Граф индивидуально-групповых назначений доступа г(u,g,o,e) при иерархической организации системы объектов доступа

E_итог= E^и  E^г = (E^и_пр  E^и_насл )  ((E^г_пр  E^гг_насл )  E^г_насл )

1). E_итог = E_треб ; E_превыш ; E_недост

2). Дополнительная вариативность наделения субъектов доступа Eтреб за счет различного сочетания Eи и Eг

Матричное представление графа Г(U,G,O,E)

R^и – (NxMxK)-массив разрешенных для субъектов методов доступа к объектам по индивидуальным назначениям;

R^г – (LxMxK)-массив разрешенных рабочим группам методов доступа к объектам по непосредственным групповым назначениям;

Н – квадратная (MxM) матрица смежности объектов доступа;

Н^г – квадратная (LxL) матрица смежности рабочих групп, аналогичная по смыслу матрице Н (h^г_ij=1, если i-я рабочая группа содержит j-ю рабочую групп, h^г_ij=0, если не содержит);

W – прямоугольная (NxL) матрица вхождения пользователей в рабочие группы (w_ij=1, если i-й пользователь входит в состав j-й рабочей группы; w_ij=0, в противном случае)

Сочетание прав доступа по прямым назначениям и прав доступа по иерархическому наследованию

• политика простой суперпозиции (дизъюнкции) прав по прямым и наследственным назначениям:

R_ij = {r_ij1|пр  r_ij1|насл , r_ij2|пр  r_ij2|насл , …, r_ijK|пр  r_ijK|насл}

• политика приоритетной суперпозиции (дизъюнкции) прав по прямым и наследственным назначениям с приоритетом прямых назначений

R_ij = {r_ij1|пр  r_ij1|насл , r_ij2|пр  r_ij2|насл , …, r_ijK|пр  r_ijK|насл}

• политика фильтрационной суперпозиции прав доступа к вложенным объектам

R_ij = {r_ij1|пр  (r_ij1|насл·^ф_ij1), r_ij2|пр  (r_ij2|насл·^ф_ij2),…, r_ijK|пр  (r_ijK|насл·^ф_ijK)}

Определение итоговых прав доступа при приоритетной суперпозиции

с учетом структурной вложенности объектов

• по спискам доступа

• через матрицу смежности объектов доступа Н

R_k|итог = R_k|пр  (Н^S + I), где Н^S=Н + Н² +…+ Нⁿ ,

 - модифицированная операция матричного умножения на основе ассиметричной дизъюнкции:

(R_k|итог)_ij=r_i1k(h^S_1jk+_1j)  r_i2k(h^S_2jk+_2j)  …   r_iMk(h^S_Mjk+ _Mj) ,

I – единичная матрица; _ij  – символ Кронекера

Определение итоговых прав доступа рабочих групп при приоритетной суперпозиции с учетом структурной вложенности рабочих групп и объектов

R^г_k|итог=W(((Н^гS+I)^тR^г_k )(Н^S +I))

Определение итоговых индивидуально-групповых прав доступа с приоритетом индивидуальных назначений

R^иг_k|итог=R^и_k|итог R^г_k|итог= = (R_k|пр (Н^S+I))  (W(((Н^гS+I)^тR^г_k)  (Н^S +I)))

Коэффициент дублирования прав доступа

,

_k^и_ijk= (R^и_k|пр  (Н^S + I))_ij

k^и_ijk= (R^и_k|пр  (Н^S + I))_ij

Количественные параметры превышения и недостатка прав доступа

R⁺_ = R^иг_итог ⊖⁺ R_треб

_R^-_ = R^иг_итог ⊖^- R_треб

,

,

Количественные характеристики системы рабочих групп

Количественные характеристики близости пользователей по потребностям в доступе

Пример количественного анализа системы индивидуально-группового доступа

Главный бухгалтер (u₁) – общее руководство подразделением, планирование, контроль деятельности.

Старший бухгалтер (u₂) – ведение обобщенного (сводного) финансово-экономического учета и анализа, заме-щение в случае необходимости гл.бух- галтера (отпуск, болезнь, командировка).

Бухгалтер (первый) (u₄) – бухгалтер-экономист, подменяет ст. бухгалтера.

