Модели систем разграничения доступа к ресурсам асод

АСОД является системой множественного доступа, то есть к одним и тем же ее ресурсам (техническим средствам, программам, массивам данных) имеет законное право обращаться некоторое число пользователей (абонентов). Если какие-либо из указанных ресурсов объявляются защищенными, то доступ к ним должен осуществляться лишь при предъявлении некоторых полномочий. Система разграничения доступа и является тем механизмом, который регулирует такой доступ. Требования к этому механизму на содержательном уровне состоят в том, что, с одной стороны, не должен быть разрешен доступ пользователям, не имеющим на это полномочий, а с другой — не должно быть отказано в доступе пользователям, имеющим соответствующие полномочия.

Примером системы разграничения доступа является система АДЕПТ-50 (разрешена Корпорацией системного развития). В основе модели функционирования этой системы используются объекты (структурные элементы) следующих типов:

U — пользователь;

j — здание;

t — терминал;

f — файл.

Рисунок — Объекты модели функционирования системы АДЕПТ — 50

Объект каждого типа полностью описывается заданием четырех характеристик (параметров безопасности):

A — уровень компетенции, выраженный наибольшим грифом секретности данных, допустимых для данного объекта;

C — категория доступа, выраженная набором рубрик, к данным по которым разрешен доступ к объекту;

F — полномочия, выраженные списком пользователей, имеющих доступ к объекту;

M — режим, выраженный перечнем процедур, разрешенных для соответствующего объекта.

А, C, F, M — образуют кортеж.

На основе такого формального описания системы можно сформулировать систему формальных правил регулирования доступа:

• пользователь "u" получает доступ к заданию "j" только тогда, когда u принадлежит U, где U — множество всех пользователей, зарегистрированных в системе;

• пользователь "u" получает доступ к терминалу "t" только тогда, когда u принадлежит F(t);

• пользователь "u" получает доступ к файлу "f" только тогда, когда u принадлежит F(t), A(u) ≥A(f), C(u) ≥C(f), M(u) ≥M(f);

• с терминала "t" может быть осуществлен доступ к файлу "f" только тогда, когда:

F(t) ≥F(f), A(t) ≥C(f), C(t) ≥C(f), M(t) ≥M(f).

К подобному типу относятся пятимерная модель безопасности, в которой для описания процесса доступа к данным используется 5 множеств: U — список зарегистрированных пользователей, R — набор имеющихся в системе ресурсов, S — множество возможных состояний ресурсов, A — перечень возможных полномочий пользователей.

Область безопасности: D=U*A*R*S*E.

Любой запрос на доступ может быть описан четырехмерным кортежем: g=(u,r,s,e), где u принадлежит U, r принадлежит R, s принадлежит S, e принадлежит E. Запрос получает право на доступ только тогда, когда он попадает в соответствующую подобласть области безопасности.

Литература:

Герасименко В.А., ЗИ в АСОД, ч. I, §4.5 (с.141-146).

Хоффман Л.Дж. Современные методы ЗИ.- М.: Мир, 1980.

Компетенция (A) — скаляр — элемент из множества иерархически упорядоченных положений о безопасности таких как: НЕСЕКРЕТНО, КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО.

Категория (C) — дискретный набор рубрик. Категории не зависят от уровня компетенции. Примеры рубрик: {ОГРАНИЧЕНО, ТАЙНО, ТОЛЬКО ДЛЯ ПРОСМОТРА, ЯДЕРНЫЙ, ПОЛИТИЧЕСКИЙ}.

Полномочия (F) — группа пользователей, имеющих право на доступ к определенному объекту.

Режим (M) — набор видов доступа, разрешенных к определенному объекту или осуществляемых объектом. Например: ЧИТАТЬ ДАННЫЕ, ЗАПИСАТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ и т.д.