Формальное представление функциональной модели многокритериальной системы разграничения и контроля доступа к информационным ресурсам Текст научной статьи по специальности «Компьютерные и информационные науки»

ФОРМАЛЬНОЕ ПРЕДСТАВЛЕНИЕ ФУНКЦИОНАЛЬНОЙ МОДЕЛИ МНОГОКРИТЕРИАЛЬНОЙ СИСТЕМЫ РАЗГРАНИЧЕНИЯ И КОНТРОЛЯ ДОСТУПА К ИНФОРМАЦИОННЫМ РЕСУРСАМ

М. Н. Калимолдаев, Р. Г. Бияшев, О. А. Рог

Институт проблем информатики и управления Министерства образования и науки Республики Казахстан, 050010, Алма-Ата, Республика Казахстан

УДК 004.94

Приводится формальное описание модели системы разграничения и контроля доступа к защищаемой информации на основе политик безопасности мандатного типа для систем электронного документооборота. Разработанная модель является средством конструирования систем разграничения доступа, предоставляющим возможности для множественной категоризации субъектов и объектов в пространстве с иерархической структурой и совместного применения политик безопасности, соответствующих категориям различных типов. Сформулированы определения правил политики безопасности для категорий и для системы в целом. Модель построена в виде множества полных монотонных функций, аргументы и результаты которых определяются на частично упорядоченных множествах, составляющих систему типов. Модель содержит средства полиморфной типизации субъектов и объектов согласно их принадлежности к различным категориям, унифицированный язык задания политик безопасности мандатного типа, а также набор операций для доступа субъектов к объектам.

Ключевые слова: компьютерная безопасность, многоуровневое разграничение доступа, мандатные политики безопасности, многокритериальная решетка ценностей, иерархическая структуризация ресурсов, денотационная семантика, функциональная модель.

A formal description of the data model of the access control to protected information based on the mandatory security policies in document automation systems is presented. The developed model is a means for constructing of access control systems. It provides capabilities for multiple categorization of the subjects and objects in a hierarchically structured space and for the combined use of the security policies corresponding to the categories of various types. Security policy rules for each category type and for the overall system are formulated. The model is built as a set of complete monotone functions. The arguments and results of them are defined on partially ordered sets that constitute the system of types of the model. It provides the ability of polymorphic typing of subjects and objects depending on their belonging to various categories, unified language for mandatory security policy specifications, as well as a set of operations for the access of subjects to objects.

Key words: computer security, multilevel access control, mandatory security policies, multi-criteria grid of values, hierarchical structuring of the resources, denotational semantics, functional data model.

1. Постановка задачи, или требования к системе разграничения доступа в системах электронного документооборота. Объектами обработки в системах электронного документооборота (СЭД) являются информационные документы (объекты), с которыми работают пользователи (субъекты). Одной из задач системы разграничения доступа (СРД)

как подсистемы СЭД является обеспечение защищенной обработки информации, подразумевающей регламентацию информационных потоков внутри организации.

В организациях объекты и субъекты классифицируются по различным признакам, образуя при этом структурные единицы, имеющие в общем случае иерархическое строение. Структуризация может производиться на основе различных принципов, в результате чего сущность (субъект или объект) оказывается принадлежащей нескольким структурным единицам, приобретая соответственно ряд классифицирующих категорий. Каждая категория предполагает определенную политику безопасности, или набор соглашений о порядке доступа пользователей к информации этой категории.

С целью разграничения и контроля доступа субъекты и объекты снабжаются рядом классификационных атрибутов, отражающих факт принадлежности сущностей этим категориям. Классификационный атрибут (атрибут безопасности) - это атрибут, который отражает уровень конфиденциальности сущности в системе по определенной категории, или степень ее критичности в смысле безопасности.

В данной работе рассматривается создание многокритериальной системы разграничения доступа, осуществляющей множественную категоризацию сущностей путем их многокритериальной оценки, механизм которой описан в [1], и обеспечивающей на этой основе возможность совместного применения нескольких политик безопасности мандатного типа.

В многокритериальной системе разграничения доступа категории атрибутов можно рассматривать как упорядоченные множества всех возможных значений классификационных атрибутов этой категории, причем порядки, заданные на множествах, отражают структуры соответствующих единиц пространства ресурсов.

