Абстрактные модели защиты информации
Одной из первых моделей была опубликованная в 1977 модель Биба
(Biba). Согласно ей все субъекты и объекты предварительно разделяются
по нескольким уровням доступа, а затем на их взаимодействия
накладываются следующие ограничения: 1) субъект не может вызывать на
исполнение субъекты с более низким уровнем доступа; 2) субъект не может
модифицировать объекты с более высоким уровнем доступа. Как видим, эта
модель очень напоминает ограничения, введенные в защищенном режиме
микропроцессоров Intel 80386+ относительно уровней привилегий.
Модель Гогена-Мезигера (Goguen-Meseguer), представленная ими в 1982
году, основана на теории автоматов. Согласно ей система может при
каждом действии переходить из одного разрешенного состояния только в
несколько других. Субъекты и объекты в данной модели защиты разбиваются
на группы – домены, и переход системы из одного состояния в
другое выполняется только в соответствии с так называемой таблицей
разрешений, в которой указано какие операции может выполнять субъект,
скажем, из домена C над объектом из домена D. В данной модели при
переходе системы из одного разрешенного состояния в другое используются
транзакции, что обеспечивает общую целостность системы.
Сазерлендская (от англ. Sutherland) модель защиты, опубликованная в
1986 году, делает акцент на взаимодействии субъектов и потоков
информации. Так же как и в предыдущей модели, здесь используется машина
состояний со множеством разрешенных комбинаций состояний и некоторым
набором начальных позиций. В данной модели исследуется поведение
множественных композиций функций перехода из одного состояния в другое.
Важную роль в теории защиты информации играет модель защиты
Кларка-Вильсона (Clark-Wilson), опубликованная в 1987 году и
модифицированная в 1989. Основана данная модель на повсеместном
использовании транзакций и тщательном оформлении прав доступа субъектов
к объектам. Но в данной модели впервые исследована защищенность третьей
стороны в данной проблеме – стороны, поддерживающей всю систему
безопасности. Эту роль в информационных системах обычно играет
программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции
впервые были построены по методу верификации, то есть идентификация
субъекта производилась не только перед выполнением команды от него, но
и повторно после выполнения. Это позволило снять проблему подмены
автора в момент между его идентификацией и собственно командой. Модель
Кларка-Вильсона считается одной из самых совершенных в отношении
поддержания целостности информационных систем.