Многоуровневое тематико-иерархическое управление доступом (mlths-система) Текст научной статьи по специальности «Компьютерные и информационные науки»

2018 Математические основы компьютерной безопасности №39

МАТЕМАТИЧЕСКИЕ ОСНОВЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

УДК 004.94

МНОГОУРОВНЕВОЕ ТЕМАТИКО-ИЕРАРХИЧЕСКОЕ УПРАВЛЕНИЕ

ДОСТУПОМ (MLTHS-СИСТЕМА)

Н. А. Гайдамакин

Уральский федеральный университет имени первого Президента России Б. Н. Ельцина,

г. Екатеринбург, Россия

Управление доступом строится на объединении доверительно-мандатного и тематического принципа. Субъектам и объектам доступа присваиваются составные метки безопасности, содержащие уровень безопасности (гриф секретности для объектов, уровень допуска для субъектов) и тематический индекс (тематика объектов, тематические полномочия субъектов). В отличие от известной МЬБ-модели, использующей неиерархические, т. е. неупорядоченные, тематические категории в виде набора тематических рубрик, тематические индексы объектов и тематические полномочия субъектов отображаются элементами иерархических тематических классификаторов, которые широко применяются в технологиях организации документальных хранилищ. Математически метки безопасности представляют собой элементы произведения линейной решётки уровней безопасности, применяемой в модели Белла — ЛаПадулы, и специально построенной решётки мульти-рубрик на иерархических классификаторах. Построены специальные отношения доминирования («шире — уже»), операции взятия наименьшей верхней и наибольшей нижней границ мультирубрик, которые не могут быть выражены обычными теоретико-множественными отношениями включения, операциями объединения и пересечения. В МЬТИБ-системе определены процедуры присвоения пользователям и инициируемым ими субъектам меток безопасности. Установлены правила санкционирования монитором безопасности доступов субъектов к объектам на чтение, запись, выполнение, в том числе определены процедуры присвоения меток безопасности вновь создаваемым объектам. Установлены правила санкционирования множественных доступов (одного субъекта одновременно к нескольким объектам, нескольких субъектов одновременно к одному объекту). Доказывается безопасность функционирования МЬТИБ-системы по критерию отсутствия потоков «сверху вниз» и между несравнимыми по меткам безопасности сущностями (субъектами или объектами доступа). МЬТИБ-система позволяет соединить технологии текстового поиска в документальных хранилищах и технологии разграничения доступа, создавая на этой основе защищённые документально-поисковые системы без ограничения их функциональности.

Ключевые слова: управление доступом, модель безопасности, иерархический тематический классификатор, мультирубрика, решётка мультирубрик, документальные информационно-поисковые системы, тематическое индексирование, ЫЬБ-модель.

DOI 10.17223/20710410/39/4

MULTILEVEL THEMATIC-HIERARCHICAL ACCESS CONTROL

(MLTHS-SYSTEM)

N. A. Gaydamakin Ural Federal University, Ekaterinburg, Russia E-mail: haid2@bk.ru

Access control in computer systems is based on the combination of confidence-mandatory and thematic principles. Composite security labels (tags) containing a security level (classification grade for objects and access level for subjects) and a thematic index (object themes and thematic permissions for subjects) are assigned to the access objects and subjects. In contrast to the known MLS-model that uses so called non-hierarchical (i.e. unordered) thematic categories in the form of thematic rubrics, our model (MLTS-system) uses thematic object indexes and thematic subject permissions which appear as hierarchical thematic classifier elements widely used in document storage technologies. Mathematically, the security labels are elements of the product of the security level algebraic lattice used in Bell — LaPadula model and of a special multirubric lattice based on hierarchical classifiers. Special dominance relations (wider — narrower) and binary operations (greatest lower and least upper multirubric bounds) that cannot be expressed by using ordinary set-theoretic inclusion relation and union and intersection operations are introduced. In MLTHS-system, for assigning security tags to users and to user-initiated subjects, some specific procedures are defined. Authorization rules to subject-to-object read, write and execute access are defined for security monitor as well as security tag assignment procedures for newly created objects. Multiple access (a single subject to many objects and many subjects to a single object) authorization rules are established. It is proven that MLTHS-system is secure by criteria of flow absence between security tag-incomparable entities (objects or subjects) and of top down flow absence. MLTHS-system allows combining access control and document storage text search technologies to create secure search engines with no functional limitations.

Keywords: access control (management), security model, hierarchical thematic classifier, multirubric, multirubric lattice, documentary information retrieval systems, thematic indexing, MLS-model.

1. Исходные положения

Широко известным подходом к управлению доступом к информационным объектам в компьютерных системах (КС) является применение мандатной политики [1-3]. Реализующая эту политику модель Белла — ЛаПадулы [4] основывается на линейной решётке неких абстрактных уровней безопасности

Л1(Ь,<, о, 0),

где L — множество уровней безопасности; < — отношение доминирования, определяющее строгий и полный порядок на множестве L; о — оператор, определяющий для любой пары l1,l2 Е L точную (наименьшую) верхнюю границу l = l1 о l2 = max(l^l2); 0 — оператор, определяющий для любой пары l1,l2 Е L точную (наибольшую) нижнюю границу l = l1 0 l2 = min(l1,l2).

Множество сущностей системы управления доступом (множество субъектов доступа в Е Б и множество объектов доступа о Е О) отображаются на решётку уровней безопасности Л|_. Результатом отображения (классификации) является присвоение каждому субъекту или объекту уровня безопасности, который для субъектов именуется уровнем допуска, а для объектов — грифом секретности.

Критерием безопасности является запрет информационных потоков «сверху вниз», т. е. от сущностей с более высоким уровнем безопасности к сущностям с более низким уровнем безопасности.

Вместе с тем «подсмотренная» в сфере традиционного «бумажного» секретного делопроизводства политика мандатного управления доступом на основе грифов секретности и уровней допуска не является единственной. В специальных библиотеках, в архивах многих организаций и предприятий управление доступом осуществляется по тематическому принципу, т. е. в зависимости от тематики сведений, находящихся в информационных объектах. Наиболее простой подход основан на решётке множества подмножеств тематических категорий (тематических рубрик):

Лто(Рта, С, и, П),

где Рто — множество подмножеств Рто из базового множества тематических категорий Тто = |т1,т2,... }; т — ¿-я тематическая категория (рубрика); Рто Е Р то; Рто С Тто; С —отношение теоретико-множественного включения, определяющее на множестве Рто отношение нестрого частичного порядка; и — операция теоретико-множественного объединения, определяющая для любой пары Ртоъ Рто2 Е Рто наименьшую верхнюю границу Ртои = Рто1 и Рто 2; П — операция теоретико-множественного пересечения, определяющая для любой пары Рто1, Рто2 Е Рто наибольшую нижнюю границу Рто п = Рто 1 П Рто 2.

Критерием безопасности является недопустимость информационных потоков от сущностей с более широкой тематикой к сущностям с более узкой тематикой, а также между несравнимыми по отношению включения сущностями.

Поскольку в некоторых областях, в частности в области обработки текстов, набор элементов, характеризующих тематику информационных объектов (набор ключевых слов, набор тематических рубрик), называют дескрипторами, то Лто(Рто, С, и, П) будем называть дескрипторной тематической решёткой.

На рис. 1 представлены диаграмма Хассе решётки Лто(Рто, С, и, П) на множестве из трёх тематических рубрик Тто = {т1, т2, тз} и граф допустимых по критерию «снизу вверх» потоков. Символ 0 соответствует «пустой» рубрике, т.е., в контексте управления доступом, такой тематике сведений, доступ к которым неограничен.

Пунктирные стрелки на рис. 1, б задают допустимые информационные потоки между сущностями с соответствующими тематическими категориями. Все остальные потоки являются недопустимыми как потоки от сущностей с более широкой тематикой к сущностям с более узкой тематикой или как потоки между несравнимыми по тематике сущностями.

При объединении рассмотренных подходов субъекты и объекты доступа отображаются в произведение решёток Л|_(Ь,<, о, ®) и Лто(Рто, С, и, П). Каждый субъект или объект доступа помечается двойной меткой: уровнем секретности и тематическим индексом в виде набора тематических («неиерархических») категорий.

На рис. 2 представлен результат произведения линейной решётки из двух уровней безопасности (/1,/2; /1 < /2) и тематической решётки из двух рубрик {т1 ,т2}.

{т1,Т2,Тз} А

{ Т1, Т2 } Л

{Т1}

{Т2} А

0 a

{Т2,Тз}

А

{Тз}

{т1 , т2}

{Т1} Т-.

{Т1 ,Т2,Тз}

Л ^ \ftJ\

{Т1,Т3 }

{Т2} \\ Л

0

{Т2,тз}

{Тз} >7

Рис. 1. Диаграмма Хассе решётки подмножеств на множестве из трёх тематических рубрик {т1,т2,тз} (а) и граф допустимых потоков в системе управления доступом (б)

(12, {Т1})

А

(11, {Т1})

(12, {Т1,Т2})

А

(11, {Т1,Т2}) А

(12, 0) А

(11, 0)

(12, {Т2}) А

(12, {Т1})

A Iv

(11, {Т2}) (11, {Т1})

Г,

(12, {Т1,Т2})

/'(11, {Т1,Т2}) ,7!

А ^

(12, 0)

А

(11, 0)

(12, {Т2}) А

(11, {Т2})

Рис. 2. Диаграмма Хассе произведения линейной решётки из двух уровней безопасности (11,12; 11 < 12) и тематической решётки из двух рубрик {т1,т2} (а) и граф допустимых потоков (б)

Объединённый подход, именуемый в некоторых источниках как МЬБ-модель1, позволяет строить системы управления доступом, отражающие существенно более разнообразные технологии работы с конфиденциальной информацией, более адекватно настраиваемые на особенности информационно-технологической сферы конкретных организаций.

1 Multi-Level Security. В некоторых источниках под термином MLS понимают в целом модели мандатной политики, в том числе модель Белла — ЛаПадулы, характеризующиеся наличием множества уровней безопасности.

a

Вместе с тем в МЬБ-модели, как и в базовой модели Белла — ЛаПадулы, не определены такие важные в практической реализации аспекты, как присвоение/изменение уровней безопасности и тематических меток субъектам и объектам доступа, процедуры совместного доступа субъектов к какому-либо объекту, одновременного доступа субъекта к нескольким объектам.

Кроме того, в технологиях текстового поиска при организации хранилищ документов широко применяется индексирование текстовых документов не просто наборами тематических рубрик (ключевых слов), а элементами иерархически-организованных классификационных структур (иерархические тематические классификаторы, тезаурусы, иерархические онтологии [5]), использование которых не может быть отражено с помощью простой дескрипторной тематической решётки Лто(Рто, С, и, П).

В [6] представлена модель тематического разграничения доступа при иерархической структуре классификатора, введено понятие мультирубрики и построена решётка мультирубрик. Приведём в кратком изложении основные положения алгебры мульти-рубрик.

2. Мультирубрики и решётка мультирубрик на иерархическом

тематическом классификаторе

Иерархические тематические классификаторы, применяемые для тематического индексирования информационных объектов (книг в библиотеках, документов в делопроизводстве), строятся по таксономическому (родовидовому) принципу. Вся тематика предметной области разбивается на рубрики, которые, в свою очередь, могут разбиваться на подрубрики и т.д. Таким образом, если сведения, содержащиеся в информационном объекте, отнесены к рубрике т^, то в нём содержатся сведения по всем подрубрикам т], составляющим рубрику т^, т.е. подчинённым рубрике т^.

В теоретико-множественной интерпретации иерархический тематический классификатор представляет собой частично упорядоченное множество тематических категорий (рубрик) Ттн = {т1 ,т2,...,тк}, образующих корневое дерево (см., например, рис. 3).

т1

Рис. 3. Пример иерархического тематического классификатора в виде корневого графа (т1 — корень дерева, обозначающий всю тематику предметной области)

Информационный объект может содержать сведения, относящиеся сразу к нескольким рубрикам. С учётом иерархической сущности классификатора для тематического индексирования информационных объектов вводится понятие «мультирубрика».

Определение 1. Мультирубрикой 7~м называется любое подмножество {т^, Тг2,... , Тгь } (Ь ^ К) множества Ттн = {т1, т2,... , тк} рубрик-вершин иерархического тематического классификатора, такое, что:

а) любая вершина т^ не находится в отношениях «родитель — потомок» с любой другой вершиной т^т того же подмножества: т^ ^^ т^т, где к = т; ^^ —знак несравнимости, т. е. неподчинённости по корневому дереву иерархического классификатора (если объект помечен рубрикой родителя, то он содержит тематику и всех подчинённых рубрик-потомков, так что указывать их в его тематическом индексе нет необходимости);

б) в подмножестве {т^, т^2,... , т^ } не содержится полного набора сыновей ни одной из вершин корневого дерева иерархического классификатора (если тематика объекта содержит полный набор сыновей какой-либо рубрики, то в тематический индекс объекта вместо этого набора сыновей необходимо и достаточно внести родительскую рубрику).

На рис.4 наборы рубрик 71м = {т2 , т12,т19} и 72м = {т7, т9, т13, 715, т^} являются мультирубриками, наборы рубрик 71 = {тб,т14} и 72 = {т13, т17, т18} требованиям для мультирубрики не удовлетворяют, поскольку т6 и т14 связаны отношением «родитель — потомок», а т17 и т18 образуют полный набор сыновей рубрики т12.

т1

Рис. 4. Примеры наборов рубрик, являющихся мультирубриками (71м, 72м) и не являющихся мультирубриками (71,72)

Множество всех мультирубрик на корневом дереве классификатора будем обозначать Тм (7~м е Тм).

Отметим, что по определению 1 мультирубриками являются также набор из одной рубрики (вершины классификатора) и пустой набор рубрик-вершин 0 е Тм.

Поскольку рубрики тк, входящие в различные мультирубрики, могут находиться в отношениях подчинённости («родитель — потомок»), то отношения «шире — уже»,

т. е. доминирования одной мультирубрики над другой, не могут адекватно воспроизводиться отношением теоретико-множественного включения.

Определение 2. Мультирубрика = {т^, т^2,... , т^} доминирует над мульти-рубрикой 7~м = {5, т5-2,... , 5 } (шире или равна по тематике; для обозначения доминирования мультирубрик будем использовать знак ^м) в том и только в том случае, когда для любого т = 1,... , 3 существует п = 1,... , I, такое, что т}т ^ т^ (вершина т5-т € 7~м подчинена по корневому дереву иерархического классификатора вершине Тгп € 7™ или т^ и Тгп совпадают):

м

7 ^м 7,

м

Ут,т €Хм Зтг„ € 7~м (5 ^ тг„).

м

Заметим, что если ни 7~м не доминирует над 7~м, ни 7^м не доминирует над 7~' то мультирубрики 7~м и 75м являются несравнимыми; для обозначения этого будем использовать знак ^м^. При этом часть рубрик-вершин т^п € 7~м и т?т € 75м могут совпадать или находиться в отношении «родитель — потомок».

На рис. 5 приведены примеры доминирования и несравнимости мультирубрик.

т1

т5

т10

т2

^6

¡тМ

т15

71

м

т7

Г1

'3

м

т11

т16

м

5

т17

2м

те-

т12

т18

т4

т13

1 I

^19

1 т9 . ■' \ ■ 1 г '

i - •! • у-1

4

Рис. 5. Примеры доминирования и несравнимости мультирубрик: 75м ^м 73м ^м 71м,

н~м < -т-м --тм <„„> -гм п-м <„„> -гм п-м <..> тм

/4 ^м /2 , /1 ^м^ /2 , /2 ^м^ /5 , /3 ^м^ /2

Таким образом, определение 2 устанавливает на множестве мультирубрик Тм отношение частичного порядка.

Для построения решётки мультирубрик необходимо определить операции получения точных границ (наименьшей верхней и наибольшей нижней) для любых пар мультирубрик. Как и в случае с отношением доминирования, операции теоретико-множественного объединения и пересечения в отношении наборов рубрик, составляющих мультирубрики, не подходят.

Определение 3. Иерархическим сжатием 1_1н множества элементов {т^, т^2,... , ткь } (7 < К), являющихся вершинами корневого дерева, задающего частичный порядок на множестве рубрик иерархического классификатора Тн = {т1, т2,... , тк}, будем называть итеративную операцию замены вершинами-родителями любых подмножеств элементов, являющихся в множестве {т^, т^2,..., ткь } полными наборами сыновей соответствующих вершин-родителей.

К примеру, иерархическое сжатие набора вершин 72 = {ti3,ti7, tiS} на рис.4 даёт набор из одной вершины-рубрики {т8}:

Uh(72) = Uh{tI3,TI7,TIS} = Uh{TI3,TI2} = {TS}.

Отметим, что иерархическое сжатие по набору рубрик какой-либо мультирубрики является в соответствии с определением 1 той же мультирубрикой:

UH(7iM) = UhR,Ti2,... ,Ti7} = R,Ti2,... ,Ti7} = 7iM.

Введём понятия объединения и пересечения мультирубрик.

Определение 4. Объединением UM мультирубрик 7~м = {т^, Ti2,... , т^ } и 7jM = = {tji , Tj2,... , Tjj } называется операция формирования множества вершин иерархического рубрикатора 7Mu = 7~м UM 7jM на основе следующего алгоритма:

а) формируется теоретико-множественное объединение 7^ множеств вершин, составляющих мультирубрики:

ru = {tîx , Ti2 , . . . , Tij } U {tji , Tj2 , . . . , Tjj } ;

б) формируется набор вершин 7^ путем исключения из набора 7^ тех вершин Tk, для которых хотя бы одна вершина из того же набора 7"u является предком:

(Tk G 7u Л Tk G 7u') ^ Зтт G 7u (Tm < Tk);

в) формируется итоговый набор вершин путём иерархического сжатия набора вершин 7^ :

7M u = Uh (7й ' ).

Определение 5. Пересечением HM мультирубрик 7iM = {Ti1, Ti2,... , т^} и 7jM = = {j, Tj2,... , TjJ } называется операция формирования множества вершин иерархического классификатора 7Mn = 7iM Hm 7jM на основе следующего алгоритма:

а) из множества вершин мультирубрики 7~м формируется множество вершин 7~м , для которых в наборе вершин мультирубрики 7jM найдётся совпадающая вершина или вершина-предок:

(Tk G 7iM Л Tk G 7iM' ) ^ Зтт G 7jM (Tk ^ Tm);

б) из множества вершин мультирубрики 7jM формируется множество вершин 7jM , для которых в наборе вершин мультирубрики 7~м найдётся совпадающая вершина или вершина-предок:

(Tk G 7jM Л Tk G 7jM') ^ 3Tm G 7iM (Tk ^ Tm);

в) осуществляется теоретико-множественное объединение множеств 7~м' и 7jM' :

7Mn = 7iM' Um 7jM'.

Отметим, что по алгоритму определения 5, если мультирубрики 7~м и 7jM содержат только несравнимые вершины, то результатом их пересечения будет пустое множество.

Нетрудно доказать [6], что множества 7мu = 7~м Um 7jM и 7Mn = 7~мПм HM7jM являются а) мультирубриками и б) наименьшей верхней границей и наибольшей нижней границей для мультирубрик 7~м и 7jM соответственно.

На рис. 6 приведён пример объединения и пересечения мультирубрик, иллюстрирующий, насколько данные операции отличаются от обычных операций объединения и пересечения множеств.

Рис. 6. Пример объединения и пересечения мультирубрик: 71м им 72м = {т7,т8} им им {т9,т11,т12} = {т4,т7,т11}; 71м Пм 72м = {т7,тз} Пм {т9,т11,т12} = {т12};

7м Пм 73м = 0; 72м Пм 73м = 0

Заметим, что объединение и пересечение мультирубрик, одна из которых доминирует над другой, дает доминирующую или доминируемую мультирубрику соответственно:

7м ^м им = 7;м, 7м Пм 77м = 7~м

7 Пм 7

В результате имеем решётку мультирубрик Лтн(Тм, ^м, им, Пм).

На рис. 7 для простейшего иерархического рубрикатора приведена диаграмма Хас-се решётки мультирубрик.

т1

т2 т3

Л л

{т2,тб} {т2, т7} {т3, т4} {тз,т5}

1.--> а ^ А

{т2} {т4, т6} {т4, т7} {т5,т6} {т5,т7} {т3}

т4

т5 т6

т7

Рис. 7. Иерархический рубрикатор (а); диаграмма Хассе решётки мультирубрик для него (б)

Используя линейную решётку уровней безопасности Л|_(Ь, <, о, ®) и решётку мультирубрик Лун(Тм, ^м, им, Пм), можно построить модель безопасности, основанную

а

на объединении модели Белла — ЛаПадулы и тематико-иерархического разграничения доступа.

3. МЬТШ-система

Будем строить МЬТИБ-систему на базе аппарата субъектно-объектных моделей конечных состояний [1, 3, 7], основные положения которых сводятся к следующему:

1. В контексте безопасности компьютерная система представляется совокупностью объектов доступа о € О и управляемых пользователями субъектов доступа в € Б.

2. Объекты доступа о € О рассматриваются как слова (совокупность слов, запись), характеризующие относительно некоторого языка Я состояния логических (файлы, каталоги, таблицы и т.д.) или физических элементов (порты, принтеры, приводы и т. д.).

3. Субъекты доступа в € Б рассматриваются как активизированные состояния специальных объектов (объектов-источников), описывающих относительно некоторого языка преобразования информации (отображение одного слова в другое), при котором инициализированным, т. е. действующим преобразованиям выделены определённые вычислительные ресурсы (домен преобразования) и передано управление компьютерной системой. В некоторых источниках вместо понятия «домен субъекта доступа» используют понятие «функционально или параметрически ассоциированных с субъектом объектов доступа».

4. Субъекты осуществляют доступы к объектам (рис. 8), в результате которых возникают информационные потоки, заключающиеся в изменении слов, характеризующих или объект доступа (доступ на запись в объект — у), или домен субъекта доступа (доступ на чтение из объекта — г), или инициализирующих активизацию объектов-источников с выделением домена и передачей управления (доступ на выполнение объекта-источника — е).

Рис. 8. Доступы на запись (и), чтение (г), выполнение (е) и соответствующие им информационные потоки (штриховые линии со стрелками)

5. В компьютерной системе действует дискретное время, в каждый момент которого Ьк состояние системы Ук характеризуется определённой декомпозицией на множество субъектов Б, осуществляющих доступы на множестве объектов О, в результате чего формируются информационные потоки, переводящие в момент времени Ьк+1 систему в новое состояние Vk+1.

6. Помимо субъектов доступа, управляемых пользователями, в системе изначально (в том числе в момент времени Ь0) присутствуют системные субъекты, используя сервис которых, пользователи, начиная работу в системе, инициализируют свои первичные субъекты.

7. Информационные потоки, вызываемые доступами субъектов к объектам, по правилам (критериям) политики безопасности разделяются на неопасные (допустимые) и опасные (недопустимые), результатом которых может быть нарушение конфиденциальности и/или целостности и/или правомерной доступности объектов (информации).

