych dopuszcza się możliwość takiej
modyfikacji, której reguły mogą być tworzone odrębnie
dla każdego systemu informatycznego, uwzględniając jego
specyfikę.
4. Aksjomat bezpieczeństwa uznaniowego
. Stan systemu
spełnia aksjomat bezpieczeństwa uznaniowego wtedy i
tylko wtedy, gdy dla każdego podmiotu
p
, każdego obiektu
o
i każdego uprawnienia
t
jest spełniona implikacja
(p,o,t)
D t A(p,o)
.
5. Aksjomat niedostępności obiektu nieaktywnego
. Stan
Q=(D,A,g,H)
systemu spełnia aksjomat niedostępności
obiektu nieaktywnego wtedy i tylko wtedy, gdy dla
każdego podmiotu
p
i każdego obiektu nieaktywnego
o
zachodzi implikacja
(p,o,t)
D t R t W
.
6. Aksjomat niezależności stanu początkowego
. Nowo
aktywowany obiekt ma stan początkowy
Q
0
niezależny od
poprzednich aktywacji tego obiektu.
Model Bella–LaPaduli
GK (OiBD(4) - 2011)
23
Model Biby
jest podobny do modelu Bella-LaPaduli -
stosuje się w nim takie same pojęcia podmiotów i obiektów
oraz ich klasyfikacje. Podmiotom i obiektom przypisuje się
stosowny
poziom integralności
, który:
w przypadku
użytkownika
jest miarą posiadanego przez
niego zaufania w zakresie operacji na danych (taki sam
poziom integralności uzyskują procesy uruchamiane w
imieniu użytkownika),
w przypadku
obiektu
jest miarą zaufania pokładanego w
zawartych w nim danych i koszt ich nieautoryzowanej zmiany
lub przejęcia.
Poziom integralności
(w modelu Bella-LaPaduli –
poziom
bezpieczeństwa) jest definiowany jako para uporządkowana,
w której pierwszy element należy do
zbioru klasyfikacji
K
,
a
drugi - do zbioru kategorii
C
. Klasyfikacja
K
obejmuje
następujące elementy:
R
– krytyczny,
BW
– bardzo ważny,
W
– ważny,
przy czym zachodzi
W<BW<R
.
Zbiór kategorii
C
jest podzbiorem pewnego
niehierarchicznego zbioru jak w modelu Bella-LaPaduli.
Zbiór poziomów integralności tworzy kratę, częściowo
uporządkowaną ze względu na relację
≥
. Relacje zachodzące
między różnymi poziomami integralności - jak w modelu
Bella-LaPaduli.
Model Biby
GK (OiBD(4) - 2011)
24
Model uwzględnia następujące uprawnienia:
R
– uprawnienie do odczytu,
W
– uprawnienie do zapisywania danych,
E
– uprawnienie do wykonywania programu,
I
– uprawnienie do ustanawiania komunikacji między
podmiotami (komunikować się między sobą mogą tylko
podmioty posiadające to uprawnienie).
Niestety model Biby nie rozwiązuje problemu
administrowania uprawnieniami - nie występuje uprawnienie
posiadania obiektu (uprawnienie
N
w modelu Bella-
LaPaduli).
W modelu Biby nie występuje także jedna ustalona
strategia bezpieczeństwa – proponuje się następujące klasy
strategii bezpieczeństwa:
strategie uznaniowe (DAC):
•
hierarchia obiektów,
•
lista kontroli dostępu,
•
strategia pierścieniowa,
strategie obowiązkowe (MAC):
•
strategia dla podmiotów,
•
strategia dla obiektów,
•
strategia audytu,
•
strategia pierścieniowa,
•
strategia rygorystycznej integralności.
Model Biby
GK (OiBD(4) - 2011)
25
W
strategiach uznaniowych
szczególna uwaga
zwrócona jest na kontrolę dostępu do indywidualnych
obiektów.
Hierarchia obiektów
. W tej strategii obiekty są
zorganizowane hierarchicznie, tworząc drzewo, co powoduje,
że uzyskanie dostępu do żądanego obiektu uwarunkowane
jest posiadaniem prawa do czytania (
R
) wszystkich jego
przodków.
