Модели и методы формирования политик безопасности автоматизированных систем на основе данных активного аудита тема диссертации и автореферата по ВАК РФ 05.13.06, кандидат технических наук Перервенко, Александр Вячеславович

Проблема диссертационного исследования является весьма актуальной — в наши дни обеспечение безопасности автоматизированных систем (АС) входит в круг интересов всех участников информационного процесса. Это связано с тем обстоятельством, что функционирование государственных и коммерческих АС становится невозможным без поддержания их безопасности и целостности. Прогресс в области защищенных информационных технологий сопровождается постоянным усилением требований поддержания безопасности. Однако существующая статистика нарушений свидетельствует о продолжающемся кризисе в области информационной безопасности, основными причинами которого являются недостатки проектирования и эксплуатации средств защиты. Функции АС должны выполняться при опережающих темпах развития систем защиты информации, и, прежде всего, появления новых идей в сфере формирования политик безопасности. Только это может гарантировать защиту информации от нежелательного распространения, изменения или потери. Для задания политики безопасности (ПБ) потребители вынуждены использовать стандартные решения* предлагаемые производителем. Отсутствие у потребителя гарантий, кроме утверждений разработчиков, что в используемой системе ПБ выполняется корректно, является одной из основных причин нарушений безопасности. Эта проблема особенно остро стоит в АС, к которым предъявляются повышенные требования гарантированности защиты: в системах управления технологическими процессами, движением транспорта, проведения банковских операций, обработки секретной информации.

Различные вопросы создания теоретической и методологической базы, моделирования правил политики безопасности рассматриваются в работах таких ученых как Герасименко В.А., Грушо А.А., Расторгуев С. П., Щербаков А.Ю., Деннинг Д.Е., МакЛин Д., Сандху Р., Самарати П. Специалисты Гостехкомиссии и ее подведомственных организаций разрабатывают средства автоматизации анализа защитных свойств (например, НКВД, АИСТ). Новое научное направление, изучающее методы предотвращения случайного или преднамеренного раскрытия, искажения или уничтожения информации в автоматизированных системах управления, создано сравнительно недавно. Это может служить некоторым оправданием наличия ряда важных нерешенных научных проблем. Эти проблемы являются достаточно сложными не только в теоретическом, но и методологическом плане.

Если рассматривать проблему в целом, то следует отметить, что в нашей стране отсутствует даже общепринятая терминология. Официальным единственным стандартом в России являются документы, подготовленные Гостехкомиссией РФ. Теория и практика зачастую действуют в разных плоскостях, поэтому основными причинами системного кризиса являются недостатки проектирования и эксплуатации средств защиты.

Следствием этого является то, что практически все системы защиты основаны на анализе результатов успешно состоявшейся атаки, что предопределяет их отставание от текущей ситуации. В качестве примера можно привести распространенную практику закрытия «внезапно» обнаружившихся пробелов в системе защиты.

Существующие публикации на эту тему в основном ограничиваются перечислением моделей угроз и аналитическими обзорами.

Проблема выявления действий злоумышленника значительно усложняется, когда они происходят в условиях периодического срабатывания системы защиты в результате таких непреднамеренных действий добросовестных пользователей, которые классифицируются как несанкционированные действия.

Несмотря на очевидную актуальность задача анализа и прогнозирования данных о наиболее вероятных действиях злоумышленника на фоне регистрируемых фактов несанкционированных действий (НСД) по вине добросовестных пользователей, а также комплексной оценки ситуации на основе полной и достоверной информации не получила должного решения.

Проблема наиболее полного учета всей накопленной статистической информации, управление системой защиты информации на основе прогнозирования развития ситуации при выявлении несанкционированных действий представляет собой сложную научно-производственную проблему государственного масштаба, одной из составных частей которой является проблема создания системы организационно-технических мероприятий защиты информации в процессе разработки правил политики безопасности. Актуальность этой темы определила цель диссертационного исследования.

Целью данной диссертации является разработка комплекса моделей и методического аппарата защиты информации путем формирования политик безопасности и выявления несанкционированных действий злоумышленника на основе данных систем активного аудита.

В соответствии с этой целью объектом исследования являются модели и методы защиты автоматизированных систем, а предметом исследования является процесс формирование потока данных активного аудита о действиях, как злоумышленников, так и добросовестных пользователей, математические модели и методы разработки политик безопасности и рекомендаций по защите информации.

Достижение поставленной в диссертации цели предопределило постановку и решение следующих основных задач исследований:

1. Разработка теоретико-познавательных моделей, предназначенных для изучения статистических данных систем активного аудита о характеристиках потока событий с признаками НСД.

2. Разработка моделей комплексной оценки потока событий с признаками НСД, которые предназначены для исследования процесса наблюдения и контроля состояния информационной безопасности распределенной автоматизированной системы, с целью получения знаний для управления процессом планирования политик безопасности.

3. Разработка метода выявления несанкционированных действий злоумышленника, осуществляемых на фоне потока событий активного аудита с признаками НСД, возникшими по вине добросовестных пользователей.

Решение этих задач в процессе диссертационных исследований позволило разработать и обосновать ряд положений, которые выносятся на защиту. К ним относятся следующие положения:

1. Теоретико-познавательные модели исследования технологических процессов формирования и комплексной оценки потока событий с признаками НСД.

2. Метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения.

Научная новизна полученных результатов:

1. Определен и обоснован базовый состав моделей защиты информации от непреднамеренных помех различного происхождения и для оценки характеристик потока событий. В отличие от уже созданных моделей, предлагаемые модели обеспечивают учет результатов обследования состояния и выявленных тенденций изменения наиболее существенных факторов. С этой целью в работе разработаны следующие модели:

• Модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий в автоматизированной системе регистрируется признак НСД.

• Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

• Модель прогнозирования основных тенденций развития методов и средств осуществления угроз автоматизированным системам.

2. Задача управления процессом планирования политики безопасности впервые решается построением модели комплексной оценки потоков событий систем активного аудита и построением нечеткой ситуационной сети, которая представляет собой нечеткий граф переходов по эталонным позициям.

3. Разработан метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения. В отличие от существующих методов выявления злоумышленников предлагаемый метод основан на использовании принципов ситуационного управления процессом, условий реализации с учетом возможных возмущений.

Практическая значимость результатов исследований состоит в следующем:

• Разработанные модели позволяют обеспечить решение практических задач получения новых знаний о характеристиках потока событий с признаками НСД на основе статистической информации, предоставляемой системами активного аудита.

• Практическая значимость полученных в диссертации результатов определяется возможностью их использования органами управления Российской Федерации при практическом использовании автоматизированных систем. Математические модели и методы оформлены в виде пакета прикладных программ в операционной среде «Windows».

Основное содержание и результаты исследований опубликованы в печати.

Полученные научные результаты непосредственно связаны с научно-практической деятельностью автора в процессе выполнения им соответствующих заданий НИР. В процессе выполнения диссертационных исследований использовалась оперативная статистическая информация, накапливаемая в учреждениях Главного Управления Банка России по Ленинградской области (ГУ БР по ЛО).

Диссертационная работа включает введение, 4 главы, заключение, список литературы. Объем диссертации 129 страниц, из них список литературы на 8 листах, 35 рисунков и таблиц.

Выводы по четвертой главе.

1. Преимущество систем обнаружения вторжений, основанных на поведении, состоит в том, что они могут обнаруживать попытки использования новых и непредвиденных уязвимостей, а также могут (частично) автоматически обнаруживать новые атаки. Они менее зависимы от специальных механизмов операционных систем. Высокий процент ложных сигналов тревоги обычно считается главным недостатком систем обнаружения вторжений, основанных на поведении, поскольку все аспекты поведения пользователей автоматизированной системы не могут быть учтены на этапе обучения.

2. Предлагается поведение пользователей и злоумышленников оценивать функцией полезности базы данных. Принципиальное отличие в их действиях определяется отличием целей осуществляемого доступа в базу данных. Злоумышленник стремится получить максимум наиболее ценной информации, которая хранится в информационных элементах разных пользователей. Добросовестный пользователь работает с информацией в пределах предметной области, которая определяется его функциональными обязанностями. Различие целей доступа проявляется в рассчитанных значениях функции полезности: целевая функция злоумышленника стремится к ее максимальному значению, значения целевой функции добросовестного пользователя находятся в пределах его среднестатистического уровня.

3. Разработана функция полезности, представляющая собой интегральный критерий, который позволяет упорядочить одну из двух альтернатив (пользователь/злоумышленник) по рассчитанной величине функции и выделить благодаря этому наилучшую альтернативу (в смысле принятого критерия). Выбор аддитивной функции полезности позволяет определять вклад каждого частного критерия/ в интегральный критерий. Функция полезности системы зависит только от функций полезности элементов и монотонно возрастает по каждому аргументу.

4. Построена система линейных решающих правил, которые обеспечивает необходимую степень адекватности предметной области, минимальные вычислительные трудности расчета интегрального критерия для разных альтернатив, устойчивость результатов от малых изменений исходных данных.

5. Использование линейной временной логики предикатов для моделирования действий злоумышленника является наиболее обоснованным в связи с тем, что в настоящее время практически во всех автоматизированных системах используется реляционная база данных. Линейная временная логика позволяет моделировать смену ситуаций, которые происходят в результате эволюции действий злоумышленника с течением времени при несанкционированном доступе к автоматизированной системе.

Заключение

Защита информации в автоматизированной системе требует последовательного решения двух задач: достоверного выявления действий злоумышленника и применение комплекса организационно-технических мероприятий, адекватных степени угрозы.

Существующие тенденции проектирования автоматизированных систем, развитие методов и средств несанкционированного доступа ужесточают требования к системам защиты. Цена ошибки является достаточно высокой: необоснованное применение системы защиты информации снижает производительность автоматизированной системы, неприменение системы защиты связано с риском потери или утечки информации.

Актуальность проблемы, связанной с разработкой алгоритмов моделирования и анализа политик безопасности автоматизированных систем, предопределила выбора темы исследования.

В большинстве проблемных областей, связанных с достоверной и точной оценкой состояния и развития автоматизированных систем, невозможно создание формальных традиционных количественных моделей. Системный анализ требует исследования содержания потока событий с признаками НСД по показателям, связанным со смысловым аспектом накопленной статистической информации. Для проблем подобного типа характерно наличие неопределенности, описания отдельных параметров процесса на качественном уровне.

Поэтому первая глава посвящена анализу этой сложной проблемы.

При решении первой научной проблемы была выполнена концептуализация знаний о предметной области - составлен список базисных (основных) понятий, выявлены отношения между ними, определены стратегии принятия решений в данной предметной области. В результате декомпозиции сложная система была разделена на группу более мелких подсистем с такой взаимосвязью, чтобы глобальная задача преобразовалась в группу взаимосвязанных между собой локальных задач.

Практическим результатом выполненного во второй главе исследования предметной области явилась разработка системы моделей для получения знаний о параметрах потока событий с признаками НСД.

Комплекс моделей представляет собой инструмент, позволяющий любому исследователю адаптировать выбранную систему оценки качества информации (набор оцениваемых параметров) таким образом, чтобы эта система была максимально адекватна конкретной заданной цели действия. Другими словами, в выполненной работе реализован такой подход, при котором в каждом конкретном случае строится определенная конфигурация математических моделей, характеризующих количественную оценку качества от набора оцениваемых показателей (параметров).

В рамках созданной структуры комплекса моделей приведено математическое описание следующих моделей:

1. Модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий в автоматизированной системе регистрируется признак НСД.

2. Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

3. Модель прогнозирования основных тенденций развития методов и средств осуществления угроз автоматизированным системам.

Все вышеизложенное позволило создать систему анализа информации и разработать модель оценки развития ситуаций с признаками НСД методом нечеткой логики.

Проведенные в третьей главе расчеты и последующая апробация результатов исследования подтвердили адекватность принятого описания физической сущности процесса.

Введение в состав целевой функции дополнительного фактора, характеризующего логику поведения злоумышленника, потребовало создания более сложной модели. Формализация проблемы выявления злоумышленника на фоне инцидентов НСД и активизация профилактических мероприятий для противодействия обнаруженной угрозе рассматривается в четвертой главе.

Реализация новых наукоемких технологий в практической деятельности позволяет решать задачи защиты информации от несанкционированного доступа. Решение всех перечисленных задач в процессе диссертационных исследований позволило разработать и доказать ряд положений, которые выносятся на защиту. К ним относятся следующие положения:

1. Теоретико-познавательные модели исследования технологических процессов формирования и комплексной оценки потока событий с признаками НСД.

2. Метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения.

Реализация полученных научных результатов в практической деятельности ГУ БР по Л О наглядно демонстрируют возможность их использования другими государственными организациями и ведомствами, а также коммерческими предприятиями.

