2015-10-13
434
Одною з перших спроб використати математичну модель для опису механізму захисту була модель АDЕРТ-50, яка була вперше опублікована в 1970 році [68]. Модель АДЕРТ-50 включає чотири типи об’єктів, що мають відношення до безпеки: користувачі (u), завдання (j), термінали (t) і файли (f), причому кожний з об’єктів описується певною чотирьохмірною структурою (автори називали її кортежем) (A, C, F, M), який містить основні параметри безпеки.
Як бачимо, зміст та назва наведених типів об’єктів та параметрів безпеки цілком визначаються тогочасною ситуацією (і, як наслідок, термінологією) в сфері комп’ютерних технологій: відсутність мережних технологій, великі обсяги технічного та апаратно-програмного забезпечення як наслідок їх недосконалості, складнощі в питаннях вводу-виводу інформації і т.д.
Компетенція А – скалярна величина (фактично це лінійна порядкова шкала цінностей з використанням грифів таємності) – елемент з набору ієрархічно впорядкованих положень про безпеку, таких як, наприклад:
|
|
|
НЕТАЄМНО, КОНФІДЕНЦІЙНО, ТАЄМНО, ЦІЛКОМ ТАЄМНО.
Категорія С – дискретний набір рубрик (множин). Слід зазначити, що категорії не залежать від рівня компетенції. В якості прикладу можна привести наступний набір: ОБМЕЖЕНО, ТІЛЬКИ ДЛЯ ПЕРЕГЛЯДУ, ЯДЕРНИЙ, ПОЛІТИЧНИЙ.
Повноваження F –множина користувачів, які мають право на доступ до певного об’єкта; це підмножина всієї множини користувачів.
Режим М – набір видів доступів (множина), які може здійснювати користувач до певного об’єкта (або множини об’єктів). Наприклад: ЧИТАТИ, ЗАЛУЧИТИ ДАНІ, ВИКОНАТИ ПРОГРАМУ.
Обмеження доступу, тобто реалізація механізму захисту, починається з фіксації множин користувачів та їх можливостей щодо доступу. Це реалізується наступним чином.
Введемо позначення: U ={ uі, і =1,..., n } – набір всіх відомих системі користувачів, F (i)={ uj, j =1,..., m ≤ n } – набір користувачів, що мають право використовувати об’єкт i (або, інакше кажучи, набір користувачів, яким «дозволено» знати об’єкт і). В якості об’єкта тут може виступати завдання, термінал та файл.
Тепер залишається сформувати наступні прості правила, за якими функціонує система 
, тобто за якими користувач послідовно здійснює доступ:
1) Користувач uі отримує доступ до системи тоді і тільки тоді, коли 
або інакше 
.
2) Користувач 
отримує доступ до терміналу 
тоді і тільки тоді, коли 
, тобто 
.
3) Користувач отримує доступ до файлу fk тоді і тільки тоді, коли 
, 
, 
, 
.
Останнє правило фіксує важливу вимогу, що всі привілеї виконуваного завдання повинні бути більшими, ніж привілеї файлу або дорівнювати їм, а також, що всі користувачі uі повинні належати до множини тих користувачів, які мають право використовувати файл fk., тобто . Така вимога цілком зрозуміла, оскільки з точки зору інформаційної безпеки найбільш важливим об’єктом системи є файл. Наприклад, найвищим повноваженням доступу до файлу для користувача «ЦІЛКОМ ТЄМНО», який виконує завдання з терміналу «КОНФІДЕНЦІЙНО», буде, звичайно, тільки «КОНФІДЕНЦІЙНО».
|
|
|
Задаючи частину параметрів безпеки певним чином (у вигляді констант для кожної конкретної системи), можна отримати наступну матрицю визначення параметрів безпеки. В таблиці наведено також приклад призначення привілеїв новому створеному файлу.
Константа Константа F(tj) Константа
Min(A(uі),A(tj)) C(uі) ∩ C(tj) F(jl) M(uі) ∩ M(tj)
Константа Константа F(fk) Константа
Новий файл f =(1 2 f, f) Max(A( 1 f),A( 2 f)) C( 1 f) ∪ C( 2 f) F(jl) M( 1 f) ∩ M( 2 f)
| Об’єкт | A | C | F | M |
| Користувач uі | Константа | Константа | {uі} | Константа |
| Термінал tj | ||||
| Завдання jl | ||||
| Файл fk | ||||
| Новий файл f =(f 1, f 2) |
Як бачимо, новий створений (з використанням даних (1 2 f, f)) в системі файл f отримує найвищі параметри безпеки серед параметрів даних (1 2 f, f), що його складають. Крім того, звернемо увагу на зв’язок між параметрами в стовпчиках для С і М. Для об’єкта «Завдання jl» результуючі параметри С і М беруться як перетини відповідних множин. В той же час для нового файла параметр С береться як об’єднання множин. Це легко зрозуміти, зважаючи на те, що новий файл має належати до обох категорій, яким належали старі файли, а привілеї завдання повинні бути не більшими ніж найменший привілей з пари користувач – термінал.
Чотирьохмірний кортеж безпеки, отриманий на основі прав завдання, а не прав користувача, використовується в моделі для управління доступом. Така «парасолька завдань» забезпечує однорідний контроль прав на доступ над неоднорідною множиною програм і даних, файлів, користувачів і терміналів.
Слід додати також, що ця перша модель безпеки виявилася досить вдалою спробою опису механізму доступу і деякі її варіанти досі ще є актуальними. За сучасною термінологією це модель дискреційного доступу.
