енційно - К, і т. п.). Відповідно суб'єкти доступу до них (співробітники) також категоризується за відповідними рівнями довіри, отримуючи так званого
допуску (Допуск ступеня 1, допуск ступеня 2 і т. д.). Поняття допуску визначає
мандатний (Повноважний) принцип розмежування доступу до інформації. Відповідно до мандатних принципом працівник, що володіє допуском ступеня В«1В», має право працювати з будь-якою інформацією рівня В«ССВ», В«СВ» і В«КВ». Працівник з допуском В«2В» відповідно має право роботи з будь-якою інформацією рівня В«СВ» і В«КВ». Працівник з допуском В«3В» має право працювати з будь-якою інформацією тільки рівня В«КВ». p> мандатної принцип побудови системи розмежування доступу в СУБД реалізує
багаторівневу модель безпеки даних, звану ще моделлю Белл - ЛаПадула (по імені її авторів - американських фахівців Д. Белла і Л. ЛаПадула), яка ілюструється схемою, наведеною на рис. 4. br/>В
Рис. 4. Модель безпеки даних Белл - ЛаПадула (мандатний принцип розмежування доступу)
У моделі Белл - ЛаПадула об'єкти і суб'єкти категоризується за ієрархічним мандатної принципом доступи. Суб'єкт, який має допуск 1-й (вищої) ступеня, отримує доступ до об'єктам 1-го (вищого) рівня конфіденційності та автоматично до всіх об'єктам більш низьких рівнів конфіденційності (тобто до об'єктів 2-го і 3-го рівнів). Відповідно, суб'єкт з 2-м ступенем допуску має доступ до всіх об'єктам 2-го і 3-го рівнів конфіденційності, і т. д.
У моделі Белл - ЛаПадула встановлюються і підтримуються два основних обмеження політики безпеки:
• заборона читання вгору (No read up - NRU);
• заборона запису вниз (no write down - NWD).
Обмеження NRU є логічним наслідком мандатної принципу розмежування доступу, забороняючи суб'єктам читать дані з об'єктів більш високого ступеня конфіденційності, ніж дозволяє їх допуск.
Обмеження NWD запобігає перенос (витік) конфіденційної інформації шляхом її копіювання з об'єктів з високим рівнем конфіденційності в неконфіденційні об'єкти або в об'єкти з меншим рівнем конфіденційності.
Обмеження NRU і NWD призводять до того, що за різними типами доступу (В«читанняВ», В«створенняВ», видалення В», В«ЗаписВ») в моделі Белл-ЛаПадула встановлюється різний порядок доступу конкретного суб'єкта до об'єктів. Зокрема, у схемі, наведеній на рис. 7.4, може здатися дивним, що за типом доступу В«створенняВ» суб'єкт (процес) з допуском ступеня 3 (нижчій) має можливість створювати об'єкти (записи) у об'єктах більш високого рівня конфіденційності. Такий підхід, тим не менш, відображає реальні життєві ситуації, коли працівники, наприклад, кадрового підрозділи можуть заповнювати формалізовані картки на нових співробітників, направляючи їх у спеціальну картотеку особистих даних співробітників організації та породжуючи перші документи особових справ нових співробітників, але не мають при цьому власне самого доступу до цієї картотеці по інших типах операцій (читання, видалення, зміна).
мандатної принцип розмежування доступу, знову-таки виходячи з додаткових способів розмежування доступу до конфіденційної інформації, що напрацьованих в В«паперовихВ» технологіях, зокрема у військовій сфері, може доповнюватися елементами функціонально-зонального принципу розмежування доступу. Відповідно до функціонально-зональним принципом, що захищаються відомості, крім категорії конфіденційності, отримують ознака функціональної тематики (зони), наприклад відомості по артилерії, відомості з авіації, і т. д. Відповідно, кожен працівник, який має певний допуск до конфіденційних відомостей, ще за своїми функціональними обов'язками має певний профіль діяльності, який надає допуск або уточнює сферу допуску до категорійних відомостями тільки відповідної тематики. Такий підхід надає більш гнучкі і точні можливість організації роботи з конфіденційними відомостями і в СУБД реалізується через техніку профілів і ролей користувачів.
На практиці в реальних політиках моніторів безпеки баз даних найчастіше застосовується діскреціонний принцип з примусовим управлінням доступом, В«підсилюванийВ» елементами мандатної принципу в поєднанні з добровільним управлінням доступом (Допуску суб'єктів встановлює і змінює тільки адміністратор, рівень конфіденційності об'єктів встановлюють і змінюють тільки власники). У розподілених СУБД можуть також застосовуватися елементи функціонально-зонального розмежування доступу у вигляді жорсткої прив'язки об'єктів і суб'єктів до певним пристроям, а також виділення спеціальних зон, областей зі В«СвоєїВ» політикою безпеки. p> При реалізації політик і моделей безпеки даних в фактографічних АІС на основі реляційних СУБД виникають специфічні проблеми розмежування доступу на рівні окремих полів таблиць. Ці проблеми пов'язані з відсутністю в реляційної моделі типів полів з множинним (багатозначним) хар...
