Модели на основе матрицы доступа

На практике наибольшее применение получили дискреци- онные модели, основанные на матрице доступа. В данных мо- делях область безопасного доступа строится как прямоугольная матрица (таблица), строки которой соответствуют субъектам доступа, столбцы — объектам доступа, а в ячейках записыва- ются разрешенные операции (права) субъекта над объектом (рис. 7.3). В матрице используются следующие обозначения: w — «писать», r — «читать», e — «исполнять».

О б ъ е к т ы д о с т у п а

r           r, w   e r                 w e   r             w w

o ₁            o ₂            …           o_j             … o_n

1

 

2

 

 

i

m

Рис. 7.3. Матрица доступа

 

Права доступа в ячейках матрицы в виде разрешенных опе- раций над объектами определяют виды безопасного доступа субъекта к объекту. Для выражения типов разрешенных опе- раций используются специальные обозначения, составляющие основу (алфавит) некоторого языка описания политики разгра- ничения доступа. Таким образом, в рамках дискреционной по- литики каждая ячейка содержит некоторое подмножество тро- ек «субъект — операция — объект».

Матрица доступа представляет собой ассоциированный с мо- нитором безопасности объект, содержащий информацию о по- литике разграничения доступа в конкретной системе. Структура матрицы, ее создание и изменение определяются конкретными моделями и конкретными программно-техническими решени- ями систем, в которых они реализуются.

Принцип организации матрицы доступа в реальных системах определяет использование двух подходов — централизованно- го и распределенного.

При централизованном подходе матрица доступа создается как отдельный самостоятельный объект с особым порядком раз- мещения и доступа к нему. Количество объектов и субъектов до- ступа в реальных системах может быть велико. Для уменьшения количества столбцов матрицы объекты доступа могут делиться на две группы — группу объектов, доступ к которым не ограни- чен, и группу объектов дискреционного доступа. В матрице до- ступа представляются права пользователей только к объектам второй группы. Наиболее известным примером такого подхо- да являются «биты доступа» в UNIX-системах.

При распределенном подходе матрица доступа как отдельный объект не создается, а представляется или «списками доступа», распределенными по объектам системы, или «списками возмож- ностей», распределенными по субъектам доступа [10]. В первом случае каждый объект системы, помимо идентифицирующих характеристик, наделяется еще своеобразным списком, непо- средственно связанным с самим объектом и представляющим,

 

по сути, соответствующий столбец матрицы доступа. Во вто- ром случае список с перечнем разрешенных для доступа объ- ектов (строку матрицы доступа) получает каждый субъект при своей инициализации.

И централизованный, и распределенный принципы органи- зации матрицы доступа имеют свои преимущества и недостат- ки, присущие в целом централизованному и децентрализован- ному принципам организации и управления.

Согласно принципу управления доступом выделяются два подхода:

· принудительное управление доступом;

· добровольное управление доступом.

В случае принудительного управления право создания и из- менения матрицы доступа имеют только субъекты администра- тора системы, который при регистрации для работы в системе нового пользователя создает с соответствующим заполнением новую строку матрицы доступа, а при возникновении нового объекта, подлежащего избирательному доступу, образует новый столбец матрицы доступа. Подобный подход наиболее широко представлен в базах данных.

Принцип добровольного управления доступом основывает- ся на принципе владения объектами. Владельцем объекта до- ступа называется пользователь, инициализировавший поток, в результате чего объект возник в системе, или определивший его иным образом. Права доступа к объекту определяют их вла- дельцы.

Заполнение и изменение ячеек матрицы доступа осущест- вляют субъекты пользователей-владельцев соответствующих объектов. Подобный подход обеспечивает управление досту- пом в тех системах, в которых количество объектов доступа яв- ляется значительным или неопределенным. Такая ситуация ти- пична для операционных систем.

Все дискреционные модели уязвимы для атак с помощью

«троянских» программ, поскольку в них контролируются только

 

операции доступа субъектов к объектам, а не потоки информа- ции между ними. Поэтому, когда «троянская» программа пере- носит информацию из доступного этому пользователю объекта в объект, доступный нарушителю, то формально никакое пра- вило дискреционной политики безопасности не нарушается, но утечка информации происходит.

 

7.5.
парольные системы разграничения доступа

 

В документальных информационных системах, в системах ав- томатизации документооборота широкое распространение полу- чили так называемые парольные системы разграничения доступа, представляющие отдельную разновидность механизмов реали- зации дискреционного принципа разграничения доступа [7].

Основные положения парольных систем можно сформули- ровать следующим образом.

1. Система представляется следующим набором сущностей:

· множеством  информационных  объектов  (документов)

О (о ₁, …, о_m);

· множеством пользователей S (s ₁, …, s_n);

· множеством паролей доступа к объектам К (k ₁, …, k_р).

2. В системе устанавливается отображение множества О

на множество К, задаваемое следующей функцией:

f_ko: O → К.

Значением функции f_ko (о) = k_o является пароль k_o доступа к документу о.

3. Область безопасного доступа задается множеством троек (s, k, о), каждый элемент которого соответствует владению поль- зователем паролем доступа к объекту. В результате устанавли- вается отображение множества S на множество К:

f_ks: S → К.

7.5. Парольные системы разграничения доступа

 

Значением f_ks (s) = K_s является набор паролей доступа к до- кументам системы, известных пользователю s.

4. Процессы доступа пользователей к объектам системы ор- ганизуются в две фазы:

· фаза открытия документа;

· фаза закрытия (сохранения) документа.

При открытии документа о пользователь s предъявляет (вво- дит, передает) монитору безопасности AС пароль k_{s 0} доступа к данному документу.

Запрос в доступе удовлетворяется, если

k_{s 0} = f_{k 0}(о).

В случае успешного открытия пользователю предоставляют- ся права работы по фиксированному набору операций с объ- ектом.

Возможны два подхода, соответствующие добровольному и принудительному способам управления доступом.

При использовании принудительного способа назначение паролей доступа к документам, их изменение осуществляет только выделенный пользователь — администратор системы. При необходимости шифрования измененного объекта или при появлении в системе нового объекта, подлежащего дис- креционному доступу к нему, администратор системы на ос- нове специальной процедуры генерирует пароль доступа к но- вому объекту, зашифровывает документ на ключе, созданном на основе пароля, и фиксирует новый документ в зашифро- ванном состоянии в системе. Администратор сообщает пароль доступа к данному документу тем пользователям, которым он необходим. Тем самым формируется подмножество троек до- ступа {(s ₁, k, о), (s _2, k, о), … } к документу o.

При добровольном управлении доступом описанную выше процедуру формирования подмножества троек доступа к ново- му документу производят владельцы объекта.

 

Преимуществом парольных систем по сравнению с систе- мами дискреционного разграничения доступа, основанными на матрице доступа, является то, что в них отсутствует ассоци- ированный с монитором безопасности объект, хранящий ин- формацию о разграничении доступа к конкретным объектам. Данный объект является наиболее критичным с точки зрения безопасности объектом системы.

Кроме того, в парольных системах обеспечивается безопас- ность и в том случае, когда не ограничен или технически воз- можен доступ посторонних лиц к носителям, на которых фик- сируются и хранятся зашифрованные объекты.

Эти преимущества парольных систем разграничения досту- па обусловливают их чрезвычайно широкое применение в до- кументальных информационных системах.

Несмотря на то, что дискреционные модели разработаны почти 40 лет назад, и то, что многочисленные исследования показали их ограниченные защитные свойства, данные моде- ли широко применяются на практике. Основные их достоин- ства — это простота и максимальная детальность в организа- ции доступа.

 

7.6.
политика и модели мандатного доступа

 

Политика мандатного доступа является примером исполь- зования технологий, наработанных во внекомпьютерной сфе- ре, в частности принципов организации секретного делопроиз- водства и документооборота, применяемых в государственных структурах большинства стран.

Основным положением политики мандатного доступа яв- ляется назначение всем участникам процесса обработки защи- щаемой информации и документам, в которых она содержит-

7.6. Политика и модели мандатного доступа

 

ся, специальной метки, например секретно, сов. секретно и т. д., получившей название уровня безопасности. Все уровни безо- пасности упорядочиваются с помощью установленного отно- шения доминирования, например, уровень сов. секретно счи- тается более высоким, чем уровень секретно. Контроль доступа осуществляется в зависимости от уровней безопасности взаи- модействующих сторон на основании двух правил:

1. No read up (NRU) — нет чтения вверх: субъект имеет пра- во читать только те документы, уровень безопасности которых не превышает его собственный уровень безопасности.

2. No write down (NWD) — нет записи вниз: субъект имеет право заносить информацию только в те документы, уровень безопасности которых не ниже его собственного уровня безо- пасности.

Первое правило обеспечивает защиту информации, обра- батываемой более доверенными (высокоуровневыми) лицами, от доступа со стороны менее доверенных (низкоуровневых). Второе правило предотвращает утечку информации (сознатель- ную или несознательную) от высокоуровневых участников про- цесса обработки информации к низкоуровневым.

Формализация механизмов разграничения доступа в секрет- ном делопроизводстве применительно к субъектно-объектной модели показала необходимость решения следующих задач:

· разработки  процедур  формализации  правила  NRU, а в особенности правила NWD;

· построения формального математического объекта и про- цедур, адекватно отражающих систему уровней безопас- ности (систему допусков и грифов секретности).

При представлении служащих, работающих с секретными документами, в качестве субъектов доступа, а секретных доку- ментов в качестве объектов доступа буквальное следование пра- вилу NWD приводит к включению в механизмы обеспечения безопасности субъективного фактора в лице субъекта-пользо- вателя, который при внесении информации должен оценить

 

соответствие вносимой информации уровню безопасности до- кумента. Задача исключения данного субъективного фактора может решаться различными способами, самым простым из ко- торых является полный запрет изменения субъектами объек- тов с уровнем безопасности более низким, чем уровень безо- пасности соответствующих субъектов. При этом существенно снижается функциональность системы.

Таким образом, если в дискреционных моделях управле- ние доступом происходит путем наделения пользователей полномочиями осуществлять определенные операции над определенными объектами, то мандатные модели управляют доступом неявным образом — с помощью назначения всем сущностям системы уровней безопасности, которые опреде- ляют все допустимые взаимодействия между ними. Следова- тельно, мандатное управление доступом не различает сущно- стей, которым присвоен одинаковый уровень безопасности, и на их взаимодействия ограничения отсутствуют. Любой объект определенного уровня безопасности доступен любо- му субъекту соответствующего уровня безопасности (с учетом правил NRU и NWD). Мандатный подход к разграничению доступа, основанный лишь на понятии уровня безопасности, без учета специфики других характеристик субъектов и объ- ектов приводит в большинстве случаев к избыточности прав доступа конкретных субъектов в пределах соответствующих классов безопасности. Для устранения данного недостатка мандатный принцип разграничения доступа дополняется дис- креционным внутри соответствующих классов безопасности. В теоретических моделях для этого вводят матрицу доступа, разграничивающую разрешенный по мандатному принципу доступ к объектам одного уровня безопасности.

 

7.7.
теоретико-информационные модели

 

Одной из самых труднорешаемых проблем безопасности в информационных системах, в том числе и основанных на мо- делях мандатного доступа, является проблема скрытых каналов утечки информации.

Скрытым каналом утечки информации называется механизм, посредством которого в системе может осуществляться инфор- мационный поток (передача информации) между сущностями в обход политики разграничения доступа.

Например, к скрытым каналам утечки информации относят- ся рассмотренные ранее потоки, возникающие за счет «троян- ских» программ, и неявные информационные потоки в систе- мах на основе дискреционных моделей.

Скрытым каналом утечки информации в системах мандат- ного доступа является механизм, посредством которого может осуществляться передача информации от сущностей с высо- ким уровнем безопасности к сущностям с низким уровнем без- опасности без нарушения правил NRU и NWD. В определен- ных случаях информацию можно получить или передать и без непосредственного осуществления операций read / write к объ- ектам, в частности на основе анализа определенных процес- сов и параметров системы. Например, если по правилу NRU нельзя читать секретный файл, но можно «видеть» его объем, то высокоуровневый субъект, меняя по определенному правилу объем секретного файла, может таким кодированным образом передавать секретную информацию низкоуровневому объекту. От высокоуровневых субъектов может передаваться информа- ция о количестве создаваемых или удаляемых секретных фай- лов, получить доступ по чтению к которым низкоуровневые субъекты не могут, но «видеть» их наличие и соответственно определять их количество могут.

 

Другие возможности «тайной» передачи информации мо- гут основываться на анализе временных параметров протека- ния процессов.

Скрытые каналы утечки информации можно разделить на три вида:

· скрытые каналы по памяти (на основе анализа объема и других статических параметров объектов системы);

· скрытые каналы по времени (на основе анализа времен- ных параметров протекания процессов системы);

· скрытые статистические каналы (на основе анализа ста- тистических параметров процессов системы).

Требования по перекрытию и исключению скрытых каналов впервые были включены вспецификацию уровней защиты автома- тизированных систем, предназначенных для обработки сведений, составляющих государственную тайну в США (Оранжевая книга). Теоретические основы подходов к решению проблемы скры- тых каналов разработаны Д. Денингом, исследовавшим принци- пы анализа потоков данных в программном обеспечении и прин- ципы контроля совместно используемых ресурсов. Основываясь на идеях Денинга, Дж. Гоген и Дж. Мезигер предложили теоре- тико-информационный подход на основе понятий информаци-

онной невыводимости и информационного невмешательства.

Сущность данного подхода [7, 8] заключается в отказе от рас- смотрения процесса функционирования информационной си- стемы как детерминированного процесса. При рассмотрении моделей конечных состояний (HRU, TAKE-GRANT, Белла — ЛаПадулы) предполагалось, что функция перехода в зависимо- сти от запроса субъекта и текущего состояния системы одно- значно определяет следующее состояние системы. В системах коллективного доступа (много пользователей, много объектов) переходы, следовательно, и состояния системы обусловлива- ются большим количеством самых разнообразных, в том числе и случайных, факторов, что предполагает использование аппа- рата теории вероятностей для описания системы.

 

При таком подходе политика безопасности требует опреде- ленной модификации и, в частности, теоретико-вероятност- ной трактовки процессов функционирования систем и опас- ных информационных потоков:

1. Информационная система рассматривается как совокуп- ность двух непересекающихся множеств сущностей:

· множества высокоуровневых объектов Н;

· множества низкоуровневых объектов L. Информационная система представляется мандатной си-

стемой с решеткой, состоящей всего из двух уровней безопас- ности — высокого и низкого и соответственно определяющей невозможность обычных (read / write) информационных пото- ков «сверху вниз».

2. Состояние любого объекта является случайным. Понятие информационной невыводимости основывается на определе- нии «опасных» потоков: в системе присутствует информацион- ный поток от высокоуровневых объектов к низкоуровневым, если некое возможное значение переменной в некотором со- стоянии низкоуровневого объекта невозможно одновременно с определенными возможными значениями переменных состо- яний высокоуровневых объектов.

3. Формулируется следующий критерий информационной невыводимости: система безопасна в смысле информационной невыводимости, если в ней отсутствуют информационные по- токи вида, задаваемого в п. 2.

Анализ критерия информационной невыводимости пока- зывает, что его требования являются чрезвычайно жесткими и достижимы, в частности, при полной изоляции высокоуров- невых объектов от низкоуровневых.

Требование отсутствия выводимости высокоуровневой информации на основе анализа состояний низкоуровневых объектов одновременно приводит и к обратному, т. е. отсут- ствию возможностей выводимости низкоуровневой информа- ции из анализа состояний высокоуровневых объектов. Данное

 

свойство является избыточным и противоречит основным по- ложениям мандатной политики, а именно — неопасности и до- пустимости потоков «снизу вверх» от низкоуровневых сущно- стей к сущностям с более высокими уровнями безопасности. Другой подход основывается на идее информационного невме- шательства. Понятие опасных потоков имеет здесь следующий смысл: в системе присутствует информационный поток от вы- сокоуровневых объектов к низкоуровневым, если информация (состояние) низкоуровневых объектов зависит от информации высокоуровневых объектов. Это значит, что на состояние вы- сокоуровневых объектов в текущий момент времени не влия- ет состояние низкоуровневых объектов в предшествующий мо- мент времени и наоборот. Разноуровневые объекты не имеют возможности влиять на последующие состояния объектов дру- гого уровня. Анализ процессов функционирования информа- ционной системы показывает, что такие требования являются чрезвычайно жесткими, фактически совпадающими с требова-

ниями полной изоляции разноуровневых сущностей.

Несмотря на то, что понятия информационной невыводи- мости и информационного невмешательства непосредствен- но не применимы для разграничения доступа, они послужили основой широко применяемых в современных информацион- ных системах технологий представлений и разрешенных проце- дур. Эти технологии исторически возникли как политика раз- граничения доступа в СУБД.

Представлением информации в информационной системе называется процедура формирования и представления пользо- вателю (после его входа в систему и аутентификации) необхо- димого подмножества информационных объектов, в том числе с возможным их количественным и структурным видоизмене- нием исходя из задач разграничения доступа к информации.

В технологиях представлений пользователи, входя и работая в системе, оперируют не с реальной, а с виртуальной системой, формируемой индивидуально для каждого. В результате зада-

7.8. Политика и модели тематического разграничения доступа

 

ча разграничения доступа решается автоматически. Проблемы безопасности при этом сводятся к скрытым каналам утечки ин- формации, рассмотрение и нейтрализация которых осущест- вляется на основе анализа условий и процедур, обеспечиваю- щих выполнение критериев безопасности.

Технология представлений решает проблему скрытых каналов утечки первого вида. Часть каналов второго и третьего вида пере- крывается техникой разрешенных процедур. Системой разрешен- ных процедур называется разновидность интерфейса системы, когда при входе в систему аутентифицированным пользователям предоставляется только возможность запуска и исполнения ко- нечного набора логико-технологических процедур обработки ин- формации без возможности применения элементарных методов доступа (read, write, create и т. п.) к информационным объектам системы. Следовательно, в системах с интерфейсом разрешен- ных процедур пользователи не видят информационные объекты, а выполняют операции на уровне логических процедур. Автома- тизированная система при этом для пользователей превращается в дискретный автомат, получающий команды на входе и выдаю- щий обработанную информацию на выходе.

Впервые подобный подход к представлению информацион- ной системы был рассмотрен Гогеном (J. Goguen) и Мезигером (J. Meseguer), предложившими автоматную модель информаци- онного невлияния (невмешательства) — GM-модель.

 

Политика и модели

тематического разграничения доступа

 

Политика тематического разграничения доступа близка к по- литике мандатного доступа [7].

Общей основой является введение специальной процедуры классификации сущностей системы (субъектов и объектов до-

 

ступа) по какому-либо критерию. Выше рассматривалось, что основой классификации сущностей АС в моделях мандатного доступа является линейная решетка на упорядоченном множе- стве уровней безопасности. При этом использование аппарата решеток является принципиальным, так как посредством ме- ханизмов наименьшей верхней и наибольшей нижней границ обеспечивается возможность анализа опасности/неопасности потоков между любой парой сущностей системы.

