Модели обеспечения конфиденциальности

Наиболее изучены математические модели, формализующие политики безопасности для обеспечения конфиденциальности, основанные на разграничении доступа. Политика безопасности подобных систем направлена на то, чтобы к информации не получили доступа неавторизованные субъекты. Среди этих моделей можно выделить три группы:

а) дискреционные модели (матрицы доступа Харрисона, Руззо и Ульмана, модели Take-Grant, Белла—Лападула и др.);

б) мандатные модели (Белла—Лападула, Биба, систем военных сообщений);

в) модели ролевого разграничения доступа, которые нельзя отнести ни к дискреционным, ни к мандатным.

Дискреционное управление доступом есть разграничение доступа между поименованными субъектами и поименованными объектами. Права доступа субъектов к объектам определяются на основе некоторого внешнего (по отношению к системе) правила. Политика безопасности либо разрешает некоторое действие над объектом защиты, либо запрещает его.

Мандатное управление доступом есть разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и допуска субъектов к информации соответствующего уровня конфиденциальности. В отличие от моделей дискреционного доступа модели мандатного доступа накладывают ограничение на передачу информации от одного пользователя другому, контролируют информационные потоки. Именно поэтому в подобных системах проблемы троянских программ не существует.

В краткой форме данная модель может быть описана следующими тремя правилами:

1) допускается чтение и запись информации между объектами одного уровня конфиденциальности;

2) не допускается запись информации «вниз», т.е. от объектов с большим уровнем конфиденциальности к объектам с меньшим уровнем;

3) не допускается чтение «вверх», т.е. от объектов с меньшим уровнем конфиденциальности к объектам с большим уровнем.

В модели ролевого разграничения доступа (РРД) права доступа субъектов к объектам группируются с учетом специфики их применения, образуя роли. Модель РРД является развитием политики дискреционного разграничения доступа, но ее фундаментальное отличие состоит в том, что пользователи не могут передавать права на доступ к информации, как это было в моделях дискреционного доступа.

РРД активно применяется в существующих АС. В данной модели субъект замещается понятиями «пользователь» и «роль», пользователь — человек, работающий с системой, выполняющий определенные служебные обязанности. Роль — активно действующая в системе абстрактная сущность, с которой связана совокупность прав доступа. Количество ролей в системе может не соответствовать количеству пользователей. Один пользователь может выполнять несколько ролей, а несколько пользователей могут выполнять одну и ту же роль.

Основными элементами модели РРД являются множества пользователей, ролей, прав доступа на объекты АС, сессий пользователей, а также функции, определяющие для каждой роли множества прав доступа, для каждого пользователя — множество ролей, на которые он может быть авторизован, для каждой сессии — пользователя, от имени которого она активизирована, для каждого пользователя — множество ролей, на которые он авторизован в данной сессии.