Содержание к диссертации
Введение
Раздел 1. Обзор существующих подходов разграничения прав доступа пользователей в компьютерных сетях, поиск путей решения, формулирование основных задач исследования 11
1.1 Аппаратные и программные средства по разграничению прав доступа пользователей 11
1.2 Модели разграничения прав доступа 35
1.3 Постановка задачи разграничения прав доступа и пути её решения 51
1.4 Методы решения поставленных задач 51
1.5 Основные заключения по первому разделу 60
Раздел 2. Метод определения параметров доступа. Модель разграничения прав доступа 62
2.1 Матричная модель РПД пользователей 62
2.2 Параметры доступа. Существенные параметры доступа 64
2.3 Метод определения существенных параметров доступа на основе нечеткой гиперрезолюции 66
2.4 Метод определения существенных параметров доступа на основе ортогонально-латинских квадратов 71
2.5 Модель разграничения прав доступа 78
2.6 Приведены основные заключения по разделу 2 84
Раздел 3. Алгоритмизация модели разграничения прав доступа, метода определения существенных параметров доступа и проектирование программной системы 86
3.1 Алгоритмизация метода определения существенных параметров доступа 86
3.2 Алгоритмизация модели разграничения прав доступа 89
3.3 Основные задачи, реализуемые программной системой. Архитектура программной системы 92
3.4 Основные заключения по третьему разделу 96
Раздел 4. Реализация и апробация разработанной модели, метода и алгоритмов 98
4.1 Описание реализации программной системы 98
4.2 Оценка эффективности разработанной модели разграничения прав доступа 100
4.3 Анализ оценки эффективности алгоритма разграничения прав доступа с помощью имитационного моделирования 102
4.4 Инженерная методика по разграничению прав доступа в компьютерных сетях 108
4.5 Внедрение программного обеспечения в организациях 112
4.6 Основные заключения по четвертому разделу 113
Заключение 115
Список использованной литературы 116
- Аппаратные и программные средства по разграничению прав доступа пользователей
- Метод определения существенных параметров доступа на основе нечеткой гиперрезолюции
- Основные задачи, реализуемые программной системой. Архитектура программной системы
- Анализ оценки эффективности алгоритма разграничения прав доступа с помощью имитационного моделирования
Введение к работе
Актуальность работы. В настоящее время увеличивается использование компьютерных сетей во всех сферах жизни современного общества: в сфере обороны, экономики, транспорта, промышленности, связи, здравоохранения, в государственных организациях, в финансовых и банковских структурах, в области защиты и обеспечения правопорядка. Поэтому остро стоят вопросы информационного контроля и управления правами пользователей в компьютерных сетях. Разграничение прав доступа пользователей один из основных компонентов работы компьютерных сетей.
Актуальной задачей является противодействие несанкционированному доступу (НСД) к ресурсам компьютерных сетей, а именно безопасное управление доступом и информационными потоками по памяти и по времени между сущностями компьютерной системы. В связи с увеличением объемов обмена информацией, количества поставщиков и пользователей, а также возрастанием плотности информационных потоков и усложнением их структуры, растет нагрузка на компьютерные сети. Из-за нарушения правил доступа, а также действий со стороны лиц, не имеющих прав доступа к ресурсам компьютерных сетей, основной проблемой является разработка эффективных моделей разграничения прав доступа (РПД) пользователей и их программная реализация.
Наибольший вклад в решение данной научной проблемы был внесен такими отечественными учеными, как А.Ю.Щеглов, К.А.Щеглов, В.И. Беляев, А.Г. Корченко, П.Н. Девянин и др., а также зарубежными Bell D.E., LaPadula L.J., Lanawehrm Е.А., Heitmeyer L.C., McLean J.F и др.
Существующие в настоящее время модели по РПД пользователей заставляют придерживаться жестко заданной политики безопасности, которая находит свое выражение в описании прав пользователей и в правильности их разграничения (способы доступа к информации).
Широко используемые способы доступа к информации, сводятся к классическим моделям - канонической, «Take Grant», «Белла — Лападула» и др.