В ряде случаев основанием для классификации информа- ции и субъектов доступа к ней выступают не конфиденциаль- ность данных и доверие к субъектам доступа, как в мандатных моделях, а тематическая структура предметной области инфор- мационной системы. Стремление расширить мандатную мо- дель для отражения тематического принципа разграничения доступа, применяемого в государственных организациях мно- гих стран, привело к использованию более сложных структур, чем линейная решетка уровней безопасности, именуемых MLS- решетками. MLS-решетка является произведением линейной решетки уровней безопасности и решетки подмножеств мно- жества категорий (тематик).

Еще одним фактором, обусловливающим необходимость по- строения специальных моделей тематического разграничения доступа, является то, что в большинстве случаев на классифи- кационном множестве в документальных информационных си- стемах устанавливается не линейный порядок (как на множе- стве уровней безопасности в мандатных моделях), а частичный порядок, задаваемый определенного вида корневыми деревья- ми (иерархические и фасетные рубрикаторы).

Важным аспектом, присутствующим в практике разграни- чения доступа к «бумажным» ресурсам, является тематическая

«окрашенность» информационных ресурсов предприятий, уч- реждений  по организационно-технологическим процессам и профилям деятельности. Организация доступа сотрудников к информационным ресурсам (в библиотеках, архивах, доку-

 

ментальных хранилищах) осуществляется на основе тематиче- ских классификаторов. Все документы информационного хра- нилища тематически индексируются, т. е. соотносятся с теми или иными тематическими рубриками классификатора. Со- трудники предприятия согласно своим функциональным обя- занностям или по другим основаниям получают права работы с документами определенной тематики. Данный подход в соче- тании с дискреционным и мандатным доступом, обеспечива- ет более адекватную и гибкую настройку системы разграниче- ния доступа на конкретные функционально-технологические процессы, предоставляет дополнительные средства контроля и управления доступом.

 

7.9.
ролевая модель безопасности

 

Ролевая модель безопасности представляет собой существен- но усовершенствованную модель Харрисона – Руззо – Ульмана, однако ее нельзя отнести ни к дискреционным, ни к мандат- ным, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помо- щью правил, регламентирующих назначение ролей пользовате- лям и их активацию во время сеансов. Поэтому ролевая модель представляет собой совершенно особый тип политики, кото- рая основана на компромиссе между гибкостью управления до- ступом, характерной для дискреционных моделей, и жестко- стью правил контроля доступа, присущей мандатным моделям. В ролевой модели классическое понятие «субъект» замещает-

ся понятиями «пользователь» и «роль» [5, 7]. Пользователь — это человек, работающий с системой и выполняющий определен- ные служебные обязанности. Роль — это активно действую- щая в системе абстрактная сущность, с которой связан набор полномочий, необходимых для осуществления определенной

 

деятельности. Самым распространенным примером роли яв- ляется присутствующий почти в каждой системе администра- тивный бюджет (например, root для UNIX и Administrator для Windows NT), который обладает специальными полномочиями и может использоваться несколькими пользователями.

Ролевая политика распространена очень широко, потому что она, в отличие от других более строгих и формальных поли- тик, очень близка к реальной жизни. Ведь на самом деле рабо- тающие в системе пользователи действуют не от своего лично- го имени, они всегда осуществляют определенные служебные обязанности, т. е. выполняют некоторые роли, которые никак не связаны с их личностью.

Поэтому вполне логично осуществлять управление досту- пом и назначать полномочия не реальным пользователям, а абстрактным (неперсонифицированным) ролям, представ- ляющим участников определенного процесса обработки ин- формации. Такой подход к политике безопасности позволяет учесть разделение обязанностей и полномочий между участ- никами прикладного информационного процесса, т. к. с точ- ки зрения ролевой политики имеет значение не личность поль- зователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.

В такой ситуации ролевая политика позволяет распределить полномочия между этими ролями в соответствии с их служеб- ными обязанностями: роли администратора назначаются спе- циальные полномочия, позволяющие ему контролировать ра- боту системы и управлять ее конфигурацией, роль менеджера баз данных позволяет осуществлять управление сервером баз данных, а права простых пользователей ограничиваются мини- мумом, необходимым для запуска прикладных программ. Кро- ме того, количество ролей в системе может не соответствовать количеству реальных пользователей: один пользователь, если на нем лежит множество обязанностей, требующих различных

 

полномочий, может выполнять (одновременно или последо- вательно) несколько ролей, а несколько пользователей могут выполнять одну и ту же роль, если они производят одинако- вую работу.

При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли ука- зывается набор полномочий, представляющий набор прав до- ступа к объектам, во-вторых — каждому пользователю назна- чается список доступных ему ролей. Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей рабо- ты набором полномочий.

В отличие от других политик, ролевая политика практиче- ски не гарантирует безопасность с помощью формального до- казательства, а только определяет характер ограничений, со- блюдение которых и служит критерием безопасности системы. Такой подход позволяет получать простые и понятные прави- ла контроля доступа, которые легко могут быть применены на практике, но лишает систему теоретической доказательной базы. В некоторых ситуациях это обстоятельство затрудняет использование ролевой политики, однако в любом случае опе- рировать ролями гораздо удобнее, чем субъектами, поскольку это более соответствует распространенным технологиям обра- ботки информации, предусматривающим разделение обязан- ностей и сфер ответственности между пользователями. Кроме того, ролевая политика может использоваться одновременно с другими политиками безопасности, когда полномочия ролей, назначаемых пользователям, контролируются дискреционной или мандатной политикой, что позволяет строить многоуров- невые схемы контроля доступа.

 

ВыВОды

Определение политики безопасности и модели этой полити- ки позволяют теоретически обосновать безопасность системы при корректном определении модели системы и ограничений в ее использовании. Обеспечение информационной безопас- ности предполагает повышение защищенности информации за счет разграничения доступа. В последнее десятилетие как в нашей стране, так и за рубежом активно проводятся исследо- вания по развитию моделей разграничения доступа. Дальней- шими направлениями исследований в этой сфере могут быть поиски решений разграничения доступа в гипертекстовых ин- формационно-поисковых системах, развитие концепции муль- тиролей в системах ролевого доступа, развитие моделей ком- плексной оценки защищенности системы.

 

Вопросы для самоконтроля

 

1. Что такое политика безопасности, кто ее разрабатывает и где она применяется?

2. Приведите классификацию моделей разграничения до- ступа. Какова их роль в теории информационной безо- пасности?

3. Каковы основные достоинства и недостатки дискреци- онных моделей?

4. Приведите примеры использования дискреционных мо- делей разграничения доступа.

5. Составьте матрицу доступа и граф доступа для органи- зации документооборота факультета (объекты доступа: экзаменационные ведомости, персональные данные сту- дентов, рабочие программы дисциплин; субъекты досту- па: студенты, преподаватели, декан).

6. Что такое монитор безопасности и какие требования к нему предъявляются?

 

7. Перечислите основные положения субъектно-объект- ного подхода к разграничению доступа? В чем достоин- ства и недостатки такого подхода?

8. В чем суть мандатной политики разграничения доступа?

9. Каковы основные достоинства и недостатки мандатной политики?

10. Что такое скрытые каналы утечки информации и как их обнаружить?

11. Почему ролевая политика получила большое распро- странение?

12. В чем суть моделей группового доступа?

13. Что такое информационная невыводимость и информа- ционное невмешательство?

14. Как и зачем строятся многоуровненвые схемы разграни- чения доступа. Приведите пример.