В современных системах автоматизированного проектирования ши

187
но, нет смысла запрещать потоки информации между сущностями одного 
и того же класса. Более того, из чисто практических соображений нужно 
предусмотреть возможность для сущности передавать информацию самой 
себе. Следовательно, отношение «
≤
» должно быть рефлексивным. 
Покажем, что для любого множества сущностей должны существо-
вать единственная наименьшая верхняя и наибольшая нижняя границы 
множества соответствующих им уровней безопасности. Для пары сущно-
стей 
x
и 
y
, обладающих уровнями безопасности 
а
и 
b
соответственно, обо-
значим наибольший уровень безопасности их комбинации как (
а 
·
b
), при 
этом 
а
≤
(
а 
·
b
) и 
b
≤
(
a 
·
b
). Тогда, если существует некоторый уровень с 
такой, что 
а
≤
с
и 
b
≤
с
, то должно иметь место отношение (
а 
·
b
) 
≤ 
с
, по-
скольку (
a 
·
b
) – это минимальный уровень субъекта, для которого доступна 
информация как из 
x
, так и из 
у
. Следовательно, (
a 
·
b
) должен быть наи-
меньшей верхней границей 
а
и 
b
. Аналогично обозначим наименьший уро-
вень безопасности комбинации сущностей 
x
и 
y
как (
а

b
), при этом
(
а

b
)
≤
а и (
а

b
) ≤ 
b
. Тогда, если существует некоторый уровень 
c
та-
кой, что 
с
≤ 
а
и 
с
≤
b
, то должно иметь место отношение 
сv
(
а

b
), по-
скольку (
а

b
) – это максимальный уровень субъекта, для которого раз-
решена передача информации как в 
x
, так и в 
y
. Следовательно, (
а

b
) 
должен быть наибольшей нижней границей 
а
и 
b
. 
Использование решётки для описания отношений между уровнями 
безопасности позволяет использовать в качестве атрибутов безопасности 
(элементов множества 
L
) не только целые числа, для которых определено 
отношение "меньше или равно", но и более сложные составные элементы. 
Например, в государственных организациях достаточно часто в качестве 
атрибутов безопасности используется комбинация, состоящая из уровня 
безопасности, представляющего собой целое число, и набора категорий из 
некоторого множества. Такие атрибуты невозможно сравнивать с помо-

188
щью арифметических операций, поэтому отношение доминирования «
≤
» 
определяется как композиция отношения "меньше или равно" для уровней 
безопасности и отношения включения множеств 

для наборов категорий. 
Причём, это никак не сказывается на свойствах модели, поскольку отно-
шения "меньше или равно" и "включение множеств" обладают свойствами 
антисимметричности, транзитивности и рефлексивности, и, следовательно, 
их композиция также будет обладать этими свойствами, образуя над мно-
жеством атрибутов безопасности решётку. Точно так же можно использо-
вать любые виды атрибутов и любое отношение частичного порядка, лишь 
бы их совокупность представляла собой рёшетку. 

Download 6,41 Mb.

Do'stlaringiz bilan baham: