Научная статья на тему 'Функционально-ролевая модель управления доступом в социотехнических системах'

Функционально-ролевая модель управления доступом в социотехнических системах Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1428
134
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МОДЕЛЬ РАЗГРАНИЧЕНИЯ ДОСТУПА / АКТИВНОЕ УПРАВЛЕНИЕ ДОСТУПОМ / РОЛЬ / СОЦИОТЕХНИЧЕСКАЯ СИСТЕМА / ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ / ACCESS CONTROL MODEL / ACTIVE ACCESS CONTROL / ROLE / SOCIOTECHNICAL SYSTEM / FUNCTIONAL SAFETY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Лепешкин Олег Михайлович, Харечкин Павел Владимирович

Представлена функционально-ролевая модель управления доступом, реализующая динамическое назначение полномочий. Модель учитывает понятие задачи, для каждой задачи определяются роли и полномочия. Представлено формальное описание модели и пример ее реализации.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Лепешкин Олег Михайлович, Харечкин Павел Владимирович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

FUNCTIONAL-ROLE-BASED ACCESS CONTROL MODEL IN SOCIOTECHNICAL SYSTEMS

The paper gives the functional-role based access control model that realizes permission dynamic management. Task is core in this model, task associates role and per mission. This paper also gives the formal description of this model, and gives application example.

Текст научной работы на тему «Функционально-ролевая модель управления доступом в социотехнических системах»

ляют при этом выбрать стратегию управления рисками и подобрать адекватные меры защиты для противодействия информационным угрозам.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Системы управления информационной безопасностью. Ч. 3: Руководство по управлению рисками информационной безопасности BS 7799-3:2006. - С. 70.

2. Kosko, B Fuzzy Cognitive Maps / B. Kosko // Int. J. of Man-Machine Studies. - 1986.

- Vol. 1. - P. 65 - 75.

3. .

управления (на примере оборонно-промышленного комплекса) / Е. Хрусталёв, Д. Макаренко // . - .: -стью «Международная Медиагруппа», 2007. - С. 25-33.

Евстафьев Георгий Александрович

Технологический институт Федерального государственного образовательного учреждения высшего профессионального образования «Южный федеральный университет»

в г. Таганроге.

E-mail: [email protected].

347928, г. Таганрог, пер. Некрасовский, 44.

Тел.: 8 (8634) 371-905.

Кафедра безопасности информационных технологий; аспирант.

Evstafiev George Aleksandrovich

Taganrog Institute of Technology - Federal State-Owned Educational Establishment of

Higher Vocational Education “Southern Federal University”.

E-mail: [email protected].

44, Nekrasovskiy, Taganrog, 347928, Russia.

Phone: 8 (8634) 371-905.

The Department of IT Security; post-graduate student.

УДК 004.056.52

O.M. Лепешкин, П.В. Харечкин

-

СОЦИОТЕХНИЧЕСКИХ СИСТЕМАХ

Представлена функционально-ролевая модель управления доступом, реализующая динамическое назначение полномочий. Модель учитывает понятие задачи, для каждой задачи определяются роли и полномочия. Представлено формальное описание модели и пример ее реализации.

Модель разграничения доступа; активное управление доступом; роль; со; .

O.M. Lepeshkin, P.V. Kharechkin

FUNCTIONAL-ROLE-BASED ACCESS CONTROL MODEL IN

SOCIOTECHNICAL SYSTEMS

The paper gives the functional-role based access control model that realizes permission dynamic management. Task is core in this model, task associates role and per-

Раздел I. Комплексная защита объектов информатизации

mission. This paper also gives the formal description of this model, and gives application example.

Access control model; active access control; role; sociotechnical system; functional safety.

С развитием информационных технологий и все более широким распространением информационных систем актуальным является вопрос обеспечения информационной безопасности в рамках защиты от несанкционированного доступа. В данном случае обеспечение информационной безопасности осуществляется посредством применения моделей управления доступом.

В истории развития математических моделей управления доступом выделяют .

1. , -

структуре информационных ресурсов.

2. ,

бизнес-процессов (workflow).

, , развития классических моделей разграничения доступа [1], привело к разделению

( ) ( ).

Понятие динамического управления доступом представлено в [2]. Авторы вводят понятие задачно-ориентированного управления доступом (TBAC) как расширение контроля доступа, базирующегося на ролях (RBAC).

Основой RBAC является понятие роли [3]. Системный администратор создает различные роли согласно политике безопасности и назначает ролям соответст-, -стными обязанностями. RBAC реализует иерархию ролей, принцип минимальных привилегий и принцип разделения ответственности.

В TBAC основным понятием является задача, причем полномочия не являются статичными и постоянными - они изменяются в соответствии с контекстом задачи. TBAC предоставляет динамическое управление доступом в режиме реального времени в процессе выполнения задачи.

Модель TBAC может быть описана пятью кортежами: (S, O, P, L, AS), где S - субъект, O - объект, P - полномочия, L - период жизни, AS - этап авториза-.

Поскольку выполнение задачи всегда ограничено по времени, в TBAC пол. AS -

мочия не могут быть задействованы.

Благодаря AS TBAC обеспечивает выполнение принципа минимальных при.

для этого правами, а когда задача не выполняется, прав на доступ у пользователя

.

