Методы и программные средства исследования моделей логического разграничения доступа на предмет выполнения требований по безопасности тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат физико-математических наук Шапченко, Кирилл Александрович

Актуальность работы. Механизмы логического разграничения доступа к информационным активам, коммуникационным и вычислительным ресурсам (далее для краткости изложения используются сочетание «логическое разграничения доступа» и сокращение «ЛРД») являются важной составляющей современных компьютерных систем, к защищенности которых предъявляются повышенные требования [9,10,12,33]. С использованием механизмов логического разграничения доступа по заданному набору правил принимается решение о том, разрешено ли в автоматизированной системе некоторое действие, например, получение доступа к ее информационному ресурсу. Проблематике проектирования и разработки механизмов ЛРД, их интеграции в автоматизированные системы, информационные ресурсы которых подлежат защите, а также к построению математических моделей, описывающих процессы функционирования таких механизмов, уделяется повышенное внимание с конца 1960-х — начала 1970-х годов. К настоящему времени созданы многочисленные механизмы логического разграничения доступа, традиционным примером которых являются механизмы ЛРД в операционных системах (ОС), разработаны подходы к описанию математических моделей, составляющих основу функционирования подобных программных механизмов. К классическим формальным моделям логического разграничения доступа относятся модели дискреционного разграничения доступа, в том числе модель «take-grant», модели мандатного многоуровневого разграничения доступа, включая фундаментальные модели Белла-ЛаПадула и Биба. Получили широкое распространение модели ЛРД на основе ролей, ключевые положения которых начали формироваться в 1990-е годы. Активно ведутся исследования в рассматриваемой области отечественными учеными [13].

Положения законов и подзаконных актов, нормативно-регламентирующих документов, стандартов и рекомендаций в области обеспечения безопасности информационных технологий определяют ряд требований к механизмам защиты в автоматизированных системах, в том числе — к механизмам логического разграничения доступа. Вместе с тем, практической реализации таких требований в современных системах препятствует то обстоятельство, что управление настройками подобных механизмов, как правило, осуществляется без должного анализа последствий. Изменения в настройки вносятся локально, модифицируются небольшие фрагменты правил логического разграничения доступа. При этом оценка влияния таких изменений на защищенность компьютерной системы в целом не производится. В результате уровень доверия к такой системе снижается. Отмеченная особенность характерна для механизмов ЛРД в современных Unix-подобных операционных системах, например, в ОС на базе ядра ОС Linux, которые в настоящее время часто используются в автоматизированных системах с повышенным уровнем защищенности.

Формальной спецификации требований, которые предъявляются к механизмам и, как следствие, к моделям логического разграничения доступа, посвящено большое число работ. Значительное внимание уделяется задачам проверки выполнения ограничений на информационные потоки [13,58]. Однако, результатов практического характера, целью которых является исследование моделей ЛРД, положенных в основу механизмов защиты современных Unix-подобных ОС, недостаточно для проведения анализа таких механизмов и их конфигурации на предмет выполнения требований по безопасности. Необходимость проведения такого анализа с учетом особенностей моделей и реализующих их механизмов ЛРД, которые используются в современных Unix-подобных ОС, значительный, как правило, объем конфигурационных данных таких механизмов и потребности в их совместном использовании на практике определяют актуальность настоящей работы.

Объектом исследования являются механизмы логического разграничения доступа в компьютерных системах, к защищенности которых предъявляются повышенные требования.

Предметом исследования являются формальные модели логического разграничения доступа в компьютерных системах, подходы (методы и средства) к спецификации и проверке свойств реализующих их программных средств.

Цель диссертационной работы состоит в исследовании и разработке математических моделей, алгоритмов и программных средств, поддерживающих процессы спецификации и анализа свойств моделей логического разграничения доступа, ориентированных на применение в инструментальных средствах автоматизации управления настройками механизмов логического разграничения доступа в компьютерных системах, в составе которых используются Unix-подобные операционные системы.

