Математические структуры и моделирование 2009, вып. 20, с. 141-152
УДК 65.012.8
СОВМЕСТНАЯ РЕАЛИЗАЦИЯ МАНДАТНОГО И РОЛЕВОГО РАЗГРАНИЧЕНИЯ ДОСТУПА К ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ
С.В. Белим, Н.Ф. Богаченко, Ю.С. Ракицкий
В статье анализируется возможность совмещения ролевой и мандатной политик безопасности на основе графовой модели. С этой целью вводится понятие решеточного дерева и обобщается модель ролевого разделения доступа. Приводится простейший алгоритм мандатного разделения доступа, учитывающий концепцию ролей.
1. Введение
Необходимость совмещения различных типов разграничения доступа к информации в корпоративных сетях, как правило, обусловлена требованиями политики безопасности предприятия к хранению и обработке данных. На сегодняшний день общепринятой практикой стало использование систем управления базами данных для организации доступа к ресурсам. Все современные базы данных используют концепцию ролей для выдачи полномочий пользователям, реализуя таким образом ролевое разграничение доступа. Однако в ряде организаций, особенно связанных с защищенным документооборотом, также налагается требование использования меток безопасности и, основанного на них, мандатного разделения доступа. В рамках мандатного разделения доступа множество разрешенных доступов задается неявным образом в виде уровня конфиденциальности для объектов и уровня доверия для субъектов компьютерной системы. Решение о доступе принимается путем сопоставления уровня конфиденциальности и уровня доверия. При использовании концепции ролей задается множество разрешенных системных операций путем введения дополнительных объектов - ролей, наделенных набором разрешенных доступов. Решение о разрешении доступа принимается исходя из роли, сопоставленной субъекту.
Попытки предоставления совмещенных сервисов разграничения доступа (мандатного и ролевого) встроены в ряд систем управления базами данных. Так, например, в широко распространенной СУБД Oracle [4, стр. 54] уже в версии 7 было разработано дополнительное инструментальное средство Trusted
Copyright © 2009 С.В. Белим, Н.Ф. Богаченко, Ю.С. Ракицкий.
Омский государственный университет.
E-mail: [email protected]
142 С.В. Белим, Н.Ф. Богаченко, Ю.С. Ракицкий. Совместная реализация...
Огас1е7, которое позволяло администратору кроме ролей вводить также и метки безопасности. Основным требованием мандатного разграничения доступа в данном приложении было доминирование метки пользователя над меткой строки. Начиная е версии СУБД Огае1е8 этот продукт получил название Oracle Label Security, Однако оба эти продукта не получили широкой популярности в силу двух причин. Во-первых, согласование настроек двух алгоритмов приводит к большому количеству трудностей при администрировании. Во-вторых, остается неочевидным сама возможность непротиворечивого сосуществования двух принципов разграничения доступа в одной компьютерной системе.
Целью данной статьи ставится развитие модели ролевого разграничения доступа, а также доказательства принципиальной возможности построения политики безопасности, использующей концепцию ролей и мандатное разделение доступа. Также исследуются математические структуры, необходимые для моделирования политики безопасности,
2. Ролевая политика безопасности
Ролевая политика безопасности основывается на разрешении или запрещении действий в системе в целом без привязки к отдельным объектам системы, В общем случае такой подход реализуется с помощью концепции привилегий. Под привилегией понимается единица доступа к системной информации. Будем считать, что системная информация представима е помощью множества объектов O, Роль - это именованная совокупность привилегий, то сеть множество разрешенных типов доступа к системным объектам. Множество всех возможных типов доступа к системным объектам обозначим через A, Перейдем к более строгому описанию модели ролевого разграничения доступа, приведенного в работе [6].
Определение 1. Под привилегией будем понимать пару (я, га), где х - системный объект (х Є O), а га - непустое множество видов доступа (га С A).
Определение 2. Роль - это именованное множество привилегий, которое в дальнейшем будем представлять в виде пары (rnarae,rpset), где rnarae - уникальный идентификатор, rpset - множество привилегий.
Если определена роль r, то те имя r.rnarae, а множество привилегий -r.rpset. Далее введем два множества: R - множество ролей системы, P - множество всех возможных привилегий. Также определим функцию, играющую важную роль в администрировании систем с ролевым разграничением доступа:
Ф : R ^ 2|P|.
Данное отображение показывает привилегии заданной роли. По сути Ф(г) = r.rpset. Через концепцию ролей осуществляется доступ к системной информации.
Пусть UID - множество идентификаторов пользователей, GID - множество идентификаторов групп пользователей, общее множество идентификаторов, для которых производится ролевое разграничение доступа ID = UID U GID.
Математические структуры и моделирование. 2009. Вып. 20.
143
Для систем с ролевым разграничением доступа важную роль играет процесс авторизации. Причем возможны два случая. Авторизация «Роль - Привилегия» включает заданную привилегию в множество привилегий данной роли, то есть, если роль г авторизована на привилегию р, то p Є r.rpset. Авторизация «Роль-Роль» подразумевает включение привилегий одной роли в множество привилегий другой роли. То есть, если роль ri авторизована на роль r2, то r2.rpset С r1.rpset.
Авторизация «Роль-Роль» порождает бинарное отношение на множестве ролей. Обозначим это отношение через r1 ^ r2, если роль r1 авторизована на роль r2.
Как показано в работе [6], функция Ф монотонно возрастает по отношению к операции то есть если r1 ^ r2, то Ф(г2) С Ф(г1),
Обозначим цепочку вида ri ^ ril ^ ... ^ rin ^ rj через ri rj (при
n > 0 и ri rj (при n ^ 0),
Определение 3. Ролевым путем p(ri,rj) между двумя ролями ri и rj будем называть цепочку ri rj.
Заданному отношению на множестве ролей можно сопоставить ориентированный граф, в котором дуга (r1,r2) существует тогда и только тогда, когда роль r1 авторизована на роль r2. Очевидно, что ролевой путь p(ri, rj) изоморфен ориентированному пути в этом орграфе, ведущему из вершины ri в верши ну rj.
Определение 4. Тривиальным, является ролевой путь, состоящий из одной роли, то есть путь нулевой длины из вершины к самой себе.
Определение 5. Будем говорить, что роль ri доминирует над ролью rj, а роль rj подчиняется роли ri; если существует ролевой путь p(ri, rj), Или в графовой постановке: вершина ri доминирует над вер шиной rj, а верши на rj подчиняется вершине ri; если существует ориентированный путь p(ri,rj),
Легко доказать, что отношение доминирования одной роли над другой задает отношение частичного порядка, на множестве ролей R. Следует отметить, что возможно два различных случая, зависящих от принципа администрирования ролевой политики безопасности, В первом случае допускается существование ролей с совпадающим набором полномочий. Тогда отношения порядка между ролями нестрогое. Однако такой подход имеет смысл только как временная мера при формировании ролевой политики безопасности, В окончательно сформированной иерархии ролей существование двух ролей с совпадающими полномочиями лишено смысла. Второй случай исключает наличие двух ролей с совпадающими полномочиями. Для данного подхода отношение порядка будет строгим, В дальнейшем будем придерживаться именно второго подхода, обеспечивающего оптимальное управление ролями, но обозначать отношение доминирования роли ri над ролью rj как ri ^ rj (или rj ^ ri).
144 С.В. Белим, Н.Ф. Богаченко, Ю.С. Ракицкий. Совместная реализация...
3. Мандатная политика безопасности
Мандатные политики безопасности строятся основываясь на понятиях уровня секретности информации и уровня доверия к пользователю. Существуют различные подходы, позволяющие определять уровень секретности информации. Наиболее общий подход строится на основе решетки ценностей. Приведем основные определения из теории решеток [2, стр, 17], используемые в дальнейшем тексте.
Определение 6. Решетка - это частично упорядоченное множество, в котором каждое двухэлементное подмножество имеет как точную верхнюю (sup), так и точную нижнюю (inf) грани, принадлежащие этому множеству.
Определение 7. Для A,B элемент C = sup(A,B) называется точной или наименьшей верхней гранью, если:
1. A ^ C, B ^ C,
2. VD : A ^ D, B ^ D ^ C ^ D.
Определение 8. Для A, B элемент E = inf(A, B) называется точной или наибольшей нижней гранью, если:
1. E ^ Д E ^ B,
2, VD : D ^ A, D ^ B ^ D ^ E,
Каждому объекту и субъекту системы сопоставляется «метка безопасности», являющаяся элементом решетки. При запросе на доступ субъекта к объекту происходит сравнение меток безопасности. Доступ разрешен, если метка безопасности субъекта доминирует над меткой безопасности объекта, в остальных случаях доступ запрещен,
В связи с тем что основные концепции ролевого доступа сформулированы в терминах теории графов, введем аналогичные понятия для мандатного разграничения доступа.
Определение 9. Решеточным графом, будем называть ориентированный граф1, вершины которого образуют решетку. При этом отношение порядка задается отношением доминирования на множестве вершин графа: если 3 р(щ, r2), то rі ^ r2, Наименьшая верхняя грань sup(ri,r2) определяется как ближайшая вершина, доминирующая над щи r2. Наибольшая нижняя грань inf(r1, r2) определяется как ближайшая вершина, подчиненная вершинам щи r2.
Определим более формально понятия наименьшей верхней и наибольшей нижней граней в контексте ориентированного графа: r = sup(r1, r2)
1Если исходя из контекста понятно, что речь идет об ориентированном графе, то орграф будем называть просто графом.
Математические структуры и моделирование. 2009. Вып. 20.
145
1, 3 p(r, rі) & p(r, r2), то есть r является верхней гранью,
2, Если 3 p(r/,r1) & p(r',r2), то 3 p(r', r), то есть r минимальна среди всех верхних граней,
r = inf(r1, r2)
1, 3 p(r1, r) & p(r2, r), то есть r является нижней гранью,
2, Если 3 p(r1,r/) & p(r2, r'), то 3 p(r, r'), то сеть r максимальна среди всех нижних граней.
Теорема 1. Длд произвольной решетки существует изоморфный ей решсточный граф.
Доказательство. Пусть задана некоторая произвольная решетка. Сопоставим узлам решетки вершины графа G, а отношение порядка представим ориентированными дугами, направленными от «меньшей» вершины к «большей»: r1 ^ r2 3(r1, r2) Є E, где E - множество дуг графа G,
Операции взятия inf и sup для узлов решетки щи r2 дадут те же узлы, что и в случае применения этих операций к построенному графу G (так как дуга между двумя вершинами образует путь единичной длины между ними), ■
Замечание 1. Решеточный граф, изоморфный заданной решетке, неединетве-нен. Действительно, например, графы на рисунке 1 изоморфны одной и той же решетке (M, P), где M = (a, b, c, d} - множество узлов решетки, P = {(a,b), (a,c), (a,d), (b, d), (c, d)} - отношение частичного порядка, заданное на
Определение 10. Решеточные графы G1 и G2 назовем эквивалентными (G1 ~ G2), если они изоморфны одной и той же решетке.
Далее проанализируем, какими свойствами должен обладать решеточный граф и какие признаки являются достаточными условиями того, что граф решеточный.
M.
(1) а
(2) а
Рис. 1. Эквивалентные решеточные графы
Определение 11. Связный ориентированный граф называется сетью, если в нем существует единственный источник (вершина без входящих дуг) и единственный сток (вершина без исходящих дуг) [3, етр, 199],
146 С.В. Белим, Н.Ф. Богаченко, Ю.С. Ракицкий. Совместная реализация...
Теорема 2. Решеточный граф является сетью без ориентированных циклов.
Доказательство. Пусть ориентированный граф G с множеством вершин R -решеточный.
Докажем, что в G нет ориентированных циклов. Допустим? это не так. Тогда узлы решетки, отвечающие ориентированному циклу, связаны отношением порядка: ri ^ ri+i ^ ... ^ ri+n ^ ri. По транзитивности получаем: (rі ^ ri+1)&(ri+1 ^ г) ^ (г* = ri+1). Но узлы решетки образуют множество, следовательно, все различны - это противоречие.
Так как граф G решеточный, то Vr1,r2 Є R 3r3 Є R : r3 = sup(r1,r2). По определению, sup(r1, r2) - это вершина, доминирующая над n,r2, то ееть в G существуют ориентированные пути p(r3, r1)l1 p(r3, r2). СлЄДОВаТЄЛЬНО, Vr1, r2 существует неориентированный путь p(r3, r1) U (r3, r2), соединяющий их, а значит, граф G связен.
Существование источника и стока следует из следующих рассуждений. Пусть, например, источника не существует, это значит, что Vr Є R найдется входящая дуга (r', r), то есть 3г' : r ^ r', Следовательно, 3{ri}°=1 : ri ^ ri+1.
В силу конечности множества вершин 3i,j : (i < j)&(ri = rj). Тогда ri ^ ri+1 ^ ... ^ rj = ri. Получаем ориентированный цикл - противоречие с ранее доказанным. Существование стока доказывается аналогично.
Докажем единственность источника. Пусть это не так. Тогда существует как минимум два различных источника щи s2 (щ = s2), Так гак гр аф G решеточный, то должна существовать вершина r, из которой можно построить ориентированные пути p(r, s1) и p(r, s2). Но s1 и s2 - источники, следовательно, возможны лишь тривиальные пути, ведущие в эти вершины: p(s1, s^ и p(s2, s2). Отсюда получаем, что для существования sup(s1, s2) надо потребовать: s1 = s2
- это противоречие. Аналогично доказывается единственность стока, ■
Теорема 3. Источ,ник в решсточном графе доминирует над любой вершиной, а сток подчиняется, любой вершине этого графа.
Доказательство. Действительно, пусть s - источник. По определению решеточного графа Vr Є R : 3r' = sup(s,r). Следовательно, в графе найдутся ориентированные пути p(r',r) и p(r',s). Так как в s не входит ни одна дуга, то r' = s и Vr Є R : 3p(s, r), Аналогично доказывается, что Vr Є R : 3p(r, t), где t
- сток, ■
Утверждение, обратное к теореме 2, неверно: не любая сеть без ориентированных циклов является решеточным графом. Возможны две причины, по которым ориентированный граф не будет решеточным (частично упорядоченное множество не будет решеткой [5]):
1, Найдутся две вершины, вообще не имеющие верхней (нижней) грани,
2, Найдутся две вершины, для которых нельзя выбрать минимальную среди верхних (максимальную среди нижних) граней - они несравнимы.
Математические структуры и моделирование. 2009. Вып. 20.
147
Первый случай отсекается требованием существования источника и стока в орграфе и отсутствием ориентированных циклов.
Теорема 4. Источник в сети без ориентированных циклов доминирует над любой вершиной, а сток - подчиняется любой вершине этого графа.
Доказательство. Пусть r - произвольная вершина сети без ориентированных циклов, s - источник, t - сток.
Будем строить ориентированный путь, начиная с вершины r и добавляя на каждом шаге по одной дуге, В силу отсутствия в сети ориентированных циклов, процесс построения пути конечен, причем последней присоединенной дугой будет дуга, ведущая в единственный сток графа. Следовательно, в сети существует по крайней мере один ориентированный путь p(ri,t), Но тогда t подчиняется вершине г.
Существование ориентированного пути p(s, r) доказывается аналогично, но его построение ведется в направлении, обратном ориентации дуг. Таким образом, s доминирует над вершиной r, ■
Замечание 2. Из теоремы 4 очевидным образом следует, что в сети без ориентированных циклов для любой пары вершин существуют по крайней мере одна верхняя грань (это источник) и одна нижняя грань (это сток). Но остается открытым вопрос о возможности выбора наименьшей верхней (наибольшей нижней) граней, то сеть вопрос сравнимости граней.
Вторую причину «нерешеточноети» графа легко проиллюстрировать примером: граф (1) на рисунке 2 - сеть без ориентированных циклов, но она не является решеточным графом. Действительно, вершины а и b имеют две несравнимые нижние грани си d, а еще одна нижняя грань t заведомо меньше си d; вершины с и d имеют две несравнимые верхние грани а и b, а еще одна верхняя грань s заведомо больше а и b.
Но требование отсутствия в сети подграфов, имеющих более одного стока или источника, как у подграфа, порожденного множеством вершин {а, b, с, d} (ем, рис, 2 (1)), не является достаточным условием решеточноети. Действительно, добавление вершины e (ем, рис, 2 (2)) делает рассмотренную сеть решеточным графом: inf(a,b) = e (си d по-прежнему нееравни мы, но (e ^ с)&(е ^ d)) и 8ир(с, d) = e (а и b по-прежнему нееравни мы, но (e ^ a)&(e ^ b)).
(1) а С (2) а / Vc
К О* s ж*' \ ' /* \
ь d Ь \.?d
Рис. 2. Сеть, не являющаяся решеточным графом (1), и сеть, являющаяся решеточным
графом (2)
Следующие теоремы дают ряд достаточных условий решеточноети графа.
148 С.В. Белим, Н.Ф. Богаченко, Ю.С. Ракицкий. Совместная реализация...
Теорема 5. Пусть граф G является сетью и удаление стока, превращает его в ориентированное дерево2. Тогда, G - решеточный.
Доказательство. Пусть s - источник, t - сток и G\{t} = T - дерево, полученное из исходного графа удалением стока. Если R - множество вершин графа G, то RT = R\{t} - множество вершин дерева ^is - корень дерева.
Докажем существование наименьшей верхней грани для любой пары вершин графа G,
Пусть щи r2 (гі = r2) - две произвольные вершин ы дерева T. По теореме о свойствах ордерева для любой его вершины существует единственный ориентированный путь, ведущий в эту вершину из корня [3, етр, 239], Тогда 3 ! p(s,r^ и 3 ! p(s,r2). Так как r1 = r2, то эти пути не совпадают. Пусть Г - последняя, считая от s, из общих вершин этих путей. Очевидно, что все вершины, принадлежащие ориентированному пути p(s,r'), являются верхними гранями вершин щи r2, a r1 - минимальная среди них, В силу единственности путей p(s,r1) и p(s, r2) других верхних граней у вершин щи r2 нет. Следовательно, г' = sup(r1, r2).
Рассмотрим теперь пару вершин (r, t), где r - произвольная вершина дерева T, По теореме 4 сток Подчиняется вершине r, то есть существует ориентированный путь p(r, t). Следовательно, sup(r,t) = r.
Докажем теперь существование наибольшей нижней грани для любой пары вершин графа G,
Рассмотрим сначала две произвольные вершины щи r2 (щ = r2) дерев a T, Возможны два случая: либо не существует ориентированного пути, связывающего эти две вершины, либо он единственен,
В первом случае, двигаясь из этих вершин по направлению дуг, построим ориентированные пути р(щ,щ) и p(r2,T>), где щи Т2 - листья. Эти пути могут быть не единственны, но все они не имеют общих вершин (иначе в свободном дереве T, полученном из T отменой ориентации ребер, был бы цикл, что противоречит теореме о свойствах ордерева [3, етр, 239]), В графе G существуют дуги (r1,t) и (T2,t). Следовательно, в графе G ориентированные пути p(r1,t) = p(r1,r1) U (r1,t) И p(r2,t) = p(r2, T;) U (T2,t) имеют лишь одну общую вершину t. Тогда inf(r1, r2) = t.
Во втором случае существование наибольшей нижней грани очевидно, ею будет та из вершин щ, r2, которая является конечной в существующем между этими вершинами ориентированном пути.
Существование наибольшей нижней грани для двух вершин, одна из которых является стоком (пусть это вершины r и t), следует из существования по крайней мере одного ориентированного пути p(r, t) (см. теорему 4), ■
Теорема 6. Пусть граф G является, сетью, а удаление источника, и инвертирование всех дуг превращает его в дерево. Тогда, G - решеточный.
2 В дальнейшем ориентированное дерево будем называть просто деревом, а неориентированное - свободным деревом.
Математические структуры и моделирование. 2009. Вып. 20.
149
Доказательство. Если инвертировать все дуги сети G, то мы получим сеть G, в которой источник и сток поменялись местами. Для графа G справедлива теорема 5, Но тогда исходный граф G также будет решеточным, так как вершина r1 доминирует над вер шиной т2 в граф е G тогда и только тогда, когда вершина т2 доминирует над вершиной Ті в графе G. ■
4. Древовидная иерархия ролей
Рассмотрим ситуацию, когда в компьютерной системе кроме ролевой политики безопасности необходимо реализовать также мандатную политику безопасности на основе некоторой решетки L. Основная проблема, возникающая в этом случае, состоит в построении правил доступа, удовлетворяющих обеим политикам безопасности и не противоречащих друг другу, В первую очередь рассмотрим иерархию ролей, образующую дерево.
Теорема 7. Пусть в компьютерной системе действуют ролевая политика безопасности, на, основе дерева, ролей T и мандатная политика безопасности, на, основе решетки L, тогда, в компьютерной системе может быть построена, непротиворечивая политика безопасности,, включающая в себя, разграничения обеих политик безопасности,.
Доказательство. Очевидно, что в дереве присутствует роль, доминирующая над всеми остальными ролями - корень дерева (назовем ее максимальной ролью - MaxRole). Добавим к дереву T вершину MinRole, не обладающую никакими привилегиями, и соединим дугами все листья дерева T с вершиной MinRole (добавленные дуги ориентируем от листьев дерева T к MinRole), тем самым построим граф TM. Очевидно, что вершина MaxRole является источником, вершина MinRole - стоком, а граф TM - сетью. Согласно теореме 5, TM -решеточный граф, то тесть его вершины образуют решетку.
Тогда возможно получить декартово произведение решетки, построенной на вершинах графа TM, и решетки L. Как показано в [1, етр, 21], декартово произведение решеток есть решетка.
На основании полученной решетки можно построить мандатную политику безопасности, С другой стороны, из элементов решетки возможно построить решеточный граф (см, теорему 1), Такой граф может задавать ролевую политику безопасности, ■
5. Произвольная иерархия ролей
Перейдем теперь к рассмотрению иерархии ролей, образующей произвольный ориентированный граф G.
Определение 12. Допустимым преобразованием ориентированного графа ролей G назовем следующий процесс: если в G имеется более одного стока, то добавляется роль, не обладающая никакими привилегиями, и дуги, ведущие от стоков графа G к новой роли.
150 С.В. Белим, Н.Ф. Богаченко, Ю.С. Рашпщим. Совместная реализация...
Очевидно, что, е одной стороны, такое преобразование превращают граф ролей в сеть (в случае единственности источника), а с другой - изменения ролевой политики безопасности несущественны.
Теорема 8. Если граф иерархии ролей является решеточным либо его можно с помощью допустим,ого преобразования, расширить до решеточного, то ролевая, политика безопасности, допускает непротиворечивое совмещение с мандатной политикой безопасности,.
Доказательство. Расширим, если это необходимо, граф иерархии ролей до решеточного графа, обозначим его GM. Мандатная политика безопасности задается решеткой L. Тогда можно взять декартово произведение решетки, построенной на вершинах решеточного графа GM, и решетки L, Согласно [1, етр, 21], такое декартово произведение, обозначим его через GM х L, является решеткой. Поскольку GM х L - решетка, то она может задавать мандатную политику безопасности, С другой стороны, на основании решетки GM х L можно построить решеточный граф (см, теорему 1), который будет задавать ролевую политику безопасности, ■
6. Пример совмещения ролевой и мандатной политик безопасности
Доказательство теоремы 8 является конструктивным, В качестве иллюстрации предложенного алгоритма объединим ролевую политику безопасности, представленную на рисунке 3, и мандатную политику безопасности, построенную на линейном множестве из трех элементов.
Рис. 3. Ролевая политика безопасности
Ролевая политика задается шестью ролями, одна из которых (г0) является «пустой», то есть не обладающей какими-либо привилегиями и подчиненной любой другой роли. Очевидно, что заданная политика безопасности соответствует условиям теоремы 5, Следовательно, граф, представленный на рисунке 3, является решеточным.
Математические структуры и моделирование. 2009. Вып. 20.
151
Пусть мандатная политика безопасности задается решеткой L, элементами которой являются узлы її, l2, ІЗ, причем отношение порядка задано таким образом, что Ії ^ ї2 ^ ї3.
Согласно теореме 8, возможно непротиворечивое совмещение заданных политик безопасности. Для этого необходимо построить решетку R х L, являющуюся декартовым произведением решеток R и L, где R - решетка, определяемая решеточным графом, представленным на рисунке 3,
Элементами решетки L х R являются пары (ri,lj), при i = 0,..., 5 и j = 1,..., 3. При этом отношение порядка задается следующим образом: (ri,lj) ^ (r k, lm), ее л и r ^ rk и lj ^ lm. Заметим, что узлы r2 и r3, r4 ii rs, r3 и r4,
r3 и rs попарно несравнимы, Решеточный граф, изоморфный решетке R х L, представлен на рисунке 4,
Рис. 4. Совмещение ролевой и мандатной политик безопасности
На полученной решетке R х L можно задать мандатную политику безопасности. В свою очередь, на полученном ориентированном графе (см, рис, 4) можно построить ролевую политику безопасности.
152
7. Заключение
Таким образом, возможно создание политики безопасности предприятия, включающей в себя мандатное и ролевое разграничение доступа. Причем результат
объединения этих двух подходов может быть представлен как в виде концепции,
основанной на метках безопасности, так и в виде иерархии ролей.
Литература
1. Биркгоф, Г. Теория решеток / Г. Биркгоф. - М.: Наука. Главная редакция физикоматематической литературы, 1984. - 568 с.
2. Гретцер, Г. Общая теория решеток / Г. Гретцер. / Под редакцией Д.М. Смирнова. - М.: Мир, 1981. - 456 с.
3. Новиков, Ф.А. Дискретная математика для программистов / Ф.А. Новиков. -СПб.: Питер, 2001. - 304 с.
4. Терьо, М. Oracle. Руководство по безопасности / М. Терьо, А. Ньюмен. - М.: Издательство «ЛОРИ», 2004. - 560 с.
5. Решетки [Электронный ресурс]. - Режим доступа: http://www.eltech.ru/misc/LGA_2007_FINAL/Allpage/Section8/Part8112.htm (09.10.2009).
6. Nvanchama, М. Access Rights Administration in Role-Based Security Systems /
M. Nvanchama, S.L. Osborn // Database Security VIII: Status & Prospects, Biskup, Morgenstern and Landwehr, eds. North-Holland. - 1994. - C. 37-56.