Lista obiektów
. Obiekty mają przypisaną indywidualnie listę
kontroli dostępu, wskazującą podmioty, które mogą mieć
dostęp do obiektu oraz uprawnienia tych podmiotów. Lista
kontroli dostępu do obiektu może być modyfikowana przez
podmiot mający uprawnienie
W
do obiektu zawierającego tę
listę.
Strategia pierścieniowa
. Podmioty mają przypisane
indywidualnie atrybuty uprzywilejowania w postaci
numerowanych pierścieni według zasady: im niższy numer
pierścienia tym większe uprzywilejowanie. W strategii
pierścieniowej obowiązują następujące aksjomaty:
podmiot może mieć uprawnienia
R
oraz
W
do obiektów tylko
w dozwolonym zakresie numerów pierścieni,
podmiot może mieć uprawnienie
I
do podmiotów o
wyższym
uprzywilejowaniu
tylko w
dozwolonym przedziale numerów
pierścieni
oraz jednocześnie może mieć to uprawnienie do
każdego podmiotu o przywileju niższym lub równym
.
Model Biby
GK (OiBD(4) - 2011)
26
Strategie obowiązkowe
bazują na poziomach
bezpieczeństwa
przypisanych do podmiotów, które determinują zasady
dostępu do obiektów.
Strategia dla podmiotów
. W strategii obowiązują następujące
aksjomaty:
podmiot może mieć uprawnienia
R
do dowolnego obiektu, a po
wykonaniu tej operacji poziom integralności podmiotu jest
zmieniany na równy najmniejszemu ograniczeniu górnemu
poziomów bezpieczeństwa podmiotu i obiektu przed dostępem,
podmiot może mieć uprawnienia
W
do obiektu wtedy i tylko
wtedy, gdy poziom integralności podmiotu nie jest niższy niż
poziom integralności obiektu,
podmiot
p
i
może mieć uprawnienie
I
do podmiotu
p
j
wtedy i
tylko wtedy, gdy poziom integralności podmiotu
p
i
nie jest niższy
niż poziom integralności podmiotu
p
j
.
Cechy strategii:
możliwa zmiana poziomu bezpieczeństwa podmiotu po
wykonaniu operacji
R
na obiektach o niższym lub
nieporównywalnym poziomie bezpieczeństwa,
dostęp do systemu może zależeć od kolejności przedkładanych
żądań dostępu,
zbiór obiektów modyfikowanych przez dany podmiot zmienia się
wskutek wykonania operacji przez podmiot na obiekcie o
niższym lub nieporównywalnym poziomie bezpieczeństwa,
podmiot może mieć zabronione wykonanie żądania
W
lub
I
, gdy
pojawią się one po wykonaniu operacji
R
, obniżającej poziom
integralności podmiotu.
Model Biby
GK (OiBD(4) - 2011)
27
Strategia dla obiektów
. W tej strategii podmiot może mieć
uprawnienia
W
do obiektu na dowolnym poziomie
integralności, ale po wykonaniu każdej takiej operacji
poziom integralności obiektu jest zmieniany i staje się równy
największemu ograniczeniu dolnemu poziomów integralności
podmiotu i obiektu przed wykonaniem operacji.
Cechy strategii:
pozwala na zmianę poziomów bezpieczeństwa obiektów, na
których wykonano operację
W
,
dopuszcza niewłaściwe modyfikacje, gdy poziom integralności
niewłaściwie modyfikowanych obiektów jest obniżany, w
rezultacie czego może dojść do zastąpienia danych o wysokiej
integralności danymi o niskiej integralności i uniemożliwieniem
odzyskania danych wysokiego poziomu, które uległy zmianie.
Strategia audytu
jest odmianą strategii dla obiektów, w
której poziomy integralności są ustalone. Mówi ona, że
podmiot może mieć uprawnienia
W
do obiektu na dowolnym
poziomie integralności. Jeżeli podmiot modyfikuje obiekt na
poziomie integralności wyższym lub nieporównywalnym, to
narusza bezpieczeństwo i takie sytuacje są odnotowane w
stosownym dzienniku.
Nie można zapobiec niewłaściwym modyfikacjom
danych, lecz wykonuje sie je w sposób kontrolowany, a
rzeczywisty poziom integralności można wyznaczyć
przeglądając dziennik. Istnieje możliwość dopuszczenia do
niewłaściwych modyfikacji.
Model Biby
GK (OiBD(4) - 2011)
28
Strategia pierścieniowa
. W strategii pierścieniowej poziomy
integralności podmiotów i obiektów nie podlegają zmianom.
