Модели, предотвращающие угрозу отказа служб

date image 2015-04-30
views image 1160
Поделись с друзьями: 
23242526272829

Рассмотренные ранее исследования компьютерной безопасности бы­ли связаны с угрозами раскрытия и нарушением целостности. Одной из причин такой очередности долгое время являлось то, что различные меж­дународные организации по защите определяли раскрытие и целостность как основные угрозы. В результате, большая часть работы велась именно в этих направлениях.


Однако в области моделей, противодействующих отказу в обслужи­вании, были сделаны некоторые шаги. Рассмотрим понятия, связанные с описанием и предотвращением угрозы отказа в обслуживании (ОВО). В частности, определим ряд терминов, среди которых важное место занима­ет понятие максимального времени ожидания, впервые введенное Вирд-жилом Глигором.

6.7.1. Основные понятия ОВО

Безопасные вычислительные системы служат промежуточным зве­ном при запросе тех или иных услуг пользователями за счет монитора ссылок. Такой промежуточный монитор ссылок позволяет рассмотреть запросы услуг в терминах простой модели, в которой пользователи явля­ются зарегистрированными либо незарегистрированными, и обеспечива­ются запрашиваемой услугой либо получают отказ. В случаях, когда заре­гистрированным пользователям не предоставляется запрашиваемая услу­га, говорят, что имеет место отказ в обслуживании.

Глигор первым отметил, что в понятия предоставления или отказа в обслуживании должно быть включено время. Каждая услуга должна быть связана с некоторым периодом времени, называем максимальным време­нем ожидания (MWT). Для некоторой услуги MWT определяется как дли­на промежутка времени после запроса услуги, в течение которого считает­ся приемлемым предоставление этой услуги.

Можно трактовать приведенное выше определение по-другому. А именно, рассматривать MWT как период времени, в течение которого за­прашиваемая услуга не устаревает. Иными словами, если после запроса услуга обеспечивается в течение слишком долгого времени, то может слу­читься так, что ее нельзя будет больше использовать. Заметим, что хотя приведенное выше определение и не выражено в терминах пользователей, запрашивающих услуги, может оказаться, что для данной услуги MWT будет различным для различных пользователей.

Дав определение MWT, мы можем теперь ввести точное определе­ние угрозы ОВО, а именно, будем говорить, что имеет место угроза ОВО всякий раз, когда услуга с соответствующим максимальным временем ожидания (MWT) запрашивается зарегистрированным пользователем в момент времени t и не предоставляется этому пользователю к моменту времени (t + MWT).

При более тщательном рассмотрении угрозы ОВО и предложенного понятия MWT возникают некоторые вопросы. Например, угрозы ОВО можно полностью избежать, если определить MWT для всех услуг равным бесконечности. Однако этот подход не годится для тех случаев, когда ве­личина MWT определяется некоторой значимой операционной характери-


стикой. Кроме того, значение MWT можно определить только для кон­кретного набора услуг, для которых оно необходимо, то есть можно опре­делить некоторое подмножество активов системы как особенно критиче­ское; тогда значения MWT будут соответствовать услугам, связанным с этими критическими активами.

6.7.2. Мандатная модель ОВО

Теперь опишем в общих чертах мандатную модель ОВО, включаю­щую в себя некоторые характеристики моделей БЛМ и Биба. Система ус­луг, которая будет использоваться для представления этой модели ОВО, выражается в знакомых терминах субъектов и объектов, которые исполь­зовались для описания моделей БЛМ и Биба.

Субъектам системы соответствуют приоритеты, которые могут быть одинаковы, ниже или выше по сравнению с приоритетом любого другого субъекта. Объектам соответствуют степени критичности, имеющие анало­гичную иерархическую структуру. Субъект может требовать услугу у вы­числительной системы, запрашивая доступ к объектам системы. Говорят, что субъект получает отказ в обслуживании, если его запрос зарегистри­рован, но не удовлетворен в течение соответствующего MWT.

При описании модели необходимо рассмотреть условия, при кото­рых один субъект может отказать в обслуживании другому субъекту. Та­кой отказ может быть вполне приемлем для одних случаев и совершенно не допустим для других. Например, администратор может иметь вполне подходящее оправдание, отказывая зарегистрированному пользователю в обслуживании, а нарушитель, как правило, не должен иметь такого оправ­дания. Правила, составляющие модель, нацелены на то, чтобы определить условия, при которых отказ в обслуживании был бы недопустим.

Рассмотрим правила, описывающие мандатную модель ОВО. Эти правила описывают взаимоотношения субъектов, аналогичные отношени­ям между субъектами и объектами в моделях БЛМ и Биба.

Первое правило - «никаких отказов вверх» (NDU) - основано на том наблюдении, что никаким объектам с более низким приоритетом не позволено отказывать в обслуживании субъектам с более высокими при­оритетами. Однако некоторым субъектам с более высоким приоритетом (например, администраторам системы) должна предоставляться возмож­ность отказывать в обслуживании объектам с более низким приоритетом, если первые того желают.

Второе правило представляет собой альтернативу, которую можно использовать в тех приложениях, для которых защищенным от угроз отка­за в обслуживании должно быть лишь некоторое подмножество объектов. Таким образом, это правило учитывает то, что проблема отказа в обслу-


живании может стоять только для объектов из некоторого конкретно оп­ределенного множества.

Это более общее правило требует, чтобы субъекты с более низкими приоритетами не препятствовали запросам услуг субъектов с более высо­кими приоритетами, производимыми через объекты из некоторого кон­кретно определенного множества. Это множество, которое мы обозначим через С, обычно содержит те объекты, которые являются наиболее крити­ческими и для которых предоставляемые услуги никогда не должны уста­ревать.

Второе правило NDU(C) утверждает, что ни один субъект не может отказать запросам, сделанным субъектом с более высоким приоритетом через объекты из множества С. Второе правило особенно полезно для вы­числительных систем, в которых необходимо обеспечивать защиту ОВО только для выбранного множества критических услуг. Например, система, выполняющая некоторую определенную роль, может содержать лишь не­большое множество услуг, напрямую связанных с этой ролью. В результа­те защиту ОВО с использованием правила NDU(C) можно обеспечить только для этих критических услуг. Это значительно сократит стоимость и трудность реализации стратегии ОВО.

Главным преимуществом двух представленных правил ОВО являет­ся то, что они дают средство для предотвращения отказа в обслуживании на основе понятия приоритета, предположительно уже существующего для данной системы. Например, для большинства операционных систем существует понятие приоритета процессов. Данные правила также явля­ются гибкими в том смысле, что их легко можно приспособить к данной системе.

Недостаток этих правил заключается в том, что они имеют смысл только для систем, в которых можно определить несколько приоритетов. Если это не так, тогда должны быть определены подходящие аналогичные правила внутри уровня с одним приоритетом.

Данную модель, также как и модель КВМ, сложно реализовать для реальных систем.


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

23242526272829

double arrow
Сейчас читают про:

article image
Нормальные показатели эхокардиографии, допплерографии
article image
Парциальная несформированность высших психических функций
article image
Наследование по римскому праву
article image
Революция 1905-1907 гг.: причины, этапы, основные события, значение
article image
Цели, задачи и функции предпринимательства
article image
Индукция и дедукция. Анализ и синтез
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Если А – жизненный успех, то А = Х + У + Z, где: Х – работа, У – азарт, Z – плотно закрытый рот. © Эйнштейн ==> читать все изречения...
like icon 5994
like icon 5811
Понравился сайт? Поделись им с друзьями: