Субъектно-ориентированная модель
В данной модели считается, что субъекты порождаются другими субъектами (активными сущностями) из объектов (пассивная сущность). Вводится понятие ассоциированности объекта и субъекта. О ней говорят в случае, если состояние объекта влияет на состояние субъекта в следующий момент времени (считается, что в системе дискретное время). Субъект осуществляет отображение ассоциированных объектов в момент времени / на множество ассоциированных объектов в момент времени /+ I. При этом можно выделить подмножество объектов (передатчиков), изменение которых влечет за собой изменение субъектом других объектов (приемников). В результате мы получаем информационный поток между двумя объектами. Этот поток обладает свойством транзитивности. Доступом субъекта к объекту называется порождение потока информации между некоторым объектом и объектом доступа. Среди потоков есть легальные и несанкционированные. Политика безопасности описывает разбиение потоков на эти два множества. Правила разграничения доступа есть формально описанные легальные потоки.
Для разбиения всех потоков на множества законных и несанкционированных выделяется особый субъект, который активизируется при любом потоке и умеет выполнять классификацию пороков — монитор обращений. Отсюда получается понятие монитора безопасности объектов (МБО) — это монитор обращений, разрешающий только легальные потоки (операции над объектом). Однако при изменении ассоциированных с МБО объектов может измениться и сам МБО, поэтому вводят понятие корректности субъектов, или их невлияния друг на друга. Два субъекта называют взаимно корректными, если в любой момент времени отсутствует поток между двумя объектами, ассоциированными с этими субъектами. У абсолютно корректных субъектов множества ассоциированных объектов вообще не пересекаются.
Введение понятия абсолютной корректности позволяет сформулировать достаточные условия осуществления только легального доступа. Для этого все субъекты в системе, включая МБО, должны быть абсолютно корректными относительно друг друга. Это достаточно жесткое правило, и на первый взгляд неясно, как решить проблему корректности порождаемого субъекта и МБО. На помощь приходит введение понятия монитора безопасности субъектов (МБС) — субъекта, который разрешает порождение только определенного подмножества пар активизирующих субъектов и объектов-источников.
Компьютерная система, в которой есть МБС, называется замкнутой. Если порождаемые субъекты абсолютно корректны относительно друг друга и МБС, то замкнутая система называется изолированной. В 15] приведена и доказана теорема, описывающая достаточное условие гарантированного выполнения политики безопасности в компьютерной системе: «Если в изолированной программной среде существует МБО и порождаемые субъекты абсолютно корректны с МБО, МБС и другими субъектами, а также МБС абсолютно корректен с МБО, то в такой программной среде МБО разрешает порождение только легальных потоков».
Для того чтобы программная среда всегда оставалась изолированной (а значит, и гарантированно защищенной), необходимо потребовать, чтобы порождение субъектов сопровождалось контролем неизменности породивших их объектов.