автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методика построения ролевой и мандатной политики безопасности в структурированных организациях и в соответствии со стандартом СТО БР ИББС-1.0-2008

кандидата технических наук
Ракицкий, Юрий Сергеевич
город
Омск
год
2011
специальность ВАК РФ
05.13.19
цена
450 рублей
Диссертация по информатике, вычислительной технике и управлению на тему «Методика построения ролевой и мандатной политики безопасности в структурированных организациях и в соответствии со стандартом СТО БР ИББС-1.0-2008»

Автореферат диссертации по теме "Методика построения ролевой и мандатной политики безопасности в структурированных организациях и в соответствии со стандартом СТО БР ИББС-1.0-2008"

На правах рукописи

РАКИЦКИЙ ЮРИЙ СЕРГЕЕВИЧ

МЕТОДИКА ПОСТРОЕНИЯ РОЛЕВОЙ И МАНДАТНОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ В СТРУКТУРИРОВАННЫХ ОРГАНИЗАЦИЯХ И В СООТВЕТСТВИИ СО СТАНДАРТОМ СТО БР ИББС-1.0-2008

Специальность: 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ Диссертации на соискание ученой степени кандидата технических наук

0мск-2011

1 7 МАР 2011

4841048

Работа выполнена в Омском государственном университете им. Ф.М.Достоевского

Научный руководитель: доктор физико-математических наук, доцент

Белим Сергей Викторович

Официальные оппоненты: доктор технических наук, проофессор Гатчи

Юрии Арменакович

кандвдат технических наук Михайлеченко Ольг Викторовна.

Ведущая организация:

Уфимский государственный авиационньп технический университет

Зашита состоится 29.03.2011 на заседании диссертационного совета Д 212.227.05 в 15-50 по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д.49„ СПбГУ ИТМО, ауд. 403.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского государственного университета информационных технологий, механики и оптики (национальный исследовательский университет).

Автореферат разослан 28 февраля 2011 г.

Ученый секретарь диссертационного совета Д 212.227.05

В.И. Поляков

Актуальность проблемы

Моделирование процессов передачи, хранения и защиты информации риобрело существенное значение с развитием вычислительной техники. При этом олыное количество алгоритмов обработки и защиты данных было унаследовано з бумажного документооборота, что позволяет применять соответствующие им юдели в компьютерных системах.

Современные системы обработки информации представляют собой овмещеиие нескольких специализированных информационных сервисов. Для аждого типа информационных сервисов разработана своя математическая модель, оторая не применима напрямую к составным системам. Поэтому задача юделирования составных компьютерных систем весьма актуальна.

Набор ограничений на преобразования данных различными пользователями ринято называть политикой безопасности. Математические модели политики езопасности получили название моделей безопасности. Для каждого из сервисов •уществуст своя модель безопасности. Объединение нескольких сервисов в одну •истему без изменения моделей безопасности может приводить к снижению аботоспособности системы.

Во многих системах применяются ролевые и мандатные политики езопасности. Модель ролевой политики безопасности рассматривалась во многих аботах [1,2,3]. Наиболее строгое построение было получено в работах [4,5,6]. олевую политику безопасности принято определять с помощью ролевого графа 7]. Все современные базы данных используют концепцию ролей для выдачи олномочий пользователям, реализуя таким образом ролевое разграничение оступа. Современные модели мандатных политик безопасности строятся на снове шкалы ценностей информации, задаваемых алгебраической решеткой [8,9].

Попытки предоставления совмещенных сервисов разграничения доступа мандатного и ролевого) встроены в ряд систем управления базами данных. Так например, в широко распространенной СУБД Oracle [10] уже в версии 7 было разработано дополнительное инструментальное средство Trusted Oracle7, которое позволяло администратору кроме ролей вводить также и метки безопасности. Основным требованием мандатного разграничения доступа в данном приложении было доминирование метки пользователя над меткой строки. Начиная с версии СУБД Огас1е8 этот продукт получил название Oracle Label Security. Однако оба эти продукта не получили широкой популярности в силу двух причин. Во-первых согласование настроек двух алгоритмов приводит к большому количеству трудностей при администрировании. Во-вторых остается не очевидным сама возможность непротиворечивого сосуществования двух принципов разграничения доступа в одной компьютерной системе.

Аналогичная задача возникает при моделировании объединения различный предприятий в единую организацию, если до объединения каждое из предприятий

использовало свою политику безопасности. При этом возникает задача объединен» двух мандатных политик безопасности.

Целью диссертационной работы является разработка методики построени политики безопасности структурированного предприятия на основе моделс ролевого и мандатного разграничения доступа для случая объединения полнти безопасности двух организаций, а также рекомендации но построению ролево1 модели безопасности для учета требований стандарта Банка России п информационной безопасности СТО БР ИББС-1.0-2008 «Обеспечени информационной безопасности в организациях банковской системы Российско Федерации».

Методы исследования. При решении поставленных задач использовалис математические модели, теория алгебраических решеток и теория графов. Научная новизна результатов исследований.

1. Впервые проведено расширение ролевой политики безопасности с учетол требований стандарта Банка России по информационной безопасности СТО Б1 ИББС-1.0-2008 «Обеспечение информационной безопасности в организация банковской системы Российской Федерации». Выработаны рекомендации пс формальному построению политики безопасности.

2. Впервые проведено моделирование политики безопасности, включающе{ ролевое и мандатное разграничение доступа. На основе модели разработан методика создания комплексной политики безопасности.

3. Предложен подход к объединению мандатных политик безопасности двух компьютерных систем с различными решетками ценностей.

Достоверность результатов работы. Научные результаты диссертационной работы получены с использованием методов хорошо зарекомендовавших себя при моделировании политик безопасности компьютерных систем. Проведено сравнение результатов моделирования с организационными и программными средствами защиты информации.

Практическая ценность заключается в получении методик построения политик безопасности предприятий и компьютерных систем для предотвращения утечки информации.

Основные положения, выносимые на защиту:

1. Методика построения ролевой политики безопасности с учетом административных и контролирующих ролей.

2. Методика построения непротиворечивой модели безопасности, включаюшей в себя ролевое и мандатное разграничение доступа.

3. Алгоритм построения мандатной модели безопасности эквивалентной модели безопасности, включающей ролевое и мандатное разделение доступа.

4. Алгоритм построения непротиворечивой модели безопасности, включающей в себя две мандатные политики безопасности с различными решетками ценностей.

Апробация работы. Основные результаты диссертации докладывались и обсуждались на следующих межвузовских, международных, всероссийских конференциях: Межвузовская научно-практическая конференция

Информационные технологии и автоматизация управления" (Омск, 2009); Ш 1еждународная научно-практическая конференция «Актуальные проблемы езопасности информационных технологий» (Красноярск, 2009), XIII 1еждународная научная конференция "Решетневские чтения" (Красноярск, 2009).

Публикации. Но теме диссертации опубликованы 10 научных работ, в том исле две статьи в журналах, рекомендуемых ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, етырех глав, заключения и списка литературы. Работа содержит 97 страниц сновного текста, 15 рисунков а 2 таблицы. Список литературы включает 92 тнменовання.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ Во введении обоснована актуальность выбранной темы диссертационной аботы и сформулированы основные цели исследований.

В первой главе, носящей обзорный характер, рассматриваются основные фпнципы построения математических моделей политик информационной езопасности. Рассматриваются ролевые и мандатные модели разграничения оступа, их основные понятия и положения.

Вторая глава посвящена разработке методики построения непротиворечивой штатной политики безопасности объединенного предприятия, состоящего из двух тделов (£)/ и ДО. У каждого из которых уже есть своя мандатная политика езопасности, основанная на определенной решетке ценностей (1; и соответственно). Наиболее простым решением задачи является построение единой ешетки ценностей организации как декартова произведения решеток отделов:

ри таком подходе каждый объект в системе будет характеризоваться парой меток езопасности (тьт('",£1, т,е1, )

Рассмотрим пример такого объединения. Пусть в отделе действует пшенная решетка ценностей =а1.аг.аз с тремя уровнями безопасности (а1<а:<0з). Во втором отделе °2 пусть действует линейная решетка ценностей "'V с ремя уровнями безопасности (ъ\ <ь:<ъ.< ) (рисунок 1).

ф.1 ы|

фаз Ыф

Рисунок 1. Линейная решетка ценностей

Итоговая решетка безопасности объединенной организации будет иметь 9 меток безопасности (рисунок 2). Если метка безопасности сообщения из решетки 1\ отдела не входит в решетку , то это означает, что ни один субъект отдела Г)2 не может прочитать такое сообщение, пока ему не предоставят соответствующий доступ, то есть новую метку безопасности из декартова произведения решеток £1х£2.

При этом возникает ситуация, когда возможно отсутствие обмена между некоторыми субъектами из различных отделов, а это означает что ни одна из новых меток безопасности, полученных из декартова произведения решеток, им не подходит. Иначе будет возникать утечка информации, поскольку в полученной новой решетке самый низкий уровень (азЛ) предполагает доступ к информации каждого из отделов. Для того чтобы избежать подобной ситуации, необходимо дополнить новую решетку безопасности дополнительными уровнями безопасности, которые будут являться подрешетками новой решетки и имитировать работу каждого из отделов до слияния. Для этого необходимо ввести элементарное преобразование, которое будет дополнять любую решетку пустым элементом, или нулевым элементом. Возвращаясь к нашему примеру, решетка ценностей 1\ так и останется линейной, но минимальным элементом станет не °з, а & . Аналогичные рассуждения можно применить и к решетке . В результате получим решетки 1,и#=£? и £2иЯ=1?г (рисунок 3).

(а1.М)

(аЗ,ЬЗ)

Рисунок 2. Итоговая решетка безопасности объединенной организации.

Рисунок 3. Решетки¿, и 0 = и " 0 = .

В случае если решетка ценностей не будет являться линейной, то, о определению решетки, для любых двух элементов существует наибольшая ижняя грань, то есть в любой решетке есть наименьший элемент, то означает, что можно добавить пустой элемент, причем свойства решетки при ом не нарушатся. Пример такого дополнения изображен на рисунке 4. остроение единой решетки из двух полученных нами при помощи добавления устого элемента можно также осуществить при помощи декартова произведения 0 =$х1%

\ /

Рисунок 4. Пример дополнения нелинейной решетки нулевым элементом

При таком подходе результирующая решетка, диаграмма которой изображена ш рисунке 5, будет состоять из 16-ти элементов. При этом можно заметить, что 9 лементов решетки ¿°, образующие подрешетку, являются в точности решеткой, шаграмма которой представлена на рисунке 2.

ожно говорить о том, что решетка Ь является инструментом обеспечения информационного обмена между отделами и Ог , причем этот

информационный обмен будет безопасным, поскольку для каждого вида паимодействия предусмотрен специальный уровень безопасности. Кроме того, в ешетке Iе можно также выделить еще 2 подрешетки, каждая из которых будет шитировать работу отделов без информационного обмена. Диаграмма решетки 1° редставлена на рисунке 5.

Для построения мандатной политики безопасности двух отделов или организаций на основе мандатных политик безопасности каждого нз отделов и для >езопасного информационного обмена между ними необходимо выполнить ледующие действия:

1) Дополнить мандатную политику безопасности каждого из отделов пустым лементом, т.е. ввести метку безопасности, которая не дает никаких полномочий и

привилегий. При этом набор меток безопасности будет оставаться решеткой.

2) Получить декартово произведение двух решеток, т.е. перебрать все возможные пары меток безопасности из двух отделов, при этом в каждую пару входит по одной метке нз каждого отдела. Поскольку декартово произведение решеток есть

Рисунок 5. Решетка ¿" , результат декартова произведения решеток £? и

решетка, то на полученном множестве пар вершин можно построить мандатную политику безопасности, при этом полученная политика будет выполнять как безопасный информационный обмен внутри каждого из отделов (благодаря пустым меткам), так и безопасный информационный обмен между двумя отделами.

3) Построит!» отношение частичного порядка между парами меток по следующему правилу: Vаи а2 е Ьи Ъ2 е пара (а,, Ы) > (а2, Ь:) о а, >а? и Ь,>Ь:., где Ь,, -множества меток в первом и втором отделах соответственно (решетки отделов А и /)>). В этом случае сохраняется отношение частичного порядка для подрешеток, соответствующих решеткам I/ и Ь;.

4) Назначить пользователям и ресурсам необходимые метки. При этом, если документ не участвует в информационном обмене между отделами, одна из меток, образующих пару будет являться пустой. Если же документ участвует в информационном обмене, то пустая метка не попадет в пару меток для данного документа.

Задача совмещения двух решеток ценностей осложняется необходимостью совпадения меток вершин решеток. Алгебраического изоморфизма соответствующих решеток недостаточно для того, чтобы безболезненно соединить две политики безопасности. Рассмотрим простой пример. Пусть имеется две линейных решетки ценностей, одна из решеток ¿1- {А'<3<ТЬ'}, другая решетка Ь2={$<Т8<$Т5}. С точки зрения формального алгебраического подхода обе решетки изоморфны, так как представляют собой линейное упорядоченное множество из трех элементов. Формальное сопоставление по этому признак}' приводит к тому, что пользователь с уровнем доступа 6' может читать документы уровня 75 из второй организации, тогда как в своей организации ему такие документы недоступны.

Теорема 2.1. Если решетка ценностей /., изоморфна некоторой подрешетке решетки ценностей и совпадают соответствующие метки вершин, то обшая политика безопасности может быть построена на основе решетки Ь=Л:.

Введем два понятия необходимых для построения общей решетки ценностей ух организаций. дЬ — максимальная' общая подрешетка Ц'и То есть одрешетка, которая входит в Ь: и ¿; с совпадающими метками вершин, ОЬ -инимальная решетка включающая в себя I., и как подрешеткн с сохранением еток вершин. Задача поиска общей решетки ценностей сводится к поиску ОЬ. В ореме 2.1 по сути рассматривается случай когда

Теорема 2.2. Если <Л-- 0, то В1=(1,и{0})х(12и{0}).

Теорема 2.3. Если сИ^О, то БЬ с (Ь,и{0})х(Ь:и{0}), то есть меньше чем рямое произведение решеток.

Методика построения общей политики безопасности в этом случае будет меть вид:

1. Дополнить мандатную политику безопасности каждого из отделов пустым лементом, т.е. ввести метку безопасности, которая не дает никаких полномочий и ривилепш. При этом набор меток безопасности будет оставаться решеткой.

2. Получить декартово произведение двух решеток, т.е. перебрать все озможные пары меток безопасности из двух отделов, при этом в каждую пару ходит по одной метке из каждого отдела. Поскольку декартово произведение ешеток есть решетка, то на полученном множестве пар вершин можно построить тндатную политику безопасности, при этом полученная политика будет ыполнять как безопасный информационный обмен внутри каждого из отделов благодаря пустым меткам), так и безопасный информационный обмен между вумя отделами.

3. Объединить те метки безопасности, которые были получены как пары ■овпадающих меток. Например, если а е а е 1?, то в результате прямого роизведешы будут получены три метки (а, а), (а, {0}) и ({0}, а), каждая из которых федоставляет доступ к одним и тем же документам, поэтому данные метки можно )бъед1ишть в одну.

4. Построить отношение частичного порядка между парами меток по ледующему правилу: V а ¡, а; е I;, Ь,, Ь; е Ь3 пара (а,, ЬО > (съ, Ь2) <=> а1 > а2 и Ь, >

где I/, Ьг - множества меток в первом и втором отделах соответственно решетки отделов Л и Д>). В этом случае сохраняется отношение частичного орядка для подрешеток, соответствующих решеткам I; и Ь:.

5. Назначить пользователям и ресурсам необходимые метки. При этом, если окумент не участвует в информационном обмене между отделами, одна из меток, ■»бразующих пару будет являться пустой. Если же документ участвует в шформационном обмене, то пустая метка не попадет в пару меток для данного документа.

Третья глава посвящена разработке метода непротиворечивого совмещения ролевой и мандатной моделей разграничения доступа. Будем считать, что ролевая политика безопасности определена некоторой иерархией ролей, задаваемой ориентированным графом Т. Пусть в этой же организации присутствует требование выполнения мандатной политики безопасности с решеткой ценностей Ь. Определим достаточные условия непротиворечивого совмещения этих двух политик

безопасности и построим методику построения соответствующей интегрированной политики безопасности. Для удобства решетку ценностей также будем изображать в виде ориентированного графа. Решеточным графом будем называть ориентированный граф, вершины которого образуют решетку. При этом отношение порядка задается отношением доминирования на множестве вершин графа: если 3 р(ги г:), то Г! > г2. Наименьшая верхняя грань хирО-/, г:) определяется как ближайшая вершина, доминирующая над г, и г:. Наибольшая нижняя грань т/(г,, г2) определяется как ближайшая вершина, подчиненная вершинам п и г3.

Теорема 3.1. Пусть в компьютерной системе действует ролевая политика безопасности на основе дерева ролей Г и мандатная политика безопасности на основе решетки Ь, тогда в компьютерной системе может быть построена непротиворечивая политика безопасности, включающая в себя требования обеих политик безопасности.

Допустимым преобразованием ориентированного графа ролей (7 назовем следующий процесс: если в б имеется более одного стока, то добавляется роль, не обладающая никакими привилегиям!, и дуги, ведущие от стоков графа б к новой роли.

Теорема 3.2. Если граф иерархии ролей является решеточным, либо его можно с помощью допустимого преобразования расширить до решеточного, то ролевая политика безопасности допускает непротиворечивое совмещение с мандатной политикой безопасности.

Для построения мандатной политики безопасности на основе объединения ролевой и мандатной политик безопасности двух организаций необходимо выполнить следующие действия:

1) Построить ролевой граф для ролевой политики безопасности и проверить, является ли этот граф решеточным. Для этого необходимо выделить множество всех ролей и проверить отношение частичного порядка на этом множестве. Если ролевой граф не является решеточным, то необходимо использовать допустимое преобразование для получения решеточного графа. Если использование допустимого преобразования не приводит к получению решеточного графа, то построение мандатной политики безопасности, включающей в себя требования обоих политик невозможно.

2) Получить декартово произведение решеточного графа, полученного из ролевого при помощи допустимого преобразования и решетки мандатной политики безопасности, т.е. перебрать все возможные пары меток безопасности мандатной политики и ролей, при этом в каждую пару входит одна метка мандатной политики и одна роль. Поскольку декартово произведение решеток есть решетка, то на полученЕгом множестве пар вершин можно построить мандатную политику безопасности, при этом полученная политика будет удовлетворять требованиям обеих политик.

3) Построить отношение частичного порядка между парами меток и ролей по следующему правилу: V г;, гк е II и 1ь 1Ш е Е (1Ь 1/) > (г,:, 1ш) <=} г, > гк и I, > 1т.

4) Назначить пользователям и ресурсам необходимые метки.

В приведенной методике необходимо проверять является ли граф шеточным. В ходе работы общих условий решеточности графа выявить не алось. При этом в работе доказано несколько теорем, позволяющих при феделенных условиях определить является граф решеточным или нет.

В качестве иллюстрации предложенного алгоритма объединим ролевую литику безопасности, представленную на рисунке 6, и мандатную политику зопасности, построенную на линейном множестве из трех элементов. Ролевая литшеа задается шестью ролями, одна из которых (г0) является «пустой», то есть 1 обладающей какими-либо привилегиями и подчиненной любой другой роли, чевидно, что граф, представленный на рисунке 6, является решеточным. Пусть пдатная политика безопасности задается решеткой Ь, элементами которой ляются узлы /;, ¡.и причем отношение порядка задано таким образом, что > Ь 13. Согласно теореме 3.2, возможно непротиворечивое совмещение заданных лнтик безопасности. Для этого необходимо построить решетку А */., являющуюся картавым произведением решеток К н Ь, где К - решетка, определяемая шеточным графом, представленным на рисунке 6. Элементами решетки ляются пары (п, /,), при / = 0,...,5 и /' = 1,...,3. При этом отношение порядка деется следующим образом: (п, I) > (п, 1т), если г, > п- и l¡ > /,„. Заметим, что узлы и п и г;, гз и /V, г3 и Г;, попарно несравнимы. Решеточный граф, изоморфный ешетке ¡1*1, представлен на рисунке 7.

П

к к /з

Рисунок 6. Ролевая политика безопасности

Рисунок 7. Совмещение ролевой и мандатной политик безопасности

На полученной решетке можно задать мандатную политику безопасности. В свою очередь, на полученном ориентированном графе (см. рис. 7) можно построить ролевую политику безопасности.

Совмещение ролевой и мандатной политик безопасности возможно не всегда. Если вершины ролевого графа не образуют решетку, или невозможно с помощью допустимого преобразования получить решеточный граф из ролевого, то результат прямого произведения не будет являться решеткой. Это означает что из результата произведения нельзя получить мандатную политику безопасности.

Таким образом задача о возможности объединения ролевой и мандатной политик безопасности сильно связанна с задачей проверки решеточности графа ролей. В диссертации доказано несколько теорем, дающих достаточные условия для проверки ориентированного графа на решеточность.

Четвертая глава посвящена разработке модели ролевой политики безопасности в соответствии со стандартом СТО БР ИББС-1.0-2008. Одним из требований данного стандарта является наличие кроме исполнительских и административных ролей еще и контролирующих ролей. Кроме того смысл административных ролей существенно отличается от известных моделей ролевого разфаничения доступа.

Для введения в модель контролирующих функций необходимо множество ролей К, которые в дальнейшем будем называть исполнительскими, дополнить множеством административных ролей АСИ, и множеством контролирующих ролей СЛ. Прн этом

ИпЛСК=0, АСЯпСК-0, КпСК=0. Также введем дополнительные множества: АСР - множество прав для административных ролей, СР - множество прав для контролирующих ролей. Множества Р, СР и АСР также не имеют общих элементов. ЛСК осуществляют администрирование контролирующих ролей.

я каждого права р е Р должно быть определено множество контролирующих ав, обладание которыми необходимо для контроля над р. Введем ответствующее отображение

Control_right: Р 2СР и этом Vp е Р Control_right(p)^0.

оке для любой роли должен существовать набор, контролирующих ролей, уществляющих контроль над ней. Введем отображение

Control_RoIe: R 2CR, и этом РЛ(г)={рц,ря,...,pi„}=>PA(ControI_Role(ij)=uComroIj-ight(pij).

В системе выполняются функции контроля, если в любой момент времени для бого р е Р существует {ср,,,ср0_,...,срт} с CP такое, что {cp,hcp,ср,„}с

ntroijight(p), а для любой reR существует {сгц.сгк.....сгы,} с CR такие, что

ги.сгц,..., cf'ijnJ с Control_Role(r).

Аналогично, введем отображение Admin jight: CP 2ЛСР, при этом Vp е CP min_right(p)^0.

Введем отображение Aclmin Role: CR 2ia , при этом

РА(сг)={срц, ср,2,..., cpu,}=>PA(Admin_Role(ar))=~{apI, ар;,..., ар,,,}. В системе выполняются функции администрирования, если в любой момент еменн для любого ср е CP существует {ap,i,ap,2,...,apm} с АСР такое, что pu,api:,...,api„} с Admin right(cp), а для любой cr е CR существует {агц,агц,...,ап,„} ACR такие, что {arn,arr., ■■■,ar!w} c:Admin_Role(cv).

Аналогичным образом можно выделить в системе роли разработки и провождения.

еорема 4.1. Построенная модель удовлетворяет требованиям стандарта СТО БР ББС-1.0-2008.

ля построения ролевой политики безопасности в соответствии со стандартом СТО Р ИББС-1.0-2008 необходимо выполнить следующие действия: ) Разделить все права в системе на исполнительские, административные, онтролирующие, прн этом одно право может принадлежать только одному ножеству, т.е. множества не пересекаются.

) Для каждого исполнительского права необходимо определить набор онтролирующих прав, т.е. прав, которыми должен обладать контролер, чтобы олностью контролировать использование этого права.

) Для каждой исполнительской роли, оперирующей набором исполнительских рав, необходимо определить набор контролирующих ролей, т.е. набор ролей, ■аждая из которых обладает полным набором прав для контроля над (сполнительскнми правами контролируемой роли.

) Для каждого контролирующего права необходимо определить набор дминистратнвных прав, т.е. прав, которыми должен обладать администратор, гтобы полностью предоставить контролирующей роли это право. ) Для каждой контролирующей роли, оперирующей набором контролирующих рав, необходимо определить набор административных ролей, т.е. набор ролей,

каждая из которых обладает полным набором прав для предоставления пра контролирующей роли.

6) Также необходимо выделить множества прав и ролей сопровождения I разработки, которые также не должны иметь общих элементов с множествам! исполнительских, контролирующих и административных ролей.

Для наглядности построим модель политики безопасности на основаши введенных определений. Пусть задана иерархия исполнительских ролей, а такж иерархия административных и контролирующих ролей.

Рис.9. Пример иерархии исполнительских ролей.

Управляющий DIR является максимальной ролью в иерархии, минимальной ролью является служащий Е. В каждом направлешш деятельности определяется максимальная роль исполнительного директора ТМ, минимальной ролью направления является операционист О.

Рис.10. Пример иерархии контролирующих ролей.

Каждый из контролеров направления С1, С2 обеспечивают функции контроля за исполнителями начиная с начальников отделов, при этом функции контроля для С1

-'2 не пересекаются, т.е. С1 не может контролировать направление деятельности

Старший администратор А выполняет административные функции для 8С и С, нинистраторы А1 и А2 выполняют административные функции по направлениям цельности.

Рис. 11. Пример иерархии административных ролей.

Ниже приведены таблицы, в которых описано соотнонгаше между нтролирующимн ролями и множествами сопоставленных им исполнительских лей, а также между адмшшстраторскими правами и множествами поставленных им контролирующих ролей. _

Контролирующая роль Множество ролей

С1 [Б1, ТМ1)

С2 ТМ2)

С ГГМ1ЛМ11

С ГТМ2,ТМ21

Таблица 1. Соотношение контролирующих ролей с исполнительскими ролями

Административная роль Множество ролей

А1 ГС1.С)

А2 ГС2.С)

А ГС.С1

Таблица 2. Соотношение административных ролей с контролирующими ролями В заключении приведены основные результаты и выводы.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

Предложен алгоритм построения общей мандатной политики безопасности зганизации с отсутствием утечек информации, непротиворечиво включающей в бя все мандатные политики безопасности отделов, в случае объединения есколькнх организаций в единую корпорацию. Алгоритм основан на декартовом ронзведснии решеток, задающих мандатные политики безопасности организаций. . Доказана возможность построения в отдельно взятой компьютерной системе епротиворечивоп политики безопасности, включающей в себя ролевое и андатное разграничения доступа на основе существующей ролевой или мандатной

политики безопасности. Предложен алгоритм совмещения ролевой и мандатпс политик безопасности, основой которого является декартово произведение решето

3. Показано, что объединение модель, объединяющая мандатную и ролеву политики безопасности может быть сведена к чисто мандатной палитш безопасности.

4. Сформулирована модель ролевой политики безопасности в соответствии с стандартом СТО БР ИББС-1.0-2008, построены отображения для введения систему администрирующих и контролирующих ролей. Показано соответств! построенной модели положениям стандарта СТО БР ИББС-1.0-2008.

Основное содержание диссертации опубликовано в следующих работах: В научных журналах, рекомендованных ВАК:

1. Ракш/кий Ю.С., Белим C.B. Моделирование ролевой политики безопасности соответстви со стандартом СТО БР ИББС-1.0-2008.//Проблемы информационно безопасности. Компьютерные системы., 2009., вып. 3. С.36-40.

2. Белим C.B., Богаченко Н.Ф., Ракицкий Ю.С. Теоретико-графовый подход проблеме совмещения ролевой и мандатной политик безопасности. //Проблем информационной безопасности. Компьютерные системы., 2010., вып. 2. С.9-17.

В других изданиях:

3. Ракицкий Ю.С., Белим C.B. Моделирование ролевой политики безопасности соответствн со стандартом СТО БР ИББС-1.0-2008. // Математические структуры i моделирование., 2009., №19. С.108-113

4. Белим C.B., Богаченко Н.Ф., Ракицкий Ю.С. Совсместная реализация мандатной и ролевого разграниченя доступа к информации в компьютерных системах / Математические структуры и моделирование., 2009., №20. С.141-152

5. Белим C.B., Ракицкий Ю.С. Объединение мандалшх политик безопасности / Математические структуры и моделирование., 2010., №21. С.139-143

6. Ракицкий Ю.С., Белим C.B. Моделирование ролевой политики безопасности i соответстви со стандартом СТО БР ИББС-1.0-2008. // Актуальные проблемь безопасности информационных технологий: сборник материалов II Международной научно-практической конференции, Сибирский государственный аэрокосмический университет, 2009 г., Красноярск, 2009., С.95-98

7. Ракицкий Ю.С. Ролевая политика безопасности с функциями контроля А Информационные технологоии автоматизации и управления: материалы межвузовской научно-практической конференции, 20-24 апреля 2009 г., Омск: Изд-во ОмГТУ, 2009., С.170-171.

8. Ракицкий Ю.С., Белим C.B. Возможность совместной реализации ролевой и мандатной политик безопасности // Решетневские чтения: Материалы XIII Международной научно-практической конференции, 4.2, 10 - 12 ноября 2009 г., Красносярск.: Сиб. гос. аэрокосмич. ун-т., 2009., С.573-574

9. Белим C.B., Богаченко Н.Ф., Ракицкий Ю.С. Совмещение ролевой и мандатной политик безопасности // Проблемы обработки и защиты информации. Книга 1. Модели политик безопасности компьютерных систем. Коллективная монография /

од обшей ред. д.ф.-м.н. С'.В. Белима. - Омск: ООО «Полиграфический центр КАН», 310., С.117-132

). Белим C.B., Ракицкий Ю.С. Объединение мандатных политик безопасности // роблемы обработки и защиты информации. Книга 1. Модели политик безо-эсности компьютерных систем. Коллективная монография /под общей ред. д.ф.-.н. C.B. Белима. - Омск: ООО «Полиграфический центр КАН», 2010., С.133-139

писок цитируемой литературы

1. Varadharajan V. A multilevel security police for networks. - INFOCOM 1990: 710-718.

2. Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Учебное пособие. - М.: Изд. Моск.гос. ин-та электроники и математики, 1998. - 184 с.

3. Зсгжда Д.П., Ивашко A.M. Основы безопасности информационных систем,-М.: Горячая линия - Телеком, 2000. - 452 с.

4. Гандамакин H.A. Разграничение доступа к информации в компьютерных системах: Учеб. пособие для вузов. - Екатеринбург.: Издательство Уральского Университета, 2003. - 328 с.

5. Грушо A.A., Тимошша Е.Е. Теоретические основы защиты информации. М.: Яхтсмен, 1996.- 192 с.

6. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности . - М.: изд. Молгачева C.B., 2001. - 352 с.

7. П.Н. Девянии, О.О. Михальскии, Д.И. Правиков, А.Ю. Щербаков Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. - М.: Радио и Связь, 2000. - 192 с.

8. Bell L. Е., LaPaduIa L.J. Secure Computer System: A Mathematical Model, MITRE Corp. Technical Report 2547, V.U. 31 May, 1973.

9. McLean J., John D. A Comment on the "Basic Security Theorem" of Bell and LaPaduIa /7 Information Processing Letters. - 1985. - Vol.20, № 2, Feb.

10. Терьо M. Ньюмен A. Oracle. Руководство по безопасности -M. Издательство «ЛОРИ», 2004. - 560 с.

Подписано в печать. Формат бумаги 69x86 1/16 Печ. л. 1,1. Тираж 100 экз. Заказ 086

Издательство Ом ГУ 644077, г.Омск, пр. Мира 55-а, госуниверситет

Оглавление автор диссертации — кандидата технических наук Ракицкий, Юрий Сергеевич

ВВЕДЕНИЕ.

ГЛАВА 1. МОДЕЛИ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ.

1.1. Сущности компьютерных систем.

1.2. Политика безопасности.

1.3. Виды политик безопасности.

1.4. Ролевая политика безопасности.

1.5. Формальная спецификация и разновидности ролевых моделей

1.6. Иерархическая система ролей.

1.7. Взаимоисключающие роли (статическое распределение обязанностей)

1.8. Взаимоисключающие роли (динамическое распределение обязанностей).Ошибка! Закладка не определена.

1.9. Количественные ограничения по ролям.

1.10. Группирование ролей и полномочий.

1.11. Мандатная политика безопасности.

ГЛАВА 2. ПОСТРОЕНИЕ МАНДАТНОЙ ПОЛИТИКИ ДВУХ ОРГАНИЗАЦИЙ.

2.1. Формулировка проблемы.

2.2. Простейшее решение задачи.

2.3. Методика построения мандатной политики безопасности на основе двух решеток ценностей без совпадающих меток.

2.4. Другие случаи совмещения решеток ценностей.

2.5. Методика построения общей политики безопасности на основе двух произвольных решеток.

ГЛАВА 3. СОВМЕЩЕНИЕ РОЛЕВОЙ И МАНДАТНОЙ ПОЛИТИК БЕЗОПАСНОСТИ.

3.1. Формулировка проблемы.

3.2. Ролевая политика безопасности.

3.3. Мандатная политика безопасности.

3.4. Древовидная иерархия ролей.

3.5. Произвольная иерархия ролей.

3.6. Пример совмещения ролевой и мандатной политик безопасности.

3.7. Методика реализации политики безопасности с ролевым и мандатным разграничением доступа.

ГЛАВА 4. МОДЕЛИРОВАНИЕ РОЛЕВОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ В СООТВЕТСТВИИ СО СТАНДАРТОМ СТО БР ИББС-1.0

4.1. Введение.

4.2. Описание политики информационной безопасности в стандарте.

СТО БР ИББС-1.0

4.3. Формализация политики безопасности.

4.4. Соответствие модели стандарту СТО БР ИББС-1.0-2008.

4.5. Пример построения модели.

4.6. Методика построения ролевой политики безопасности в соответствии со стандартом СТО БР ИББС-1.0-2008.

Введение 2011 год, диссертация по информатике, вычислительной технике и управлению, Ракицкий, Юрий Сергеевич

Актуальность проблемы. Моделирование процессов передачи, хранения и защиты информации приобрело существенное значение с развитием вычислительной техники. При этом большое количество алгоритмов обработки и защиты данных было унаследовано из бумажного документооборота, что позволяет применять соответствующие им модели в компьютерных системах.

Современные системы обработки информации представляют собой совмещение нескольких специализированных информационных сервисов. Для каждого типа информационных сервисов разработана своя математическая модель, которая не применима напрямую к составным системам. Поэтому задача моделирования составных компьютерных систем весьма актуальна.

Набор ограничений на преобразования данных различными пользователями принято называть политикой безопасности. Математические модели политики безопасности получили название моделей безопасности. Для каждого из сервисов существует своя модель безопасности. Объединение нескольких сервисов в одну систему без изменения моделей безопасности может приводить к снижению работоспособности системы.

Во многих системах применяются ролевые и мандатные политики безопасности. Модель ролевой политики безопасности рассматривалась во многих работах [32,46,89]. Наиболее строгое построение было получено в работах [17,22,62]. Ролевую политику безопасности принято определять с помощью ролевого графа [24]. Все современные базы данных используют концепцию ролей для выдачи полномочий пользователям, реализуя таким образом ролевое разграничение доступа. Современные модели мандатных политик безопасности строятся на основе шкалы ценностей информации, задаваемых алгебраической решеткой [65,82].

Попытки предоставления совмещенных сервисов разграничения доступа (мандатного и ролевого) встроены в ряд систем управления базами данных. Так, например, в широко распространенной СУБД Oracle [56] уже в версии 7 было разработано дополнительное инструментальное средство Trusted Oracle7, которое позволяло администратору кроме ролей вводить также и метки безопасности. Основным требованием мандатного разграничения доступа в данном приложении было доминирование метки пользователя над меткой строки. Начиная с версии СУБД Огас1е8 этот продукт получил название Oracle Label Security. Однако оба эти продукта не получили широкой популярности в силу двух причин. Во-первых согласование настроек двух алгоритмов приводит к большому количеству трудностей при администрировании. Во-вторых остается не очевидным сама возможность непротиворечивого сосуществования двух принципов разграничения доступа в одной компьютерной системе.

Аналогичная задача возникает при моделировании объединения различный предприятий в единую организацию, если до объединения каждое из предприятий использовало свою политику безопасности. При этом возникает задача объединения двух мандатных политик безопасности.

Целью диссертационной работы является разработка методики построения политики безопасности структурированного предприятия на основе моделей ролевого и мандатного разграничения доступа для случая объединения политик безопасности двух организаций, а также рекомендации по построению ролевой модели безопасности для учета требований стандарта Банка России по информационной безопасности СТО БР ИББС-1.0-2008 «Обеспечение , информационной безопасности в организациях банковской системы Российской Федерации».

Методы исследования. При решении поставленных задач использовались математические модели, теория алгебраических решеток и теория графов.

Научная новизна результатов исследований.

1. Впервые проведено расширение ролевой политики безопасности с учетом требований стандарта Банка России по информационной безопасности СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности в организациях банковской системы Российской Федерации». Выработаны рекомендации по формальному построению политики безопасности.

2. Впервые проведено моделирование политики безопасности, включающей ролевое и мандатное разграничение доступа. На основе модели разработана методика создания комплексной политики безопасности.

3. Предложен подход к объединению мандатных политик безопасности двух компьютерных систем с различными решетками ценностей.

Достоверность результатов работы. Научные результаты диссертационной работы получены с использованием методов хорошо зарекомендовавших себя при моделировании политик безопасности компьютерных систем. Проведено сравнение результатов моделирования с организационными и программными средствами защиты информации.

Практическая ценность заключается в получении методик построения политик безопасности предприятий и компьютерных систем для предотвращения утечки информации.

Основные положения, выносимые на защиту:

1. Методика построения ролевой политики безопасности с учетом административных и контролирующих ролей.

2. Методика построения непротиворечивой модели безопасности, включающей в себя ролевое и мандатное разграничение доступа.

3. Алгоритм построения мандатной модели безопасности эквивалентной модели безопасности, включающей ролевое и мандатное разделение доступа.

4. Алгоритм построения непротиворечивой модели безопасности, включающей в себя две мандатные политики безопасности с различными решетками ценностей.

Апробация работы. Основные результаты диссертации докладывались и обсуждались на следующих межвузовских, международных, всероссийских конференциях: Межвузовская научно-практическая конференция "Информационные технологии и автоматизация управления" (Омск, 2009); III международная научно-практическая конференция «Актуальные проблемы безопасности информационных технологий» (Красноярск, 2009), XIII международная научная конференция "Решетневские чтения" (Красноярск, 2009).

Публикации. По теме диссертации опубликованы 10 научных работ, в том числе две статьи в журналах, рекомендуемых ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 97 страниц основного текста, 15 рисунков и 2 таблицы. Список литературы включает 92 наименования.

Заключение диссертация на тему "Методика построения ролевой и мандатной политики безопасности в структурированных организациях и в соответствии со стандартом СТО БР ИББС-1.0-2008"

ЗАКЛЮЧЕНИЕ

1. Предложен алгоритм построения общей мандатной политики безопасности организации с отсутствием утечек информации, непротиворечиво включающей в себя все мандатные политики безопасности отделов, в случае объединения нескольких организаций в единую корпорацию. Алгоритм основан на декартовом произведении решеток, задающих мандатные политики безопасности организаций.

2. Доказана возможность построения в отдельно взятой компьютерной системе непротиворечивой политики безопасности, включающей в себя ролевое и мандатное разграничения доступа на основе существующей ролевой или мандатной политики безопасности. Предложен алгоритм совмещения ролевой и мандатной политик безопасности, основой которого является декартово произведение решеток.

3. Показано, что построенная модель, объединяющая мандатную и ролевую политики безопасности может быть сведена к чисто мандатной политике безопасности.

4. Сформулирована модель ролевой политики безопасности в соответствии со стандартом СТО БР ИББС-1.0-2008, построены отображения для введения в систему администрирующих и контролирующих ролей. Показано соответствие построенной модели положениям стандарта СТО БР ИББС-1.0-2008.

Библиография Ракицкий, Юрий Сергеевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. ГОСТ 50.922-96. Стандартизованные термины и определения в области защиты информации.

2. ГОСТ Р 50992-96. Защита информации. Основные термины и определения.

3. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

4. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. М. : Изд-во стандартов, 2002.

5. Руководящий документ ГТК РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации. М.: Воениздат, 1992.

6. Руководящий документ ГТК РФ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Воениздат, 1992.

7. Руководящий документ ГТК РФ. Концепция защиты средств вычислительной техники и автоматизированных систем отнесанкционированного доступа к информации. М.: Воениздат, 1992.

8. Руководящий документ ГТК РФ. Руководство по разработке профилей защиты и заданий по безопасности. М.: Воениздат, 2003.

9. Руководящий документ ГТК РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Воениздат, 1992.

10. Алгоритмы: построение и анализ. / Кормен Т. и др. М.: МЦНМО, 2000. 960 с.

11. Анин Б.Ю. Защита компьютерной информации. СПб.:БХВ Санкт-Петербург, 2000. 376 с.

12. Багаев, М. А. Методические основы управления доступом пользователей к информационным ресурсам автоматизированных систем // Информация и безопасность, 2003, № 2. с. 156-158.

13. Баранский В.А. Введение в общую алгебру и ее приложения: Учебное пособие. Екатеринбург: УрГУ, 1998.

14. Безбогов A.A., Яковлев A.B., Мартемьянов Ю.Ф. Безопасность операционных систем. М.: Машиностроение-1, 2007. 220 с.

15. Биркгоф Г. Теория решеток: Перевод с английского. М.: Наука. Главная редакция физико-математической литературы, 1984. 586 с.

16. Брагг Р. Система безопасности Windows 2000. М.: Изд. дом «Вильяме», 2001. 592 с.

17. Гайдамакин H.A. Разграничение доступа к информации в компьютерных системах. Е.: Издательство Уральского Университета, 2003. 328 с.

18. Галатенко В.А Стандарты информационной безопасности: курс лекций: учебное пособие. Второе издание. М.: ИНТУИТ.РУ «Итнернет-университет информационных технологий», 2006. 264 с.

19. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.:Кн.1. М.: Энергоатомиздат, 1994. 400 с.

20. Гордеев A.B., Молчанов А.Ю. Системное програмное обеспечение. Учебник. СПб.: Питер, 2001. 736 с.

21. Гретцер Г. Общая теория решеток. М.: Мир, 1981.

22. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. М. Яхтсмен, 1996. 192с.

23. Девянин П.Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. М.: Издательский центр «Академия», 2005. 144 с.

24. Девянин ПЛ., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. М.: Радио и связь, 2000. 192 с.

25. Дейтел Г. Введение в операционные системы. Том 1. М.: Мир, 1987. 216 с.

26. Дидюк Ю.Е., Дубровин A.C., Макаров О.Ю., Мещеряков Ю.А., Марков A.B., Рогозин Е.А. Основные этапы и задачи проектирования систем защиты информации в автоматизированных системах // Телекоммуникации. 2003. № 2. 29-33.

27. Духан Е.И., Синадский Н.И., Хорьков Д.А. Применение программно-аппаратных средств защиты компьютерной информации. Екатиринбург: УГТУ-УПИ, 2008. 182 с.

28. Емелин И.В., Эльгиян Р.В. Обеспечение многоуровневой защиты информации в информационных и вычислительных системах. М.: ВНИИМИ, 1979.29.3авгородний В.И. Комплексная защита информации в компьютерных системах: Учеб. пособие. М.: Логос, 2001. 264 с.

29. ЗЗ.Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия Телеком, 2000. 452 с.

30. Коберниченко A.B. Недокументированные возможности Windows NT. М.: Нолидж, 1998. 287 с.

31. Козленко Л. Информационная безопасность в современных системах управления базами данных // КомпьютерПресс. 2004. Вып.З. URL: http:// www.compress.ru/Article.aspx?id=10099 (дата обращения 18.03.2010)

32. Кристофидес Н. Теория графов. Алгоритмический подход. М.: Мир, 1978. 432 с.

33. Куприянов А.И., Сахаров A.B., Швецов В. А. Основы защиты информации: учеб. пособие для студ. высш. уч. Заведений. М.: Академия, 2006: 256 с.

34. Майника Э. Алгоритмы оптимизации на сетях и графах. М.: Мир, 1981. 323 с.

35. Математические основы информационной безопасности. Пособие. / Баранов А.П.и др. Орел: ВИПС, 1997. 354 с.

36. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика; Электроинформ, 1997. 368 с.

37. Новик И.Б. Абдулов А.Ш. Введение в информационный мир. М.: Наука, 1991.228 с.

38. Новиков Ф.А. Дискретная математика для программистов. Спб.: Питер, 2001. 304 с.

39. Носов В.А. Основы теории алгоритмов и анализа их сложности. Курс лекций. М.: МГУ, 1992. 140 с.

40. Основы информационной безопасности. Учебное пособие для вузов. / Белов Е.Б. и др. М.: Горямая линия-Телеком, 2006. 554 с.

41. Основы организационного обеспечения информационной безопасности объектов информатизации. / Семкин С.Н. и др. М.: Гелиос АРВ, 2005. 187 с.

42. Проблемы обработки и защиты информации. Книга 1. Модели политик безопасности компьютерных систем. Коллективная монография / Под обей ред. д.ф.-м.н. C.B. Белима. Омск: ООО «Полиграфический центр КАН», 2010. 164 с.

43. Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Учеб-ное пособие. М.: Изд. Моск.гос. ин-та электроники и математики, 1998. 184 с.

44. Проскурин В.Г., Крутов C.B., Мацкевич И.В. Защита в операционных системах: Учебное пособие. М.: Радио и связь, 2000. 168 с.

45. Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000. Мастер-класс. Пер. сангл. 4-е изд. М.: Издательско-торговый дом «Русская редакция», 2005. 992 с.

46. Свами М., Тхуласираман К. Графы, сети и алгоритмы. М. : Мир, 1984. 455 с51 .Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. 320 с.

47. Смирнов С. Н. Безопасность систем баз данных. М.: Гелиос АРВ, 2007. 352 с

48. Станек У.P. Microsoft Windows ХР Professional. Справочник администратора, пер. с англ. 2 изд. М.: Издательско-торговый дом «Русская редакция», 2003. 448 с.

49. Теоретические основы компьютерной безопасности: Учебное пособие для вузов / Девянин П.Н. и др. М.: Радио и связь, 2001. 192 с.

50. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.: Яхтсмен, 1996. 298 с.

51. Терьо М., Ньюмен A. Oracle. Руководство по безопасности. М.: Издательство «ЛОРИ», 2004. 560 с.

52. Уолкер Б. Дж. Безопасность ЭВМ и организация их защиты, перевод с англ. М. : Связь, 1980.

53. Хоффман Л. Современные методы защиты информации: Пер с англ./ Под ред. В.А. Герасименко. М.: Сов. Радио, 1980. 264 с.

54. Цирлов В. Л. Основы информационной безопасности. Краткий курс. М.: Феникс, 2008. 256 с.бО.Чипига А. Ф. Информационная безопасность автоматизированных систем. М.: Гелиос АРВ, 2010. 336 с.

55. Шаньгин В.Ф. Защита компыотернй информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. 544 с.

56. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника, 2004. 384 с.

57. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности М.: Молгачева С. В., 2001. 352 с.

58. A guide to understanding discretionary access control in trusted systems. National Computer Security Center. NCSC-TG-003 Version 1, September 1987.

59. Bell L.E., LaPadula L.J. Secure Computer system: A Mathematical Model MITRE Corp. Technical Report 2547, V.U. 31 May, 1973.

60. Computer Security Requirements. Guidence for Applying the Department of Defense Trusted Computer System Evaluation Criteria in Specific Environments, DoD, 1985

61. Database Security. / Castano S. and others. Addison Wesley Publishing Company, ACM Press, 1995. 456 p.

62. Denning D. An Intrusion Detection Model, IEEE Transactions on Software Engineering, v.SE-13, № 1. 1987. p. 222-232.

63. Department of Defense Trusted Computer System Evaluation Criteria, TCSEC, DoD 5200.28-STD, December 26, 1985

64. Federal Criteria for Information Technology Security. National Institute of Standards and Teclmology & National Security Agency. Version 1.0, December 1992.

65. Ferraiolo D., Cugini J., Kuhn R. Role-based access control: Features and motivations. In Annual Computer Security Applications Conference. IEEE Computer Society Press, 1995.

66. Ferraiolo D., Kuhn R. Role-based access control. In 15th NIST-NCSC National Computer Security Conference, p. 554-563, Baltimore MD, October 13-16, 1992.

67. Frank J., Bishop M. Extending the Take-Grant protection system. Technical report. Department of Computer science, Univercity of California in Devis, 1996. 14 p.

68. Goguen J.A., Meseguer J. Securiti Policies and Securiti Models. // 1982 IEEE Symposium on Security and Privacy, 1982. p. 1-26.

69. Guidance for applying the Department of Defense Trusted Computer System Evaluation Criteria in specific environment. US Department of Defense. CSC-STD-003-85, June 1985.

70. Guide to Understanding configuration management in trusted systems. National Computer Security Center. NCSC-TG-006-88, March 1988.

71. Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. Department of Trade and Industry, London, 1991.

72. J.A. Goguen, J. Meseguer, Securiti Policies and Securiti Models, Proceedings of the 1982 Sympsium

73. Lendwehr C.E., Heitmeyer C.L., McLean J. A security models for military message systems. // ACM transactions of computer systems, 1984.

74. Lipton R.J., Snayder L. A linear time algorithm for deciding subject security // Journal of ACM (Addison-Wesley). N.3, 1977. p.455-464

75. McLean J. The Specification and Modeling of Computer Security. // Computer, 23(1), 1990. p. 9-16

76. McLean J., John D. A Comment on the "Basic Security Theorem" of Bell and LaPadula // Information Processing Letters. 1985. Vol. 20, №2, Feb.

77. Microsoft Corparation Microsoft Windows XP Professional. Учебный курс MCSA/MCSE. Пер. с англ. 2-е изд. Испр. М.: Издательско-торговый дом «Русская редакция», 2003. 1008 с.

78. Microsoft Developer Network. URL: http://msdn.microsoft.com (дата обращения 10.10.2010)

79. Nyanchama М., Osborn S.L. Access rights administration in role-based security systems // Database security VIII: Status & Prospects, Biskup, Morgenstem and Landwehr eds. North-Holland, 1994. p. 37-56.

80. Ravi S.S., Coyne E.J., Feinstein H.L., Youman C.E. Role-Based Access Control Models. // IEEE Computer, V.29, Number 2, February 1996, p. 38-47.

81. Russell D., Gangemi Sr. G.T., Computer Security Basics. CA.: O'Reilly & Associates, Inc., 1991. 301 p.

82. Sandhu R.S. The typed matrix access model // Proceedings of the 1992 IEEE Symposium on Security and Privacy, 1992. p. 122-136

83. The Intercreted Trusted Computer System Evaluation Criteria Requirements. National Computer Security Center. NCSC-TG-001-95, January 1995. llS.Trasted Computer System Evaluation Criteria. US Department of Defense 5200.28-STD,

84. Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria, NCSC, 1991

85. Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria, NCSC, 1987

86. Varadharajan V. A multilevel security police for networks / INFOCOM, 1990. P.710-7181993.