Модель "Китайська стіна"
У 1989 році Бювером і Нешем була розроблена модель "Китайська стіна", спочатку замислювалася як протилежність Белла - ЛаПадули подібним моделям, але надалі це твердження було спростовано. Основна область застосування моделі – фінансові аналітичні організації, для яких важливо уникнути конфлікту інтересів.
Модель складається з наступних компонентів:
Суб'єкти - аналітики.
Об'єкти - дані на одного клієнта.
Набір даних компанії - ставить у відповідність кожному об'єкту його набір даних компанії.
Класи конфлікту інтересів - компанії - суперники (приєднуються до кожного об'єкту конфліктуючих компаній).
Теги - набір даних компанії і класи конфлікту інтересів.
Оздоровляюча інформація – не має обмежень до доступу.
Властивості:
Властивість простої безпеки: доступ дозволяється, якщо тільки об'єкт вільний, тобто тільки якщо всі намагаються отримати доступ об'єкти належать до одного набору даних компанії або якщо не належать до одного класу конфлікту інтересів.
'*'-властивість: суб'єкту буде заборонений доступ на запис до об'єкту тільки якщо у нього немає доступу на читання будь-якого іншого об'єкту, який
знаходиться в іншому наборі даних компанії і нездоровий.
Ці
властивості дозволяють уникнути прямої
участі аналітичної організації в
конфліктах компаній їх клієнтів, але
допускають непряме участь: відомості
про певний об'єкт можуть послідовно
оновлювати (за рахунок своєї інформації)
компанії - суперники, але в цьому вже не
буде провини аналітичної компанії.
Контроль за доступом до системи є
посередником між класичними DAC і MAC.
В цілому модель орієнтована на реалізацію в дуже окремому випадку (забезпечення захисту від одночасного доступу до даних) і не претендує на значну спільність, але в достатньо повною мірою реалізує закладені в неї вимоги в життя.
Модель Гогена-Мезігера
Модель Гогена-Мезігера, представлена ними в 1982 році, заснована на теорії автоматів. Відповідно до неї система може при кожній дії переходити з одного стану дозволеного тільки в дещо інших. Суб'єкти і об'єкти в даній моделі захисту розбиваються на групи - домени, і перехід системи з одного стану в інший виконується тільки відповідно до так званої таблицею дозволів, в якій вказано які операції може виконувати суб'єкт, скажімо, з домену C над об'єктом з домену D . У даній моделі при переході системи з одного стану в інший дозволеного використовуються транзакції, що забезпечує загальну цілісність системи.
Сазерлендська модель захисту
Сазерлендська модель захисту, опублікована в 1986 році, робить акцент на взаємодії суб'єктів і потоків інформації. Так само як і в попередній моделі, тут використовується машина станів з безліччю дозволених комбінацій станів і деяким набором початкових позицій. У даній моделі досліджується поведінка множинних композицій функцій переходу з одного стану в інший.
Модель елементарного захисту
Предмет захисту поміщений в замкнуту і однорідну захищену оболонку, звану перешкодою. Інформація з часом починає застарівати, тобто ціна її зменшується. За умова достатності захисту приймається перевищення витрат часу на подолання перешкоди порушником над часом життя інформації. Вводяться ймовірність не подолання перешкоди порушником Pсзі, ймовірність обходу перешкоди порушником Pобх і ймовірність подолання перешкоди порушником за час, менший часу життя інформації Pхр.
Для введеної моделі порушника показано, що Pсзі = min [(1 - Pобх), (1 - Pхр)], що є ілюстрацією принципу найслабшої гілки. Розвиток моделі враховує ймовірність відмови системи і ймовірність виявлення і блокування дій порушника.