W_Thematic_materials - Страница 10
Моделът за контрол на достъпа е слабо подходящ за идентифициране на слабости в сигурността, като скрити канали, които по същество са непланирани (и предимно незаконни) информационни потоци. Напълно възможно е моделът за контрол на достъпа, безупречен по отношение на дефиниции и доказателства, да съдържа много скрити канали, благодарение на които всички усилия за прилагане на установената политика за сигурност стават безсмислени.
Прикритите канали се идентифицират доста ефективно по време на анализа
информационен поток, базиран на модел за сигурност.
На практика анализът на потока рядко се извършва на система на ниво абстрактен модел. Докато анализът на потока в модел може, разбира се, да разкрие много потенциални нарушения на потока, той също може да пропусне редица такива нарушения. Това е възможно, тъй като моделът оставя много системни детайли, като променливи на състоянието и функции, които не засягат безопасното състояние на системата и по дефиниция не са включени в модела за безопасност. Тези вътрешни променливи на състоянието позволяват появата на скрити канали.
От друга страна, анализът на информационния поток, извършен на нивото на системния модел, дава възможност да се идентифицират и елиминират нежеланите скрити канали, преди разработчиците да започнат да извършват следващите стъпки от метода за официално разработване на системата.
Тъй като съществуват строги правила и методи за идентифициране на потенциалните потоци, тяхното анализиране и доказване на тяхната допустимост, понякога те говорят за модела на информационния поток (вж. По-горе), което не изглежда напълно правилно, тъй като официалният модел на сигурността има и собствена цел да служи като основа за извършване на анализ на информационния поток.
Разработването и доказването на модел за контрол на достъпа до системата е важна стъпка в официалния метод за проектиране на системата. Самият метод за формално развитие може да бъде ограничен до етапа на формалното моделиране, последван от практическото прилагане на системата.
В по-пълна форма формалният метод за разработка включва и етапа на създаване на официална спецификация. Спецификацията се различава от модела по това, че в допълнение към променливите и функциите, свързани със сигурността, тя описва променливи и функции, които изпълняват други задачи в системата. Трябва да се отбележи, че съответствието на официалната спецификация с предварително разработения модел за сигурност е строго доказано.
3.12. Системи за контрол на достъпа