На защиту выносятся следующие основные результаты:

- разработаны и сформулированы способы формального описания моделей логического разграничения доступа для достаточно широкого класса компьютерных систем, в первую очередь — для систем на базе ядра ОС Linux;

- сформулированы и строго обоснованы положения нового способа объединения и согласования математических моделей логического разграничения доступа, с помощью которого предоставляется возможность исследовать совместно используемые механизмы ЛРД в компьютерных системах, разрабатываемых на основе Unix-подобных операционных систем;

- разработан доказательно корректный способ спецификации и анализа свойств моделей логического разграничения доступа, с помощью которого может быть проверено выполнение ограничений на информационные потоки в компьютерной системе;

- предложен и апробирован в процессе тестовых испытаний программный комплекс для анализа моделей логического разграничения доступа, которые реализуются с помощью механизмов ЛРД в Unix-подобных ОС, на предмет выполнения ими требований по безопасности.

Методы исследования. Результаты диссертационной работы получены с использованием математического моделирования механизмов логического разграничения доступа в компьютерных системах, аппарата теории графов, методов «верификации на модели» (model checking), логического программирования, а также — положений программной инженерии.

Научная новизна результатов диссертации состоит в создании новых доказательно обоснованных способов описания моделей логического разграничения доступа, корректного объединения таких моделей, в их анализе на предмет выполнения заданных требований по безопасности. Отличительной особенностью разработанных автором способов, формальных моделей и алгоритмов является возможность математически строго описывать и анализировать с их помощью конфигурацию механизмов логического разграничения доступа в современных компьютерных системах, которые используют Unix-подобные операционные системы, такие, как ОС на базе ядра Linux, имея в виду архитектурные и функциональные особенности механизмов ЛРД в таких системах.

Практическая значимость диссертации заключается в применении созданного автором программного комплекса в процессе анализа моделей логического разграничения доступа на предмет выполнения требований по безопасности. Потенциальные возможности комплекса продемонстрированы на дистрибутивах операционных систем на базе ядра ОС Linux и программного обеспечения с открытым исходным кодом. В процессе тестовых испытаний показаны функциональные возможности разработанного программного комплекса по анализу настроек механизмов логического разграничения доступа при создании специализированных дистрибутивов ОС.

Внедрение результатов работы. Результаты работы нашли применение в процессе выполнения проектов: «Методы и средства противодействия компьютерному терроризму: механизмы, сценарии, инструментальные средства и административно-правовые решения» (НИР12005-БТ-22.2/001 в рамках ФЦП «Исследования и разработки по приоритетным направлениям науки и техники»); «Разработка подходов к обеспечению информационной безопасности автоматизированных систем государственного управления на основе использования в их составе программного обеспечения с открытым кодом» (НИР 2007-4-1.4-15-04-001 в рамках ФЦП «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2007-2012 годы»). Получено свидетельство об официальной регистрации программы для ЭВМ «Набор специализированных дистрибутивов ОС Linux с повышенными требованиями к защищенности» (свидетельство № 2006613706).

Апробация работы. Результаты работы докладывались на научных конференциях «Математика и безопасность информационных технологий» (2005-2008 гг.), «Ломоносовские чтения» (2006-2009 гг.), «Актуальные проблемы вычислительной математики» (2006 г.), «Третья'международная конференция по проблемам управления» (2006 г.), на семинаре «Проблемы современных информационно-вычислительных систем» под руководством д.ф.-м.н., проф. В. А. Васенина (механико-математический факультет МГУ имени М. В. Ломоносова, 2005, 2007, 2009 гг.).

Публикации. По теме диссертации опубликовано 14 работ, из которых 3 статьи [7,19,31] — в журналах из перечня ведущих рецензируемых изданий, рекомендованных ВАК. Материалы работы вошли в главу 3 опубликованной в 2008 году коллективной монографии «Критически важные объекты и кибертерроризм. Часть 2. Аспекты программной реализации средств противодействия» под ред. В. А. Васенина [28].

Личный вклад автора заключается в проведенном им анализе современного состояния в области формального описания моделей логического разграничения доступа, в способе, предложенном для объединения таких моделей, а также в разработанных автором и апробированных на практике методах, математических моделях, алгоритмах и программных средствах для анализа свойств механизмов логического разграничения доступа.

Структура и объем диссертации. Глава 1 посвящена результатам выполненных автором исследований, направленных на систематизацию и обобщение сведений о направлениях использования математических моделей ЛРД при проектировании и разработке автоматизированных систем с повышенным уровнем защищенности, а также — отдельных механизмов в составе таких систем. Выделены ключевые задачи, решение которых представлено в настоящей работе. Проводится исследование современных подходов к спецификации и проверке свойств в моделях логического разграничения доступа. Представлены результаты анализа особенностей таких подходов и оценка возможности их применения на практике в процессе проверки выполнения требований по безопасности, которые предъявляются к современным автоматизированным системам с повышенным уровнем их защищенности.

В главе 2 рассматриваются методы формального описания моделей логического разграничения доступа. Автором предлагается способ формального описания моделей ЛРД, позволяющий учитывать древовидную иерархию на множестве объектов доступа в модели, а также — унифицированный подход к описанию ряда традиционно используемых моделей ЛРД. Представлено формальное описание исследуемых далее в работе моделей, а именно — моделей ЛРД, которые реализуются механизмами защиты в ядре

ОС Linux.

Глава 3 посвящена новому, разработанному автором, подходу к объединению формальных моделей логического разграничения доступа. Отмечается актуальность задачи согласования моделей при анализе компьютерных систем, составленных из компонентов, использующих различные механизмы логического разграничения доступа.

В главе 4 рассматривается оригинальный подход к спецификации и проверке свойств моделей логического разграничения доступа. Такой подход основан на использовании методов теории графов, технологии «верификации на модели» («model checking») и элементов логического программирования. Отмечаются особенности его применения на практике.

В главе 5 излагаются предложенные автором способы программной реализации набора инструментальных средств для исследования моделей логического разграничения доступа на предмет выполнения свойств безопасности. Демонстрируется применение созданных автором инструментальных средств при исследовании свойств безопасности дистрибутивов ОС Linux, а именно — наличия или отсутствия информационных потоков, задаваемых настройками механизмов логического разграничения доступа.

В заключении перечисляются основные результаты диссертационной работы.

5.5. Выводы

В настоящей главе* представлены основные положения, которыми руководствовался автор при реализации программного комплекса для проведения проверки моделей ЛРД на предмет выполнения ими требуемых свойств безопасности, а именно — ограничений на информационные потоки. Программный комплекс построен на основе результатов, изложенных в главах 3 и 4.

Целевой областью применения созданного комплекса является организация аудита свойств безопасности в дистрибутивах Unix-подобных операционных систем с повышенным уровнем защищенности. Созданная первая версия программного комплекса демонстрирует возможность применения предлагаемых алгоритмов проверки свойств в моделях ЛРД на практике.

Представленный набор примеров составляет программу тестовых испытаний для созданных программных средств анализа программной реализации механизмов ЛРД и заданной для таких механизмов конфигурации на предмет выполнения требований безопасности. Результаты тестовых испытаний демонстрируют возможность применения разработанного метода проверки выполнения свойств безопасности в моделях ЛРД на практике. Тестовые примеры позволяют оценить возможности масштабирования, в том числе — в целях оценки эффективности алгоритмов и средств проверки выполнения требований безопасности в автоматизированных системах с большим числом субъектов и объектов доступа.

Заключение

В рамках диссертационной работы получены следующие результаты.

• На основе систематизации и анализа современных программных механизмов и формальных моделей логического разграничения доступа, которые они реализуют, методов их спецификации и анализа на предмет соответствия принятым требованиям безопасности, автором разработаны и сформулированы способы формального описания таких моделей для достаточно широкого класса компьютерных систем, в первую очередь — для систем па базе ядра ОС Linux.

• Сформулированы и доказательно обоснованы положения нового способа объединения и согласования математических моделей логического разграничения доступа, с помощью которого возможно исследовать совместно используемые механизмы ЛРД в компьютерных системах, разрабатываемых на основе Unix-подобных операционных систем.

• Предложен корректный способ спецификации и анализа свойств моделей логического разграничения доступа, с помощью которого может быть проверено выполнение ограничений на информационные потоки в компьютерной системе.

• Предложено и прошло тестовые испытания математическое и программное обеспечение, составляющее основу комплекса средств для анализа моделей логического разграничения доступа, которые реализуются механизмами ЛРД в Unix-подобных ОС, на предмет выполнения ими требований по безопасности, а именно — ограничений на допустимые информационные потоки.

1. О. О. Андреев. Сравнение ролевой и дискреционной модели разграничения доступа // Материалы конференции МаБИТ-04, Москва, 2005 г. — М.: МЦНМО, 2006. — С. 284-291.

2. О. О. Андреев. Язык описания моделей разграничения доступа и его реализация в ядре операционной системы Linux. // Материалы конференции МаБИТ-05, Москва, 2006 г. М.: МЦНМО, 2007. - С. 305-321.

3. В. А. Васенин. Проблемы математического, алгоритмического и программного обеспечения компьютерной безопасности в Интернет // Материалы конференции Ма-БИТ-03, Москва, 2003 г. М.: МЦНМО, 2004. - С. 111-143.

4. В. А. Васенин. Информационная безопасность критических объектов: управление, технологии, кадры. // Открытые системы, № 5, 2009. — М.: «Открытые системы», 2009.

5. В. А. Васенин, К. А. Шапченко. Проблемы управления персональными данными. // Открытые системы, № 9, 2009. — М.: «Открытые системы», 2009. — С. 42-45.

6. Ф. С. Воройский. Информатика. Новый систематизированный толковый словарь-справочник (Введение в современные информационные и телекоммуникационные технологии в терминах и фактах). — 3-е изд., перераб. и доп. — М.: ФИЗМАТЛИТ, 2003. 760 с.

7. В. А. Галатенко. Основы информационной безопасности. Курс лекций. / Под редакцией академика РАН В. Б. Бетелина. — 4-е изд. — М.: Интернет-Университет Информационных Технологий; БИНОМ. Лаборатория знаний. — 2008. — 205 с.

8. Н. А. Гайдамакин. Разграничение доступа к информации в компьютерных системах. — Екатеринбург: Изд-во Уральского университета. — 2003. — 328 с.

9. В. А. Герасименко, А. А. Малюк. Основы защиты информации. — М.: ООО «Ин-комбук». — 1997.

10. А. А. Грушо, Э. А. Применко, Е. Е. Тимонина. Теоретические основы компьютерной безопасности. — М.: Academia. — 2009. — 272 с.

11. П. Н. Девянин. Анализ безопасности управления доступом и информационными потоками в компьютерных системах. — М.: Радио и связь, 2006. — 176 с.

12. Э. М. Кларк, О. Грамберг, Д. Пелед. Верификация моделей программ: Model Checking. Пер. с англ. / Под. ред. Р. Смелянского. — М.: МЦНМО, 2002.

13. Д. Н. Колегов. Применение ДП-моделей для анализа защищенности сетей. // Прикладная и дискретная математика. — 2008. — № 1. — 71-87.

14. Т. Кормен, Ч. Лейзерсон, Р. Ривест, К. Штайн. Алгоритмы: построение и анализ. / Под ред. И. В. Красикова. — 2-е изд. — М.: Вильяме, 2005. — 1296 с.

15. Ф. М. Пучков, К. А. Шапченко. К вопросу о выявлении возможных переполнений буферов посредством статического анализа исходного кода программ. // Материалы конференции МаВИТ-04. М.: МЦНМО, 2005. - С. 347-359.

16. Ф. М. Пучков, К. А. Шапченко. Статический метод анализа программного обеспечения на наличие угроз переполнения буферов. // Программирование. — 2005.— №4. С. 19-34.

17. Способ генерации баз данных для систем верификации программного обеспечения распределенных вычислительных комплексов и устройство для его реализации. / Ф. М. Пучков, К. А. Шапченко. // Патент на изобретение № 2364929. — 2009.

18. Способ генерации баз знаний для систем верификации программного обеспечения распределенных вычислительных комплексов и устройство для его реализации. / Ф. М. Пучков, К. А. Шапченко. // Патент на изобретение № 2364930. — 2009.

19. Способ генерации баз данных и баз знаний для систем верификации программного обеспечения распределенных вычислительных комплексов и устройство для его реализации. / Ф. М: Пучков, К. А. Шапченко. // Патент на изобретение № 2373569. 2009.

20. Способ верификации программного обеспечения распределенных вычислительных комплексов и система для его реализации. / Ф. М. Пучков, К. А. Шапченко. // Патент на изобретение № 2373570. — 2009.

21. Ф. Харари. Теория графов. — М.: Издательство «Мир», 1973.

22. К. А. Шапченко. Способ проверки свойств безопасности в моделях логического разграничения доступа с древовидной иерархией объектов доступа. // Информационные технологии. №10, 2009. — М.: Новые технологии, 2009. — С. 13-17.

23. К. А. Шапченко. Современные методы проверки свойств безопасности в моделях логического разграничения доступа. // Проблемы информатики. — №3, 2009. —

24. Новосибирск: НГТУ, 2009. — С. 22-32.

25. А. Ю. Щербаков. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир. — 2009. — 352 с.

26. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. — М.: ИПК Издательство стандартов, 2006.

27. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. — М.: ИПК Издательство стандартов, 2002.

28. ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. — М.: ИПК Издательство стандартов, 2002.

29. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. — М.: ИПК Издательство стандартов, 2002.

30. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. — М.: ИПК Издательство стандартов, 2005.

31. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения. — М.: ИПК Издательство стандартов, 2005.

32. Защита от несанкционированного доступа к информации. Термины и определения. Руководящий документ ФСТЭК от 30 марта 1992 года / ФСТЭК. — 1992.

33. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Руководящий документ ФСТЭК от 30 марта 1992 года / ФСТЭК. — 1992.

34. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ ФСТЭК от 30 марта 1992 года / ФСТЭК. — 1992.

35. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

36. S. Barker, М. Fernandez. Term rewriting for access control. // In Proc. DBSec2006, volume 4127 in LNOS. Springer-Verlag, 2006. — pp. 179-193.

37. S. Barker, P. J. Stuckey. Flexible access control policy specification with constraint logic programming. // ACM Trans. Inf. Syst. Secur., vol. 6, 2003.

38. D. Bell and L. J. LaPadula. Secure computer systems: Mathematical foundations and model. // Technical Report M74-244. — The Mitre Corporation, 1976.

39. E. Bertino, B. Catania, E. Ferrari, P. Perlasca. A logical framework for reasoning about access control models. // ACM Trans. Inf. Syst. Secur., vol. 6, 2003. — pp. 71-127.

40. K. J. Biba. Integrity Considerations for Secure Computer Systems. — MTR-3153, The Mitre Corporation, April 1977.

41. R. Chandramouli, R. Sandhu. Role Based Access Control Features in Commercial Database Management Systems. // Proceedings of 21st National Information Systems Security Conference,' October 6-9, 1998, Crystal City, Virginia.

42. A. Cimatti, E. Clarke, E. Giunchiglia, et al. NuSMV Version 2: An OpenSource Tool for Symbolic Model Checking. // Proc. International Conference on Computer-Aided Verification (CAV 2002), July, 2002, vol. 2404, ser. LNCS.

43. E. M. Clarke, O. Grumberg, D. E. Long. Model Checking and Abstraction. // ACM Transactions on Programming Languages and Systems. Vol. 16, N. 5. — ACM Press, 1994. pp. 1512-1542.

44. DoD 5200.28-STD. Department of Defense Standard. Department of Defense Trusted Computer System Evaluation Criteria. — 1983. Электронный ресурс]. URL: http: //www.fas.org/irp/nsa/rainbow/stdOOl.htm.

45. D. J. Dougherty, K. Fisler, S. Krishnamurthi. Specifying and reasoning about dynamic access control policies. // Lecture Notes in Computer Science. — Springer-Verlag, 2006. pp. 632- 646.

46. K. Fisler, S. Krishnamurthi, L. A. Meyerovich, M. C. Tschantz. Verification and change-impact analysis of access-control policies. //In International Conference on Software Engineering, pp. 196-205, May 2005.

47. I. Foster, C. Kesselman, S. Tuecke. The Anatomy of the Grid: Enabling Scalable Virtual Organizations. // International Journal of High Performance Computing Application. —15(3). 2001.

48. Foster, Y. Zhao, I. Raicu, S. Lu. Cloud Computing and Grid Computing 360-Degree Compared. // Proceedings of Grid Computing Environments Workshop GCE'08. — 2008. pp. 1-10.

49. J. Frank, M. Bishop. Extending the Take-Grant Protection System. — Department of Computer Science. — University of California at Davis. — 1996.

50. D. P. Guelev, М. D'. Ryan, P.-Y. Schobbens. Mo del-checking access control policies. //In Information Security Conference, number 3225 in Lecture Notes in Computer Science. Springer-Verlag, 2004.

51. M. Koch, F. Parisi-Presicce. Describing Policies with Graph Constraints and Rules. // In Proc. ICGT02. Springer-Verlag, 2002. - pp. 223-238.