Однако, пользователи компьютерных сетей могут иметь различные ограничения уровней иерархии, причем права пользователей, входящих в группы с такими уровнями иерархии не определяются с помощью традиционных правил РПД пользователей и моделей, использующихся в современных операционных системах. Определением уровней иерархии и классификацией пользователей занимаются в большинстве случаев системные администраторы, а также эксперты. Поскольку количество уровней иерархии напрямую зависит от количества пользователей, работающих в сети, то существенно возрастает число случаев, когда существующие модели РПД пользователей не позволяют отследить злоупотребления служебными полномочиями, а также ошибки конфигурации программных средств из-за сложности определения прав на информационные ресурсы. Поэтому без использования специальных автоматизированных программных средств задача РПД пользователей сопряжена со значительными затратами.
Таким образом, существующие тенденции широкого использования компьютерных сетей, свидетельствующие о необходимости обработки все больших объемов данных, а также рост плотности информационных потоков, приводят к необходимости создания развитых программных средств по РПД пользователей, что подтверждает актуальность диссертационного исследования.
Цели и задачи. Целью работы является исследование, разработка и программная реализация модели РПД пользователей для повышения эффективности администрирования в компьютерных сетях.
Для достижения поставленной цели в диссертации решены следующие основные задачи:
Проведен анализ современных моделей, методов, алгоритмов и программных средств РПД пользователей в компьютерных сетях, выявлены основные проблемы и осуществлен выбор путей их решения.
Разработан оригинальный метод для определения информационных ресурсов (доступных пользователю), основанный на применении методов
нечеткой гиперрезолюции и ортогонально-латинских квадратов, обеспечивающий учет параметров доступа в каждой конкретной ситуации РПД пользователей компьютерных сетей.
Предложена оригинальная модель РПД для компьютерных сетей с различными уровнями иерархии пользователей и разработан алгоритм реализации данной модели.
Разработаны модель и алгоритм управления информационными потоками (по памяти и по времени) между ресурсами компьютерных сетей.
Выполнена программная реализация разработанных алгоритмов и проведена комплексная проверка работоспособности программной системы.
Объект исследования. Объектом исследования является разграничение прав доступа пользователей в компьютерных сетях.
Предмет исследования. Предметом исследования являются способы применения методов нечеткого логического вывода, ортогонально-латинских для разграничения прав доступа пользователей и управления потоками информации в компьютерных сетях.
Методы исследования. Для решения поставленных задач использовались методы нечеткого логического вывода, ортогонально-латинских квадратов, нейросетевых технологий, теории графов, математического моделирования, технологии разработки программного обеспечения.
Научная новизна. Научная новизна результатов работы заключается в следующем:
Разработан оригинальный метод определения параметров доступа, позволяющий определить информационные ресурсы, с которыми может взаимодействовать пользователь.
Предложена оригинальная модель и разработан эффективный алгоритм РПД пользователей в компьютерных сетях, базирующиеся на представлении каждого состояния доступа в виде набора продукционных правил, что в отличие от классического подхода (представление доступа пользователей к
информационным ресурсам в виде графа) позволило более эффективно определять различные уровни иерархии групп пользователей. 3. Разработано оригинальное программное обеспечение, позволяющее автоматизировать выполнение различных этапов РПД.
Практическая значимость. Создана методика РПД пользователей в компьютерных сетях и разработаны правила разграничения прав доступа, на основе которых происходит управление потоками информации по памяти и по времени. Предложенные модели и методы РПД пользователей компьютерных сетей доведены до конкретных алгоритмов, на основе которых создано программное обеспечение. В результате практического использования разработанного программного обеспечения снизились затраты на администрирование, интеллектуальная нагрузка на администраторов, риск получения несанкционированного доступа, что значительно повысило эффективность процедур РПД пользователей в компьютерных сетях.
Реализация результатов. Разработанные программные средства входят в состав программного обеспечения «Методы управления доступом к информационным ресурсам автоматизированных систем управления на основе четких моделей и нечеткой логики», которое используется для РПД пользователей в компьютерных сетях. На данное программное обеспечение получено свидетельство о государственной регистрации программ для ЭВМ РОСПАТЕНТ № 2008614104 (от 28 августа 2008 года. Данный программный продукт был внедрен в ОАО КБ «ЭлектронСистема», а также НПО «ОКСИТ» и академия ФСО (акты о внедрении). Разработанные методические принципы РПД пользователей в компьютерных сетях использованы в учебном процессе при подготовке специалистов по ГОСВПО 22.01.02 на кафедре «Автоматизированные системы управления и информационные технологии» Московского государственного университета приборостроения и информатики.
Достоверность полученных результатов. Достоверность полученных результатов подтверждена экспериментальными данными проведенного тестирования разработанного программного обеспечения, а также
соответствующими актами о внедрении и использовании результатов диссертации.
Апробация работы. Наиболее важные результаты докладывались на четырех международных конференциях «Современные направления теоретических и прикладных исследований» (Украина, г. Одесса, 2007 — 2009 г.г.), а также на 17-ом международном научно - техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» (Украина, г. Алушта, 2008 г.), и на 10-ой, 12-ой всероссийских научно - технических конференциях «Новые Информационные Технологии» (Россия, г. Москва, 2007 г., 2009 г.).
Основные положения и результаты докладывались и обсуждались на научных семинарах кафедры «Автоматизированные системы управления и информационные технологии» Московского государственного университета приборостроения и информатики.
Публикации. По материалам диссертационной работы опубликовано 9 научных работ, в том числе две в журналах, входящих в перечень ВАК, а также получено свидетельство о государственной регистрации программ для ЭВМ РОСПАТЕНТ № 2008614104.
Структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы и 4 приложений.
Основная часть диссертации содержит - 125 страниц машинописного текста, включая 39 — рисунков и 11 — таблиц.
Аппаратные и программные средства по разграничению прав доступа пользователей
Базовыми характеристиками защиты информации являются конфиденциальность, целостность и доступность [10].
Конфиденциальность - характеристика безопасности информации, которая отображает ее свойство нераскрытое и доступности без соответствующих полномочий. Физически информация не может быть доступна или раскрыта неавторизованной среде, то есть для неё якобы, нет. В свою очередь, авторская сторона (обслуживающий персонал, пользователи, программы) которой предоставлены соответствующие полномочия, имеет полный (ограниченный) доступ к информации [12].
Целостность — характеристика безопасности данных, что отображает её свойство противостоять несанкционированной модификации. Например, пользователь, который накапливает информацию, имеет право ожидать, что содержимое его файлов останется неизменным, несмотря на целенаправленные влияния, отказ программных или аппаратных средств [13].
Доступность - характеристика безопасности информации, которая отображает её свойство, состоящее в возможности использования соответствующих ресурсов в заданный момент времени согласно предъявленным полномочиям. Фактически авторская сторона получает неограниченный доступ к нужной информации [14].
Определение 1.1. Доступом в КС - это взаимодействие между её ресурсами, которое обеспечивает передачу информации между ними. В процессе доступа к информации в частности реализуется ее копирование, модификация, уничтожение, инициализация и т.п. Различают санкционированный и несанкционированный доступ к информации [15]. Если доступ к ресурсам системы происходит с нарушением правил разграничения доступа, то такой доступ называют несанкционированным [16]. Одним из основных действий, которые порождают НСД, есть перехват, под которым понимают получением информации незаконным подключение к каналам связи [17].
В качестве основных программных средств по РПД пользователей в настоящее время выступают продукты фирмы Microsoft (ОС Windows NT/2000/2003, Windows XP/Vista) [22]. Процесс РПД, в ОС происходит с использованием идентификации и аутентификации.
Первый этап идентификации, поддерживаемый режимом аутентификации, реализуется при входе пользователя в систему. Здесь следует выделить возможность входа в безопасном режиме (Safe Mode). Принципиальным отличием этого режима является то, что при запуске системы в безопасном режиме не загружаются сторонние по отношению к системе драйверы и приложения. Таким образом, если в системе используется добавочная СЗИ НСД, ее компоненты в этом режиме не загрузятся, т.е. система загружается без добавочных средств защиты, или незащищенной [23].
Второй шаг состоит в запуске пользователем процессов. Все работающие в системе процессы и потоки выполняются в контексте защиты того пользователя, от имени которого они так или иначе были запущены. Для идентификации контекста защиты процесса или потока используется маркер доступа (access token). В контекст защиты входит информация, описывающая привилегии, учетные записи и группы, сопоставленные с процессом. При регистрации пользователя (рис. 1.1) в системе создается начальный маркер, представляющий пользователя, который входит в систему, и сопоставляет его с процессом оболочки, применяемой для регистрации пользователя. Все программы, запускаемые пользователем, наследуют копию этого маркера. Механизмы защиты в Windows используют маркер, определяя набор действий, разрешенных процессу доступа [24].
Этапы идентификации и аутентификации пользователя в системе Однако в общем случае пользователь имеет возможность запуска процесса, как с собственными правами, так и под учетной записью другого пользователя. Запуск пользователем процесса под чужой учетной записью возможно только после выполнения процедуры аутентификации - пользователь должен ввести идентификатор и пароль, соответствующие той учетной записи, под которой им будет запущен процесс (в частности, подобную возможность в ОС Windows предоставляет утилита: runas.exe).
Третий шаг состоит в порождении информационным процессом потоков, которые собственно и обращаются к ресурсам. Система предоставляет разработчикам приложений сервисы олицетворения. Сервис олицетворения (impersonation) предоставляет возможность отдельному потоку выполняться в контексте защиты, отличном от контекста защиты процесса, его запустившего, т.е. действовать от лица другого пользователя. Как следствие, здесь возникают вопросы корректности идентификации пользователя при доступе к ресурсам (не выполнение этого требования позволит злоумышленнику обойти заданные в системе правила разграничения доступа к ресурсам). В данном случае аутентификация пользователя не производится, поэтому средством защиты должен быть реализован контроль (основанный на разграничении прав) корректности олицетворения [25].
Рассмотренные выше второй и третий шаги имеют похожие принципы реализации в ОС, как следствие, в части построения системы защиты, здесь возможна реализация одного и того лее подхода. С этой целью рассмотрим упрощенную схему запуска процесса с правами другого пользователя, реализуемую ОС Windows, которая приведена на рис. 1.2. Рассмотрим, как работает данная схема.
Упрощенная схема запуска процесса с правами другого пользователя, реализуемая ОС Windows Для того чтобы запустить процесс (программу) с правами другого пользователя, пользователь со своей учетной записью запускает программу-проводник, позволяющую запускать соответствующую утилиту, например, runas. В качестве параметров при запуске этой утилиты задается, какой процесс, с правами какого пользователя должен быть запущен, и пароль этого пользователя. Утилита запускается с правами текущего пользователя и взаимодействует с системной службой svchost, запущенной с правами System, которая, в свою очередь, взаимодействует с процессом winlogon, осуществляющим регистрацию входа нового пользователя в систему. При регистрации нового пользователя, потоки, запускаемые процессом winlogon, олицетворяют себя с правами регистрируемого пользователя (если запретить подобное олицетворение, то регистрация нового пользователя в системе будет невозможна). Далее системная служба svchost запускает процесс, запуск которого запросил пользователь, с правами System, после чего, осуществляет смену первичного маркера доступа для запущенного процесса — смену маркера доступа System — на маркер доступа нового пользователя. В результате этого процесс функционирует под учетной записью нового пользователя [11].
Таким образом, из рис. 1.2 следует, что смена первичного маркера доступа осуществляется уже после запуска процесса, который изначально запускается с правами System. Таким образом, если идентифицировать субъект доступа парой: идентификатор и эффективный идентификатор, то рассматриваемый процесс будет характеризоваться парой (System, Новый пользователь). Следовательно, именно эта пара параметров для заданных процессов должна контролироваться при решении задачи контроля олицетворения [27].
Метод определения существенных параметров доступа на основе нечеткой гиперрезолюции
Если построить обратную функцию доступа нельзя или её определение в ряде случаев невозможно, то тогда применяется алгоритм нечеткого логического вывода Сугэно 0 порядка. В этом случае значение доступа присваивается в виде константы. Тогда база нечетких продукционных правил формируется следующим образом.
Этапы разработанного алгоритма НЛВ аналогичны предыдущему, за исключением второго этапа, который имеет следующий вид. Этап 2. Вычисление степеней срабатывания предпосылок по каждому из правил const і. Разумеется, изменение состава и структуры правил принятия решения по РПД, введение в рассмотрение дополнительных факторов, а также изменение структуры нечетких множеств, приведет к изменению модели. Описываемые изменения реализуются в нечеткой модели РПД на основе стандартной схемы управления с нечеткими множествами: фаззификация, преобразования нечетких множеств на основе текущей информации о состоянии компьютерной сети, дефаззификация. Описываемый подход к РПД позволяет формализовать субъективные экспертные знания о процессах выбора доступа и построить формальную процедуру определения доступа для субъектов. В этом смысле описываемый подход универсален. Кроме того, преобразования нечетких множеств на основе текущей информации о РПД, используемые в описанной модели, несут в себе элементы адаптации системы к текущему доступу. Кроме того, в диссертации разработана модель создания информационных потоков по памяти и по времени. С этой целью введено значение порогового значения (Dpor), при котором доступ для субъекта разрешен и создается информационный поток по времени. Если значение доступа D, определяемое по формуле (2.24), больше или равно пороговому значению Dpor, при котором доступ к объекту разрешен, то создается информационный поток по времени. В этом случае, модель создания информационных потоков по времени представляется в виде: Построена модель РПД в компьютерных сетях, основанная на формализме нечетких продукционных правил (2.23), (2.25), которые описывают доступ субъектов к объектам, что обеспечивает учет параметров доступа, а также различные уровни иерархии пользователей. Таким образом, в диссертации получено решение актуальной задачи разграничения прав доступа пользователей к ресурсам компьютерных сетей, которое позволяет учитывать существенные ПД. Во втором разделе проведен анализ необходимых параметров субъекта, которые играют основную роль при определении доступных для субъекта объектов. Показано, как проводиться ранжирование. Исследованы и применены методы нечеткой гиперрезолюции и ортогонально-латинских квадратов. Разработан метод по определению не ниже каких значений ПД должен обладать субъект, для того чтобы получить доступ к объекту. Показано, как множества субъектов и объектов были заменены соответствующими нечеткими множествами. Применены методы нечеткого логического вывода относительно поставленной задачи. Определяется ХФП для последующего использования в продукционных правилах. Разработана модель нечеткого логического вывода. Сформированы продукционные правила, по которым определялся доступ субъекта к объекту, а также дефаззификации на основе следующих методов нечеткого логического вывода: Цукамото, Сугэно 0. В диссертации разработаны методы по определению существенных ПД и модель по разграничению прав доступа пользователей в КС, в результате которых происходит реализация соответствующих потоков информации по памяти и времени. Алгоритмизация модели по РПД, метода определения существенных ПД и проектирование программной системы. На основе описанных во втором разделе методов нечеткой гиперрезолюции и ортогонально-латинских квадратов в диссертации разработан алгоритм определения существенных ПД, упрощенный вид которого показан на рисунке 3.1. Упрощенный алгоритм определения существенных ПД. На четырехядерном процессоре был проведен эксперимент по определению максимального количество ПД, показавший, что приемлемая скорость работы алгоритма (рисунок 3.1) устанавливается, если количество не превышает 18. График зависимости времени от количества объектов (на основе ортогонально — латинских квадратов) приведен на рисунке 3.2. В соответствии с результатом эксперимента сделан вывод, что при количестве значений ПД больше 18 целесообразно применять более мощную вычислительную технику или использовать комбинацию методов многозначной логики и нечеткой гиперрезолюции. Алгоритм метода показан на рисунке 3.3. Правило, на котором субъект имеет право на тот или иной объект, задается существенными ПД из всего множества значений ПД, которые принадлежат той или иной КС. При совпадении значений ПД, которые владелец присвоил своему объекту, и существенных ПД субъект имеет полный на объект, определяемый правилом.
Для определения функции ПД в агоритме необходимо провести анализ КС, а именно информации и исследовать какими понятиями определяется доступ к тому или иному объекту сети. На основании полученных результатов, а также с учетом специфики обработки информации и её конфигурации создаются массив ПД. После определения массива ПД необходимо установить, какими значениями ПД будут обладать субъекты и объекты сети. После проведенного анализа значений ПД составляются ОЛК, если количество значений ПД не превышает 18. В противном случае составляются ОЛК для определения ПД, которыми будет обладать субъект. Значения ПД, которыми обладает объект, задаются субъектом, создавшим объект (владельцем).
Основные задачи, реализуемые программной системой. Архитектура программной системы
Программное обеспечение было внедрено в таких организациях, как: ОАО КБ «ЭлектронСистема»; НПО «ОКСИТ»; академия ФСО. Работа пользователя с системой строится по следующей схеме. РПД осуществляется после выбора имеющегося или создания нового пользователя. После определения пользователей формируется запрос на выбор новых ПД или на выборку ранее сохраненных. В зависимости от выбора создается или загружается модель пользователей (создаются нечеткие продукционные правила доступа или загружаются из базы), формируется модель РПД для пользователей. Затем осуществляется выбор объектов для доступа, а также их значимости. Если пользователь введет запрос на получение доступа к интересующему его объекту, система предоставит возможные для доступа объекты. Затем система предоставляет пользователю ранжированный список прав на объект, хранящихся в базе продукционных правил доступа. Выбирая право из предложенного списка, пользователь получает: название объекта; данные пользователя, создавшего объект; адрес в КС и дату создания. Для просмотра всего объекта система может полностью загрузить его. Использовав объект, пользователь должен указать дату изменения. Если объект был загружен, то он удаляется. В зависимости от результата на получение доступа меняются объекты для пользователей.
Результаты опытного внедрения показали, что разработанная программное обеспечение «Методы управления доступом к информационным ресурсам автоматизированных систем управления на основе четких моделей и нечеткой логики» позволяет эффективнее и качественнее РПД пользователей в компьютерных сетях, что подтверждает достоверность разработанных теоретических исследований.
В четвертом разделе проведена реализация и апробация разработанного модели, метода и алгоритма. Разработана инженерная методика разграничения прав доступа пользователей. В разделе 4.1 проведена описана реализация модели РПД. При получении доступа субъекта к объекту, создается информационный поток по времени, который существует до тех пор, пока субъект работает с объектом. В разделе 4.3 проведена оценка алгоритма нечеткой модели с помощью имитационного моделирования, приведены параметры, которые оценивают алгоритм. Исследовались: отказоустойчивость, а также пресечения попыток получения несанкционированного доступа. Программа была внедрена на предприятиях КБ «Электрон Система», что подтверждено актом о внедрении и протестировано по указанным параметрам. В разделе 4.4 рассматривалась инженерная методика по РПД. Приведены необходимые данные по работе с ПО. Установлены параметры, по которым была проведена оценка работоспособности. А также приведена инженерная методика по РПД в КС. В результате проведенной работы была разработана модель РПД пользователей в КС на основе НЛВ и ОЛК. Использование системы НЛВ позволило создать легко настраиваемую систему разграничения, логика работы которой позволяет легко наращивать и изменять структуру параметров на систематической основе путем расширения (изменения) базы нечетких продукционных правил для определения доступа. Разработанная модель РПД была исследована с помощью имитационного моделирования. Моделирование работы выявило ряд преимуществ реализованной в ней модели РПД по сравнению с традиционными моделями. Положительные результаты моделирования позволили реализовать данную модель. Результат данного исследования показывает, что применение систем с НЛВ и ОЛК в задачах РПД пользователей КС характеризуется новыми возможностями управления на основе простых продукционных правил и адаптации к условиям. 1. Проведен анализ современных моделей, методов, алгоритмов и программных средств РПД пользователей в компьютерных сетях, выявлены основные проблемы и осуществлен выбор путей их решения. 2. Разработан оригинальный метод для определения информационных ресурсов (доступных пользователю), основанный на применении методов нечеткой гиперрезолюции и ортогонально-латинских квадратов, обеспечивающий учет параметров доступа в каждой конкретной ситуации РПД пользователей компьютерных сетей. 3. Предложена оригинальная модель РПД для компьютерных сетей с различными уровнями иерархии пользователей и разработан алгоритм реализации данной модели. 4. Разработаны модель и алгоритм управления информационными потоками (по памяти и по времени) между ресурсами компьютерных сетей. 5. Выполнена программная реализация разработанных алгоритмов и проведена комплексная проверка работоспособности программной системы.
Анализ оценки эффективности алгоритма разграничения прав доступа с помощью имитационного моделирования
Основными недостатками существующих программных и аппаратных продуктов по разграничению прав доступа пользователей можно назвать: - жестко заданную политику безопасности; - возможность кооперации части субъектов компьютерных систем при передаче прав доступа или реализации информационных потоков; - иерархию сущностей, которая не позволяет просматривать дочерние файлы, которые расположены в закрытой папке без определения на них дополнительных прав; - невозможность изменения модели разграничения, ввода дополнительных прав или правил (только для аппаратных средств). Данные недостатки обусловлены математическими моделями РПД, которые являются основой построения программных и аппаратных средств. В качестве моделей разграничения прав доступа пользователей КС в программных и аппаратных продуктах выступают следующие модели: каноническая, Take — Grant и её основные расширения. Процесс управления автоматизированными системами (АСУ) связан с информационным обменом и включает наличие информационного потока направленного от объекта к субъекту, где под субъектом будем понимать управляющий элемент, а под объектом — управляемый. В современных задачах АСУ важную роль играет задача управления информационными потоками [42]. При этом ключевым моментом является управление доступом к ним. Известно, что доступ — это взаимодействие между ресурсами системы или информационный обмен. В процессе доступа к информации реализуется ее копирование, модификация, уничтожение, инициализация и т.п. В задачах автоматизированных систем управления различают санкционированный и несанкционированный доступ к информации. Когда доступ к ресурсам системы происходит с нарушением правил разграничения прав субъектов к объектам, его относят к несанкционированному. В связи с возможностью подключения незаконным путем к каналам связи, а также возможностью получения субъектом информации, не предназначенной ему, весьма актуальной является проблема разграничения прав доступа субъектов к объектам [41]. Будем считать, что информация в АСУ представлена в виде слова в некотором языке Я. Кроме того, можно полагать, что состояние любого устройства в АСУ полно описано словом в некотором языке. Тогда можно отождествлять слова и состояния устройств АСУ. Эти предположения позволяют строить модель в терминах некоторого языка. Определение 1.4. Объектом относительно языка Я (или просто объектом, когда из контекста однозначно определен язык) называется произвольное конечное упорядоченное множество языка Я (0 = {01}02,...., Ок}). В качестве объекта языка Я О, (i = l,k) будем рассматривать как отдельный объект, так и группа объектов, характеризуемых одинаковыми для них правами доступа. В информационных потоках АСУ выделим описания преобразований данных. Преобразование информации отображает описывание исходных данные, в другое слово. Преобразование данных также является словом. Каждое преобразование информации может либо храниться, либо действовать. Определение 1.5. Ресурсы системы, выделяемые для действия преобразования, называются доменом. Для осуществления преобразования одних данных в другие кроме домена необходимо передать этому преобразованию особый статус в системе, при котором ресурсы системы осуществляют это преобразование. Этот статус будет называться управлением [43]. Определение 1.6. Преобразование, которому передано управление, называется процессом. Определение 1.7. Объект, описывающий преобразование, которому выделен домен и передано управление, будем называть субъектом В качестве субъекта доступа S, (i = l,h) будем рассматривать как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа. Другими словами субъект - это пара (домен, процесс). Для реализации преобразования субъект использует информацию, содержащуюся в объекте Оп то есть осуществляет доступ к объекту О,. Рассмотрим некоторые основные примеры доступов. 1. Доступ субъекта St к объекту О, на чтение данных в объекте О,. При этом доступе данные считываются в объекте О, и используются в качестве параметра в субъекте S,. 2. Доступ субъекта S, к объекту- О, на запись данных в объекте Ot. При этом доступе некоторые данные процесса S, записываются в объект О,. Здесь возможно стирание предыдущей информации. 3. Доступ субъекта S, к объекту О, на активизацию процесса, записанного в О, как данные (ехе). При этом доступе формируется некоторый домен для преобразования, описанного в О,, и передается управление соответствующей программе. Ясно, что каждый субъект является объектом относительно некоторого языка (который может в активной фазе сам менять свое состояние). Поэтому Аксиома 1.1. Все вопросы управления в АСУ описываются доступами субъектов к объектам. Перейдем к построению канонической модели управления доступом. Метод 1.1. Пусть {ОД} — множество прав доступа, где 0 обозначает отсутствие доступа субъекта к объекту, 1 — разрешение полного доступа. Тогда матрицу разрешенных доступов, или индикаторную матрицу (матрица, реализующая требование к управлению доступом) можно описать следующим образом.