Hausübung Aufgabe 6

sina
Windoof-User
Windoof-User
Beiträge: 35
Registriert: 27. Mai 2009 13:58

Hausübung Aufgabe 6

Beitrag von sina »

Hi,

ich habe mal eine Frage zur 6.Aufgabe der Hausübung.
Ich habe hier mehrere mögliche Tabellen herausbekommen, allerdings finde ich ,dass nur eine davon auch wirklich den NUR-Arbeitsschritten eine Bedeutung gibt.

Allerdings störe ich mich noch ein bisschen an der Bedeutung des Satzes: "In diesen Fällen müssen Sie darauf achten, dass andere Rechte nach Definition des Ball-La-Padula-Modells gar nicht vergeben werden dürfen"......"Tipp:Die Arbeitssschritte mit einem "NUR" legen die Zuordnung der Rollen auf die einzelnen Sicherheitsklassen nahezu eindeutig fest"...
Wie genau ist das zu verstehen?

Ich habe mir das jetzt so überlegt, dass bei den NUR-Arbeitsschritten die entsprechende Regel(wie z.B. read-write) nur von dem entsprechenden Objekt und Subjekt eingehalten werden darf und sonst keine andere mögliche Kombination gelten kann.

Eine weitere Frage wäre z.B. : Dürfte auch der Bankangestellte die Kontodaten lesen und ändern, denn es steht ja da "Kontodaten dürfen vom Kassierer gelesen und geändert werden" und nicht "Kontodaten dürfen NUR vom Kassierer gelesen und geändert werden"???

Ich hoffe eskann mir jemand weiterhelfen.

jack_90
Mausschubser
Mausschubser
Beiträge: 75
Registriert: 29. Sep 2009 22:38
Wohnort: Darmstadt
Kontaktdaten:

Re: Hausübung Aufgabe 6

Beitrag von jack_90 »

sina hat geschrieben: Ich habe mir das jetzt so überlegt, dass bei den NUR-Arbeitsschritten die entsprechende Regel(wie z.B. read-write) nur von dem entsprechenden Objekt und Subjekt eingehalten werden darf und sonst keine andere mögliche Kombination gelten kann.
Ich habe die NUR Schritte nur den Subjekten zugeordnet. (Subjekte im Satz wohlgemerkt)
Bsp.: "Kunden dürfen NUR ihre Kundendaten lesen und schreiben". Bedeutet für mich, dass der Kunden nur r/w auf Kundendaten hat und sonst nichts anderes. Dies ist aber keine Aussage über die anderen Rollen. Wie gesagt, nur meine Interpretation. Bin mir da selber nicht sicher.
sina hat geschrieben: Eine weitere Frage wäre z.B. : Dürfte auch der Bankangestellte die Kontodaten lesen und ändern, denn es steht ja da "Kontodaten dürfen vom Kassierer gelesen und geändert werden" und nicht "Kontodaten dürfen NUR vom Kassierer gelesen und geändert werden"???
Ich habe Bankangestellter = Kassierer gesetzt. :oops:
Hier wäre vll. eine Klarstellung seitens der Veranstalter ganz nett.
EiSE Tutor WS 12/13

Benutzeravatar
Blub
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 244
Registriert: 24. Dez 2007 14:06

Re: Hausübung Aufgabe 6

Beitrag von Blub »

Kassierer und Bankangestellter sind nicht das selbe. Das wäre ein Widerspruch ;-)

Da wo NUR steht, dürfen auch wirklich nur diese Bedingungen gelten.
Beispiel: Der Bankangestellte darf NUR die Konto- und Kundendaten lesen. D.h. er sollte unter sich lediglich die Konto und Kundendaten haben, so das er laut den Bellapadula Regeln gar nicht die Möglichkeit hätte andere Informationen zu lesen.


Christian
Tutor GDI II SS12
Tutor Trusted Systems WS11/12, Tutor GDI II SS11
Tutor Trusted Systems WS10/11, GDI I WS10/11
Tutor GDI II SS10, Tutor Trusted Systems WS09/10

sina
Windoof-User
Windoof-User
Beiträge: 35
Registriert: 27. Mai 2009 13:58

Re: Hausübung Aufgabe 6

Beitrag von sina »

Ok.

Kann ich auch ein Subjekt und ein Objekt der gleichen sicherheitsstufe mit einem Pfeil verbinden und dabei trotzdem nur Leserecht vergeben?Oder würde hier auch das read-write-Recht erfüllt sein?
Könnte ich auch Objekt und Subjekt auf die gleiche Stufe stellen ,obwohl ich sie nicht durch einen Pfeil verbinde(und somit das Recht auch nicht gelten soll)?

Vielen Dank schon einmal im Voraus.

dschneid
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 271
Registriert: 14. Dez 2009 00:56

Re: Hausübung Aufgabe 6

Beitrag von dschneid »

Das kannst du machen, allerdings eben nur in denjenigen Fällen, in denen nicht wegen einem "NUR" in der Aufgabenstellung ausgeschlossen sein soll, dass eines der Rechte, die du nicht eingezeichnet hast, überhaupt vergeben werden kann.

sina
Windoof-User
Windoof-User
Beiträge: 35
Registriert: 27. Mai 2009 13:58

Re: Hausübung Aufgabe 6

Beitrag von sina »

Ok danke. Wenn ich jetzt alles richtig verstanden bzw. interpretiert habe, dann dürfte ja quasi alles bis auf den Bankangestellten eindeutig den Sicherheitsklassen zugeordnet sein,(sofern einfaches Leserecht auch für Subjekte und Objekte der gleichen stufe erfüllt ist)...?

dschneid
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 271
Registriert: 14. Dez 2009 00:56

Re: Hausübung Aufgabe 6

Beitrag von dschneid »

So wie ich es sehe kann man sowohl den Bankangestellten als auch den Kassierer jeweils zwei Sicherheitsstufen zuordnen. Beim Kassierer mag ich mich irren, das ist mir nämlich gerade zum ersten Mal aufgefallen und kann auch einfach nur ein Denkfehler sein.

jack_90
Mausschubser
Mausschubser
Beiträge: 75
Registriert: 29. Sep 2009 22:38
Wohnort: Darmstadt
Kontaktdaten:

Re: Hausübung Aufgabe 6

Beitrag von jack_90 »

der Kassierer sollte eindeutig sein. Sonst gibts Probleme mim Finanzamt :D
EiSE Tutor WS 12/13

Antworten

Zurück zu „Archiv“