Учебно-методический комплекс теоретические основы компьютерной безопасности



Download 6,35 Mb.
bet49/83
Sana13.12.2022
Hajmi6,35 Mb.
#884776
TuriУчебное пособие
1   ...   45   46   47   48   49   50   51   52   ...   83
Bog'liq
ТОКБ книга

FRR : R x R - отношение, определяющее относительную силу (охватность) одних прав доступа по отношению к другим правам и задающее оператор доминирования ≥ такое, что если для r1, r2 R, r1 r2, то право (метод доступа) r1 сильнее, чем r2 , т. е. охватывает, включает потоки информации, вызываемые методом доступа r2 .
В результате простое объединение наборов прав при использовании правила 5.2 дополняется следующим ограничением:
r1, r2R, r1r2r2 R r2 R ,
где R = {A[u, o] ∪ A[gu1, o] ∪ A[gu2, o] ∪…};
u и o – пользователь и объект доступа, соответственно;
{gu1, gu2,…} = fgroups(u) набор рабочих групп, в которые включен пользователь u.
Теоретико-множественное объединение индивидуальных и групповых прав доступа с учетом данного ограничения будем обозначать ∪<. Таким образом, итоговый набор прав субъекта-пользователя в системе индивидуально-группового разграничения доступа по правилу 2.4.2 определяется следующим соотношением:
R = {A[u, o] ∪<A[gu1, o] ∪<A[gu2, o] ∪<…}.
Существенным фактором при определении прав доступа, складывающихся по нескольким возможностям доступа (например, по индивидуальным и групповым назначениям; по прямым назначениям к объекту и по наследуемым правам доступа к объекту от контейнера), является обеспечение в определенных случаях гарантированного непредоставления (гарантированного запрета) определенному пользователю определенного права доступа к определенному объекту. Если права доступа определяются на основе одного варианта, скажем только на основе индивидуальных назначений без использования рабочих групп и иных агрегаций, то непредоставление прав доступа эквивалентно отсутствию разрешения на доступ.
В случае же индивидуально-группового доступа при отсутствии индивидуального права на доступ к объекту или права на доступ к объекту по какой-либо одной рабочей группе, пользователь может получить нежелательный доступ к данному объекту по другой рабочей группе. При этом такие ситуации могут быть вполне обоснованными, так как для всех остальных членов группы, по которой пользователь получает нежелательный доступ, данные права являются обоснованными и необходимыми, а исключить пользователя из данной группы также нельзя, так как он при этом может потерять набор других необходимых ему прав.
Разрешение данной проблемы осуществляется двумя способами:

  • введением механизма ограниченного членства пользователя в группе;

  • введением специфического права доступа, именуемого "запрет доступа".

Первый способ основывается на введении для каждого члена рабочей группы индивидуального "фильтра" наследования групповых прав. При этом, однако, данный способ, предоставляя возможность гибкой настройки индивидуально-групповых прав доступа на различные организационно-технологические и управленческие схемы, тем не менее, для решения проблемы гарантированного непредоставления прав требует просмотра и анализа всех групповых назначений, в которые включен данный пользователь.
Для вводимого же права "запрет доступа" устанавливается самый высокий приоритет в отношении частичного порядка на множестве прав доступа R. В результате проблема гарантированного непредоставления права доступа решается автоматически. Если среди индивидуальных либо групповых назначений пользователя к объекту имеется явный запрет на доступ, то все остальные назначенные права отвергаются.
Во многих практических системах допускается включение одних рабочих групп в другие, иначе говоря, членами рабочих групп кроме пользователей могут быть и коллективные пользователи, т. е. другие рабочие группы.
Ясно, что с учетом сущности рабочих групп, как объединений пользователей, подобные отношения должны быть исключительно транзитивными. Иначе говоря, ситуации, когда группа А входит в группу В, группа В входит в группу С, а группа С входит в группу А, недопустимы и бессмысленны. Ясно также, что отношения рабочих групп должны быть антисимметричны – если группа A входит в группу В, то группа В, в свою очередь, не может входить в группу А. Кроме того, смыслу группы как объединению пользователей не противоречит утверждение, что группа входит сама в себя, иначе говоря, отношения групп рефлексивны.
Отсюда следует, что на множестве рабочих групп G можно устанавливать отношение

Download 6,35 Mb.

Do'stlaringiz bilan baham:
1   ...   45   46   47   48   49   50   51   52   ...   83




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish