МОДЕЛЬ И МЕТРИКИ ОСВЕДОМЛЕННОСТИ В КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ. ЧАСТЬ 1. ПОТЕНЦИАЛЬНАЯ ОСВЕДОМЛЕННОСТЬ Текст научной статьи по специальности «Компьютерные и информационные науки»

2023 Математические основы компьютерной безопасности № 61

МАТЕМАТИЧЕСКИЕ ОСНОВЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

УДК 004.94 DOI 10.17223/20710410/61/5

МОДЕЛЬ И МЕТРИКИ ОСВЕДОМЛЕННОСТИ В КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ. ЧАСТЬ 1. ПОТЕНЦИАЛЬНАЯ ОСВЕДОМЛЕННОСТЬ

Н. А. Гайдамакин

Уральский федеральный университет, имени первого Президента России Б. Н. Ельцина,

г. Екатеринбург, Россия

E-mail: n.a.gaidamakin@urfu.ru

В рамках субъектно-объектной формализации компьютерных систем введены понятия потенциальной и фактической осведомлённости пользователей в конфиденциальной информации. Потенциальная осведомлённость рассматривается как величина, определяющаяся имеющимися у пользователя правами доступа к объектам, содержащим конфиденциальную информацию, и объёмом конфиденциальной информации соответствующих объектов. Объём конфиденциальной информации объекта предложено определять на основе количества слов, содержащихся в тексте объекта, и величины информативности объекта, которая устанавливается внешним фактором, например автором и/или выделенным пользователем (аналитиком). Для основных моделей управления доступом (дискреционной, мандатной, тематико-иерархической и ролевой) представлены аналитические соотношения, определяющие в количественной шкале диапазона [0,1] величину потенциальной осведомлённости пользователей в конфиденциальной информации, содержащейся (обрабатывающейся) в компьютерной системе. Доказано удовлетворение соответствующих величин требованиям метрики.

Ключевые слова: конфиденциальная информация, осведомлённость, потенциальная осведомлённость, модель осведомлённости, метрики осведомлённости, управление доступом, права доступа, субъекты доступа, объекты доступа.

THE MODEL AND METRICS OF AWARENESS IN CONFIDENTIAL INFORMATION. PART 1. POTENTIAL AWARENESS

N. A. Gavdamakin

Ural Federal University named after the first President of Russia B.N. Yeltsin, Ekaterinburg,

Russia

As part of the subject-object formalization of computer systems, the concepts of potential and actual user awareness of confidential information are introduced. Potential awareness is considered as a value determined by the user's access rights to objects containing confidential information and the volume of confidential information of the corresponding objects. The volume of confidential information of the object is proposed to be determined on the basis of the number of words contained in the text of the

object and the amount of information content of the object, which is determined by an external factor, for example, the author and/or a dedicated user (analyst). For the main access control models (discretionary, mandatory, thematic-hierarchical and role-based), analytical relations are presented that determine, on a quantitative scale of the range [0,1], the amount of potential awareness of users in confidential information contained (processed) in a computer system. The satisfaction of the corresponding values to the metric requirements is proved.

Keywords: confidential information, awareness, potential awareness, awareness model, awareness metrics, access control, access rights, access subject, access objects.

Введение

Анализ осведомлённости в конфиденциальной информации является важной составляющей мониторинга процессов обеспечения информационной безопасности,

В толковом словаре Ушакова [1] «осведомлённость» определяется как знание, наличие сведений о чем-либо. В практической и нормативной сфере употребляется смежный, во многих случаях синонимичный, термин «владение информацией». Иначе говоря, быть осведомлённым означает владеть определённой информацией, т, е, знать соответствующие сведения, сообщения, данные, составляющие (выражающие) информацию,

В качестве субъекта владения рассматривается человек, являющийся в контексте компьютерной сферы пользователем, осуществляющим доступ к информации, точнее, к объектам, содержащим конфиденциальную информацию.

Модели управления доступом пользователей к информации в компьютерных системах [2, 3] регламентируют правила санкционирования доступов в соответствии с правами, задаваемыми явно (дискреционная модель —DAC, Discretionary Access Control) или посредством соотношения меток безопасности (мандатная модель — MAC, Mandatory Access Control), В рамках имеющихся прав пользователи осуществляют доступы к объектам, в результате которых формируется их осведомлённость в конфиденциальной информации, содержащейся (обрабатывающейся) в компьютерной системе, Соответственно можно выделить «потенциальную» и «фактическую» осведомлённость.

Потенциальная осведомлённость (Potential Awareness) пользователя определяется имеющимися у него правами доступа, реализуя которые, пользователь может стать осведомлённым в конфиденциальной информации.

Фактическая осведомлённость (Actual Awareness) пользователя является результатом осуществления доступов к конфиденциальной информации.

Рассмотрение формализованной и процедурно-аналитической стороны потенциальной осведомлённости является предметом данной работы,

1. Исходные положения

Будем использовать распространённую парадигму в сфере компьютерной безопасности, в рамках которой компьютерная система рассматривается как совокупность субъектов и объектов доступа. Под субъектами, именуемыми активными сущностями, понимаются выполняющиеся по командам пользователей компьютерные программы, Под объектами, именуемыми пассивными сущностями, понимаются элементарные информационные структуры (файлы, таблицы баз данных, их строки, поля, записи) или составные (каталоги, базы данных), к которым пользователями осуществляется доступ на чтение или запись (изменение).

В рамках еубъектно-объектного подхода сделаем несколько исходных предположений и определений.

Положение 1. Компьютерная система представляется множеством объектов доступа o G О и множеством субъектов доступа s G S, которые управляются пользователями u G U,

В дальнейшем в процессах анализа доступов к объектам будем отождествлять понятие субъекта и пользователя, оговаривая особенности такого допущения в необходимых случаях.

Положение 2. В компьютерной системе действует дискретное время, в каждый момент tk которого пользователи u G U посредством субъектов s G S осуществляют доступы к объектам o G О,

Определение 1. Под доступом будем понимать имеющий временные рамки процесс воздействия субъекта s G S на объект o G О, в результате которого формируется поток информации — однонаправленный, т, е, от объекта к субъекту или от субъекта (через субъект) к объекту, либо двунаправленный, т, е, одновременно от субъекта к объекту и от объекта к субъекту.

Однонаправленный поток от объекта к субъекту реализуется в рамках доступа вида «Чтение» (Read), от субъекта к объекту —вида «запись» (Write), Двунаправленный поток реализуется в рамках доступов вида «Чтение» и «Запись», одновременно осуществляемых субъектом к соответствующему объекту. Далее в контексте анализа осведомлённости ограничимся рассмотрением только доступов вида «Чтение» к объектам, содержащим текстовую информацию.

Существуют различные подходы к понятию информационного потока. В частности, в «детерминистской» трактовке информационный поток рассматривается как процесс изменения слова, характеризующего (описывающего, составляющего) объект-приёмник, в который поступает информация в виде слова, характеризующего объект-источник информационного потока [4], В теоретико-информационном смысле объект доступа рассматривается как слово некоторого языка в определённом алфавите, В рамках отмеченных ограничений (рассмотрение только доступов вида «Read» к объектам, содержащим текстовую информацию) соответствующим языком будем считать естественный язык письменной речи. Под «словом» понимается в том числе и совокупность слов, характеризующих, выражающих информацию или часть информации объекта, В теоретико-вероятностной трактовке информационный поток рассматривается как процесс изменения неопределённости состояния объекта (изменения множества его возможных состояний) [5].

Отметим, что при «детерминистском» подходе в случае чтения объекта изменяется слово, характеризующее состояние субъекта, точнее, домена, выделенного субъекту [4], т.е. областей (буферов) оперативной памяти компьютерного устройства, в которых размещаются исполняемый код и данные соответствующего вычислительного процесса и визуальное отображение которых непосредственно воспринимается пользователем, Иначе говоря, в упрощённой трактовке объектом-приёмником при чтении объекта можно считать области оперативной видеопамяти, выделенной вычислительному процессу субъекта.

Определение 2. Под объём,ом, (количеством) V(on,tk) конфиденциальной информации объекта on понимается величина, пропорциональная количеству слов Q(on,tk), содержащихся в момент времени tk в тексте объекта on:

V (on,tk) = Q(on,tk )0(o.n,tk),

где б(оп^д) —изменяющийся в диапазоне [0,1] коэффициент информативности объекта оп в момент времени ¿д (1 — максимальная информативность).

Введение коэффициента информативности б(оп^д) обусловлено тем, что языком письменной речи одну и ту же информацию можно выразить по-разному, с разной ясностью, чёткостью, полнотой, «понятностью» и, следовательно, с различным словесным объёмом. Очевидно, что информативность является скорее качественным понятием, но будем считать, что существует вещественнозначная функция, выражающая данное свойство объектов в числовом диапазоне [0,1],

Фундаментальным в сфере компьютерной безопасности является понятие конфиденциальности информации, В специальной литературе и нормативных документах приводятся различные определения понятия конфиденциальности информации [6-8], отталкиваясь от которых дадим следующее определение.

Определение 3. Под конфиденциальностью информации будем понимать такое свойство информации, устанавливаемое федеральным законом либо обладателем информации, когда может быть причинён ущерб гражданам, организациям, обществу, государству либо обладателю информации при свободном обороте таковой информации (свободном доступе к ней и соответственно осведомлённости в ней неопределённого круга лиц), при условии того, что информация известна только уполномоченным лицам и обладателем информации принимаются и реализуются меры по ограничению доступа к этой информации неуполномоченных лиц.

Таким образом, конфиденциальность является свойством определённой информации, Иначе говоря, не все объекты доступа содержат конфиденциальную информацию или не вся информация объекта является конфиденциальной.

Конфиденциальность как свойство информации является качественным понятием и в дискреционной модели управления доступом рассматривается как дихотомическая характеристика (информация «конфиденциальна/неконфиденциальна»), в мандатной модели — как характеристика в порядково-вербальной шкале (как правило, в трёх градациях— «высокая конфиденциальность», «средняя», «низкая»), В практических приложениях могут использоваться расширенные системы классификации конфиденциальности информации с большим количеством градаций с квалиметричеекими характеристиками каждого уровня [9, Приложение А].

Из определения 3 следует, что конфиденциальность информации может изменяться с течением времени.

Положение 3. Существует вещественнозначная функция /СОпКоп,£д), которая каждому объекту компьютерной системы оп € О в каждый момент времени ¿д ставит в соответствие некоторую величину (значение) конфиденциальности К = /сс1П£(оп, ), Функцию конфиденциальности /соп{(оп,1т) в системах дискреционного и мандатного управления доступом можно рассматривать как кусочно-постоянную функцию, значения которой в интересах нормирования устанавливаются в диапазоне [0,1] (рис, 1 и 2), В общем случае вид и параметры функции /соп{(оп, ¿д) определяются особенностями предметной области и обладателем информации (собственником компьютерной системы),

feonf (°3 h)í

КинфиденциаЛьно, т.е. подлежит ограничению 1 — (разграничению) доступа

В кjкой-то момент времени /„ информация перестает быть конфиденциальной

Не конфиденциально, т.е. не подлежит ограничению (разграничению) доступа

Рис. 1. Пример функции конфиденциальности объектов /соп{(о, ) при дискреционном управлении доступом

/conf {o,tk)A

Высокий уровень J__

¡конфиденциальности)

Средний _

Низким

Не конфиденциально О _

I I I I I I I

Рис. 2. Пример функции конфиденциальности объектов /Conf(o, tk) при мандатном управлении доступом

2. Потенциальная осведомлённость пользователей в конфиденциальной информации в системах дискреционного управления доступом

В дискреционной модели управления доступом (DAC) права пользователей па доступ к объектам устанавливаются явно в виде троек «пользователь — разрешённая операция доступа — объект» и фиксируются в тех или иных информационных структурах (ACL, Access Control List — списки управления доступом к файлам в операционных системах; системные таблицы прав доступа баз данных в СУБД).

