Курсовая работа: IDEF-моделирование мандатного разграничения доступа

1. Разграничение доступа и порядок работы с конфиденциальными «бумажными» документами организуется на основе парадигмы градации доверия определенным группам работников в отношении государственных секретов определенной степени важности. С этой целью вводиться система уровней безопасности, или иначе уровней секретности. Работники с самым высоким уровнем безопасности (уровнем доверия), могут работать с документами самой высокой степени секретности. На более низком уровне доверия, т.е. на более низком уровне безопасности, вводятся ограничения в отношении работы с документами более высокой степени секретности и т.д. Соответственно, все работники получают так называемый допуск к работе с секретными документами определенного уровня, а документы снабжаются определенной меткой, отражающей требования к уровню безопасности при работе с ними, - так называемы гриф секретности.

2. Критерием безопасности является невозможность получение информации из документов определенного уровня безопасности работником, чей уровень безопасности, т.е. уровень доверия, ниже, чем уровень безопасности соответствующих документов.

Данный критерий безопасности фактически означает запрет определенных информационных потоков, которые трактуются как опасные или недопустимые.

Кроме того, были проанализированы правила и система назначений, изменений, лишений и т.д. допусков сотрудников к работе с секретными документами, правила создания, уничтожения документов, присвоения или изменения грифов их секретности, в том числе и рассекречивания, а также другие особенности работы с секретными документами. В частности было отмечено, что получения доступа к документам различаются в зависимости от характера работы с ними – изучение (чтение) или изменение (создание, уничтожение, внесение дополнений, редактирование, т.е. запись в них). На этой основе было выявлено два основных правила, гарантирующих безопасность:

Правило 1 (noreadup(NRU) – нет чтения вверх). Работник не имеет права знакомиться с документом (читать), гриф секретности (уровень безопасности) которого выше его степени допуска (уровня безопасности).

Правило 2 (nowritedown(NWD) – нет записи вниз). Работник не имеет права вносить информацию (писать) своего уровня безопасности в документ с более низким уровнем безопасности (с более низким грифом секретности).

Первое правило является естественным и очевидным способом обеспечения безопасности при осуществлении информационных потоков из документов к работникам и иначе может быть сформулировано так: - работнику нельзя получать информацию, уровень секретности которой выше его уровня доверия. Второе правило обеспечивает безопасность при осуществлении информационных потоков от работника к документу и иначе может быть сформулировано так: - работнику нельзя передавать информацию своего уровня секретности в тех случаях, когда в результате передачи с ней могут ознакомиться работники с более низким уровнем безопасности.

Формализация данных механизмов разграничения доступа в секретном делопроизводстве применительно к субъектно-объектой модели компьютерной системы показала необходимость решения ряда следующих задач:

- разработка процедур формализации правила NRU, и в особенности правила NWD;

- построение формального математического объекта и процедур, адекватно отражающих систему уровней безопасности (систему допусков и грифов секретности).

Нетрудно увидеть, что при представлении работников, работающих с секретными документами, субъектами доступа, а секретных документов в качестве объектов доступа компьютерной системы, буквальное следование правилу NWDприводит к автоматическому включению в механизмы обеспечения безопасности субъективного фактора в лице субъекта-пользователя, который при внесении информации в объекты-документы, с более низким грифом секретности должен субъективно оценить соответствие вносимой информации уровню безопасности документа. Задача исключения данного субъективного фактора может решаться различными способами, самым простым из которых является полный запрет изменения субъектами (доступ write) объектов с уровнем безопасности, более низким, чем уровень безопасности соответствующих субъектов.

При этом, однако, помимо существенного снижения функциональности компьютерной системы, логика такого запрета, автоматически приводит к «не запрету» (т.е. к разрешению) возможностей изменения объектов-документов с более высоким уровнем безопасности, чем уровень безопасности соответствующих субъектов-пользователей. Действительно, внесение информации более низкого уровня секретности в объекты с более высоким уровнем секретности не может привести к нарушению безопасности системы в смысле рассмотренного выше критерия безопасности.

В качестве основы для решения второй задачи при создании моделей мандатного доступа был использован аппарат математических решеток.

Введем следующие определения.

Определение 1. Решеткой уровней безопасности A_L называется формальная алгебра A_L (L, ≤, •, ),

где L– базовое множество уровней безопасности;

≤ - оператор, который определяет частичное нестрогое отношение порядка для элементов множества L, обладающее свойствами антисимметричности, транзитивности и рефлективности:

(рефлективность);

(антисимметричность);

(транзитивность).

• - оператор, задающий для любой пары элементов множества Lединственный элемент наименьшей верхней границы:

- оператор, задающий для любой пары элементов множества Lнаибольшей нижней границы:

Определение 2. Функцией уровня безопасности F_L :X→Lназывается однозначное отображения множества сущностей компьютерной системы X=SOво множество уровней безопасности Lрешетки A_L .

Обратное отображение F_L ^-1 :L→Xзадает разделение всех сущностей компьютерное системы на классы безопасности такие, что:

где N– мощность базового множества уровней безопасности L;

где