Модель решетки ценностей

Обобщением порядковой шкалы является модель решетки. Пусть дано SC - конечное частично упорядоченное множество относительно бинарного отношения <, т.е. для каждых А, В, С выполняется

1) рефлексивность: А<А,

2) транзитивность: А<В, В<С==>А<С,

3) антисимметричность: А<В, В<А => А=В.

Определение 1.8. Для А, BÎSC элемент C=AÅBÎSC называется наименьшей верхней границей (верхней гранью), если

1) А<С, В<С;

2) A<D, B<DÞC<D для всех DÎSC.

Элемент AÅB, вообще говоря, может не существовать. Если наименьшая верхняя граница существует, то из антисимметричности следует единственность.

Определение 1.9.Для А, BÎC элемент E=AÄBÎSC называется наибольшей нижней границей (нижней гранью), если

1) Е<А, Е<В;

2) D<A, D<BÞD<E.

Эта граница также может не существовать. Если она существует, то из антисимметричности следует единственность.

Определение 1.10.(SC, <) называется решеткой, если для любых А, BÎSC существует AÅBÎSC и AÄBÎSC.

Лемма. Для любого набора S={А₁,...,А_n } элементов из решетки SC существуют единственные элементы,:

ÅS=A₁Å...ÅA_n - наименьшая верхняя граница S;

ÄS=A₁Ä...ÄA_n - наибольшая нижняя граница S.

Для всех элементов SC в конечных решетках существует верхний элемент High = ÅSC, аналогично существует нижний элемент Low = ÄSC.

Определение 1.11.Конечная линейная решетка - это линейно упорядоченное множество, можно всегда считать {0, 1 ,..., n}=SC .

Для большинства встречающихся в теории защиты информации решеток существует представление решетки в виде графа. Рассмотрим корневое дерево на вершинах из конечного множества Х={Х₁, Х₂...Х_n }с корнем в X_i. Пусть на единственном пути, соединяющем вершину X₁ с корнем, есть вершина X_j. Положим по определению, что Х_i<Х_j. Очевидно, что таким образом на дереве определен частичный порядок. Кроме того, для любой пары вершин X_i и X_j существует элемент Х_iÅХ_j, который определяется точкой слияния путей из X_i и X_j в корень. Однако такая структура не является решеткой, т.к. здесь нет нижней грани. Оказывается, что от условия единственности пути в корень можно отказаться, сохраняя при этом свойства частичного порядка и существование верхней грани. Например, добавим к построенному дереву вершину L, соединив с ней все концевые вершины. Положим i=l,...,n, L<X_j. Для остальных вершин порядок определяется как раньше. Построенная структура является решеткой.

Приведенный пример не исчерпывает множество решеток, представимых в виде графов, однако поясняет как связаны графы и решетки. Не всякий граф определяет решетку.

MLS решетка

Название происходит от аббревиатуры Multilevel Security и лежит в основе государственных стандартов оценки информации. Решетка строится как прямое произведение линейной решетки L и решетки SC подмножеств множества X, т.е. (a,b), (a’,b’) -элементы произведения, b,b’ÎL - линейная решетка, a,a’ÎSC - решетка подмножеств некоторого множества X. Тогда

(a,b)<(a’,b’)ÛaÍa’,b<b’

Верхняя и нижняя границы определяются следующим образом:

(a,b)Å(a¢,b¢)Û(aÈa¢,max{b,b’}),

(a,b)Ä(a¢,b¢)Û(aÇa¢,min{b,b’}).

Вся информация {объекты системы} отображается в точки решетки {(а,b)}. Линейный порядок, как правило, указывает гриф секретности. Точки множества X обычно называются категориями.

Свойства решетки в оценке информации существенно используются при классификации новых объектов, полученных в результате вычислений. Пусть дана решетка ценностей SC, множество текущих объектов О, отображение С: 0àS, программа использует информацию объектов 0₁,..,0_n , которые классифицированы точками решетки С(0₁),...,С(0_n). В результате работы программы появился объект О, который необходимо классифицировать. Это можно сделать, положив С(0)= C(0₁)Å...ÅC(0_n). Такой подход к классификации наиболее распространен в государственных структурах. Например, если в сборник включаются две статьи с грифом секретно и совершенно секретно соответственно, и по тематикам: первая - кадры, вторая - криптография, то сборник приобретает гриф совершенно секретно, а его тематика определяется совокупностью тематик статей (кадры, криптография).