Математическим образом соответствующих структур, в частности совокупности ACL файлов в операционных системах является матрица доступа A, строки которой соответствуют пользователям щ G U, столбцы — объектам доступа on G O, в ячейках

записываются идентификаторы разрешённых процедур доступа, например:

A

Ol 02

u1 / Read

u2 — Read, Write

uL \ Write

ON Read Read, Write )

(1)

Каждый ACL рассматривается как столбец матрицы доступа, из которого удалены все пустые ячейки. Поскольку в процессе анализа осведомлённости мы ограничились только доступами «Чтение» (Read), то элементы матрицы доступа a1n будем представлять двоичными числами:

a1n

1, если Read G (A)1n; 0, если Read G (A)1n.

В такой кодировке матрица доступа (1) выглядит следующим образом:

A

1 0

0 1

0 1

00

1

Как в теоретических моделях управления доступом, так и при их практической реализации в компьютерных системах права доступа пользователей к объектам могут изменяться. Отсюда с учётом положения 2 матрица доступа является динамическим объектом, т, е, её структура (размеры) и значения элементов могут быть различными в разные моменты времени. Данное обстоятельство будем отображать временной зависимостью матрицы доступа и её элементов — A(tk),a1n(tk). Сделаем следующее очевидное предположение.

Положение 4. Потенциальная осведомлённость (Potential Awareness) пользователя в конфиденциальной информации тем больше, чем больше у него прав доступа к объектам компьютерной системы и чем больше конфиденциальной информации имеется в соответствующих объектах.

Очевидно, ситуацию, в которой пользователь имеет права доступа на чтение ко всем объектам компьютерной системы, можно охарактеризовать как максимальную (100%) потенциальную осведомлённость.

Тогда, основываясь на положении 4, потенциальную осведомлённость Adac Pot(u , tk) пользователя щ в конфиденциальной информации компьютерной системы в момент времени tk при дискреционном управлении доступом можно определять как

ADAC Pot(u1 ,tk) —

1

N

tk

V(O,tk) n=i

E aln(tk)V(0n,tk),

где V(0,Ьк) — объём конфиденциальной информации, содержащейся во всех объектах компьютерной системы в момент времени Ьк:

Ntk

V(O,tk)— E V(0n,tk);

n=1

Ntk — количество объектов с конфиденциальной информацией в момент времени tk, Нетрудно видеть, что если пользователь имеет право доступа на чтение всех объектов компьютерной системы, то его потенциальная осведомлённость ADaC Pot(u^,tk) = 1, т, е, 100%, При полном отсутствии прав на доступ к объектам компьютерной системы (все элементы соответствующей строки матрицы доступа a1n = 0) ADaC pot(u,tk) = 0,

3. Потенциальная осведомлённость пользователей в конфиденциальной информации в системах мандатного управления доступом

В мандатной модели управления доступом (MAC), как уже отмечалось, права доступа пользователей к объектам определяются по соотношению меток безопасности субъектов и объектов доступа. Метки безопасности confj, i = 1, 2,...,/(/ — количество уровней конфиденциальности), являются элементами порядковой шкалы абстрактных уровней безопасности, В классической модели мандатного управления доступом множество уровней безопасности рассматривается как линейно упорядоченное множество

( щ)

вателей u G U и соответственно их субъектов s G S, именуются уровнями доверия. Метки (уровни) безопасности conf(o), характеризующие объекты доступа o G O, именуются уровнями конфиденциальности.

Права доступа на чтение определяются правилом NRU (No Read Up, «нет чтения вверх»), т.е. пользователь щ имеет право чтения объекта on, если его метка безопасности (уровень доверия) равна или выше метки безопасности объекта (грифа конфиденциальности) :

COnf(Ui) ^ conf(on).

Данный порядок определения прав доступа основан на идеологии градуированного доверия пользователям и совершенно не учитывает реальные потребности пользователей в доступе к объектам, исходя из их функциональных обязанностей. Следствием этого является в большинстве случаев избыточность прав доступа, т, е, необусловленность имеющихся прав доступа к объектам с соответствующими грифами конфиденциальности фактическими потребностями конкретных пользователей.

Для устранения избыточности прав доступа, устанавливаемых правилом NRU, в мандатной модели управления доступом дополнительно вводят дискреционную матрицу доступа A(tk). Значения матрицы доступа a1n(tk) определяются, во-первых, правилом NRU, что является необходимым условием:

V/, n (atn(tk) = 0 ^ conf(ui) ^ conf(on)),

а во-вторых, как и в дискреционной модели, фактическими потребностями пользователя щ в доступе к объекту on, В результате при мандатном управлении доступом фактические права доступа пользователей u G U к объектам o G O «прописаны» в ячейках той же матрицы доступа A(tk),

При этом конфиденциальность объектов является не двоичной величиной (конфиденциально/неконфиденциально, /conf(on,tk) G {0,1}), а порядковой (порядково-вербальной - /conf(on, tk) G [0,1].

Исходя из этого, потенциальную осведомлённость AMaC Pot(uz,tk) пользователей при мандатном управлении доступом можно определять на основе следующего соотношения:

1 Ntk

AMAC_Pot(u1 ,tk) = , ч E a1n(tk)V(on,tk)^nf(on,tk),

V (O, tk) n=1

где

V(0,4) = V(о„,4)/сопКоп,4).

(3)

П=1

Отметим, что функция конфиденциальности в выражении (3) отражает не долю конфиденциальной информации в соответствующем объекте, а именно уровень конфиденциальности ,

Таким образом, при мандатном управлении доступом уровень потенциальной осведомлённости пользователей в конфиденциальной информации выше не только тогда, когда больше объём доступной пользователю конфиденциальной информации, но и когда выше уровень её конфиденциальности. Иначе говоря, пользователь, который потенциально может владеть большим объёмом конфиденциальной информации невысокого уровня, может оказаться менее осведомлённым (в секретах), чем пользователь, который может потенциально владеть пусть и меньшим объёмом, но существенно более конфиденциальной информацией,

В рамках анализа осведомлённости пользователей в конфиденциальной информации рассмотрим величину ДДмас , и12 ):

Лемма 1. Величина (4) неотрицательна, удовлетворяет свойствам симметричности и неравенства треугольника, является частным случаем расстояния Хемминга,

Доказательство. Неотрицательность (ДЛМА^Ро1(м11,иг2) ^ 0), симметричность (ДДМАС ^(и^ ,П12, ¿к) = ДАмас Рсл(иг2 ,П11, ¿к)) и выполнение неравенства треугольника

Д АмАС_Ро1 («¿1 ,щ2 ,4 ) ^ Д АмАС_Ро1 («¿1 ,Щ3 ,4 ) + ДДмАС_Ро1(м13 ,и12 , ¿к )

очевидны по свойствам операции \а — Ь\. Подставляя в соотношение (4) выражения для величин Амас ^(и^), Амас Ро<;(«г2) и производя несложные преобразования, получаем

Нетрудно видеть, что сумма в этой формуле является известным расстоянием Хемминга [10] между двоичными векторами прав доступа пользователей и и12, образуемыми соответствующими строками матрицы доступа Л(Ьк), координаты которых «взвешены» произведениями параметров V(оп,£к) и /т^(оп^к) объектов доступа, ■

Отметим, что аналогичными свойствами метрики обладает величина АбаС Ры;(«г , ¿к).

Особенности метрики АМаС р^С« ,Ьк) иллюстрируются следующим примером.

Пример 1. На рис, 3 приведены расчёты Амас ) для шести объектов

доступа с различными параметрами объёма и конфиденциальности информации и информативности объектов и девяти пользователей с различными уровнями доверия в системе с мандатным управлением доступом. Для перевода порядково-вер-бальных характеристик конфиденциальности в числовые использована следующая эвристика: «высокая степень конфиденциальности» — /Соп:{(оп, Ьк) = 1, «средняя» — /соп{(с>п^к) = 0,809, «низкая» — /СОпКоп,£к) = 0,5.

Д АМАС_Ро1 (и11 ,и12 ^к) = \АМАС_Ро1 (и11 ^к) — АМАС_Ро1(и12 ^к)\.

(4)

Слов (О) Информативность (в) Конфиденциальность Уровень доверия I

3000 300 1000 200 2000 3000 0,5 0,9 0,7 0,9 0,7 0,4

Средняя Средняя Высокая Низкая Низкая Низкая

Высокий и I

Высокий и 2

Средний и з

Средний и 4

Низкий и 5

Низкий

Низкий " 7

Низкий " 8

Низкий и э

А(^) =

О 1 о2 Од 04 °5 Об

1 1 1 1

0 0 1 0 0 о А

1 1 0 1 1 1

1 1 0 0 0 0

0 0 0 1 1 1

0 0 0 0 1 1

0 0 0 0 1 0

0 0 0 0 0 1

V 0 0 0 1 0 0 )

100% 20% 80% 41% 39% 37% 20% 17% 3%

Рис. 3. Пример потенциальной осведомленности пользователей при мандатном управлении доступом

Как видно из рис, 3, при наличии нрав доступа ко всем объектам, содержащим конфиденциальную информацию, пользователь (на рис, 3 пользователь и^ характеризуется наивысшей степенью потенциальной осведомлённости 100 %, Заметим, что по правилам мандатного доступа для 100 %-й потенциальной осведомлённости пользователь должен иметь наивысший уровень доверия (па рис, 3 — «высокий»). При этом если с учётом функциональных обязанностей или других соображений пользователь с наивысшим уровнем доверия имеет по матрице доступа права доступа только к некоторым объектам, скажем, только к объектам со степенью конфиденциальности «высокая», то потенциальная осведомлённость такого пользователя может характеризоваться невысокой величиной из-за невысокого объёма информации или информативности соответствующих объектов. Например, пользователь и2 также с наивысшим уровнем доверия, обладая по матрице доступа правом доступа только к объекту с самым высоким уровнем конфиденциальности (03), характеризуется всего лишь 20%-й величиной потенциальной осведомлённости ввиду незначительного объёма информации соответствующего объекта. Следует, однако, заметить, что данный уровень потенциальной 20 %

потенциальной осведомлённости пользователей, обладающих правами доступа к другим объектам с существенно большими объёмами информации, по с меньшими уровнями конфиденциальности и информативности.

Чувствительность метрики потенциальной осведомлённости к объёму и уровню конфиденциальности объектов доступа также иллюстрируется показателями Лмлс Ро^и, ¿к) Для пользователей с одинаковым уровнем доверия, но с различными фактическими правами доступа к объектам (по матрице доступа ) — пользователи и3 и и4, пользователи щ, щ, Щ, щ, ид.

Анализ поведения метрики Амлс ры^и, ¿к) по приведённым на рис, 3 расчётам позволяет сделать вывод о её соответствии интуитивным представлениям о потенциальной осведомлённости пользователей и, следовательно, о возможности её применения в прикладных системах.

4. Потенциальная осведомлённость пользователей в конфиденциальной информации в системах тематико-иерархического управления доступом

Тематико-иерархичеекое управление доступом |3, 11, 12| осуществляется па основе сравнения тематических меток (индексов) объектов доступа и тематических меток (полномочий) субъектов доступа (пользователей). В качестве тематических меток объектов и субъектов доступа используются тематические мультирубрики = , Т^2 , . . . , Тг1 }, которые представляют собой наборы рубрик иерархического тематического классификатора Ттн = {г, 71, т2,..., тк} (иерархического тематического рубрикатора), представляющего собой множество рубрик-тематик т^т € на котором задано отношение частичного порядка, выражаемое графом вида «корневое дерево» (г —корень дерева) [13]. Самым известным примером такого иерархического тематического рубрикатора является универсальная десятичная классификация (УДК), применяемая в библиотечной сфере дня систематизации произведений пауки, литературы и искусства, периодической печати, различных видов документов и организации картотек. Мультирубрики = {т^, т^2 ,..., т^} включают наборы эле ментов

которые не находятся между собой в подчинённости по иерархическому рубрикатору, и никакие совокупности (подмножества) элементов мультирубрики пе содержат полные совокупности элементов-сыновей каких-либо элементов-отцов иерархического рубрикатора.

Пример 2. На рис. 4 приведён пример корневого дерева иерархического тематического рубрикатора и наборы его рубрик, составляющих мультирубрики. Заметим, что по.нустепепь исхода полистовых вершин графа пе может быть меньше двух, поскольку допить рубрику-тематику па подрубрики-подтематики имеет смысл только тогда, когда число подрубрик пе меньше двух.

Рис. 4. Пример иерархичеексих) тематическшх) рубрикатора и мультирубрик на нем, являющихся тематическими метками объектов доступа и тематическими полномочиями субъектов доступа (пользователей)

Множество мультирубрик € Т(т) является решёточно-упорядоченным [3, 11, 131 относительно специальной операции доминирования мультирубрик (тематика одной мультирубрики шире тематики другой, т.е. с учётом подчинённости полностью охватывает тематику другой мультирубрики, или мультирубрики несравнимы но отношению «шире —ужо», в том число когда их рубрики-тематики частично неросека-

ются). Если мультирубрика = {тг1, Т2 ,..., тг1} доминирует над мультирубрикой 7j(m) = {'j , Tj , . . . , Tj }, TO ДЛЯ любой рубрики Tjm G 7j(m) найдётся рубрика Tin G 7~(m), которая совпадает с ней или является старшей по корневому дереву иерархического рубрикатора:

(m) > T(m) wT- g T(m)3Т' g r(m) (V- > T- )

где >m — знак тематического доминирования мультирубрик (тематика шире, т. е. пол>

вивалентности (совпадения) рубрик по корневому дереву иерархического рубрикатора, Таким образом, отношение доминирования мультирубрик как подмножеств рубрик не является отношением теоретико-множественного включения С.

На рис, 4 мультирубрики 71(m) = {ti,ti2} и 72>(m) = {т3,т7,т12} доминируют над мультирубрикой 73(m) = {т10, Tig, т19}: 71(m) >m 73(m), 72(m) >m 73(m), но между собой несравнимы, несмотря на существенное пересечение тематик: /2 , где знак

означает несравнимость мультирубрик. Как и в мандатных системах, пользователь имеет право чтения объекта по правилу, аналогичному правилу NRU, т, е, когда мультирубрика пользователя (набор разрешённых ему рубрик) доминирует над мультирубрикой объекта доступа.

Аспект возможного изменения состояния системы тематико-иерархического управления доступом будем отображать временной зависимостью мультирубрик субъектов и объектов доступа: 7(m)(ul, tk), 7(т)(ога,^к).

В результате, исходя из положения 4, потенциальная осведомлённость пользователя u в момент времени в конфиденциальной информации при тематико-иерархиче-ском управлении доступом Atha pot(u ) определяется на основе соотношения

1

ATHA Pot

V(O, ifc) n=i

где

Г 1, если Т(т)(щгЛ) ^ Т(т)(ога,¿д); ¿(Т(т)(щЛ),Т(т)(ога^))= Ь, если (Т(т)(и^) <т Т(т)(о„^)) V

[ V (Т(т)(щ^) Г(т)(о„, ¿й)) .

Нетрудно видеть, что величина Атнл ^(щ, ¿д) обладает свойствами метрики. Тема! н ко-иерарх н чес кос управление доступом предоставляет дополнительные возможности по анализу потенциальной осведомлённости пользователей в конфиденциальной информации. Поскольку конфиденциальная информация объектов доступа проиндексирована (размечена) тематическими мультирубриками, то появляется возможность анализа осведомлённости пользователей не просто в целом по конфиденциальной информации, обрабатываемой в компьютерной системе, но и по отдельным её тематикам, что может быть важным в тех или иных аспектах информационной безопасности, В частности, по любой простой тематике (одна рубрика-тематика т является частным случаем мультирубрики: Т~(т) = (гг|) или 110 комплексу рубрик-тематик (тематическая мультирубрика Т/ = {т^ , Тг2 , . . . , тг/ }) можно определять величину потенциальной осведомлённости Атнл р^Сщ, Т^,^) пользователя щ в момент времени ¿д.:

ATHA_Pot(«Z, 7¡(m),ífc) =

Ntk / х

Е V(ora,ífc) 5 (7(m)(ui,ífc), T(m)(on,ífc)) 5 (T(m)(on,ífc), 7~(m)) , n=i v /

V(0,7¡(m),ífc)

где V(O, 7¡M,ífc)-объём всей конфиденциальной информации, тематика которой характеризуется в момент времени мультирубрикой 7~(m) = {tí1 , tí2,..., т^ }:

V(0,7i(m),tk) = £ V(ora,tfc) 5 (V(m)(o„,ifc),7i(m)X.

5. Потенциальная осведомлённость пользователей в конфиденциальной информации в системах ролевого управления доступом

Ролевое управление доступом [14, 15] основывается на понятии роли (точнее —ролевого субъекта доступа) р G R (R — множество ролей), аналогом которой в некомпьютерной сфере является понятие «должность» в организационно-штатной структуре предприятий (организаций) [3], Пользователи получают права доступа к объектам не напрямую, а посредством разрешения им работы в одной или нескольких ролях. Роли наделяются функционально обоснованной (для соответствующей должности) совокупностью прав доступа к объектам. Функционирование компьютерной системы разбивается на сеансы, работу в которых пользователи начинают с авторизации в одной или нескольких из разрешённых им в системе ролях и осуществляют доступы к объектам по правам соответствующих ролей.

Ролевое управление доступом в системах с большим количеством пользователей и объектов доступа позволяет существенно сократить количество назначений доступа для наделения пользователей необходимыми им для работы правами и в настоящее время широко применяется в корпоративных сетях.

Базовая модель ролевого управления доступом (ЕВАС, Role Based Access Control), помимо множеств пользователей u G U, объектов доступа o G O и ролей р G R, включает отображение множества U на множество R, наиболее простым и естественным способом задания которого является двоичная (L х M)-матрица W «Пользователи — Роли» (L — количество пользователей, M — количество ролей):

1

р1 р2 . . рм

u1 1 0. . . 0

W = U2 0 1. . 1

ul .1.. 0. . 0 /

Ненулевые элементы w1m матрицы W означают разрешение работы /-го пользователя в m-й роли.

Права ролевых субъектов доступа часто именуются полномочиями, поскольку в расширениях ролевой модели и её практических приложениях включают права запуска (исполнения) определённых функционально-технологических процедур. Упрощённым прототипом таких процедур являются элементарные виды доступа к объектам—«Чтение» (Read), «Запись» (Write), «Выполнение» (Exec),

Наделение ролей полномочиями (в упрощённой трактовке — нравами доступа к объектам) может осуществляться на основе одного из двух исходных принципов управления доступом — дискреционного или мандатного (мапдатно-ролевые модели) |2, 3|, поэтому ролевая модель управления доступом является некой надстройкой над ними. При этом, как отмечалось в н, 3, и при мандатном принципе фактические (итоговые) нрава конкретных субъектов устанавливаются матрицей доступа, только в данном случае для ролевых субъектов доступа в форме матрицы Ад «Роли — Объекты»,

Ввиду рассмотрения доступов только вида «Чтение», матрицу Ад можно считать двоичной, ненулевые элементы аДтп которой отражают разрешение чтения ролевым субъектом рт объект а ога:

А

д

01 02 . . 0М

Р1 (0 1. . . 0

Р2 1 0. . 0

рм 10 1. . 1 )

С учётом иерархичности отношений в системах организационно-штатной структуры предприятий в наиболее распространённых па практике расширениях базовой ролевой модели па множестве ролей устанавливаются отношения частичного порядка, отображаемые графом тина «корневое дерево».

Пример 3. На рис, 5 приведён пример иерархической организации системы ролей, структура которой представляет граф вида «корневое дерево», но.нустенепь исхода полистовых вершин в котором может быть равна 1, т.е. старшая роль (должность) может иметь в подчинении всего одну роль (должность).

Рис. 5. Пример иерархической системы ролей

Права доступа к объектам и процедурам старших ролей включают нрава доступа всех подчинённых ролей. Это позволяет ещё больше снизить количество назначений доступа, поскольку полномочия старших ролей могут автоматически складываться только из полномочий подчинённых («листовой» принцип |3|) или из полномочий подчинённых ролей с добавлением их старшим ролям дополнительных («номенклатурных») полномочий (не строго «листовой» иерархически охватный принцип |3|),

Таким образом, в системах с иерархической организацией системы ролей если пользователь в каком-либо сеансе авторизован в определённой роли р, то совокупность его

прав доступа охватывает права доступа всех ролей р^ < р, подчинённых по иерархии роли р (знак < означает подчинённость по ветви корневого дерева). Определение итоговых прав доступа пользователя в этом случае можно осуществлять на основе матрицы доступа Ад «Роли — Объекты» и матрицы связности (достижимости) Н(а) корневого дерева иерархической системы ролей:

Н(в) = Н + Н2 + Н3 + ... + Н^,

где Н — матрица смежности корневого дерева иерархической системы ролей; ¿ — высота дерева, т, е, максимальная длина пути от листовой вершины до корня.

Как и ранее, временной аспект функционирования ролевой системы управления доступом будем отображать зависимостью от времени матриц Ш(¿А), ), Н(¿А)

иН«(^). "

Ненулевые элементы ) означают подчинённоеть j-й вершины по иерархии

корневого дерева г-й вершине в момент времени ¿А — непосредственной (длина пути

1

ше 1). Диагональные элементы матриц смежности и связи ости равны нулю: ) = 0, ) = 0.

Тогда итоговые права доступа ролей (по непосредственным назначениям и правам доступа подчинённых ролей) задаются элементами матрицы (¿А), которая является произведением матрицы Ад^) на матрицу связности ролей Н), дополненную единичными значениями по диагональным элементам:

(¿а)= (((Ад&))т (Н«(¿*) + /)У

|1

I 1, если х ^ 1; где I — единичная матрица; (х)|1 = <

| 0, х < 1.

Исходя из этого, итоговые права доступа пользователей в виде матрицы доступа «Пользователи — Объекты» аД^(¿а) в иерархической системе ролей можно определить на основе произведения матрицы Ш (¿А) на матрицу (¿а ):

АД! (¿А ) = (Ш (¿А) АД5) (¿А )

|1

В результате, исходя из положения 4, потенциальная осведомлённость пользователя щ в момент времени ¿А в конфиденциальной информации при ролевом управлении доступом с иерархически организованной системой ролей АявЛс н Рол(щ, ¿А) определяется на основе следующего соотношения:

1 ^ М

у (о ¿А) п=1

Нетрудно показать, что величина Ар^лс н ры^иг^) как и аналогичные величины при дискреционном, мандатном и тематико-иерархическом управлении доступом, удовлетворяет требованиям метрики.

Заключение

Использование метрик Аблс_Ро1(«1, 4), Амлс_Ро1 («1,4) Атыл_Ро1(«1,4) и Аявлс ы Рсл(иг,4) может являться основой специального программного инструментария не только для анализа состояния существующей (функционирующей) системы прав доступа пользователей, но и средством проектирования системы управления доступом пользователей к конфиденциальной информации. Администраторы компьютерных систем, выстраивая систему прав доступа или анализируя её текущее состояние, могут видеть значения и тенденции в потенциальной осведомлённости тех или иных пользователей и принимать на этой основе решения в контексте обеспечения информационной безопасности.

Параметры объёма информации объектов доступа ф(оп,4) в словах, как правило, автоматически определяются и включаются в метаданные текстовых файлов в современных офисных системах работы с документами и системах электронного документооборота,

Порядково-вербальные характеристики конфиденциальности информации /соп^Оп,^) в мандатных системах управления доступом устанавливаются на основе процедур, закрепляемых нормативными регламентациями делопроизводства, и также, как правило, включаются в метаданные файлов офисных систем и систем электронного документооборота. Подобные же по смыслу и содержанию процедуры могут быть регламентированы для определения характеристик информативности объектов доступа #(оп,4), К примеру, уровень информативности документа устанавливает его исполнитель и/или выделенный сотрудник (аналитик).

Отдельно следует отметить проблемы построения (обоснования) эвристик перевода (отображения) порядково-вербальных характеристик конфиденциальности в числовую шкалу [0,1] в системах с мандатным управлением доступа.

Насколько известно, строгих и корректных процедур такого рода преобразований не существует. Объективной причиной этого является различная информативность порядковых и количественных шкал. Показания количественной шкалы [0,1] помимо порядка отображают (воспроизводят) расстояния между оцениваемыми объектами по соответствующим характеристикам. Таким образом, переводя оценки из порядковой шкалы в количественную, необходимо сформировать дополнительную информацию о расстояниях по соответствующему свойству/показателю .между оцениваемыми объектами.

Обратные преобразования (из числовой шкалы [0,1] в порядковую) осуществляют на основе интервального принципа, разбивая диапазон [0,1] на равные или неравные интервалы, все числовые элементы из которых объединяются в соответствующие отсчёты (показатели) порядковой шкалы. При этом происходит потеря информации о расстояниях и применяются опять-таки определённые эвристики. Наиболее часто такие эвристики основываются на гипотезе о равных интервалах, согласно которой диапазон шкалы [0,1] разбивается на одинаковые по величине интервалы, каждый из которых соответствует своему отсчёту на шкале порядка.

Другим принципом разбиения шкалы [0,1] на порядковые интервалы может быть принцип «золотого сечения» («золотой пропорции»), согласно которому меньшая часть целого (следующий, более высокий отсчёт порядка и соответствующий интервал) относится к большей части целого (первый отсчёт порядка) так же, как большая часть относится к целому. Тогда двум отсчётам в порядковой шкале «низкий — высокий» соответствуют два интервала на шкале [0,1] — (0, 0,618) и (0,618, 1), Одним из вариантов разбиения шкалы [0,1] на три порядковых интервала по принципу «золотой

пропорции» может быть разбиение «верхнего» интервала (0,618, 1) также по принципу «золотой пропорции», В результате диапазон шкалы [0,1] разбивается на три интервала—низкий (0, 0,618), средний (0,618, 0,854) и высокий (0,854, 1), Другим вариантом разбиения диапазона шкалы [0,1] на три порядковых интервала может быть добавление к отрезку [0,1] третьего отрезка, который соотносится с меньшим интервалом

(0,618, 1)

порции». Длина такого отрезка равна 0,235999937, Нормируя увеличенный диапазон шкалы (0, 1,235999937) на единичную длину, получаем следующие три интервала — низкий (0, 0,499994), средний (0,499994, 0,809), высокий (0,809, 1),

Исходя из интервального принципа, эвристики преобразования показателей из по-рядково-вербальных шкал в шкалу [0,1] заключаются в присвоении всем объектам оценки, характеризующимся определённым показателем шкалы порядка, такого числового значения на шкале [0,1], которое соответствует определённой характеристике соответствующего интервала (обычно левой/правой границе или середине интервала). Соответственно различия в конфиденциальности в шкале [0,1] тех или иных объектов доступа внутри интервалов нивелируются.

Таким образом, программно-техническая составляющая систем анализа потенциальной осведомлённости пользователей на основе представленных метрик с учётом отмеченных эвристик может быть реализована в современных офисных системах работы с документами и системах электронного документооборота,

ЛИТЕРАТУРА

1. Ушаков Д. Н. Большой толковый словарь русского языка. М.: Дом Славянской кн., 2008. 959 с.

2. Девянин П. Д. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. М.: Горячая линия-Телеком, 2020. 352 с.

3. Гайдамакин Н. А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: Изд-во Урал, ун-та, 2003. 328 с.

4. Грушо А. А., Прим,емко Е. А., Тимонина Е. Е. Теоретические основы компьютерной безопасности. М.: Издательский центр «Академия», 2009. 272 с.

5. Shannon С.Е. A mathematical theory of communication // Bell System Technical J. 1948. V.27. P. 379-423.

6. P 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической защиты информации. М.: Стандартинформ, 2005. 11с.

7. ГОСТ Р ИСО/МЭК 27000-2021. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. М.: Стандартинформ, 2021. 21с.

8. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (с изм.). Собрание законодательства Российской Федерации. 2006. №31. Ст. 3448.

9. ГОСТ Р 58545-2019. Менеджмент знаний. Руководящие указания по сбору, классификации, маркировке и обработке информации. М.: Стандартинформ, 2019. 34 с.

10. Деза Е. И., Деза, M. М. Энциклопедический словарь расстояний. М.: Наука, 2008. 446 с.

11. Гайдамакин Н. А. Модель тематического разграничения доступа к информации при иерархической структуре классификатора в автоматизированных системах управления // Автоматика и телемеханика. 2003. №3. С. 177-189.

12. Гайдамакин Н. А. Многоуровневое тематико-иерархическое управление доступом (MLTHS-система) // Прикладная дискретная математика. 2018. №39. С. 42-57.

13. Гайдамакин H. А., Баранский В. А. Алгебра мультирубрик на корневых деревьях иерархических тематических классификаторов // Сиб. электрон, матем. изв. 2017. Т. 14. С.1030-1040.

14. Ferrariolo D. F. and Kuhn D. R. Role Based Access Control // 15th National Computer Secure Conf. Baltimore, 1992. P. 554-563.

15. Sundhu R., Coyne E. J., Feinstein H. L., and Youman С. E. Role-Based Access Control models 11 IEEE Computer. 1996. V.29. No. 2. P. 38-47.

REFERENCES

1. Ushakov D. N. Bol'shov tolkovyy slovar' russkogo vazyka [Great Dictionary of Russian Language]. Moscow, Dom Slavyanskoy kn., 2008. 959p. (in Russian)

2. DevyaninP.D. Modeli bezopasnosti komp'yuternykh sistem. Upravlenie dostupom i informatsionnymi potokami [Security Models of Computer Systems. Access and Information Flow Management]. Moscow, Goryachava liniya-Telekom, 2020. 352p. (in Russian)

3. G ay dam,akin N. A. Razgranichenie dostupa k informatsii v komp'yuternykh sistemakh [Differentiation of Access to Information in Computer Systems]. Ekaterinburg, UrFU Publ., 2003. 328 p. (in Russian)

4. Grusho A. A., Primenko E. A., and Timonina E. E. Teoreticheskie osnovv komp'yuternov bezopasnosti. [Theoretical Foundations of Computer Security]. Moscow, Publishing Center "Akademiva", 2009. 272 p. (in Russian)

5. Shannon C.E. A mathematical theory of communication. Bell System Technical J., 1948, vol. 27, pp. 379-423.

6. R 50.1.053-2005. Informatsionnye tekhnologii. Osnovnve terminv i opredeleniya v oblasti tekhnicheskov zashchitv informatsii [R 50.1.053-2005. Information Technology. Basic Terms and Definitions in the Field of Technical Information Protection]. Moscow, Standartinform Publ., 2005. lip. (in Russian)

7. GOST R ISO/MEK 27000-2021. Informatsionnye tekhnologii. Metodv i sredstva obespecheniva bezopasnosti. Sistemv menedzhmenta informatsionnov bezopasnosti. Obshchiv obzor i terminologiya [GOST R ISO/IEC 27000-2021. Information Technology. Methods and Means of Ensuring Security. Information Security Management Systems. General Overview and Terminology]. Moscow, Standartinform Publ., 2021. 24p. (in Russian)

8. Federal'nyv zakon "Ob informatsii, informatsionnvkh tekhnologivakh i o zashchite informatsii" [Federal Law "On information, information technologies and on information protection"]. 27.07.2006, no. 149-FZ. Collection of Legislation of the Russian Federation, Moscow, 2006, no. 31, st. 3448. (in Russian)

9. GOST R 58545-2019. Menedzhment znaniv. Rukovodvashchie ukazaniva po sboru, klassifikatsii, markirovke i obrabotke informatsii [GOST R 58545-2019. Knowledge management. Guidelines for the collection, classification, labeling and processing of information]. Moscow, Standartinform Publ., 2019. 34p. (in Russian)

10. DezaE.I. and Deza M. M. Entsiklopedicheskiv slovar' rasstoyaniv [Encyclopedic Dictionary of Distances]. Moscow, Nauka, 2008. 446 p. (in Russian)

11. G ay dam,akin N. A. A model of thematic differentiation of access to information for the hierarchical classifier in automatic control systems. Autom. Remote Control, 2003, vol.64, no. 3, pp.505-516.

12. Gaydamakin N. A. Mnogourovnevoe tematiko-ierarkhicheskoe upravlenie dostupom (MLTHS-sistema) [Multilevel thematic-hierarchical access control (MLTHS-svstem)]. Prikladnava Diskretnava Matematika, 2018, no. 39, pp. 42-57. (in Russian)

13. Gaydamakin N. A., Baranskiy V. A. Algebra multirubrik na kornevvkh derevvakh iverarkhicheskikh tematicheskikh klassifikatorov [Algebra of multirubric on root trees

of hierarchical thematic classifiers]. Sib. Elektron. Mat. Izv., 2017, vol.14, pp. 1030-1040. (in Russian)

14. Ferrariolo D. F. and Kuhn D. R. Role Based Access Control. 15th National Computer Secure Conf., Baltimore, 1992, pp. 554-563.

15. Sundhu R., Coyne E. J., Feinstein H. L., and Youman C. E. Role-Based Access Control models. IEEE Computer, 1996, vol.29, no. 2, pp. 38-47.