Бухгалтер (второй) (u₅) – бухгалтер по заработной плате, подменяет (первого) бухгалтера и кассира.

Кассир (u₆) – проводки по кассе, выдача зарплаты, подменяет табельщика-делопроизводителя и (второго) бухгалтера.

Табельщик-делопроизводитель (u₇) – ведение Табеля рабочего времени сотрудников организации, а также ведение делопроизводства подразделения.

Инженер-программист (u₃) –организация работы локальной информационной сети подразделения

Пример количественного анализа системы индивидуально-группового доступа

Система рабочих групп

Группа "Администраторы" (g₁) – включает {u₁, u₃}.

Группа "Бухгалтеры" (g₂) – включает {u₁, u₂, u₄, u₅, u₆}.

Группа "Исполнители документов" (g₃) , включает {u₁, u₂, u₃, u₄, u₅, u₆, u₇}.

Группа "Users" (g₄) – включает {u₁, u₂, u₃, u₄, u₅, u₆, u₇, g₂, g₃}.

Права доступа определяются разрешениями по четырем методам доступа:

r₁ (чтение),

r₂ (чтение/запись),

r₃ (выполнение)

r₄ (полный доступ).

Функция f_корр обеспечивает в векторах обнуление r₁, если r₂=1; обнуление r₁, r₂, r₃, если r₄=1; требует r₁=1 в _|насл, если r₃=1.

Пример количественного анализа системы индивидуально-группового доступа

Клиент-серверная финансово-экономическая АИС (ФЭБД)

Клиент-серверная АИС делопроизводства/документооборота (ДокБД)

Клиент-серверная информационно-правовая система (НормБД)

Локальная АИС "Табель рабочего времени" (БД "Табель")

Локальная АИС "Планирование и контроль" (БД "Расписание")

Пример количественного анализа системы индивидуально-группового доступа

g₁ – полный доступ к объектам сети с запретом доступа к личным папкам сотрудников.

g₂ – работа в АИС "ФЭБД", доступ к бухгалтерским АРМ (для подмены работников или выполнения своих функций на других АРМ, в случае выхода из строя своего), запрет доступа к личным папкам на "не своем" АРМ, запрет доступа к CDRW на сервере.

g₃ – работа в АИС "ДокБД", доступ "чтение/запись" к сетевому принтеру, запрет доступа к CDRW на сервере.

g₄ – работа в АИС "НормБД", доступ "чтение" к расписанию на сервере, запрет доступа к сетевому принтеру, запрет доступа к CDRW на сервере

Индивидуальные назначения права на полный доступ пользователей к "своим" АРМ, доступ к АРМ подменяемых сотрудников с запретом доступа к их личным папкам и дисководам "3,5", права выполнения локальных АИС на АРМ замещаемых сотрудников (работа в АИС "Планирование и контроль" на АРМ руководителя для u₂, работа в АИС "Табель рабочего времени" для u₆ на АРМ табельщика-делопроизводителя

Пример количественного анализа системы индивидуально-группового доступа

Расчет величин K_дубл, К_превыш и  ^г_ij по пяти вариантам системы индивидуально-группового доступа:

1-й вариант – исходный;

2-й вариант – исключение пользователя u₃ (инженера-программиста) из групп g₃ и g₄ (в силу того, что у группы g₁, в которую он входит, имеются полные права доступа ко всей системе за исключением доступа к личным папкам пользователей);

3-й вариант – исключение из группы g₄ групп g₂ и g₃ и, кроме того, добавление группе g₃ прав доступа к АИС Норм БД;

4-й вариант – исключение из группы g₄ всех пользователей и других групп (группа g₄ "гостевая" для временной регистрации и работы в сети сторонних пользователей), и аналогично добавление группе g₃ прав доступа к АИС Норм БД;

5-й вариант – аналогичный 4-му с дополнительным исключением по индивидуальным назначениям раз-решений на доступ к АРМ подменяемых работников, так как необходимый доступ имеется в разрешениях группы g₂ (кроме прав доступа к локальным АИС)

Пример количественного анализа системы индивидуально-группового доступа

Пример количественного анализа системы индивидуально-группового доступа