Обеспечение системы документооборота (стр. 11 из 20)

Таблица 2.2.

Расширением матричной модели доступа является многоуровневая модель доступа. Объекты в многоуровневой модели имеют различные уровни доступа (например, уровни секретности), а субъекты – степени допуска. Разрешение допуска субъекта к объекту является функцией от степени допуска конкретного субъекта и уровня допуска конкретного объекта. Многоуровневая модель доступа создана на основе теории алгебраических решеток. Данные могут передаваться между субъектами, если выполняются следующие правила (здесь буквами а, b и с обозначим идентификаторы субъектов, а буквами х, у и z, соответственно, их уровни доступа).

Данные могут передаваться субъектом самому себе:

x <= x (2.1. а)

Данные могут передаваться от субъекта а к субъекту с, если они могут передаваться от субъекта a к субъекту b и от субъекта bк субъекту с:

если x <= у и y <= z, то x <= z (2.1. б)

Если х <= у и у <= х, то x = y (2.1. с)

Отметим, что рассмотренные правила представляют, соответственно, свойства рефлективности, транзитивности и антисимметричности.

Примером использования многоуровневой модели доступа является система контроля доступа, принятая в военном ведомстве США (рисунок 2.4). Уровнями доступа выступают уровни секретности: НЕСЕКРЕТНО, КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО. Внутри отдельных уровней секретности для выделения разделов данных, требующих специального разрешения на доступ к ним, определены категории: АТОМНЫЙ, НАТО и ДРУГИЕ. Для получения доступа к данным определенной категории субъект должен иметь не только доступ к данным соответствующего уровня (по секретности), но и разрешение на доступ по категории. Например, субъект, имеющий доступ к данным с уровнем СОВЕРШЕННО СЕКРЕТНО и категории НАТО, не может получить доступ к данным с категориями АТОМНЫЙ и ДРУГИЕ уровня СОВЕРШЕННО СЕКРЕТНО.

2.2. Обоснование проектных решений

2.2.1. Математическая модель мандатного управления доступом

Рассмотрим модель доступа используемую в данном ДП, схема которой приведена на рисунке 2.5. Она состоит из следующих элементов:

· множества субъектов S;

· множества объектов О;

· множества уровней защиты L;

· множества прав доступа G;

· списка текущего доступа b;

· списка запросов Z.

Каждому субъекту s  S сопоставляются два уровня защиты: базовый I_s(S_i)  L, задаваемый в начале работы и остающийся неизменным, и текущий I_t(S_i)  L, зависящий от уровней защиты тех объектов, к которым субъект S_i имеет доступ в настоящий момент времени.

Множество объектов О наделяется структурой дерева таким образом, что каждому объекту O_j соответствует список объектов, непосредственно следующих за ним (объектов-сыновей) и, если O_j отличен от корня дерева, то существует единственный объект O(j),непосредственно предшествующий ему (отец объекта O_j). Каждому объекту O_j приписывается уровень защиты I(O_j)  L.

Множество L, является конечным частично упорядоченным множеством, обладавшим свойством алгебраической решетки. Возможно представление каждого уровня защиты L_r L, в виде вектора из двух компонент: классификации и множества категорий. Будем говорить, что уровень защиты I₁ больше уровня защиты I₂, если классификация I₁ больше или равна классификации I₂, и множество категорий I₁ содержит множество категорий I₂ ( в формализованном виде: I₁ I₂).

Множество прав доступа G имеет вид:

G = {r, а, w, e}, (2.2)

где r – чтение объектом субъекта (получение субъектом данных, содержащихся в объекте ) ;

а – модификация данных объекта субъектом без их предварительного прочтения;

w – запись-модификация данных объекта после их предварительного прочтения субъектом;

е – исполнение субъектом объекта (действие, не связанное ни с чтением, ни с модификацией данных).

Расширения модели допускают использование права С-управления, при котором субъект S_i может передать права доступа, которыми он владеет по отношению к объекту O_j, другому субъекту S_k.

При описании модели будем рассматривать следующую схему управления передачей прав доступа: передача прав доступа к объекту O_j субъектом S_i субъекту S_k связана с наличием у субъекта S_i права w к "отцу" объекта O_j. Матрица доступа M = ||M_ij|| не содержит пустых столбцов. Однако, наличие элемента M_ij 0 является необходимым, но недостаточным условием разрешения доступа. Список текущего доступа b содержит записи вида (S_i, O_j, X), если субъекту S_i разрешен доступ x  G к объекту O_j и это разрешение к настоящему моменту времени не отменено. Разрешение доступа действительно до тех пор, пока субъект не обратился с запросом на отказ от доступа к монитору. Список запросов Z описывает возможности доступа субъекта к объекту, передачи прав доступа другим субъектам, создания или уничтожения объекта. В настоящей модели рассматриваются 11 следующих запросов:

1) запрос на чтение (r) объекта;

2) запрос на запись (w) в объект;

3) запрос на модификацию (a) объекта;

4) запрос на исполнение (е) объекта;

5) запрос на отказ от доступа;

6) запрос на передачу доступа к другому объекту ;

7) запрос на лишение права доступа другого субъекта;

8) запрос на создание объекта без сохранения согласованности;

9) запрос на создание объекта с сохранением согласованности;

10) запрос на уничтожение объекта;

11) запрос на изменение своего текущего уровня защиты.

Можно сформулировать два условия защиты для модели:

1) простое условие защиты;

2) * - условие.

Простое условие защиты предложено для исключения прямой утечки секретных данных и состоит в следующем. Если субъекту S_j запрещен доступ:

а) по чтению r объекта O_j, тогда I_s(S_i)  I(O_j);

б) по записи w в объект O_j, тогда I_s(S_i)  I(O_j).

Простое условие защиты накладывает ограничения на базовые уровни защищенных объектов.

*-условие защиты (*-свойство) предназначено для предотвращения косвенной утечки данных. Это условие накладывает ограничения на уровни защиты тех объектов, к которым субъект может иметь доступ одновременно. Если субъект S имеет доступ X₁ к объекту O₁ и доступ X₂ к объекту O₂, то, в зависимости от вида доступа, должны выполняться соотношения между уровнями защиты, приведенные в таблице 2.3.

Таблица 2.3

Введение *-условия предназначено для предотвращения потока данных вида "чтение объекта для переписи данных в объект с меньшим либо несравнимым уровнем защиты" (напомним, что доступ w предполагает предварительное чтение).

Состояние системы считается безопасным, если соотношения между уровнями защиты объектов и субъектов удовлетворяют как простому условию защиты, так и *-условию.

Система защиты должна обеспечивать безопасность данных, если она не допускает перехода из безопасного состояния в состояние, не являвшееся безопасным.

Для обеспечения безопасности данных необходимо и достаточно, чтобы изменение состояний системы приводило только к безопасным состояниям, если исходное состояние было безопасным.

В рассматриваемой модели описываются правила разрешения каждого из 11 возможных запросов. Эти правила используют понятие текущего уровня защиты субъекта, которое определяется следующим образом.

Пусть O_r, O_w, O_a – множества тех объектов, к которым субъект S имеет доступ r, w и а соответственно. Если O_w  0, то

I_t(s) = max I(O_j) = min I(O_j) (2.3)

(O_j  O_w) (O_j  O_w)

Если O_w = 0, то I_t(s) может иметь уровень защиты в пределах:

max I(O_j)  I_t (s)  min I(O_j) (2.4)

(O_j  O_r) (O_j  O_a)

В случае, если нижняя граница в этом неравенстве берется по пустому множеству, она полагается равной

min I(O_j), (2.5 а)

(O_j  O_w)

а верхняя – I_b(s) (2.5 б)

Рассмотрим правила выполнения каждого из 11 возможных запросов модели.

1. Запрос на чтение субъектом S_i объекта O_j разрешается, если выполняется условие:

r M_ij ^ I_s(S_i)  I(O_j) ^ I_t(S_i)  I(O_j) (2.6 а)

При невыполнении условия (2.6 а) запрос отвергается.

2. Запрос на запись субъектом S_i в объект O_j разрешается, если выполняется условие: