Политики избирательного разграничения доступа

Исходная политика избирательного разграничения доступом к информации (дискреционная модель) формируется путем задания администратором набора троек следующего вида , где - субъект доступа, - объект доступа, - множество прав доступа, которыми наделен субъект к объекту (например, чтение, запись, исполнение и т.д.) [3].

При формировании дискреционной политики безопасности обычно формируют дискреционную матрицу доступов , строки которой соответствуют субъектам системы, столбцы – объектам, а в ячейках матрицы хранят множество типов доступов. Пример данной матрицы представлен в таблице 2.1.

Таблица 2.1. Дискреционная матрица доступов.

Объект / Субъект	Файл_1	Файл_2	CD-RW	Флоппи-дисковод
Администратор	Полные права	Полные права	Полные права	Полные права
Гость	Запрет	Чтение	Чтение	Запрет
Пользователь_1	Чтение, передача прав	Чтение, запись	Полные права	Полный запрет

Для матрицы доступа, представленной в таблице 2.1, Пользователь_1 имеет права на чтение и запись в Файл_2. Передавать эти права другому пользователю он не может.

Модель безопасности Харрисона-Руззо-Ульмана (HRU) [1] является классической дискреционной моделью реализующей произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа.

Здесь поведение системы безопасности моделируется с помощью автоматной модели, путем перехода автомата из состояния в состояние. Состояние системы безопасности в некоторый момент характеризуется состоянием автомата и описывается тройкой Q =(S,O,M), где S – множество субъектов системы, O – множество объектов системы, M=M [ s,o ] – матрица доступов. Права доступа берутся из некоторого конечного множества T. Переход автомата из состояния в состояние осуществляется согласно запросам на изменение матрицы доступов.

Вводятся следующие операции op изменяющие матрицу доступов.

- enter t into (s,o) – внести право t в (s,o);

- delete t from (s,o) – удалить право t в (s,o);

- create subject s – создать субъект s;

- create object o – создать объект o;

- destroy subject s – уничтожить субъект s;

- destroy object o – уничтожить объект o;

В модели HRU запросы на изменение матрицы доступов осуществляются в следующей форме:

ЕСЛИ

t₁ in M [ s₁,o₁ ] and

t₂ in M [ s₂,o₂ ] and

…

t_m in M [ s_m,o_m ]

ТО

op₁

op₂

…

op_n

В начальное время система находится в начальном состоянии Q₀.

Имея начальное состояние Q₀ и право t, говорят, что Q₀ безопасна по отношению к t, если отсутствует последовательность запросов на изменение матрицы доступов, при которой t запишется в ячейку матрицы доступов, где она отсутствует в настоящий момент. В модели HRU исследуется вопрос, сможет ли некоторый субъект s приобрести право t для объекта o, если система стартует из состояния Q₀.

Для данной модели доказано 2 теоремы –

Теорема 2.1. Существует алгоритм для монооперациональных систем (систем, у которых в заключении запроса – одна операция), определяющий, является либо не является данная система безопасной в состоянии Q₀ относительно операции t.

Теорема 2.2. Проблема определения безопасности системы в состоянии Q₀ относительно t в общем виде неразрешима.

Доказано, что проблема определения безопасности может быть решена для систем, не имеющих в заключении операторов create. Может быть решена, не имеющих в заключении операторов destroy либо delete.