52. N. Li, M. Tripunitara. On Safety in Discretionary Access Control. //In Proceedings of IEEE Symposium on Security and Privacy, May 2005.

53. Т. Moses, extensible Access Control Markup Language (XACML) version 1.0. // Technical report. — OASIS, 2003.

54. M. Nyanchama, S.' Osborn. Access Rights Administration in Role-Based Security Systems. // Database Security VIII: Status and Prospects. — North-Holland, 1994.pp. 37-56.

55. OASIS Security Services (SAML) TC Public Documents, http://www.oasis-open, org/committees/documents.php?wgabbrev=security

56. S. L. Osborn, R. S. Sandhu, Q. Munawer. Configuring role-based access control to enforce mandatory and discretionary access control policies. // Proceedings of ACM Trans. Inf. Syst. Secur. №3(2), 2000. — pp. 85-106.

57. S. L. Osborn. Integrating role graphs: a tool for security integration. // Data Knowl. Eng. №43(3), 2002. pp. 317-333.

58. A. Ott. Mandatory Rule Set Based Access Control in Linux. A Multi-Policy Security Framework and Rol6 Model Solution for Access Control in Networked Linux Systems.1. Shaker Publishing, 2007.

59. A. Ott. The Role Compatibility Security Model. // Nordic Workshop on Secure IT Systems (NordSec), 2002.

60. R. Peri. Specification and Verification of Security Policies. / Dissertation. — The Faculty of the School of Engineering and Applied Science, University of Virginia. — 1996. — 179 P

61. Puchkov, F.; Shapchenko, K. Static Analysis Method for Detecting Buffer Overflow Vulnerabilities // Programming and Computer Software, Volume 31, Number 4, July 2005, pp. 179-189(11).

62. G. Rozenberg, editor. Handbook of Graph Grammar and Computing by Graph Transformation. Vol: 1: Foundations. — World Scientific, 1997.

63. Rule-Set Based Access Control. Электронный ресурс]. Режим доступа: http://www. rsbac. org, свободный. — Электрон, текст, док.

64. В. Sarna-Starosta, S. D. Stoller. Policy analysis for security-enhanced Linux. //In Proceedings of the 2004 Workshop on Issues in the Theory of Security, pages 1-12, April 2004.

65. R. Sandhu. Role-Based Access Control. // Advances in Computers, Vol.46. — Academic Press 1998.

66. R. Sandhu. Lattice-Based Access Models. // IEEE Computer, Vol. 26, N. 11, November 1993, pp. 9-19.

67. R. Sandhu, V. Bhamidipati, Q. Munawer. The ARBAC97 Model for Role-Based Administration of Roles. // ACM Transactions on Information and Systems Security

68. TISSEC), Vol. 2, February 1999.

69. R. Sandhu, P. Samarati. Access Control: Principles and Practice. // IEEE Communications, Vol. 32, N. 9, September 1994.

70. R. Sandhu, E. J. Coyne, H. L. Feinstein, С. E. Youman. Role-based access control models. // IEEE Computer, 29(2):38-47, 1996.

71. M. Schumaher, E. Fernandez-Buglioni, D. Hybertson, F. Buschmann, P. Sommerlad. Security patterns: integrating security and systems engineering. — John Wiley & Sons, 2006.

72. D. Solomon, M. Russinovich. Microsoft Windows Internals, 4th Ed. — Microsoft Press, 2005. 922 p.

73. Spengler В., Increasing Performance and Granularity in Role-Based Access Control Systems: A Case Stiidy in Grsecurity. Электронный ресурс]. Режим доступа: http: //www.grsecurity.net/researchpaper.pdf, свободный. — Электрон, текст, док.

74. G. Holzmann. The,SPIN Model Checker: Primer and Reference Manual. — Addison-Wesley Professional, 2003. — 608 p.

75. Sun Microsystems. RBAC in the Solaris Operating Environment White Paper. Электронный ресурс]. Режим доступа: http://www.sun.com/software/whitepapers/ wp-rbac/wp-rbac.pdf, свободный. — Электрон, текст, док.

76. Н. Wang, S. L. Osborn. Discretionary access control with the administrative role graph model. // SACMAT 2007 Proceedings. pp. 151-156.