Strategia jest oparta na następujących aksjomatach:
podmiot może mieć uprawnienie
R
do obiektów o dowolnym
poziomie integralności,
podmiot może mieć uprawnienia
W
do obiektu, gdy poziom
integralności podmiotu jest nie niższy niż poziomu integralności
obiektu,
podmiot
p
i
może mieć uprawnienie
I
do podmiotu
p
j
,
jeżeli poziom
integralności podmiotu
p
i
nie jest wyższy niż poziom integralności
podmiotu
p
j
.
Mankamentem strategii jest to, że jeżeli uprawnienie
R
nie jest
ograniczone, to niewłaściwe operacje modyfikacji mogą wystąpić
pośrednio, gdy podmiot
wysokiego poziomu wykonuje uprawnienie
R
na obiekcie o
niższym poziomie integralności i później modyfikuje ten obiekt
na swoim własnym poziomie.
Strategia rygorystycznej integralności
.
Strategia jest oparta na
następujących aksjomatach:
podmiot może mieć uprawnienie
R
do obiektu, jeżeli poziom
integralności podmiotu jest zdominowany przez poziom
integralności obiektu,
podmiot może mieć uprawnienia
W
do obiektu, gdy poziom
integralności podmiotu jest nie niższy niż poziomu integralności
obiektu,
podmiot
p
i
może mieć uprawnienie
I
do podmiotu
p
j
wtedy i tylko
wtedy, gdy poziom integralności podmiotu
p
i
nie jest niższy niż
poziom integralności podmiotu
p
j
.
Model Biby
GK (OiBD(4) - 2011)
29
Model Wooda
powstał w 1979 r. Jest zorientowany na
bezpieczeństwo baz danych opartych na trójpoziomowej
architekturze ANSI/SPARC:
Model Wooda zapewnia uznaniowe bezpieczeństwo baz
danych, do których zasady dostępu są definiowane jako
następujące czwórki uporządkowane:
gdzie:
s
– podmiot żądający dostępu do bazy danych,
o
– obiekty bazy danych poziomu konceptualnego i
zewnętrznego (elementy modelu ER bazy danych),
t
– tryb żądanego dostępu,
p
– dodatkowy warunek (predykat), od którego zależy
ważność reguły dostępu.
Model Wooda
(
)
Schematy
Schemat
Schemat
Użytkownicy
zewnętrzne
konceptualny
wewnętrzny
użycia
�
�
�
(
)
s,o,t, p
GK (OiBD(4) - 2011)
30
Obiekty poziomu konceptualnego
to klasy: jednostek,
związków, atrybutów.
Przykłady:
klas jednostek
:
STUDENT
,
PRZEDMIOT
,
GRUPA
,
klas związków
:
słucha_wykładów_z
,
należy_do
,
klas atrybutów
:
NrAlbumu
,
Imię
,
Nazwisko
,
NazwaPrzedmiotu
,
IdGrupy
.
IdWydziału
,
Semestr
,
Związki są określone na klasach jednostek, np.:
słucha_wykładów_z
STUDENT
,
PRZEDMIOT
należy_do
STUDENT
,
GRUPA
Obiekty poziomu zewnętrznego
to kategorie: tabel bazowych
(ekstensjonalnych), widoków (tabele wirtualne), kolumn.
Przykłady:
tabel bazowych
:
STUDENT(
NrAlbumu
,
Imię
,
Nazwisko,
IdWydziału)
, reprezentująca związek
należy_do
:
Stud_Gr(NrAlbumu
,
IdGrupy)
,
widoków
:
create view
STUDENT_W
as select
Imię
,
Nazwisko
from
STUDENT
where
Semestr > 3
,
kolumn
:
Imię
,
Nazwisko
.
Model Wooda
GK (OiBD(4) - 2011)
31
Na każdym poziomie (konceptualnym i zewnętrznym)
bazy danych jest definiowany zbiór operacji, tzw.
tryby
dostępu (TD)
.
Tryby dostępu:
poziom konceptualny
:
•
TD
jednostka
={dołączanie, usuwanie},
•
TD
związek
= {dołączanie, usuwanie, używanie},
•
TD
atrybut
={aktualizowanie, czytanie, używanie},
poziom zewnętrzny
:
•
TD
tablica
={dołączanie, usuwanie},
•
TD
kolumna
={aktualizowanie, czytanie, używanie}.
Przyjmuje się ponadto założenie, że uprawnienie
do
aktualizowania
nie implikuje uprawnienia
do czytania
.
Każda operacja na obiekcie zewnętrznym może
zostać odwzorowana na zbiór operacji na jednym lub wielu
obiektach konceptualnych. Funkcja odwzorowująca jest
definiowana dla każdej
tablicy
i każdej
kolumny
w bazie
danych i odwzorowuje operacje na tych obiektach w zbiory
operacji na obiektach poziomu konceptualnego. Jest
tworzona
tablica ograniczeń dostępu poziomu zewnętrznego
T
ODPZ
, której elementami są pary
(t,z)
, co oznacza, że do
obiektu zewnętrznego
z
jest możliwy dostęp w trybie
t
.
Model Wooda
GK (OiBD(4) - 2011)
32
Reguły dostępu na poziomie konceptualnym
. Do
wszystkich obiektów poziomu konceptualnego są
definiowane reguły dostępu postaci
(s,c,t,p)
, które są
grupowane w tablicy
reguł konceptualnych T
K
. Predykat
p
w
regule dostępu poziomu konceptualnego
(s,c,t,p)
jest
traktowany jako koniunkcja
predykatu danych
i
predykatu
systemowego
, który może wprowadzać ograniczenia dostępu
związane np. z czasem lub miejscem wyemitowania żądania
dostępu. Predykat ten może być traktowany jako swoisty
atrybut
jednostek
, który definiuje wystąpienie jednostki, do
której dostęp jest dozwolony.
Przykładowa tablica
reguł konceptualnych T
K
:
Model Wooda
s –
podmiot
c– obiekt
konceptualny
t– tryb
dostępu
p- predykat
Abacki
STUDENT.Nazwisko
czytanie
-
Abacki
STUDENT.NrAlbum
u
czytanie
-
Babacki
STUDENT.NrAlbum
u
aktualizowa
nie
where
STUDENT
IdWydziału
=
Informatyk
a
Cabacki
GRUPA.IdGrupy
aktualizowa
nie
-
GK (OiBD(4) - 2011)
33
Reguły dostępu na poziomie zewnętrznym
. Do
wszystkich obiektów poziomu zewnętrznego są definiowane
reguły dostępu podobne do reguł dostępu do obiektów
poziomu konceptualnego
. Reguły te
są grupowane w tablicy
reguł zewnętrznych T
Z
. Reguły poziomu zewnętrznego mogą
być zadawane dwojako: definiowane bezpośrednio (jawnie) lub
wyprowadzane z reguł poziomu konceptualnego z
uwzględnieniem ograniczeń (predykaty) poziomu
zewnętrznego. Predykat
p
w regule dostępu poziomu
zewnętrznego są traktowany jako koniunkcja
predykatu
danych
i
predykatu systemowego
podobnie, jak w przypadku
reguł poziomu konceptualnego.
Każda reguła
(s,z,t,p)
poziomu zewnętrznego (
z
–
tabela lub kolumna) musi spełniać dwa następujące
wymagania:
niesprzeczność z ograniczeniami dostępu
– tryb dostępu
t
określony w regule dostępu do obiektu zewnętrznego musi
być jednym z dopuszczalnych trybów dostępu do tego obiektu,
określonych w tablicy
T
ODPZ
:
(s,z,t,p)
T
Z
(z,t)
T
ODPZ
niesprzeczność z ograniczeniami poziomu konceptualnego
–
para
(c,t)
utworzona przez funkcję odwzorowującą
f(z,t)
musi
być zawarta w regule poziomu konceptualnego:
(
(c,t’)
f(z,t)
) (
(s,z,t,p)
T
Z
(s,c,t’,p)
T
K
)
Model Wooda
GK (OiBD(4) - 2011)
34
Kontrola dostępu
.
Model Wooda realizuje politykę
zamkniętą kontroli dostępu do danych według
następującego
ogólnego algorytmu
:
wejście
: żądanie dostępu
(s, z, t, p)
do obiektu
zewnętrznego (podmiot
s
ma tryb dostępu
t
do obiektu
zewnętrznego
z
ograniczeniem
p
),
wyjście
: zbiór żądań dostępu do obiektów konceptualnych,
gdy dostęp jest dozwolony lub odrzucenie żądania w
przeciwnym przypadku.
Szczegółowy algorytm
jest następujący:
1.
Zbadać istnienie autoryzacji zewnętrznej w następujący
sposób: jeżeli
(s,z,t)
T
Z
, to do żądanie
odrzucić
.
2.
Obliczyć koniunkcję predykatu
p
użytkownika i predykatu
p’’
reguły dostępu:
p’ = p∧ p’’
,
gdzie
p’’
jest predykatem
spełniającym zależność
(s,z,t,p’’)
T
Z
.
3.
Przypisać
p:= p’
i przekształcić zmodyfikowane żądanie w
zbiór
f (t,z,p' )
operacji na obiektach konceptualnych.
4.
Każdą regułę dostępu
(t,c,q) f (t,z,p’)
przekształcić na
regułę dostępu uwzględniając ograniczenia dostępu modelu
konceptualnego:
(s,(t,c,q))→(s,c,t,q ∧ q’’)
, gdzie
q’’
jest predykatem,
dla którego
(s,c,t,q’’ )
T
K
.
Reguły określone w pkt. 4 algorytmu tworzą zbiór reguł
dostępu do obiektów na poziomie konceptualnym.
Model Wooda
GK (OiBD(4) - 2011)
35
Model Sea View
stanowi połączenie modelu Bella–
LaPaduli i Biby i tym samym zapewnia jednocześnie poufność
oraz integralność danych, przez co znajduje zastosowanie
przede wszystkim w bazach danych. Model ten zawiera
wewnętrzną warstwę kontroli obowiązkowej
(
WKO
) i
zewnętrzną
warstwę kontroli uznaniowej
– tzw. warstwa przetwarzania
zaufanego (
WPZ
).
WKO
odpowiada za działanie
monitora
referencyjnego
, w którym zostały skupione wszystkie
mechanizmy odpowiedzialne za kontrolę obowiązkową dostępu
do bazy danych
, a
WPZ
określa wielopoziomowe relacje systemu
kontroli uznaniowej. W modelu przyjęto zasadę, że
WPZ
jest
odwzorowywane na
WKO
, co oznacza, że:
wszystkie dane zawarte w
WPZ
są przechowywane w postaci
obiektów
WKO
,
wszystkie operacje wykonywane w
WPZ
są transponowane na
operacje na obiektach
WKO
.
Mechanizmy bezpieczeństwa systemu, w którym stosuje się
kontrolę uznaniową (DAC), są ograniczane przez
monitor
referencyjny
, który wymusza kontrolę obowiązkową (MAC).
Podmioty działające wewnątrz i na zewnątrz
WPZ
nie mogą
naruszyć kontroli obowiązkowej.
Bezpieczeństwo w WKO
. Kontrola uznaniowa i
integralność danych zrealizowane są przez zaufany system bazy
danych, zbudowany na monitorze referencyjnym systemu
operacyjnego. Takie rozwiązanie zostało podyktowane tym, że
monitora referencyjnego warstwy
WKO
nie obciążono zadaniami
specyficznymi dla baz danych, a tylko ogólnymi.
Model Sea View
GK (OiBD(4) - 2011)
36
WKO
jest przeznaczona do formalizowania kontroli
obowiązkowej, przy czym kontrola obowiązkowa polega na
tym, że podmiot otrzymuje dostęp do obiektu wtedy, gdy
zachodzą odpowiednie relacje pomiędzy poziomami
bezpieczeństwa podmiotu i obiektu. Kontrola obowiązkowa
w tym modelu opiera się na rozwiązaniach przyjętych w
systemach Bella-LaPaduli i Biby, a tym samym wykorzystuje
takie pojęcia jak:
klasy dostępu,
klasy podmiotu,
klasy obiektu,
tryb dostępu.
Klasa dostępu składa się z następujących elementów:
elementu oznaczającego klasę tajności poziom
bezpieczeństwa w modelu Bella-LaPaduli,
elementu oznaczającego klasę integralności poziom
integralności w modelu Biby.
Klasy dostępu tworzą kratę z częściowym porządkiem
względem relacji
. Zatem klasa dostępu
C
i
=(X
i
,Y
i
)
jest nie
niższa niż klasa dostępu
C
j
=(X
j
,Y
j
)
wtedy i tylko wtedy, gdy
klasa tajności (poziom bezpieczeństwa)
X
i
jest nie niższa niż
klasa tajności (poziom bezpieczeństwa)
X
j
i klasa
integralności
Y
i
nie jest wyższa niż klasa integralności
Y
j
, tj.
C
i
C
j
(X
i
X
j
)
(Y
i
Y
j
)
.
Model Sea View
GK (OiBD(4) - 2011)
37
Podmiotami
WKO
są procesy uruchamiane w imieniu
użytkownika, które otrzymują jego klasy tajności i
integralności. Każdemu użytkownikowi przypisuje się zbiór
klas tajności i integralności oraz określa się klasy
minimalnej i maksymalnej tajności (
t
min
i
t
max
) oraz
minimalnej i maksymalnej integralności (
i
min
i
i
max
). Klas
dostępu C=(
t
min
,
i
max
)
to klasa zapisu obiektu, a klasa dostępu
C=(
t
max
,
i
min
)
to
klasa
odczytu obiektu.
Dla każdego podmiotu
klasa odczytu nie może być niższa niż klasa zapisu
.
Podmiotem zaufanym
jest podmiot, dla którego klasa
odczytu jest wyższa niż klasa zapisu. Jeżeli ta relacja jest
spełniona dla klas tajności, to podmiot jest zaufany w
odniesieniu do poufności, a jeżeli jest spełniona dla klas
integralności – podmiotem zaufanym w odniesieniu do
integralności.
Podmioty zaufane w odniesieniu do:
poufności
mogą zapisywać dane w klasie poufności niższej
niż klasa dla danych odczytywanych – musi być spełniony
warunek nieprzenoszenia przez podmioty danych do niższej
klasy poufności,
integralności
mogą odczytywać dane w klasie integralności
nie wyższej niż klasa integralności danych zapisywanych
musi być spełniony warunek niewykorzystywania przez
podmioty danych z niskiej klasy integralności do skażania
danych zapisywanych.
Model Sea View
GK (OiBD(4) - 2011)
38
Obiektami
WKO
są elementy zawierające dane (pliki),
do których dostęp jest kontrolowany. Każdemu obiektowi
przypisuje się identyfikator i klasę dostępu. Uwzględnia się
tylko następujące operacje elementarne na obiektach:
R
– uprawnienie do odczytu danych,
W
– uprawnienie do zapisywania danych,
E
– uprawnienie do wykonywania programu.
Niech:
t
p
,
i
p
– klasa tajności i integralności podmiotu
p
, a
t
o
,
i
o
– klasa tajności i integralności obiektu
o
. Korzystanie z
uprawnień przysługujących podmiotom podlega następującej
aksjomatyce (kombinacja aksjomatów Biby i Bela–LaPaduli):
podmiot
p
może czytać obiekt (dane zawarte w obiekcie)
o
wtedy i tylko wtedy, gdy jego
klasa odczytu
jest nie mniejsza
niż
klasa dostępu obiektu
(
t
max
t
o
i
min
i
o
),
podmiot
p
może czytać obiekt (dane zawarte w obiekcie)
o
wtedy i tylko wtedy, gdy jego
klasa zapisu
jest nie większa
niż
klasa dostępu obiektu
(
t
min
t
o
i
max
i
o
),
podmiot
p
może wykonać program (posiadać dostęp do
obiektu
o
) o tylko wtedy, gdy
i
max
i
o
t
max
t
o
.
Model Sea View
GK (OiBD(4) - 2011)
39
Bezpieczeństwo
WPZ
.
WPZ
definiuje
relacje
wielopoziomowe
i formalizuje uznaniową politykę dostępu
(DAC) poprzez formalizowanie zależności pomiędzy
systemem bazy danych a monitorem referencyjnym.
Pojęcie
relacji wielopoziomowych
jest oparte na
pojęciu schematu relacyjnego postaci
gdzie:
R
– nazwa schematu relacyjnego,
Ai
– atrybuty danych,
Ci
– atrybuty klasyfikacji dla
i
-tego atrybutu danych,
TC
– atrybut klasyfikacji dla schematu relacyjnego.
Skończony zbiór realizacji (wystąpień) schematu relacyjnego
postaci
nazywa się
relacją wielopoziomową
.
Model Sea View
(
)
1
1
N
N
R A ,C ,…,A ,C ,TC ,
(
)
1
1
N
N
a ,c ,…,a ,c ,tc
GK (OiBD(4) - 2011)
40
Przykład
relacji wielopoziomowej
:
atrybuty klasyfikacji (poziomy bezpieczeństwa):
J
– jawny,
F
–
poufny,
T
– tajny,
S
– ściśle tajny.
Realizacja takiej relacji wielopoziomowej oznacza, że każdy
rekord (krotka) musi występować również we wszystkich
klasach wyższych. W wystąpieniu (realizacjach) relacji
wielopoziomowej w klasie niższej mogą być umieszczane
wartości puste atrybutów, których klasa jest wyższa niż klasa
wystąpienia. W rozpatrywanym przypadku będą dwa
wystąpienia relacji wielopoziomowej: jedno dla klasy F i
drugie – dla klasy T:
Model Sea View
Nazwisk
o
C
Nazwisko
Stanowis
ko
C
Stanowisko
Płaca
C
Płaca
TC
ABACKI
F
brygadzi
sta
F
3500
F
F
BABACK
I
F
kierowni
k
F
4800
T
T
CABACK
I
T
dyrektor
T
7200
T
T
GK (OiBD(4) - 2011)
41
Wystąpienie
relacji wielopoziomowej
dla klasy
F
:
Wystąpienie
relacji wielopoziomowej
dla klasy
T
:
Model Sea View
Nazwisk
o
C
Nazwisko
Stanowis
ko
C
Stanowisko
Płaca
C
Płaca
TC
ABACKI
F
brygadzi
sta
F
3500
F
F
BABACK
I
F
kierowni
k
F
F
F
Nazwisk
o
C
Nazwisko
Stanowis
ko
C
Stanowisko
Płaca
C
Płaca
TC
ABACKI
F
brygadzi
sta
F
3500
F
F
BABACK
I
F
kierowni
k
F
4800
T
T
CABACK
I
T
dyrektor
T
7200
T
T
GK (OiBD(4) - 2011)
42
Obowiązują następujące aksjomaty:
aksjomat integralności klasy bazy danych
– klasa dostępu
schematu relacyjnego musi dominować nad klasą dostępu do
nazwy bazy danych, do której schemat należy,
aksjomat widoczności
– klas dostępu schematu relacyjnego
musi być zdominowana przez najniższą klasę dostępu do
danych, które mogą wystąpić w relacji,
aksjomat integralności klasy widoku
– klasa dostępu
definicji widoku (view) musi dominować nad klasą dostępu
każdej, wykorzystywanej w tym widoku relacji oraz nad klasą
dostępu każdego innego widoku, wykorzystywanego w
danym.
Ponadto definiuje się aksjomaty, które muszą być spełnione
w klasyfikacji relacji wielopoziomowych i dotyczą kluczy
głównych oraz obcych w relacji:
aksjomat integralności jednostek wielopoziomowych
– niech
A
KG
będzie zbiorem atrybutów tworzących klucz główny w
relacji
R
. Wszystkie atrybuty klasyfikacyjne
C
i
odpowiadające
atrybutom
A
i
A
KG
mają w jednej krotce taką samą klasę
dostępu, która jest zdominowana przez każdy atrybut
klasyfikacyjny
C
j
odpowiadający atrybutowi
A
j
A
KG
,
Model Sea View
GK (OiBD(4) - 2011)
43
aksjomat wielopoziomowej integralności referencyjnej
–
żadna krotka w relacji nie może mieć wartości pustej
klucza obcego, o ile nie istnieje w tej relacji krotka z
odpowiednim kluczem głównym. W danej krotce klasa
dostępu każdego atrybutu tworzącego klucz obcy musi być
taka sama i musi dominować nad klasą dostępu każdego
atrybutu klucza głównego w danej krotce, co oznacza, że
jeżeli klucz obcy jest widoczny w danej klasie dostępu, to
krotka zawierająca odpowiedni klucz główny musi być
także widoczna w tej klasie dostępu i klas atrybutu klucza
obcego musi dominować nad klasą odpowiednie klucza
głównego. Aksjomat wymaga, aby wszystkie referencje były
skierowane w dół hierarchii klas dostępu.
W standardowym modelu relacyjnej bazy danych każda
krotka jest identyfikowana przez wartości atrybutów
klucza głównego.
Aksjomatem opisującym właściwości obiektów
bezpiecznych jest
aksjomat dostępu do relacji
wielopoziomowych
, który orzeka, że podmioty mają dostęp
do wystąpień relacji wielopoziomowych na swoim poziomie
bezpieczeństwa.
Model Sea View
GK (OiBD(4) - 2011)
44
Kontrola uznaniowa.
Obiektami objętymi kontrolą
uznaniową są: bazy danych, relacje w bazach danych (w tym
widoki (views)) oraz obiekty WKO, tj. obiekty w których są
przechowywane dane o niskim poziomie bezpieczeństwa.
Uprawnienia dostępu są uzależnione od typu obiektu i mogą
być nadawane pojedynczym użytkownikom oraz grupom
użytkowników.
Uprawnienia dostępu do bazy danych
:
nadanie innemu użytkownikowi uprawnienia dostępu do
bazy,
dostęp do nazw i schematów relacji wielopoziomowych
należących do bazy,
nadanie innemu użytkownikowi uprawnienia dostępu w
określonym trybie,
brak dostępu do obiektu,
tworzenie wielopoziomowej relacji w bazie,
usunięcie bazy danych.
Uprawnienia dostępu do relacji i widoków (views)
:
modyfikowanie atrybutu relacji,
nadanie innemu użytkownikowi uprawnienia dostępu do
relacji,
odwołanie się do relacji w celu uzyskania dostępu do
widoku opartego na relacji,
brak dostępu do relacji lub widoku,
tworzenie widoku dla relacji,
usuwanie krotek z relacji,
wstawianie krotek do relacji,
wyszukiwanie krotek w relacji.
Model Sea View
GK (OiBD(4) - 2011)
45
Uprawnienia dostępu do obiektów
WKO
:
czytanie obiektu,
zapisywanie obiektu,
nadanie innemu użytkownikowi uprawnienia dostępu do
obiektu,
brak dostępu do obiektu.
Uprawnienia o charakterze
brak dostępu
są uprawnieniami
negatywnymi, wyłączającymi użytkownika, bądź grupy
użytkowników do określonych obiektów. Uprawnienia
negatywne są mocniejsze od uprawnień pozytywnych,
bowiem uniemożliwiają one dostęp do obiektu
użytkownikowi, jeżeli nawet należy do grupy użytkowników,
która taki dostęp ma przyznany.
Ponieważ uprawnienia pozytywne i negatywne mogą
być nadawane użytkownikom i grupom użytkowników, które
nie muszą być rozłączne, więc istnieje możliwość
wystąpienia
konfliktów
między uprawnieniami posiadanymi
indywidualnie przez użytkowników i ze względu na ich
przynależność do grupy. Tego typu konflikty rozwiązuje się
na poziomie
WPZ
(kontrola uznaniowa) poprzez regułę
priorytetów, według której uprawnienia nadane
indywidualnie użytkownikowi mają większe znaczenie niż
nadane grupie użytkowników. Zatem, użytkownik zawsze
korzysta ze swoich uprawnień, nawet jeżeli grupa ma wyższe,
a jeżeli nie otrzymał żadnych – korzysta z uprawnień grupy.
Model Sea View
GK (OiBD(4) - 2011)
46
Przykład
[Stokłosa J., Bilski T., Pankowski T., ”Bezpieczenstwo danych w systemach
informatycznych”, PWN, Warszawa - Poznan, 2001, s. 186]
:
Użytkownik tworzy widok (view)
V(A,B)
na relacjach
R
1
(A,B)
i
R
2
(A,B)
, do których posiada różne uprawnienia
dostępu: do relacji
R
1
uprawnienia
wybierania
i
wstawiania
relacji oraz
aktualizacji
dla atrybutów
R
1
.A
i
R
1
.B
, a do
relacji
R
2
– tylko
wybierania
relacji oraz
aktualizacji
atrybutu
R
2
.A
. Atrybut
V.A
widoku powstaje w wyniku przetworzenia
atrybutów
R
1
.A
i
R
2
.A
,
a atrybut
V.B
– atrybutów
R
1
.B
i
R
2
.B
.
W takiej sytuacji użytkownik otrzyma uprawnienie
wybierania
dla widoku
V
oraz uprawnienie
aktualizacji
tylko
dla atrybutu
V.A
.
Model Sea View
47
GK (OiBD(4) - 2011)