В общем случае категории являются частично упорядоченными множествами. В зависимости от применяемой политики безопасности категория может быть иерархическим, линейно упорядоченным или скалярным множеством.

Например, в системах, работающих на основе модели безопасности Белла и ЛаПадулы, субъекты и объекты должны иметь категорию в виде линейно упорядоченного множества значений уровней конфиденциальности. Для того чтобы можно было применять ролевую политику безопасности, субъекты и объекты должны принадлежать категории видов доступа в виде скалярного множества. Тематическая политика безопасности требует наличия тематической категории, имеющей древовидную структуру.

Как отмечалось в [2], мандатные, или многоуровневые политики безопасности, такие как тематическая, ролевая, политика безопасности для модели Белла и ЛаПадулы, основаны на вычислении и сравнении значений классификационных атрибутов (ценностей) сущностей. Значения атрибутов при этом вычисляются как подмножества множеств значений категорий. Решение о предоставлении доступа субъекта к объекту принимается на основе сравнения подмножеств по включению. Предполагается, что подмножество сохраняет частичный порядок категории.

Политика безопасности для категории определяется в виде правила доминирования ценности субъекта над ценностью объекта. Доминирование ценности субъекта над ценностью объекта является следствием того факта, что множество значений этой категории для объекта является подмножеством множества значений той же категории для субъекта. Доминирование ценности означает возможность доступа субъекта к объекту по этой категории.

Доминирование ценности субъекта над ценностью объекта по всем категориям означает соблюдение политики безопасности всей системы и служит основанием для предоставления доступа субъекта к объекту.

Мандатное, или принудительное управление доступом, обычно применяемое в системах электронного документооборота, основано на назначении меток конфиденциальности субъектам и объектам. Ввиду того, что в рассматриваемой системе разграничения доступа применяется множественная категоризация субъектов и объектов, метка безопасности является кортежем значений классификационных атрибутов, соответствующих различным категориям. Множество меток безопасности субъектов и объектов образует матрицу доступа системы.

Разрабатываемая система разграничения доступа должна обеспечивать возможности:

а) осуществления различного вида доступа субъектов к объектам на основе многокритериальной оценки сущностей и одновременного применения нескольких политик безопасности мандатного типа при принятии решения о возможности доступа;

б) администрирования политик безопасности, прав доступа для субъектов и видов доступа для объектов.

Для того чтобы отвечать перечисленным выше требованиям, система разграничения доступа должна содержать средства множественной категоризации сущностей, унифицированный язык задания спецификаций различных политик безопасности мандатного типа, а также набор операций для администрирования и осуществления определенных видов доступа субъектов к объектам.

Преимуществом рассматриваемой системы разграничения доступа является то, что предоставляемая ею возможность множественной категоризации сущностей позволяет:

а) совместно применять несколько политик безопасности мандатного типа;

б) учитывать структуры пространства ресурсов организации при определении политик безопасного доступа субъектов к объектам;

в) идентифицировать сущности по нескольким признакам, уточняя круг информационных объектов, доступных пользователю-субъекту, и позволяя таким образом избегать "избыточности прав доступа";

г) снизить сложность администрирования.

При этом происходит оптимизация работы СРД по принятию решений о предоставлении доступа субъектов к объектам и повышается надежность защиты информации.

Ограничением, накладываемым на рассматриваемый вариант СРД, является семантическая независимость категорий классификационных атрибутов. Это означает, что система категорий, или схема классификации системы, образует разбиение (а не покрытие) пространства значений классификационных атрибутов. При этом иерархическая группировка значений и присвоение названий группам сущностей системы в качестве значений их классификационных атрибутов возможны только в пределах данной категории.

Модель СРД предназначена для формального определения семантики предметной области системы разграничения доступа как функции множества допустимых состояний предметной области, отображающей множество имен классификационных атрибутов сущностей во множество их допустимых значений, или ценностей.

Модель многокритериальной системы разграничения доступа построена методом денотационной семантики, или функциональным методом. Она состоит из класса "типов данных" (доменов) как частично упорядоченных множеств и класса определенных на доменах частично-рекурсивных функций, представляющих объекты модели и отношения между ними.

Модель является инструментом для конструирования систем разграничения доступа с учетом специфики задач, решаемых системой электронного документооборота в конкретной организации.

Функциональное представление модели делает возможным ее непосредственное преобразование в реляционную базу данных классификационных атрибутов при разработке конкретного варианта системы разграничения доступа. Схема этой базы данных состоит из двух отношений, представляющих метки безопасности субъектов и объектов. Их табличное представление образует матрицу доступа системы. Функции и операции модели определяют язык описания данных и язык манипулирования данными и служат для вычисления значений матрицы доступа, а система типов задает ограничения целостности.

Теоретические основания функциональной модели системы разграничения доступа. Основанием для разработанной модели послужили работы Р. Г. Бияшева, Е. В. Горковенко [3,4], Д. Белла и Л. ЛаПадулы [5], Д. Скотта [6, 7], Д. П. Зегжды, П. Д. Зегжды и М. О. Калинина [8, 9], Л. А. Калиниченко [10].

Вопросы разграничения доступа в структурированном пространстве информационных ресурсов с использованием нескольких политик безопасности рассматривались в [3, 4].

Впервые определение политики безопасности для системы разграничения доступа с линейно упорядоченной категорией уровней конфиденциальности

с = {с1,с2,...,ая}, с >с2 >...>од

и категорией характеристик проекта в виде скалярного множества К = {К1, К2,... , Кг} как "условия безопасности взаимодействия субъектов Б и объектов О относительно функций f" было сформулировано в [5] в виде

1. МБ) > Л (О); II. f2(S) Э Ь(О),

где f1 — функция уровня секретности объекта и уровня допуска субъекта по категории С; f2 — функция характеристик проекта, ассоциированная с субъектом и объектом по категории К.

В разработанной модели, описание которой служит предметом данной статьи, для типизации сущностей используется определение семантического домена по Д. Скотту, приводимое в [6, 7], где семантический домен задается в виде частично упорядоченного множества с перечисленными свойствами, дополненного до решетки.

Обоснование необходимости математической операции определения и сравнения ценностей сущностей как основы построения языка для моделирования политик безопасности взято из работ [8, 9].

Определение функциональной модели как множества рекурсивных функций, определяющих объекты (данные), их свойства и отношения, приведено в [10].

2. Модель системы разграничения доступа как функциональная система с операциями. Обозначим множество объектов модели

Е = Б^О,

где Е = {е} — сущности, Б = {в} — субъекты, О = {о} — объекты системы разграничения доступа.

Введем множество категорий, на основании которых производится категоризация сущностей системы разграничения доступа:

С — {C1, С2,..., Сп}.

При этом сущности получают одинаковые наборы значений п классификационных атрибутов различных категорий, образующие их метки безопасности:

е — (61,62,... ,вп),

где е — метка безопасности, однозначно идентифицирующая сущность е в системе; ег С Сг — ценность сущности е по категории Сг.

В действительности не все сущности обладают полным набором категорий, что отражает факт принадлежности сущностей (пользователей и информационных документов) различным структурным единицам пространства ресурсов организации. Если сущность не обладает ценностью по какой-либо категории, соответствующее значение ее классификационного атрибута получает специальное неопределенное значение.

На декартовом произведении множеств Б х О задается отношение доступа А(в,о), означающее возможность доступа субъекта-пользователя в к информационному объекту о.

Функциональная модель многокритериальной системы разграничения доступа М определяется следующим образом:

М — (Т, АМ, Ор),

где Т — система типов модели; АМ — матрица доступа, или набор функций для представления сущностей в виде их меток безопасности и функций для определения отношений между ними; Ор — множество операций доступа и администрирования. Множество функций образует модель вычислений.

Порядок функционирования модели системы разграничения доступа. Запросы к системе делятся на две группы — предоставления санкционированного доступа субъектов к объектам и администрирования. При поступлении запроса на доступ система устанавливает возможность доступа субъекта к объекту, или истинность предиката А(в,о), путем многокритериальной оценки субъекта и объекта и применения функций политик безопасности. При выполнении запроса на администрирование политик безопасности системы и прав доступа пользователей используются операции модели для присвоения/корректировки значений классификационных атрибутов сущностей.

3. Система типов модели. Система типов формально определяет структуру предметной области системы разграничения доступа и основана на множестве категорий. Типы служат областями определения аргументов и результатов функций модели.

Систему типов предметной области системы разграничения доступа образует совокупность

Т — {$уп,Б,0,0 ,ГТ},

где Буп — синтаксический домен, состоящий из констант — символьных строк, представляющих значения элементов всех доменов; Б — {Т, — домен, содержащий два элемента, которые называются истина и ложь и обозначаются соответственно Т и О — {Ог(г — 1, п)} — множество элементарных или семантических доменов; И — обобщенный тип; ГТ — множество функциональных типов объектов модели и функциональных типов отношений между ними.

Категория содержит все возможные значения классификационных атрибутов сущностей этой категории и является типом сущности.

Категории различных видов (скалярные, линейно упорядоченные множества или множества с иерархической структурой), составляющие множество категорий

C = {Сг (г =1,и)}, единым образом представляются в виде семантических доменов:

Ог = Бош Сг (г = 1,п),

где Ог — семантический домен категории Сг, рассматриваемый как конечное частично упорядоченное множество всех возможных значений классификационного атрибута из синтаксического домена Буп, дополненное до решетки элементами домена В:

е Ог(± X ^ л ^ X т).

Если Сг является скалярным множеством, то частичный порядок на Ог задается следующим образом:

У4, ¿г е Ог(4 X ¿1 ^^ ¿к = ¿1).

Полагаем, что классификационные атрибуты, имеющие значения из различных доменов, имеют различные типы. Поэтому в дальнейшем будем считать имя типа классификационного атрибута совпадающим с именем его домена и, рассматривая домен, подразумевать соответствующий ему тип.

Рассматриваемый в данной статье вариант модели предполагает, что все семантические домены независимы:

п

П^г = 0.

г=1

Обобщенный тип О — это домен, компонентами которого являются п-арные кортежи из элементов О1, О2,... , Оп:

О = О1 х О2 х ... х Оп. (1)

О рассматривается как частично упорядоченное множество, при этом полагается, что с)1 X ¿), если ¿1 X ¿1,... X ¿'п для любых списков с1 и из множества (1):

3, = (¿1,... , ¿п), = (¿1,... , ¿п).

Функциональным типом считается запись вида

(Ь1,...,Ьп) — Ь, где п > 0 и Ь1,...,Ьп, Ь е Т,

содержащая список типов формальных параметров и тип возвращаемого значения и описывающая область интерпретации функции.

Множество функциональных типов состоит из компонент:

РТ = {Т1',Те,Тд,ТЛ},

где

Т1' = О — О - (2)

тип многозначных функций ценности сущности по определенной категории;

Те — I) — I) - (3)

тип функций меток безопасности сущностей;

Тд —(0,0) — Б - (4)

тип функций сравнения ценностей;

ТА — (0,0) — Б - (5)

тип функции доминирования метки безопасности субъекта над меткой безопасности объекта или тип предиката (функции) доступа. Здесь I — обозначение семантического домена.

4. Функциональное представление матрицы доступа. Функциональная модель матрицы доступа служит средством описания прав доступа субъектов к объектам в системе разграничения доступа. Она представляет субъекты и объекты предметной области СРД, а также отношение доступа между ними в виде множества функций, с помощью которых производятся действия над классификационными атрибутами субъектов и объектов. Частичная функция вида

/ : О — О, (6)

имеющая функциональный тип Т/ (2), где I - семантический домен, называется монотонной, если УС, С' € I, из того, что С ^ С', следует /(С) ^ /(С'). Частичная функция вида

е : Б — Б, (7)

имеющая функциональный тип Те (3), где И — 11 х 12 х ... х 1п, называется монотонной, если для любых списков С, С' € , из того, что С ^ С', следует е(с1) ^ е(с1').

Частичная функция (6) называется полной, если УС € В значение /(сС) равно значению частичной функции на С, если это значение определено, и элементу ± иначе. Частичная функция (7) называется полной, если для любого списка

С — (С1,С2,. . . ,сСп) € О

существуют сСг — 1 < г < п. При этом значение функции / на с) равно значению частичной функции / на С, если это значение определено, и элементу ± иначе.

Частичные монотонные функции, доопределенные указанным образом до полных, дают возможность сравнения своих результатов, что, в свою очередь, позволяет применять политики безопасности мандатного типа для различных категорий. Модель матрицы доступа содержит следующие функции:

АМ — {Е,Г,С,8Р},

где

I. Е — БУО — {е} — ЫШо} - множество функций, представляющих сущности или субъекты и объекты системы разграничения доступа в виде их меток безопасности. Метки безопасности субъекта в и объекта о есть функции вида

в : О — О), о : О — О,

имеющие функциональный тип Те.

Значениями функций являются метки безопасности в виде кортежей значений классификационных атрибутов субъекта или объекта (ценностей субъекта и объекта) по всем категориям:

в = в(Б1 : О1,Б2 : О2, ...Бп : Оп) = (вь . . . ,в,п), о = о(О1 : О1 ,О2 : О2,...Оп : Оп) = (01,... ,Оп).

Запись Бг : Ог или Ог : Ог означает классификационный атрибут с именем Бг субъекта или классификационный атрибут с именем Ог объекта, имеющие тип Ог; вг — ценность субъекта по категории Сг, равная значению классификационного атрибута типа Ог, или если субъект не принадлежит данной категории; ог — ценность объекта по категории сг, равная значению классификационного атрибута типа Ог, или если объект не принадлежит данной категории.

II. Г = (г = 1,п)} — множество функций ценностей сущности по категориям Сг (г = 1,п).

Функция fi ценности сущности е по категории Сг — это полная монотонная функция, имеющая функциональный тип Tf, значение которой равно значению классификационного атрибута типа Ог как подмножества множества значений семантического домена Ог с сохранением порядка, или если сущность не имеет ценности по категории Сг:

ег = Ме).

С помощью функций ценности значения меток безопасности субъекта в и объекта о вычисляются следующим образом:

в = (А(в), f2(в), ..., Ш), о = (Ш, f2(о),. . . , Ш).

III. О = {дг(г = 1,п)} — множество функций доминирования ценности субъекта над ценностью объекта по категориям Сг (г = 1,п).

Функция дг доминирования ценности субъекта в над ценностью объекта о по категории Сг — это функция, имеющая функциональный тип Тд и определяющая, является ли значение классификационного атрибута типа Ог объекта подмножеством значений классификационного атрибута типа Ог субъекта дг(вг, ог) = В (здесь вг = ^(в), ог = о)).

Значение результата функции дг в зависимости от значений классификационных атрибутов вг и ог типа Ог субъекта в и объекта о определяется согласно табл.

IV) БР = {Рг (г = 1, п)} и Р — множество функций политик безопасности, выражающих отношения доступа между множествами субъектов и объектов модели.

Политика безопасности Рг для категории — это правило взаимодействия субъекта и объекта, определяющее возможность доступа субъекта к объекту по этой категории. Она задается в виде функции доминирования ценности субъекта над ценностью объекта по категории Сг:

Таблица

Значения функции доминирования ценности gг

Ог ёг Примечание

вг ог Т ог С вг

вг ог ± ог С в

± ог ± Несравнимо

йг ± ± Несравнимо

± ± Т

Р = 9г(1г (в), ¡г(о)),

где ¡г — функция определения ценности субъекта или объекта по категории Сг; дг — функция сравнения ценностей субъекта и объекта по категории Сг.

Говорят, что метка безопасности субъекта в доминирует над меткой безопасности объекта о (в > о), если для всех классификационных атрибутов меток ценность атрибута по категории Сг субъекта доминирует над ценностью атрибута по категории Сг объекта:

дг(зг,Ог) = Т У г = 1,п.

Политика безопасности Р системы разграничения доступа определяет возможность доступа субъекта к объекту. Она задается в виде правила доминирования метки безопасности субъекта над меткой безопасности объекта или в виде предиката возможности доступа А(в,о), имеющего тип ТА:

п

Р = А(в,о) = Л Рг.

г=1

Доступ субъекта к объекту разрешается в случае возможности доступа по каждой из категорий:

Р = А(в, О) = Т ^ Рг = дг(вг,Ог)= Т Уг =1,П.

Функциональное представление матрицы доступа допускает ее непосредственное преобразование в реляционную схему базы данных классификационных атрибутов при реализации системы разграничения доступа.

Реляционная схема базы данных классификационных атрибутов состоит из двух п-арных отношений Б и О, представляющих субъекты и объекты системы разграничения доступа. Эти отношения определяются как подмножества декартова произведения семантических доменов х Б2 х ... х Бп:

Б С х Б2 х ... х Бп, О С Бх х Б2 х ... х Бп.

Схемы отношений содержат определения имен и типов классификационных атрибутов:

Реляционная схема базы данных классификационных атрибутов

5 = S(Si : Di, S2 : D2,... ,Sn : Dn), O = O{Oi : Di, O2 : D2,... ,On : Dn),

где D1, D2,... , Dn — типы классификационных атрибутов; Si, S2,... , Sn — имена субъектов; O1, O2,..., On — имена объектов.

На рисунке показана реляционная схема матрицы доступа: S и O — имена реляционных таблиц, представляющих множества субъектов и объектов, P — множество функций политик безопасности, задающих отношение доступа между ними.

Кортежи отношений реляционных таблиц S и O являются метками безопасности субъектов и объектов. Элементы кортежей вычисляются как ценности субъектов и объектов соответствующих типов (категорий):

sij = fj (Sj ), oij = fj (Oj).

Композиция двух реляционных отношений S и O образует отношение доступа. Эта композиция задается функциями политики безопасности P, представленными выражениями операторов реляционной алгебры, с помощью которых для заданного субъекта s, отображенного строкой таблицы S, из таблицы O выбираются те строки или объекты o, которые удовлетворяют условию политики безопасности P:

select O where P.

Спецификация реляционной схемы содержит многоатрибутный ключ, составленный из всех имен классификационных атрибутов сущностей, благодаря чему сущности системы разграничения доступа получают уникальную идентификацию.

5. Операции модели системы разграничения доступа. Операции Op модели выражают действия над субъектами и объектами системы разграничения доступа.

Принципы централизованного или принудительного управления доступом, применяемые в организациях, предполагают, что:

1) владельцем всех информационных ресурсов является организация, т. е. понятие субъекта как владельца документа отсутствует;

2) из множества субъектов выделяется администратор как доверенное лицо руководителя предприятия, наделяющий пользователей правами доступа, или лишающий их прав;

3) пользователи лишены возможности изменения своих прав доступа или передачи их другим пользователям.

Перечень операций СРД включает операции доступа субъектов к объектам, операции администрирования политик безопасности системы и прав доступа пользователей.

Для определения синтаксиса операций используется функциональная форма в виде условного выражения:

Р 3 Имя _ операции(в, о),

где Р — правило политики безопасности, или предикат возможности доступа субъекта к объекту Р — А(в, о).

Операция выполняется, если А(в,о) — Т. Имя_операции обозначает вид доступа как элемент категории видов доступа.

I. Операции доступа субъектов к объектам. Категория видов доступа субъекта в и объекта о должна содержать значения, дающие полномочия на выполнение операций:

А(в,о) 3 Создать_документ(в, о) —

субъект, имеющий право на создание документов, создает документ;

А(в, о) 3 Удалить_документ(в, о) —

субъект, имеющий право на удаление документов, удаляет документ;

А(в, о) 3 Читать_документ(в, о) -

субъект, имеющий право на чтение документов, читает документ;

А(в, о) 3 Читать_документ_с_правом_копирования(в, о) —

субъект, имеющий право на чтение документов с копированием, читает документ с возможностью формирования другого документа из фрагментов первого;

А(в, о) 3 Редактировать_документ(в, о) —

субъект, имеющий право на редактирование, редактирует документ;

А(в, о) 3 Рецензировать_документ(в, о) -

субъект, имеющий право на рецензирование, редактирует документ с добавлением в конец;

А(в, о) 3 Публиковать_документ(в, о) -

субъект, имеющий право подписи, помечает документ как готовый;

А(в, о) 3 Отказ_от_доступа_к_документу(в, о) -

субъект, завершающий работу с документом.

II. Операции администрирования политик безопасности системы и прав доступа пользователей. Категория видов доступа администратора — субъекта в — должна содержать значения, дающие полномочия на выполнение операций:

А(в) 3 Создать_категорию(имя_категории, структура, значения) —

администратор, создающий категорию, выбирая при этом ее структуру (скалярная, линейно упорядоченная, частично упорядоченная) и задавая набор ее значений;

А(в) 3 Корректировать_значения_категории(имя_категории, значения);

А (в, о) 3 Удалить_категорию(имя_категории);

А(в) 3 Создать_документ (имя_документа, атрибуты_безопасности);

А(в) 3 Корректировать_атрибуты_безопасности_документа(имя_документа,

атрибуты_безопасности);

А(в, о) 3 Удалить_документ(имя_документа);

А(в) 3 Создать_пользователя(имя_пользователя, атрибуты_прав_доступа);

А(в) 3 Корректировать_атрибуты_прав_доступа_пользователя(имя_пользователя,

атрибуты_прав_доступа);

А(в) 3 Удалить_пользователя(имя_пользователя).

Заключение. Разработанная модель является средством конструирования многокритериальных систем разграничения доступа для систем электронного документооборота с учетом требований к структуре ресурсов и характеристикам защищенной обработки информации конкретного предприятия.

Построенная методом денотационной семантики в виде системы частично-рекурсивных функций модель обеспечивает многокритериальную оценку сущностей системы разграничения доступа и позволяет применять одновременно несколько политик безопасности мандатного типа, соответствующих различным моделям безопасности, что повышает защищенность информации в системах электронного документооборота.

В состав модели входит набор операций для предоставления различных видов администрирования и доступа субъектов к объектам.

Функции модели представляют матрицу доступа системы разграничения доступа в виде реляционной схемы и средства эффективного манипулирования ее значениями — атрибутами безопасности субъектов и объектов.

Список литературы

1. Рог О. А. Многокритериальная модель решетки ценностей для реализации мандатных политик безопасности в системах разграничения доступа // Материалы XIII Междунар. науч.-практ. конф. "ИБ-2013". Ч. I. Таганрог: Изд-во ТТИ ЮФУ, 2013. С. 140-147.

2. Рог О. А. Функциональная модель данных многокритериальной системы разграничения и контроля доступа к информационным ресурсам. Неформальное представление // Труды IX Междунар. Азиат. школы-семин. "Проблемы оптимизации сложных систем", Алма-Ата, 2013. С. 277-282.

3. БияшЕВ Р. Г., ГОРКОВЕНКО Е. В. Обеспечение многоуровневой защиты в информационных и вычислительных системах // Материалы Междунар. конф. "Развитие информационных технологий в высшей школе", Алма-Ата, 2003. С. 247-253.

4. ГОРКОВЕНКО Е. В. Алгоритмы обеспечения многоуровневой защиты // Вестн. КазНТУ им. К. И. Сатпаева. 2006. No 6. С. 169-177.

5. Bell D. E., LaPadüla L. J. Secure computer systems: Mathematical foundations // MITRE Techn. Rep. 1973. V. I. 2547.

6. Скотт Д. Теория решеток, типы данных и семантика // Данные в языках программирования. Абстракция и типология / Под ред. В.Н.Агафонова. М.: Мир, 1982. С. 25-53.

7. Scott D. Data Types as Lattices // SIAM J. Comput. No 5(3). P. 522-587.

8. Калинин М. О. Структура и применение языка описания политик безопасности // Пробл. информ. безопасн. Компьют. сист. 2002. № 1. С. 18-26.

9. Зегжда П. Д., Зегжда Д. П., Калинин М. О. Моделирование политик безопасности для исследовательских и обучающих целей // Материалы X Междунар. науч.-метод. конф. "Высокие интеллектуальные технологии образования и науки", Санкт-Петербург, 2003. С-Пб.: Изд-во Санкт-Петерб. гос. политех. ун-та, 2003. С. 90-98.

10. Калиниченко Л. А. Методы и средства интеграции неоднородных баз данных. М.: Наука. Гл. ред. физ.-мат. лит-ры, 1983.

Калимолдаев Максат Нурадилович — д-р физ.-мат. наук, директор Института проблем информатики и управления МОН РК; e-mail: [email protected];

Бияшев Рустем Гакашевич — д-р техн. наук, зам. директора Института проблем информатики и управления МОН РК; e-mail: [email protected];

Рог Ольга Алексеевна — науч. сотр. Института проблем информатики и управления МОН РК; e-mail: [email protected]

Дата поступления — 19.11.2013