На основании вышеизложенных результатов диссертационной работы можно сделать общий вывод о достижении основных задач, поставленных на проведение исследований.

122

1. Бешелев С.Д., Гурвич Ф.Г. Математико-статистические методы экспертных оценок. М.: Статистика, 1980, 263 с.

2. Борисов А. Н., Крумберг О. А., Федоров И. П. Принятие решений на основе нечетких моделей. — Рига: Зинатне, 1990.

3. Брагг Р. Система безопасности Windows 2000. М.: Изд. Дом "Вильяме", 2001, 592 с.

4. Вентцель Е.С. Теория случайных процессов и ее инженерное применение. -М.: Высшая школа, 2000, 383 с.

5. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, кн. 1 и 2, 1994.

6. Герасименко В.А., Малюк А.А., Основы защиты и нформации. — М.: МИФИ, 1997.

7. Глотов В. А., Павельев В. В. Векторная стратификация. — М.: Наука, 1984.

8. Глушков В.М., Иванов В.В. Моделирование развивающихся систем. М.: Наука, 1983.

9. Грушо А. А., Тимонина Е.Е. Теоретические основы защиты информации. —М.: Яхтсмен, 1996.

10. Грушо А.А., Тимонина Е.Е. Двойственность многоуровневой политики безопасности //Методы и технические средства обеспечения безопасности информации: Тез. докл. СПб: Изд-во СПбГТУ, 2000, с. 40-41.

11. Заварыкин В. М., Житомирский В. Г., Лапчик М. П. Численные методы. М.: Просвещение, 1991.

12. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976.

13. Защита от несанкционированного доступа к информации. Термины и определения. Руководящий документ. М.: Гостехкомиссия России, 1992, 13с.

14. Зегжда П.Д. Способы защиты информации. — М.: Яхтсмен, 1996.

15. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. СПб: НПО "Мир и семья-95", 1997, 312 с.

16. Зегжда Д.П., Калинин М.О. Моделирование политик безопасности для исследовательских и обучающих целей //Проблемы информационной безопасности. Компьютерные системы, 2000, №2, с. 105-111.

17. Зима В.М., Молдовян А.А. Компьютерные сети и защита передаваемой информации. СПб: Издательство СПбГУ, 1999, 328 с.

18. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. СПб: СПбГУ, 1999, 368 с.

19. Зима В.М., Молдовян А.А., Молдовян Н.А. Защита компьютерных ресурсов от несанкционированных действий пользователей. Учебное пособие. — СПб: ВИКА им. Можайского, 1997, 257 с.

20. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО 15408-1-99: В 3 ч. Ч. 1: Введение и общая модель. Первая редакция. М.: Госстандарт России, 1999, 51 с.

21. Информационная технология Методы и средства безопасности -Критерии оценки безопасности информационных технологий. ISO/IEC 154081,2,3:1999.

22. Каста Дж. Большие системы: связность, сложность и катастрофы: Перевод с англ. яз. М.: Мир, 1982, 216 с.

23. Керниган Б.В., Пайк P. UNIX — универсальная среда программирования. М.: Финансы и статистика, 1992, 304 с.

24. Комментарий к международному стандарту ISO 15804 "Общие критерии оценки безопасности информационных технологий" для финансовых организаций. Научно-технический Центр Ассоциации Российских Банков.

25. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. Руководящий документ. М.: Гостехкомиссия России, 1992, 9 с.

26. Логическое программирование //Сборник. М. Мир, 1988, 368 с.

27. Макеев С. П., Шахнов И. Ф. Упорядочение объектов в иерархических системах // Известия АН СССР. Техническая кибернетика. — 1991,-№3.

28. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. — М: Горячая линия-Телеком, 2004, 280 с. ил.

29. Математические основы информационной безопасности /Баранов А.П., Борисенко Н.П., Зегжда П.Д. и др. Орел: ВИПС, 1997, 354 с.

30. Мельников Д.А. Информационные процессы в компьютерных системах. М.: Кудиц - образ, 1999, 256 с.

31. Нечеткие множества и теории возможностей. / Под редакцией P.P. Ячера. Пер. с англ. М.: Радио и связь, 1986.

32. Общие критерии оценки безопасности информационных технологий: Учебное пособие. Перевод с английского Е.А. Сидак/Под ред. М.Т. Кобзаря, А.А. Сидака. М.:ЦБИ, 2001, 81 с.

