CC BY
29
УДК 65.012.810
ОБЪЕДИНЕНИЕ МАНДАТНЫХ ПОЛИТИК БЕЗОПАСНОСТИ
С.В. Белим, Ю.С. Ракицкий
В данной работе рассмотрен возможный подход к построению мандатной политики безопасности составного предприятия. Исследована возможность непротиворечивого объединения уровней доступа. Предложен один из возможных алгоритмов.
1. Постановка задачи
Пусть организация состоит из N отделов Db D2,...,Dn. В каждом из отделов I); (/ 1. А') действует мандатная политика безопасности, построенная на
решетке Li [2]. Необходимо построить общую политику безопасности организации, непротиворечиво включающую в себя все политики безопасности отделов. Данная задача распадается на два случая:
1. Политика безопасности изначально строится для всей организации, функционирование отделов должно быть организовано в определенной степени изолированно. Причем надо учитывать, что возможна ситуация, когда в каждом отделе свои требования к политике безопасности. Если организационными мерами возможно ввести для всех отделов единую шкалу ценности информации, то задача становится тривиальной.
2. Происходит объединение нескольких организаций в единую корпорацию, при этом начальные организации приобретают статус отделов. Необходимо учитывать, что в каждой организации до объединения существовала своя политика безопасности, изменение которой может привести к невозможности дальнейшего функционирования отдела. Таким образом, необходимо построить политику безопасности корпорации, сохранив при этом политики безопасности отделов.
В обоих случаях необходимо строить общую решетку ценностей, включающую в себя решетки отделов. Дополнительно необходимо обеспечить взаимодействие между отделами свободное от утечек информации. Будем решать задачу индуктивно. Рассмотрим объединение двух отделов. Далее, рассматривая полученное объединение как один новый отдел, присоединим к нему третий отдел и так далее. Таким образом, достаточно научиться строить объединение
Copyright © 2010 С.В. Белим, Ю.С. Ракицкий.
Омский государственный университет им. Ф.М. Достоевского.
E-mail: [email protected]
двух отделов, которые без потери общности можно обозначить и В2, а соответствующие им решетки ценностей Ь1 и Ь2. Документы, исходящие из одного отдана в другой, должны автоматически включаться в документооборот нового отдела. Следует отметить, что пересечение решеток может быть непустым Ь1ПЬ2 = 0. Если передаваемый документ имеет метку безопасности из пересечения решеток, то проблем с переклассификацией не возникает, и, как следствие, отсутствует утечка информации. Поэтому в дальнейшем будем рассматривать только ситуацию, когда входящее сообщение имеет метку безопасности, отсутствующую в данном отделе.
2. Простое решение задачи
Наиболее простым решением задачи является построение единой решетки ценностей организации как декартова произведения решеток |3| отделов:
L = Ll х ^2-
При таком подходе каждый документ в системе будет характеризоваться нарой меток безопасности (ш1,ш2) (ш1 € Ь17 т2 € Ь2). В первом отделе при разграничении доступа учитывается только ш1; во втором - только т2. Проблем с переклассификацией документов при передаче между отделами не возникает, так как происходит просто переключение с одной метки па другую.
Рассмотрим пример такого объединения. Пусть в отделе 01 действует линейная решетка ценностей Ь1 = а1,а2,а3 с тремя уровнями безопасности (а1 < а2 < а3), диаграмма которой приведена на рисунке 1.
Рис. 1. Линейная решетка ценностей
Во втором отделе 02 пусть действует линейная решетка ценностей Ь2 = Ъ\,Ъ2, Ъ3 с тремя уровнями безопасности (Ь\ < Ь2 < Ъ3), диаграмма которой также представлена па рисунке 1. Итоговая решетка безопасности объединенной организации будет иметь 9 меток безопасности, ее диаграмма приведена па рисунке 2.
Две метки безопасности в декартовом произведении сравнимы, если сравнимы как первая, так и вторая пара координат одновременно, причем они упорядочены одинаково.
130 С.В. Белим, Ю.С. РакицкиЙ. Объединение мандатных политик.
Рис. 2. Итоговая решетка безопасности объединенной организации
3. Возможности оптимизации решения
Проблема, возникающая при построении простого решения, заключается в обеспечении безопасности. Если метка безопасности сообщения из решетки Ь1 отдела 01 не входит в решетку Д2, то это означает, что ни один субъект отдела 02 не может прочитать такое сообщение, пока ему не предоставят соответствующий доступ, то есть новую метку безопасности из декартова произведения решеток Ь1 и Ь2. При этом возникает ситуация, когда возможно отсутствие обмена между некоторыми субъектами из различных отделов, а это означает что пи одна из новых меток безопасности, полученных из декартова произведения решеток, им не подходит. Иначе будет возникать утечка информации, поскольку в полученной новой решетке самый низкий уровень а3,Ъ3 предполагает доступ к информации каждого из отделов. Для того чтобы избежать подобной ситуации, необходимо дополнить новую решетку безопасности дополнительными уровнями безопасности, которые будут являться нодрешетками повой решетки и имитировать работу каждого из отделов до слияния. Для этого необходимо ввести элементарное преобразование, которое будет дополнять любую решетку пустым элементом, или пулевым элементом. Возвращаясь к нашему примеру, решетка ценностей Ь1 так и останется линейной, но минимальным элементом станет не аз, а 0, Аналогичные рассуждения можно применить и к решетке Ь2. В результате получим решетки Ь1 и 0 = ^ и Ь2 и 0 = диаграммы которых приведены па рисунке 3,
Рис. 3. Решетки Ь\ и 0 = Ь^ и Ь2 и 0 = Ь®
В случае если решетка ценностей не будет являться линейной, то, но определению решетки, дня любых двух элементов существует наименьшая точная нижняя грань, то есть в любой решетке есть наименьший элемент. Это означает, что можно добавить пустой элемент, причем свойства решетки при этом не нарушатся. Пример такого дополнения изображен на рисунке 4.
Рис. 4. Пример дополнения нелинейной решетки нулевым элементом
Построение единой решетки из двух полученных нами при помощи добавления пустого элемента можно также осуществить при помощи декартова произведения
Ь0 = Lf х Ь0.
При таком подходе результирующая решетка, диаграмма которой изображена на рисунке 5, будет состоять из 16-ти элементов. При этом можно заметить, что 9 элементов решетки Ь0, образующие подрешетку, являются в точности Ь
Ь
обмена между отделами ^ и 02, причем этот информационный обмен будет безопасным, поскольку дня каждого вида взаимодействия предусмотрен специальный уровень безопасности. Кроме того, в решетке Ь0 можно также выделить еще 2 подрешетки, каждая из которых будет имитировать работу отделов без
Ь0
Рис. 5. Решетка Ь0
4. Заключение
Таким образом, для построения общей политики безопасности организации, непротиворечиво включающей в себя все политики безопасности отделов, в случае объединения нескольких организаций в единую корпорацию необходимо дополнить каждую решетку, задающую мандатную политику безопасности для каждого из отделов, пустым элементом, после чего построить декартово произведение всех таких решеток. Это позволит получить непротиворечивую мандатную политику безопасности с отсутствием утечек информации.
Литература
1. Gvori I. Some m,at,hem,atical aspects of modelling cell population dynamics // Computers and Math. Appl. 1990. V.20. N. 4. 6. P.127-138.
2. Гайдамакин H.A. Разграничение доступа к информации в компьютерных системах. Уральский университет, 2003.
3. Биркгоф Г. Теория решеток / Г. Биркгоф. М.:Наука. Главная редакция физикоматематической литературы, 1984. 568 с.