8. В подмножестве системных субъектов действует монитор безопасности, санкционирующий по правилам (критериям) политики безопасности запросы субъектов на доступ к объектам.

9. Проблема безопасности, которую должна разрешать модель безопасности, заключается в формальном доказательстве того факта, что при условии отсутствия опасных (недопустимых) информационных потоков в начальном состоянии V0 и санкционировании монитором безопасности только тех запросов на доступ, которые удовлетворяют правилам (критериям) безопасности, при переходе в состояние Vk не возникло недопустимых информационных потоков.

Основные положения MLTHS-системы сводятся к следующему.

Положение 1. Тематика информации, обрабатываемой в компьютерной системе, отображается иерархическим тематическим классификатором, представляющим собой конечное множество тематических рубрик Тн = {ti,7"2,... , т#}, на котором установлен частичный порядок, задаваемый корневым деревом, и множество мультирубрик которого представляет решётку Лтн(ТM, ^м, Um , Пм).

Положение 2. Конфиденциальность (ценность) информации измеряется в порядковой шкале L, конечное множество уровней которой является линейной решёткой уровней безопасности Л|_(£,<, о, 0).

Положение 3. Множество сущностей системы (субъектов S и объектов доступа O) отображается в произведение линейной решётки уровней безопасности Ль(Ь,<, о, 0) и решётки мультирубрик Лтн(Тм, ^м, Um, Пм).

На рис. 9 представлена диаграмма Хассе произведения простейшей решётки из двух уровней безопасности (/i > /2) и решётки мультирубрик (рис. 7, б) для простейшего иерархического тематического классификатора.

Произведение решёток Л|(Ь,<, о, 0) и Лтн(Тм, UM, Пм) будем называть мандатной тематико-иерархической решёткой.

В результате каждый экземпляр сущности x Е (S U O) характеризуется меткой безопасности Flth(x), состоящей из уровня безопасности / Е L и мультирубрики Tм Е Tм: Flth(x) = {/x, TxM}.

Заметим, что из Flth(x1 ) ^ FLth(x2) следует (/x1 ^ /Х2)Л(7XM ^м 7XM). В противном случае Flth(x1) и FLth(x2) несравнимы (рис.9). Таким образом, на множестве меток безопасности Flth(x) имеется частичный порядок. Далее, если Flth(x1) ^ Flth(x2), то будем говорить, что метка Flth(x2) выше (или равна) метки Flth(x1).

Положение 4. Доверительно-тематические полномочия пользователей FLTH (s) = = {/s, 7SMI} задаются внешним по отношению к компьютерной системе фактором посредством присвоения их регистрационным записям меток безопасности. Таким образом, вопросы безопасности, связанные с изменением уровней допуска и/или тематических полномочий пользователей, моделью MLTHS-системы не охватываются.

Положение 5. Все системные субъекты, кроме монитора безопасности, имеют метку безопасности (/min, 0). Монитор безопасности имеет метку (/max, {ti}).

Положение 6. Пользователи, начиная работу в системе, посредством сервиса системных субъектов инициализируют свои первичные субъекты, которым монитор безопасности присваивает метки безопасности их регистрационных записей.

/1

т1

т2

/1, ы

/2,{т2} /2,{т4,тб} /1,{74} /2,{т4,т7} /1,^5} ¿2,{г5,тб} ¿1,{гб} ¿2,{т5,т7} /1,^7} ¿2,{тз}

/2, 0

Рис. 9. Решётка уровней безопасности (а); иерархический тематический классификатор (б); диаграмма Хассе произведения решётки уровней безопасности и решётки мультируб-рик (в)

Определение 6 (критерий безопасности). МЬТИБ-система безопасна тогда и только тогда, когда в ней отсутствуют информационные потоки следующих видов: от сущностей с более высокой меткой безопасности к сущностям с более низкой меткой безопасности; между несравнимыми по меткам безопасности сущностями.

Положение 7. Переходы системы из одного состояния Ук в другое состояние У+1, обусловленные осуществлением доступов существующих субъектов к существующим объектам, санкционируются монитором безопасности на основе следующих правил, вытекающих из критерия, задаваемого определением 6:

Правило 1. Доступ субъекта в к объекту о, вызывающий поток по чтению (г), неопасен и может быть разрешён монитором безопасности тогда и только тогда, когда метка безопасности субъекта доминирует над меткой безопасности объекта:

^!_тн[в] ^ ^!_тн[о].

Правило 2. Доступ субъекта в к объекту о, вызывающий поток по записи (у), неопасен и может быть разрешён монитором безопасности тогда и только тогда, когда метка безопасности объекта доминирует над меткой безопасности субъекта:

Лтн[о] ^ Лтн[в].

в

Положение 8. Переходы системы из одного состояния Ук в другое состояние Ук+1, связанные с созданием новых объектов, санкционируются монитором безопасности на основе следующего правила:

Правило 3. Создание субъектом в нового объекта о', в том числе за счёт чтения из другого объекта о, вызывает неопасный поток и может быть разрешено монитором безопасности тогда и только тогда, когда метка безопасности субъекта доминирует над меткой объекта о, при этом монитор безопасности присваивает новому объекту о' мультирубрику, доминирующую над мультирубрикой субъекта:

Лтн[о] ^ Лтн [в] ^ ЛтнИ.

Присвоение новому объекту метки безопасности, строго большей, чем метка безопасности субъекта (^|_тн[в] < ^|_тн[о']), осуществляется монитором безопасности по специальному запросу к субъекту. В противном случае новому объекту присваивается метка безопасности субъекта (^|_тн[в] = ^_тн[о']).

С учётом положений 4 и 6, при инициализации новых субъектов действует следующее правило:

Правило 4. Инициализация субъектом в нового субъекта в' посредством воздействия на объект-источник о (доступ е) вызывает неопасный поток и может быть разрешена монитором безопасности тогда и только тогда, когда метка безопасности субъекта доминирует над меткой безопасности объекта-источника, при этом монитор безопасности присваивает новому субъекту метку безопасности, тождественную метке безопасности инициализирующего субъекта:

Лтн[о] ^ Лтн[в] = Лтн[в'].

Положение 9. Переходы системы из одного состояния Ук в другое состояние Ук+1, связанные с одновременными множественными доступами с учётом транзитивности информационных потоков и отношений доминирования меток безопасности, осуществляются на основе следующего правила:

Правило 5. Одновременный доступ субъекта в к объектам о1, о2,... или субъектов в1, в2,... к объекту о может быть разрешён (неопасен) тогда и только тогда, когда каждый одиночный доступ из запрашиваемой совокупности доступов удовлетворяет правилам 1-4.

В технологическом отношении реализация правила 5 может осуществляться на основе операций взятия наименьшей верхней границы или наибольшей нижней границы меток безопасности объектов о1, о2,... или субъектов в1, в2,... (рис. 10).

Условия доступа на чтение (г) субъекта в одновременно к нескольким объектам о1, о2, . . . :

(/в ^ шах[/01, /02,... ]) Л ^м (Т0м им Т0М им ...)).

Условия доступа на запись (у) субъекта в одновременно к нескольким объектам о1, о2, . . . :

(/в ^ ш1п[/01, /02, . . . ]) Л (7;М ^м (ТоМ Пм ТоМ Пм ... )).

Условия доступа на чтение (г) одновременно нескольких субъектов в1, в2,... к одному объекту о:

(/0 ^ ш1п[/в1 ,/32,...]) л (Т0м ^м (Тм Пм 7;м Пм...)).

02

01 02

01

32

31

1 Домен

Домен

Рис. 10. Множественные доступы: а — одного субъекта по чтению одновременно к двум объектам; б — одного субъекта по записи одновременно к двум объектам; в — по чтению к одному объекту одновременно двух субъектов; г — по записи к одному объекту одновременно двух субъектов

0

в

г

Условия доступа на запись (у) одновременно нескольких субъектов з1, ... к одному объекту 0:

(/0 ^ швх[/в1 Л2,... ]) Л (70м ^м (7^м им 7м им ...)).

Справедливо следующее утверждение:

Утверждение 1. В МЬТИБ-системе реализуется множество только таких потоков, которые удовлетворяют критерию безопасности по определению 6.

Доказательство. В соответствии с положениями субъектно-объектных моделей конечных состояний в начальном состоянии ^ потоки от сущностей с более высокой (доминирующей) меткой безопасности к сущностям с более низкой меткой безопасности, а также потоки между несравнимыми по меткам безопасности сущностями отсутствуют. Необходимо доказать, что при последовательном переходе системы в состояние ^ на основе доступов, которые санкционируются по правилам 1-5, таких потоков также не появится.

Утверждение очевидно для переходов, реализуемых на основе одиночных доступов, которые санкционируются по правилам 1-4, в том числе и для потоков, связанных с созданием новых объектов и инициализацией новых субъектов доступа.

В случае переходов, вызываемых одновременными множественными доступами только по чтению или только по записи (одним субъектом одновременно к множеству объектов или множеством субъектов одновременно к одному объекту) также очевидно, что опасные потоки не могут реализоваться в соответствии с правилом 5.

Рассмотрим доступы одного субъекта одновременно к части объектов по чтению, а к части объектов по записи и, аналогично, доступы к одному объекту частью субъектов по чтению, а частью субъектов по записи. По свойству транзитивности такие доступы могут реализовывать информационные потоки от одного объекта к другому объекту или от одного субъекта к другому субъекту (рис. 11).

По условиям утверждения 1 при санкционировании доступа, вызывающего поток 01 ^ 02, имеем

(ЛтнИ ^ ЛтнМ) Л (Лтн[02] ^ ЛтнИ).

Рис. 11. Множественные доступы, вызывающие по свойству транзитивности потоки между объектами и между субъектами

Отсюда следует, что

ЛтнЫ ^ ЛтнЫ

Таким образом, осуществляется неопасный поток «снизу вверх» между сравнимыми по меткам безопасности сущностями.

Аналогично по условиям утверждения 1 при санкционировании потока в1 ^ в2 имеем

(Лтн[в1 ] ^ Лтн[о]) Л (Лтн[в2] ^ Лтн[о]).

Отсюда следует, что

ЛтнМ ^ ^ьтн[в1].

Таким образом, и в этом случае осуществляется неопасный поток «снизу вверх».

Нетрудно видеть, что любые другие множественные потоки являются комбинацией двух рассмотренных потоков о1 ^ о2 и в1 ^ в2, из чего по свойству транзитивности вытекает наличие в системе только неопасных потоков, т. е. потоков, удовлетворяющих критерию безопасности по определению 6. ■

Заключение

МЬТИБ-система, как и МЬБ-система с неиерархическими рубриками-категориями, реализуя одновременно доверительно-мандатный и тематический принципы, позволяет гораздо детальнее обеспечить разграничение доступа к информации. В классической модели Белла — ЛаПадулы для детализации доступа приходится вводить матрицу доступа, что соответственно привносит проблемы безопасности, присущие дискреционным моделям, в частности, проблему троянских программ в рамках разграничения доступа к объектам одного уровня безопасности.

При этом, в отличие от простейшего дескрипторно-тематического подхода в МЬБ-системе, тематический доступ в МЬТИБ-системе основывается на иерархических классификаторах, повсеместно применяемых в организации информационно-поисковых хранилищ документов. В результате имеется возможность соединить технологии текстового поиска в документальных хранилищах и технологии разграничения доступа, создавая на этой основе защищённые документально-поисковые системы без ограничения их функциональности.

ЛИТЕРАТУРА

1. Грушо А. А., Применко Е. А., Тимонина Е. Е. Теоретические основы компьютерной безопасности. М.: Издательский центр «Академия», 2009. 272 с.

2. Девянин П. Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для вузов. М.: Горячая линия — Телеком, 2011. 320 с.

3. Гайдамакин Н. А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: Изд-во Урал. ун-та, 2003. 328с.

4. Bell D. E. and LaPadula L. J. Secure Computers Systems: Unified Exposition and Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976.

5. Крюков К. В., Панкова Л. А., Пронина В. А. и др. Меры семантической близости в онтологии // Пробл. управл. 2010. №5. С. 2-14.

6. Гайдамакин Н. А. Модель тематического разграничения доступа к информации при иерархической структуре классификатора в автоматизированных системах управления // Автоматика и телемеханика. 2003. №3. С. 177-189.

7. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009. 352 с.

REFERENCES

1. GrushoA.A., Primenko E. A, and Timonina E. E. Teoreticheskie osnovy komp'yuternoy bezopasnosti [Theoretical Foundations of Computer Security]. Moscow, Akademiya Publ., 2009. 272 p. (in Russian)

2. Devyanin P. N. Modeli bezopasnosti komp'yuternykh sistem. Upravlenie dostupom i informatsionnymi potokami [Models of Computer Systems Security. Control of Access and Information Flows]. Moscow, Goryachaya liniya — Telekom, 2011. 320p. (in Russian)

3. Gaydamakin N. A. Razgranichenie dostupa k informatsii v komp'yuternykh sistemakh [Differentiation of Access to Information in Computer Systems]. Ekaterinburg, USU Publ., 2003. 328 p. (in Russian)

4. Bell D. E. and LaPadula L. J. Secure Computers Systems: Unified Exposition and Multics Interpretation. Bedford, Mass., MITRE Corp., 1976.

5. Kryukov K. V., Pankova L. A., Pronina V.A., et al. Mery semanticheskoy blizosti v ontologii [Semantic similarity measures in ontology]. Control Science, 2010, no. 5, pp. 2-14. (in Russian)

6. Gaidamakin N. A. A model of thematic differentiation of access to information for the hierarchical classifier in automatic control systems. Automaton and Remote Control, 2003, vol.64, iss.3, pp. 505-516.

7. Shcherbakov A. Yu. Sovremennaya komp'yuternaya bezopasnost'. Teoreticheskie osnovy. Prakticheskie aspekty [Modern Computer Security. Theoretical Basis. Practical Aspects]. Moscow, Knizhnyy mir, 2009. 352 p. (in Russian)