Об оценке ущерба от утечки полномочий в ролевой модели безопасности С.В. Усов Н.Ф. Богаченко raintower@mail.ru bogachenkonf@mail.ru Омский государственный университет им. Ф.М. Достоевского, Омск, Россия Аннотация В данной работе предложен алгоритм оценки относительного ущер- ба от утечки полномочий в рамках ролевой модели разграничения доступа с иерархией на множестве ролей. Вычисление относитель- ного ущерба производится по методу анализа иерархий. Приведена вариация алгоритма оценки относительного ущерба, не требующая привлечения экспертных оценок при использовании метода анали- за иерархий. В такой вариации удается избежать систематических ошибок, присущих данному методу принятия решений. 1 Проблема утечки полномочий в иерархической ролевой модели безопасности Ролевая модель разграничения доступа [1] базируется на идее разбиения множества субъектов на клас- сы, называемые ролями, такие, что каждой роли приписывается определенный набор привилегий (или полномочий). Каждая привилегия, если подходить с точки зрения дискреционной политики безопасности, представляет собой предзаданный набор прав на определенные объекты. Пользователь получает соответ- ствующий роли набор полномочий при авторизации на эту роль. Развитие ролевой политики безопасности произведено в таких работах, как [2]. В рамках данной статьи мы будем основываться на построении ролевого разграничения доступа с использованием метода анализа иерархий [3], предложенного в [4]. Проблема утечки прав доступа – ключевая проблема в направлении изучения моделей безопасности компьютерных систем. В случае ролевой модели ее можно интерпретировать как проблему утечки полно- мочий или же ролей. В [4] предложена методика оценки вероятностей утечки полномочий. Таким образом, если удастся подсчитать ущерб, возникающий по причине утечки каждого из полномочий, можно оценить ущерб, причиняемый нарушением ролевой политики безопасности в целом. В ролевой модели безопасности определяются 𝑅 = {𝑟1 , . . . , 𝑟𝑛 } – множество всех ролей системы, и 𝑃 = {𝑝1 , . . . , 𝑝𝑚 } – множество всех привилегий системы. Каждой роли сопоставлен определенный набор привилегий. На множестве ролей вводится частичный порядок, тем самым задается иерархия, которую можно представить в виде ориентированного графа (ациклического). Если роль 𝑟 находится в иерархии выше роли 𝑟′ , то есть 𝑟 > 𝑟′ , то она обладает всеми привилегиями, которыми обладает роль 𝑟′ . Иерархию будем представлять ориентированным деревом, в котором нелистовым вершинам соответствуют вспомо- гательные роли, листовым – роли конечных пользователей. c by the paper’s authors. Copying permitted for private and academic purposes. Copyright ○ In: Sergey V. Belim, Nadezda F. Bogachenko (eds.): Proceedings of the Workshop on Data, Modeling and Security 2017 (DMS-2017), Omsk, Russia, October 2017, published at http://ceur-ws.org В [4] в рамках нескольких предположений, которые используются в качестве аналога экспертных оценок в методе анализа иерархий, оценивается риск утечки полномочий. Предположения следующие: 1. Чем больше полномочий содержит роль, тем выше вероятность атаки на нее. 2. Чем чаще встречается полномочие, тем выше вероятность его утечки. 3. Чем выше роль в иерархии, тем выше вероятность атаки на нее. Считая вероятности утечки полномочий 𝑃 (𝑝1 ), . . . , 𝑃 (𝑝𝑚 ) уже определенными по предложенному алго- ритму [4], приступим к построению оценки ущерба. 2 Задача нахождения относительного ущерба от утечки полномочий Будем решать следующую задачу. Пусть задана иерархия ролей системы, для каждой роли задан набор приписанных ей полномочий. Требуется рассчитать сравнительный ущерб от успешной атаки на каждую из ролей с учетом расположения ролей и приписанных им полномочий в иерархии. При этом ущерб от утечки полномочий может быть не задан даже в относительной форме. При расчете ущерба будем использовать следующие эвристики: 1. Чем реже встречается привилегия в иерархии ролей, тем выше ущерб от ее утечки. 2. Чем реже встречается привилегия среди листовых ролей (которые назначаются конечным пользова- телям), тем выше ущерб от ее утечки, причем зависимость носит экспоненциальный характер. Данные предположения основываются на том, что наиболее «ценные» полномочия, утечка которых мо- жет привести к серьезному ущербу для системы (организации), приписываются относительно небольшому количеству ролей, которые назначаются наиболее ответственным пользователям: администраторам, чле- нам руководства или службы безопасности организации. Разумеется, не всегда такие допущения хорошо коррелируют с реальным положением дел, но в случае отсутствия какой-либо дополнительной информации следует признать их разумными. Для расчета сравнительного ущерба будем использовать метод анализа иерархий, где на уровне кри- териев (в терминах теории принятия решений) находятся привилегии, а на уровне альтернатив – роли (см. рис. 1). Нашей задачей будет упорядочить роли по уменьшению среднего ущерба, возникающего при похищении ролей. Фокус Выбор роли проблемы P(p1) P(pk) P(pm) Уровень p1 pk pm критериев … … D1(p1) D1(pk) Dn(pk) Dn(pm) Уровень D1(pm) Dn(p1) альтернатив r1 … rn Рис. 1: Дерево решения метода анализа иерархий Первая эвристика будет использоваться при составлении матриц парных сравнений для альтернатив, вторая – для вычисления определенных элементов этих матриц только в том случае, если ущерб от утечки полномочий не задан даже в относительной форме. Такой подход позволяет заполнить матрицы парных сравнений и решить задачу принятия решения без привлечения экспертов, что избавит полученное решение от влияния субъективных факторов. С другой стороны, для учета индивидуальных характеристик системы с ролевым разграничением до- ступа сохраняется возможность высчитывать коэффициенты относительного ущерба для матриц парных сравнений не автоматически, а задавать их самостоятельно, или с привлечением экспертов. В этом случае вторая эвристика не применяется. Относительные весовые коэффициенты 𝑃 (𝑝𝑘 ) (𝑘 = 1, . . . , 𝑚) уровня критериев будем вычислять по предложенному в [4] алгоритму оценки рисков утечки полномочий. Для расчета относительных весовых коэффициентов 𝐷𝑖 (𝑝𝑘 ) (𝑖 = 1, . . . , 𝑛, 𝑘 = 1, . . . , 𝑚) уровня аль- тернатив используем метод парных сравнений. Матрицы 𝑀 𝑘 парных сравнений альтернатив по 𝑘 -му из критериев (строки и столбцы соответствуют ролям системы) получим следующим образом: через 𝑣𝑘 обо- значим отношение ущерба от утечки привилегии 𝑝𝑘 к стоимости ее обслуживания в условиях безопасности. Элементы матрицы 𝑀 𝑘 вычисляем по следующему правилу: ⎧ ⎨𝑣𝑘 , ⎪ если привилегия 𝑝𝑘 приписана к роли 𝑟𝑖 , но не приписана к роли 𝑟𝑗 , 𝑘 𝑀𝑖𝑗 = 𝑣1𝑘 , если привилегия 𝑝𝑘 приписана к роли 𝑟𝑗 , но не приписана к роли 𝑟𝑖 , (1) если привилегия 𝑝𝑘 приписана к обеим ролям 𝑟𝑖 и 𝑟𝑗 , либо не приписана ни к одной. ⎪ 1, ⎩ Каждая такая матрица обладает свойствами матрицы парных сравнений, в частности, 𝑀𝑖𝑖𝑘 = 1. Более того, 𝑀 𝑘 обладает идеальной согласованностью: Утверждение 1. Пусть матрица 𝑀 𝑘 размера 𝑛 × 𝑛, где 𝑛 – количество ролей в системе, заполнена по правилу 1. Тогда ∀𝑖, 𝑗, 𝑙 ∈ {1 . . . 𝑛} выполняется соотношение 𝑀𝑖𝑙𝑘 = 𝑀𝑖𝑗𝑘 × 𝑀𝑗𝑙 𝑘 . Для доказательства этого утверждения достаточно проверить 8 случаев отношения привилегии 𝑝𝑘 к каждой из ролей 𝑟𝑖 , 𝑟𝑗 , 𝑟𝑙 . Поскольку все случаи проверяются одинаково, ограничимся проверкой одного из них. Пусть 𝑝𝑘 относится к ролям 𝑟𝑖 и 𝑟𝑙 , и не относится к 𝑟𝑗 . Тогда 𝑀𝑖𝑗 𝑘 = 𝑣𝑘 , 𝑀𝑗𝑙𝑘 = 1, 𝑀𝑖𝑙𝑘 = 𝑣1𝑘 , и действительно, 𝑀𝑖𝑙 = 1 = 𝑣𝑘 × 𝑣𝑘 = 𝑀𝑖𝑗 × 𝑀𝑗𝑙 . 𝑘 1 𝑘 𝑘 Поскольку матрица 𝑀 𝑘 идеально согласована, столбцы нормированной матрицы 𝑀 𝑘* получатся одина- ковыми. Таким образом, для вычисления весовых коэффициентов каждой альтернативы по 𝑘 -му критерию достаточно выбрать и нормировать один (любой) столбец матрицы 𝑀 𝑘 . Мы будем использовать первый столбец, (𝑀 𝑘 )1 , соответствующий роли 𝑟1 , находящейся в корне дерева иерархии ролей 𝑇 . Поскольку роли 𝑟1 приписаны все привилегии системы, в таком столбце могут стоять только единицы и 𝑣1𝑘 , причем еди- ница на 𝑖-той позиции означает, что привилегия 𝑝𝑘 приписана роли 𝑟𝑖 , а 𝑣1𝑘 – что у роли 𝑟𝑖 привилегия 𝑝𝑘 отсутствует. На самом деле, конечно, удобнее перед нормированием домножить весь столбец (𝑀 𝑘 )1 на 𝑣𝑘 , что мы и будем делать. Именно матрица, составленная из величин 𝑤𝑖𝑘 = 𝑀𝑖1 𝑘 × 𝑣𝑘 , будет использоваться в алгоритме нахождения относительного ущерба. Далее завершаем применение метода анализа иерархий, вычисляя сравнительные оценки ущерба для каждой роли по классической формуле МАИ [3]. В дальнейшем рассчитанные сравнительные оценки могут быть использованы, например, при решении задачи авторизации: какую роль (или набор ролей) следует назначить пользователю, чтобы он получил заданный набор привилегий? В качестве одного из критериев при выборе ролей предлагаем использовать минимизацию ущерба при злоупотреблении пользователем дополнительными полномочиями, которые до- стались ему вместе с назначенными ролями. 3 Алгоритм расчета относительного ущерба от утечки полномочий Выпишем формально алгоритм расчета сравнительного ущерба от утечки полномочий. Пусть помеченное ориентированное дерево 𝑇 , определяющее иерархию ролей, содержит 𝑛 вершин 𝑟1 , . . . , 𝑟𝑛 и пусть в системе определено 𝑚 полномочий 𝑝1 , . . . , 𝑝𝑚 . Пусть для каждого полномочия 𝑝𝑘 рассчитана вероятность (риск) его утечки 𝑃 (𝑝𝑘 ). Также для каждого полномочия 𝑝𝑘 задан коэффициент отношения ущерба от утечки этого полномочия к обслуживанию полномочия при безопасной работе 𝑣𝑘 . Заметим, что требование древовидности ролевой иерархии необходимо для расчета рисков утечки пол- номочий 𝑃 (𝑝𝑘 ) по алгоритму, предложенному в [4]. Если эти величины получены каким-то иным способом, то ограничение на ролевую иерархию можно ослабить, потребовав лишь ацикличность. Алгоритм по шагам можно записать в следующем виде. Шаг 0. Если коэффициент 𝑣𝑘 не задан, для каждого полномочия 𝑝𝑘 назначить 𝑣𝑘 равным экспоненте от- ношения числа листовых ролей, не обладающих полномочием 𝑝𝑘 , к числу ролей, обладающих полномочием 𝑝𝑘 . Шаг 1. Каждой вершине 𝑟𝑖 ролевого дерева 𝑇 поставить в соответствие величину 𝑤𝑖𝑘 , равную 𝑣𝑘 , если роли 𝑟𝑖 приписано полномочие 𝑝𝑘 , и единице в противном случае. Шаг 2. Для каждой роли 𝑟𝑖 и полномочия 𝑝𝑘 вычислить относительные весовые коэффициенты затрат 𝐷𝑖 (𝑝𝑘 ) по формуле: 𝑤𝑘 𝐷𝑖 (𝑝𝑘 ) = ∑︀𝑛 𝑖 𝑘 . 𝑗=1 𝑤𝑗 Шаг 3. Для каждой роли 𝑟𝑖 посчитать значение 𝐷(𝑝𝑘 ) по формуле метода анализа иерархий: 𝑚 ∑︁ 𝐷(𝑟𝑖 ) = 𝑃 (𝑝𝑘 )𝐷𝑖 (𝑝𝑘 ). 𝑘=1 Шаг 4. Теперь можно выбрать роль с наименьшим значением оценки ущерба, либо расположить роли в порядке увеличения этой оценки. Утверждение 2. Трудоемкость алгоритма расчета сравнительного ущерба от утечки полномочий, основанного на методе анализа иерархий, равна O(𝑛 × 𝑚), где 𝑛 – число ролей, 𝑚 – число полномочий в системе. 4 Применение алгоритма расчета относительного ущерба от утечки полномо- чий Рассмотрим применение предложенного алгоритма на примере иерархии ролей 𝑇 1 , представленной на рис. 2. Пусть используется нестрогий таксономический подход к распределению полномочий, и полномочия Рис. 2: Ролевое дерево 𝑇 1 листовых ролей имеют следующие значения: 𝑟6 .𝑝 = {𝑝1 , 𝑝2 , 𝑝3 }, 𝑟7 .𝑝 = {𝑝2 , 𝑝4 }, 𝑟8 .𝑝 = {𝑝3 , 𝑝4 , 𝑝5 }, 𝑟9 .𝑝 = {𝑝3 , 𝑝5 }, 𝑟10 .𝑝 = {𝑝2 , 𝑝4 }, 𝑟11 .𝑝 = {𝑝2 , 𝑝5 }, 𝑟12 .𝑝 = {𝑝1 , 𝑝4 , 𝑝5 }, 𝑟13 .𝑝 = {𝑝3 , 𝑝5 }, 𝑟14 .𝑝 = {𝑝1 , 𝑝2 , 𝑝5 }, 𝑟15 .𝑝 = {𝑝5 }. Для остальных ролей получаем полномочия из условия наследования: 𝑟2 .𝑝 = {𝑝1 , 𝑝2 , 𝑝3 , 𝑝4 }, 𝑟3 .𝑝 = {𝑝2 , 𝑝3 , 𝑝4 , 𝑝5 }, 𝑟4 .𝑝 = {𝑝1 , 𝑝2 , 𝑝4 , 𝑝5 }, 𝑟5 .𝑝 = {𝑝1 , 𝑝2 , 𝑝3 , 𝑝5 }, 𝑟1 .𝑝 = {𝑝1 , 𝑝2 , 𝑝3 , 𝑝4 , 𝑝5 }. Применяя алгоритм расчета рисков утечки полномочий [4], находим комбинированные весовые коэф- фициенты 𝑃 (𝑝𝑘 ): 𝑃 (𝑝1 ) ≈ 0, 14, 𝑃 (𝑝2 ) ≈ 0, 23, 𝑃 (𝑝3 ) ≈ 0, 16, 𝑃 (𝑝4 ) ≈ 0, 17, 𝑃 (𝑝5 ) ≈ 0, 30. Считая коэффициенты 𝑣𝑘 не заданными, рассчитаем их как экспоненту отношения числа листовых ролей, не обладающих полномочием 𝑝𝑘 , к числу ролей, обладающих полномочием 𝑝𝑘 : 7 5 6 6 3 𝑣1 = 𝑒 3 , 𝑣2 = 𝑒 5 , 𝑣 3 = 𝑒 4 , 𝑣4 = 𝑒 4 , 𝑣5 = 𝑒 7 . Весовые коэффициенты 𝑤𝑖𝑘 занесем в матрицу W, в которой 𝑘 будет индексировать столбец, а 𝑖 – строку. ⎛ 7 5 6 6 3 ⎞ 𝑒3 𝑒5 𝑒4 𝑒4 𝑒7 ⎜ 73 5 6 6 ⎜𝑒 𝑒5 𝑒4 𝑒4 1 ⎟ ⎟ 5 6 6 3⎟ ⎜ 1 𝑒5 𝑒4 𝑒4 𝑒7 ⎟ ⎜ ⎜ 7 ⎜𝑒 3 𝑒 55 1 𝑒 64 𝑒 73 ⎟ ⎟ ⎜ 7 5 6 3⎟ ⎜𝑒 3 𝑒 5 𝑒 4 1 𝑒 7 ⎟ ⎜ 7 ⎟ ⎜𝑒 3 𝑒 55 𝑒 64 1 1⎟ ⎜ ⎟ ⎜ 1 𝑒 55 1 𝑒 64 1 ⎟ ⎜ ⎟ 6 6 3⎟ W=⎜1 1 𝑒4 𝑒4 𝑒7 ⎟ ⎜ ⎜ 6 3⎟ ⎜1 1 𝑒4 1 𝑒7 ⎟ ⎜ 1 𝑒 55 1 𝑒 64 1 ⎟ ⎜ ⎟ ⎜ ⎜ 1 𝑒 55 1 3 ⎟ ⎜ 7 1 𝑒7 ⎟ ⎟ ⎜𝑒 3 1 6 3 ⎜ 1 𝑒4 𝑒7 ⎟ ⎟ 6 3⎟ ⎜1 1 𝑒4 1 𝑒7 ⎟ ⎜ ⎜ 7 5 3⎟ ⎝𝑒 3 𝑒 5 1 1 𝑒7 ⎠ 3 1 1 1 1 𝑒7 6 Здесь, например, 𝑤43 = 1, поскольку роли 𝑟4 не приписано полномочие 𝑝3 , а 𝑤34 = 𝑣4 = 𝑒 4 , поскольку роли 𝑟3 приписано полномочие 𝑝4 . Нормируем каждый столбец матрицы W, тем самым получая матрицу D, составленную из относитель- ных весовых коэффициентов затрат 𝐷𝑖 (𝑝𝑘 ), в которой 𝑘 будет индексировать столбец, а 𝑖 – строку. ⎛ ⎞ 0, 129 0, 084 0, 105 0, 105 0, 073 ⎜0, 129 0, 084 0, 105 0, 105 0, 048⎟ ⎜ ⎟ ⎜0, 012 0, 084 0, 105 0, 105 0, 073⎟ ⎜ ⎟ ⎜0, 129 0, 084 0, 023 0, 105 0, 073⎟ ⎜ ⎟ ⎜0, 129 0, 084 0, 105 0, 023 0, 073⎟ ⎜ ⎟ ⎜0, 129 0, 084 0, 105 0, 023 0, 048⎟ ⎜ ⎟ ⎜0, 012 0, 084 0, 023 0, 105 0, 048⎟ ⎜ ⎟ D=⎜ ⎜0, 012 0, 031 0, 105 0, 105 0, 073⎟ ⎟ ⎜0, 012 0, 031 0, 105 0, 023 0, 073⎟ ⎜ ⎟ ⎜0, 012 0, 084 0, 023 0, 105 0, 048⎟ ⎜ ⎟ ⎜0, 012 0, 084 0, 023 0, 023 0, 073⎟ ⎜ ⎟ ⎜0, 129 0, 031 0, 023 0, 105 0, 073⎟ ⎜ ⎟ ⎜0, 012 0, 031 0, 105 0, 023 0, 073⎟ ⎜ ⎟ ⎝0, 129 0, 084 0, 023 0, 023 0, 073⎠ 0, 012 0, 031 0, 023 0, 023 0, 073 Каждый столбец этой матрицы представляет собой «собственный» вектор матрицы парных сравнений критериев. Здесь, например, 𝑤3 1 𝐷4 (𝑝3 ) = ∑︀𝑛 4 3 = 6 6 6 6 6 6 6 6 ≈ 0, 023. 𝑗=1 𝑤𝑗 𝑒 + 𝑒 + 𝑒 + 1 + 𝑒 + 𝑒 + 1 + 𝑒4 + 𝑒4 + 1 + 1 + 1 + 𝑒4 + 1 + 1 4 4 4 4 4 6 𝑤4 𝑒4 𝐷3 (𝑝4 ) = ∑︀𝑛 3 4 = 6 6 6 6 6 6 6 6 ≈ 0, 105. 𝑗=1 𝑤𝑗 𝑒4 + 𝑒4 + 𝑒4 + 𝑒4 + 1 + 1 + 𝑒4 + 𝑒4 + 1 + 𝑒4 + 1 + 𝑒4 + 1 + 1 + 1 Теперь посчитаем оценку ущерба для каждой из 15 альтернатив-ролей. 𝑚 ∑︁ 𝐷(𝑟1 ) = 𝑃 (𝑝𝑘 )𝐷1 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 098, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟2 ) = 𝑃 (𝑝𝑘 )𝐷2 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 048 ≈ 0, 086, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟3 ) = 𝑃 (𝑝𝑘 )𝐷3 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 078, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟4 ) = 𝑃 (𝑝𝑘 )𝐷4 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 081, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟5 ) = 𝑃 (𝑝𝑘 )𝐷5 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 080, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟6 ) = 𝑃 (𝑝𝑘 )𝐷6 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 023 + 0, 3 × 0, 048 ≈ 0, 072, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟7 ) = 𝑃 (𝑝𝑘 )𝐷7 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 105 + 0, 3 × 0, 048 ≈ 0, 057, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟8 ) = 𝑃 (𝑝𝑘 )𝐷8 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 031 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 066, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟9 ) = 𝑃 (𝑝𝑘 )𝐷9 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 031 + 0, 16 × 0, 105 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 052, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟10 ) = 𝑃 (𝑝𝑘 )𝐷10 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 105 + 0, 3 × 0, 048 ≈ 0, 057, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟11 ) = 𝑃 (𝑝𝑘 )𝐷11 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 051, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟12 ) = 𝑃 (𝑝𝑘 )𝐷12 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 031 + 0, 16 × 0, 023 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 069, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟13 ) = 𝑃 (𝑝𝑘 )𝐷13 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 031 + 0, 16 × 0, 105 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 052, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟14 ) = 𝑃 (𝑝𝑘 )𝐷14 (𝑝𝑘 ) ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 067, 𝑘=1 𝑚 ∑︁ 𝐷(𝑟15 ) = 𝑃 (𝑝𝑘 )𝐷15 (𝑝𝑘 ) ≈ 0, 14 × 0, 012 + 0, 23 × 0, 031 + 0, 16 × 0, 023 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 039. 𝑘=1 Прокомментируем полученные результаты. Во-первых, довольно ожидаемо, что чем больше полномочий приписано роли, тем больше ущерб в результате успешной атаки на нее. Это, однако, не всегда верно. Можно построить пример, в котором роль, которой приписано единственное «ценное» (редкое) полномочие, получит большую оценку, чем роль, которой приписано несколько распространенных полномочий, ущерб от утечки которых невелик. Во-вторых, если сравнивать роли с одинаковым числом полномочий, то чем больше полномочий, утечка которых приводит к большому ущербу, приписано роли, тем выше оценка ущерба этой роли. В услови- ях, когда коэффициенты относительного ущерба 𝑣𝑘 определяются эвристически согласно предложенному правилу, данный факт можно интерпретировать следующим образом: чем больше приписано роли редко встречающихся полномочий, тем выше ее оценка ущерба. Так, например, в нашем примере среди всех ро- лей, которым приписано по три полномочия, наивысшую оценку получила роль 𝑟6 , которой не приписано самое распространенное полномочие 𝑝5 , зато приписано редкое полномочие 𝑝1 . Разница в оценках, однако, не велика, так как все полномочия представлены в графе ролей достаточно широко, к тому же 𝑟6 содержит второе по популярности полномочие 𝑝2 . По той же причине среди всех ролей, которым приписаны по два полномочия, по оценке лидируют 𝑟7 и 𝑟10 . В третьих, оценка относительного ущерба тем выше, чем выше вероятность утечки полномочия, припи- санного роли. Это, однако, второстепенный фактор, поскольку высокая вероятность похищения определен- ного полномочия сама по себе еще не означает, что атака будет предпринята по отношению к конкретной роли, которой приписано данное полномочие. Но даже по нашему примеру можно заметить, что в лиде- рах по оценке относительного ущерба находятся роли с полномочием 𝑝2 . Как и 𝑝5 , это полномочие имеет высокую оценку риска утечки, но значительно реже встречается в листовых ролях (что повышает его «ценность» с точки зрения предложенных эвристик). По результатам, полученным на выходе алгоритма, рекомендуется уделить повышенное внимание (в частности, в сфере повышения уровня защиты) тем (листовым) ролям, которые получили наиболее высокие оценки относительного ущерба. В первую очередь, это роли 𝑟6 и 𝑟12 . При решении задачи авторизации [5] следует избегать назначения на эти роли пользователей при наличии альтернатив с меньшей оценкой. Список литературы [1] D.F. Ferraiolo, D.R. Kuhn. Role-Based Access Control. 15th National Computer Security Conference, 554– 563, October 1992. [2] D.N. Kolegov. Hierarchical Role-Based Access Control Development. Prikladnaja diskretnaja matematika, 3(17):70–76, 2012 (In Russian). [3] T.L. Saaty. The Analytic Hierarchy Process. New York, McGraw Hill, 1980. [4] S.V. Belim, N.F. Bogachenko. Using a Hierarchy Analysis Method to Assess Permission Leakage Risks in Systems with a Role Based Access Control. Information and Control Systems, 6(67):67–72, 2013 (in Russian). [5] S.V. Belim, S.Yu. Belim, N.F. Bogachenko. Using Analytic Hierarchy Process for Building of Role Based Access Control. Information Security Problems. Computer Systems, 3:7–17, 2013 (in Russian). On the Estimation of the Damage from the Leakage of Permissions in a Role-Based Security Model Sergey V. Usov, Nadezda F. Bogachenko In this paper, we propose an algorithm for estimating the relative damage from leakage of permissions within the role-based access model with a hierarchy introduced on a set of roles. The relative damage is calculated using the analytic hierarchy process (AHP). A version of the relative damage estimation algorithm, which does not require involving of AHP’s expert estimations, is provided.