( ), -вать концепцию BPM как управленческую методологию [4], необходимо внедрять RBAC, TBAC . ( ) -

, ( ) , RBAC. -

, -са workflow, что решает, в свою очередь, модель TBAC. Недостатком RBAC явля-

(workflow),

TBAC, процесса workflow.

Преимущества статического и динамического управления доступом реализованы в функционально-ролевой модели управления доступом, представленной на рис. 1.

Рис. 1. Футкционально-ролевая модель управления доступом Основные положения модели:

1. User (U): пользователь в СТС описывается множеством

U = {u1,u2,u3,...,un}.

2. Role (R): роль соответствует набору операций, которые необходимо выполнять в рамках какой-либо служебной обязанности пользователя:

R = {r1,r2,r3,...rn}.

3. Task (T): задача из набора задач отдельного процесса СТС.

4. Permission (P): полномочия - набор прав доступа, необходимый пользователю для выполнения текущей задачи процесса в СТС:

P = {p1,p2,p3,...pn}.

5. Session (S): сессия - отображение пользователя на роль. Сессия начинается

, , активировать мультироли:

U: S -> U,R:S -> 2R.

6. Задача описывается тремя позициями: входящий информационный поток

IRA - , ;

ORA - , -

дать другим пользователям в рамках общей задачи и общего процесса СТС. Формальное описание модели соответствует следующим положениям:

1. User-Role Assignment (URA): отображение множества пользователей на множество ролей. Пользователь может иметь несколько ролей, роль может быть назначена нескольким пользователям. Связаны отношением многие ко многим:

URA с UxT.

2. Task-Role Assignment (TRA): отображение множества задач на множество ролей. Задача может быть ассоциирована с мультиролями, a роль может быть подписана на мультизадачи. Задача и роль связаны отношением многие ко многим:

TRA с TxR.

3. Permission-Task Assignmeng (PTA): отображение множества полномочий на множество задач:

PTA с PxT.

4. Task Workflow Assignmeng (TWA): Workflow-процесс - поток работ, состоящий из задач:

TWA = {T1,T2,T3,...Tn}.

5. Role Hierarchylayer (RH): -

щью примитива ((Rj +1, Rj) >), где Rj +1 является непосредственным наследником Rj, знак > означает «содержит»:

RH с RxR.

На рис. 2 представлена функция СТС F, описанная схемой процесса workflow на сетях Петри [5], управление доступом в которой осуществляется на основе функционально-ролевой модели.

F TWA = {T0, T1, T2, T3, T4, T5}.

В СТС определены пользователи S = {si, s2, s3}, причем пользователям si, s2 назначена роль r1, пользователю s3 - роль r2. Для каждой задачи T определены входные IRA = Din и выходные ORA = Dout данные.

T0 t1 s1 . -

, t 7

выполнен тремя субъектами s1, s2, s3. Субъекту s3 необходимы данные d2, чтобы выполнить переход t3. При выполнении t3 s3 создает d3. Значения Din и

Dout могут быть пустыми: Din (t1) = 0. В этом случае никакие данные не нужны,

чтобы выполнить действия, связанные с переходом.

Внедрение процессного подхода системы управления доступом позволяет ограничивать доступ к ресурсам не только на основе полномочий, но и в зависимости от текущего состояния СТС рамками задачи. Описание СТС взаимосвязанными процессами и задачами решает вопрос контроля информационных потоков и

позволяет оценить функциональную безопасность СТС и определить, будет ли соответствовать выполнение задачи установленным для системы требованиям и ограничениям.

. 2.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Лепешкин О.М., Харечкин П.В. Анализ моделей раз граничения доступа, реализованных в современных социотехнических системах // Периодический научно-технический и информационно-аналитический журнал «Инфотелекоммуникационные системы». Т. 6.

- Самара, 2008. - №2. - С 91 - 93. "

2. Thomas R.K., Sandhu R.S. Task-based Authorization Controls (TBAC): Models For Active and Enterpriseoriented Authorization Management. In Proceedings of the 11th IFIP WG 11.3 Conference on Database Security, Lake Tahoe, CA, August 1997.

3. . . .

- Екатеринбург: Изд-во Уральского ун-та, 2003. - 328 с.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Александров Д.В., Костров А.В., Макаров Р.И., Хорошева Е.Р. Методы и модели информационного менеджмента. - М.: Финансы и статистика, 2007. - 336 с.

5. Харечкин /7. А Подход к описанию динамической системы управления доступом в

//

молодежной конференции по проблемам информационной безопасности «Перспектива -2009». - Таганрог, 2009. - С. 323.

Лепешкин Олег Михайлович

-

.

E-mail: [email protected].

355000, . , , 13.

Тел.: 8 (905) 4100255.

.

Lepeshkin Oleg Mihailovich

Research laboratory Stavropol Military Institute of Connection and Rakete Troops . E-mail: [email protected].

13, North Passage, Stavropol, 355000, Russia.

Phone: 8 (905) 4100255.

Head.

Харечкин Павел Владимирович

Ставропольский государственный университет.

E-mail: [email protected].

355044, г. Ставрополь, пер. Шеболдаева, 11, кв.48.

Тел.: +7 (905) 44 78 661.

.

Kharechkin Pavel Vladimirovich

Stavropol State University E-mail: [email protected].

App. 48, 11, Sheboldaeva side str., Stavropol, 355044, Rusia.

Phone: +7 (905) 44 78 661.

Post-graduate student.

i Надоели баннеры? Вы всегда можете отключить рекламу.