33. Общая методология оценки безопасности информационных технологий Часть 1: Введение и общая модель, СЕМ-97/017 версия 0.6, январь 1997.

34. Общая методология для оценки безопасности информационных технологий — Часть 2: Методология оценки, СЕМ-99/045 версия 1.0, август 1999.

35. Перервенко А.В. Определение наиболее эффективной политики безопасности с учетом результатов прогнозирования изменений модели угроз. // Сборник трудов научно-практической конференции. — СПб: ВИТУ, 2005. — с. 58.

36. Петров В.А., Пискарев А.С., Шеин А.В. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1995.

37. Поспелов Д.А. Большие системы (ситуационное моделирование). — М.: Наука, 1979.

38. Просихин В.П. Формализация условий безопасности и моделирование действий нарушителя в системах, построенных на основе модели Белла-ЛаПадула //Проблемы информационной безопасности. Компьютерные системы. 2000, №2, с. 57-64.

39. Ракитин В. И., Первушин В. Е. Практическое руководство по методам вычислений с приложением программ для персональных компьютеров. М.: Высш. шк., 1998.

40. Расторгуев С.П. Введение в теорию информационного противоборства. СПб.: Изд-во СПбГТУ, 2000, 74 с.

41. Робачевский A.M. Операционная система UNIX. СПб.: БХВ-Петербург, 2000, 528 с.

42. Романов А.Н., Одинцов Б.Е. Советующие информационные системы в экономике. М.: ЮНИТИ - ДАКА, 2000, 487 с.

43. Саати Т., Керне К. Аналитическое планирование, организация систем. М.: Радио и связь, 1991, 223 с.

44. Саати Т. Принятие решений. Метод анализа иерархий. — М.: Радио и связь, 1989.

45. Себеста Р.У. Основные концепции языков программирования. М.: Издат. дом "Вильяме", 2001, 672 с.

46. Сидак А.А. Формирование требований безопасности современных сетевых информационных технологий. Серия "Безопасность информационных технологий". М.:МГУЛ, 2001.

47. Советов Б .Я. Информационные технологии. М.: Высшая школа, 1994, 368 с.

48. Советов Б.Я., Цехановский В.В. Автоматизированное управление современным производством. — Л.: Машиностроение, Ленинградское отделение, 1988, 168 с.

49. Справочник по теории вероятностей и математической статистике/ под ред. Королюка B.C. Киев: Наукова думка, 1978, 584 с.

50. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники от несанкционированного доступа к информации. Руководящий документ. М.: Гостехкомиссия России, 1992, 25 с.

51. Таненбаум Э. Современные операционные системы. СПб: Питер, 2002, 1040 с.

52. Тей А., Грибомон П., Луи Ж., Снийерс Д. и др. Логический подход к искусственному интеллекту: от классической логики к логическому программированию. М. Мир, 1990, 432 с.

53. Фишберн П. С. Теория полезности для принятия решений. — М.: Наука, 1977.

54. Хопкрофт Д.Э., Мотвани Р., Ульман Д.Д. Введение в теорию автоматов, языков и вычислений. М.: Изд. дом "Вильяме", 2002, 528 с.

55. Щербаков А.Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе //Безопасность информационных технологий, 1997, №1, с. 15-26.

56. Allan H., Maimone M.W., Tygar J.D, Wing J.M., Moormann Zaremski A. Miry: Visual Specification of Security. IEEE Transactions on Software Engineering (TSE), 16(1), 1990. P. 1185-1197.

57. Beitino E., Jajodia S., Samarati, P. A flexible authorization mechanism for relational data management systems. ACM Transactions on Information Systems 17(2), 1999. P. 101-140.

58. Bell D.E., LaPadula L J. Secure Computer Systems: Mathematical Foundations. MITRE Technical Report 2547, Vol. II, MITRE, Bedford, MA, 1973. 31 p.

59. Bell D.E., LaPadula L.J. Secure computer systems: Unified exposition and Multics interpretation. MITRE Technical Report 2997, MITRE, Bedford, MA, 1975. 134 p.

60. Bertino E. Buccafurri F.; Ferrari E., Rullo P. An authorizations model and its formal semantics. Proc. of the 5th European Symp. on Research in Computer Security (ESORICS'98), number 1485 in LNCS,, Louvain-la-Neuve, Belgium, 1998. P. 127-142.

61. Bonatti P., De Capitani Di Vimercati S., Samarati P. An Algebra for Composing Access Control Policies. ACM Transactions on Information and System Security (TISSEC), 5(1), 2002. p. 1-35.

62. Castano S., Fugini M.G., Martella G., Samarati P. Database Security. Addison-Wesley, 1995. 456 p.

63. Cholvy L., Cuppens F. Analyzing Consistency of Security Policies. Proc. of the 1997 IEEE Symposium on Security and Privacy. Oakland, С A, USA: IEEE Press, 1997. P. 103-112.

64. Curry D.A. Unix System Security. Addison-Wesley, Reading, MA, 1992.296р.

65. Damianou N., Dulay N., Lupu E., Sloman M. The Ponder Policy Specification Language. Proc. Policy 2001: Workshop on Policies for Distributed Systems and Networks, Bristol, UK, 2001. P. 29-31.

66. Denning D.E. Cryptography and Data Security. Addison-Wesley, 1982.400 p.

67. Goguen J. A., Meseguer J. Security Policies and Security Models. Proc. 1982 IEEE Symposium on Security and Privacy, IEEE Computer Society Press, 1982. p. 11-20.

68. Gollmann D. Computer Security. John Wiley and Sons, 1999. 320 p.

69. Gray J. W., Ill, Syverson P. F. A Logical Approach to Multilevel Security of Probabilistic Systems /Proc. of the 1992 IEEE Symposium on Security and Privacy, Oakland, CA, 1992. P. 164-176.

70. Haigh J. T. A Comparison of Formal Security Models. Proc. 7th National Computer Security Conference, Gaithersburg, MD, 1984. p. 88-111.

71. Harel D. On Visual Formalisms. Comm. of the ACM, 31(5), 1988. P. 512-530.

72. Harrison M.A., Ruzzo W.L., Ullman J.D. Protection in operating systems. Comm. of the ACM, 19(8), 1976. p. 461-471.

73. Hoagland J.A. Security Policy Specification Using a Graphical Approach. The University of California, Davis Department of Computer Science, Davis, CA, 1993. 2 p.

74. Hoagland J.A., Pandey R., Levitt K.N. Security Policy Specification Using a Graphical Approach. Technical Report CSE-98-3, The University of California, Davis Department of Computer Science, Davis, CA, 1998. 17 p.

75. Jajodia S., Samarati P., Subrahmanian V.S. A Logical Language for Expressing Authorizations. Proc. of the 1997 IEEE Symposium on Security and Privacy. Oakland, CA, USA, IEEE Press, 1997. P. 31-42.

76. Jajodia S., Samarati P., Subrahmanian V., Beitino E. A unified framework for enforcing multiple access control policies. In Proc. ACM SIGMOD International Conference on Management of Data, Tucson, AZ, 1997. P. 474-485.

77. Li N., Feigenbaum J., Grosof B. A logic-based knowledge representation for authorization with delegation. Proc. of the 12th IEEE Computer Security Foundations Workshop, Mordano, Italy, 1999. P. 162-174.

78. McLean J. The specification and modeling of computer security. IEEE Computer, 23(1),. 1990. p. 9-16.

79. McLean J. A Comment on the 'Basic Security Theorem of Bell and LaPadula / Information Processing Letters, Vol. 20(2), 1985. P. 67-70.

80. McLean J. Security models and information flow. In Proceedings of the 1990 IEEE Symposium on Research in Security and Privacy. IEEE Computer Society Press, 1990. p. 180-187.

81. McLean J. A Formal Method for the Abstract Specification of Software. Journal of the ACM, 31(3), 1984. p. 600-627.

82. McLean J. Proving noninterference and functional correctness using traces /Journal of Computer Security, 1(1), 1992. p. 37-57.

83. Miller D.V., Baldwin R.W. Access control by Boolean Expression Evaluation. Proc. 5th Annual Computer Security Applications Conference. Tucson, AZ, USA: IEEE Computer Society Press, 1990. P. 131-139.

84. Morgan R., McGilton H. Introducing UNIX System V. McGraw-Hill Book Company, 1987. 612 p.

85. Schultz E.E. Windows NT/2000 Network Security. Macmillan Technical Publishing, 2000. 437 p.

86. Tidswell J. E., Jaeger T. An Access Control Model for Simplifying Constraint Expression. Proc. of the 7th ACM conference on Computer and Communications Security, 2000. P. 154-163.