Интегрированная модель политик безопаснос- ти в СУБД Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 62.529

И.А. Бойченко, В.Г. Сарайкин

ИНТЕГРИРОВАННАЯ МОДЕЛЬ ПОЛИТИК БЕЗОПАСНОСТИ В СУБД

Для обеспечения санкционированного доступа пользователей СУБД к информационным объектам предложена интегрированная модель политик безопасности.

Ключевые слова: СУБД, отраслевые информационно-аналитические системы, модели, метки безопасности.

Современный этап развития лесопромышленного комплекса характеризуется его информатизацией, социально-экономические последствия которой определяют приоритетные направления научных исследований в области разработки информационно-аналитических и торговых систем. Эти направления ориентированы на создание эффективного инструментария, способного помочь пользователю в принятии корректных управленческих и регулирующих решений любой сложности и уровня, в различных сферах деятельности, локального и глобального масштабов. Основой такого инструментария служит «коллективный разум», или коллективные знания, хранящиеся в распределенных компьютерных системах и поддерживаемые современными системами управления базами данных (СУБД) и базами знаний.

Ярким примером отраслевой информационно-аналитической системы является глобальная информационно-аналитическая торговая система лесопромышленного комплекса (ГИАТС), разработанная при участии специалистов ОАО «Рослеспром», Государственного научного центра лесопромышленного комплекса, авторов данной статьи и др.

Защита ресурсов указанной информационной системы, как и других аналогичных систем, является недостаточно изученной и крайне сложной задачей. Традиционно технологии безопасности баз данных всегда отстают от других областей, таких, как сети и телекоммуникации.

С целью восполнения указанного пробела для обеспечения санкционированного доступа пользователей СУБД к информационным объектам нами предложены интегрированная модель политик безопасности на основе моделей ИЯИ (Харрисон-Руззо-Ульман) и БЬР (Белла-Ла Падула) и их модификаций и организация меток безопасности объектов, соответствующие дискреционным и мандатным моделям контроля доступа, действующим совместно. Приоритет указанных предложений подтвержден патентом РФ.

Для подобного класса систем использована модель 2(СМ8) = {(Е, Я, V, О)} - информационная система с контролируемым пространством памяти, определяемая следующими составляющими.

Элементы доверенной среды:

конечные наборы исходных субъектов S0 = {.v i. ..., .vv} и объектов О0 = {оь ..., ом}, где S0 с ()<,:

набор типов объектов V = {vb ..., vg};

конечный набор прав доступа Rl = [ rl ] - матрицы прав i-й сущности по отношению к j-й сущности для l-го действия, где l = 1, ..., K; i = 1, ..., M;

j = 1, N;

исходная матрица R, содержащая права доступа субъектов к объектам, и ее начальное состояние R0;

конечный набор команд F = {f(e1 : v1, ..., es: vs)}, включающий условия выполнения команд и их интерпретацию в терминах элементарных операций;

множество действий над сущностями D = {d1, ..., dK}. Функции изменения состояния:

функция уровней безопасности G : <SUO —> L (ставит в соответствие каждому объекту и субъекту уровень безопасности из множества Z;

функция управления уровнями G : <SUO —> P(S) (где P(S) - множество всех подмножеств субъектов S, которым позволено изменять уровень безопасности для заданного объекта или субъекта;

функция перехода Т : (О х D) —> О, которая в ходе выполнения действия переводит систему из одного состояния в другое (система, находящаяся в состоянии q е О, при получении запроса с! е /) переходит в следующее состояние q* = T (q, d).

Модель системы F(q0, D, T) состоит из начального состояния q0, множества действий D и функции перехода T.

Производные составляющие доверенной среды для групповых субъектов:

групповые субъекты - множество непустых подмножеств S, которое обозначим S= l'(Sj\ {0 J:

права групповых субъектов R',

функции уровня безопасности объектов G : «SUO —> L, для групповых субъектов получим GL : S^L (GL (s)- наибольшая нижняя граница множества J6s}) и G : ,V—>/. (G (s) - наименьшая верхняя граница множества МтЯ{С7(\)1 \е\):

функция перехода, которая определяет следующее состояние системы после выполнения определенным субъектом некоторого запроса, как Т: (О х D) —> О, где Т (q, d) = с/*: при этом в описании состояния

q = ((G, GH , Gl ), R) и q* = (G*, G *H, G *L )*, R*) участвуют три функции

уровня безопасности: G - для объектов, GH и GL - наименьшая верхняя и наибольшая нижняя границы для групповых субъектов.

Обеспечиваемый критерий безопасности для совместного доступа мандатной модели формулируется следующим образом.

Система F(q0, D, Т) безопасна тогда и только тогда, когда:

- начальное состояние q0 безопасно;

- функция перехода Т такова, что для любого состояния q, достижимого из q0 путем применения конечной последовательности действий из D,

таких, что f{q,d) = q*, q = ((G, GH , GL ), R) и q* = (G*, G *я , G )*,Д*) для каждого VsgS, Vo e О выполняются следующие условия:

если ¿/(read) е /¿*|v. о] и ¿/(read) £ R* о], то G *' (\) > G*(o); если ¿/(read) gR | v. о] и G *' (\) < G*( о), то ¿/(read) £R* | v. о]; если ¿/(write) е /¿*|v. о] и ¿/(write) <tR | v. о], то G*(o) > G *я (\):

если ¿/(write) e/i о] и G*(o) <G*H (\). то ¿/(write) € Я* о]. В классической дискреционной модели используют следующие базовые элементарные операции, определяющие переход из одного состояния в другое, отличающееся от исходного, по крайней мере, одним компонентом.

1) Создание права М-й сущности по отношению к .N-й сущности для K-го действия:

О" = О; ST = S; v'(o) = ф) (о <= О); V \r'\= R,[ rl ]ЦфМ) У(/ ф AO v(/ ф К)- R{ [ry] = R,[rtJ] U {r£N}

V\г'\= Ч г' ] (/ ФМ) У(/ Ф1-1)Щ1Ф К); R1'[гу] = ЩЩ и {г^}.

2) Удаление права у М-й сущности по отношению к У-й сущности для К-го действия:

4=^eSj0GO); 0' = 0; ST = S; v'(o) = ф) (о <= О); К\>i\= Чг> ] (/■ ФМ) У(/ ФЩУЦФ К): Д,'[гу] = R,[rtJ] \ { 4n}.

3) Создание М-й сущности - субъекта типа v\,(\ í .V):

О' = О и {SM}- sr = S и {5М}; V'(o) = ф) (о е О); v(s) = vg,

R[ rj ] = /?,[ rj ] (o,s) eSx O, R )[rMJ\ = p4.

4) Удаление М-й сущности - субъекта (.v е ,V):

0~ =0 \ {¿м}; S' =S \ {¿м}; v'(o) = ф) (o e O); v\s) - не определено; Д,' [r¡]= R,[ rl ] (o, s) g STx O- R )[rMj\ = p4.

5) Создание М-й сущности - объекта типа vg(o € О):

О' = О U{ía/}; S S U {sM}; v'(o) = ф) (о е О'); v'(o) = vg;

R[ rj ] = /?,[ rj ] (o, s) <e S x O, R )[rMJ\ = p4.

6) Удаление М-й сущности - объекта (о е О S): 0~=0\{ом}', S'=S; v'(o) = v(o) (о е О'); v'(о) - не определено;

i?Л rl ] = R,[ r¡ ] (о, s) е S x О ' , R )[rMj] = p4.

Сформулируем критерий безопасности данной дискреционной

модели.

Для заданной системы начальное состояние F0 = (S0, О0, V0, R0) является безопасным относительно права r, если не существует применимой к F0

последовательности команд, в результате которой право r будет занесено в ячейку матрицы R, в которой оно отсутствовало в состоянии F0.

Указанная задача является разрешимой в следующих случаях: команды f(e\ : vi, , es : vs) являются моноперационными, т.е. состоят не более чем из одной элементарной операции;

команды fei : vi, , es : vs) являются ациклическими и монотонными, т.е. граф создания сущностей не содержит циклов и операций удаления (2, 4, 6); командыf(ei : vi, , es : vs) не содержат операций создания (3, 5). Состояние системы изменяется с помощью команд из множества F, состоящего из набора условий и операций, составляющих команду. Команды имеют формат:

commandfei : vi, , es : vs)

ifpi in Ri[rijJ and (условия выполнения команды)

then

сь c2, ... cG, (операции, составляющие команду), где всем параметрам приписывается определенный тип.

Перед выполнением команды происходит проверка типов фактических параметров, если они не совпадают с указанными в определении, команда не выполняется. Фактически, введение контроля типов для параметров команд приводит к неявному введению дополнительных условий, так как команды могут быть осуществлены только при совпадении типов параметров.

Для обеспечения санкционированного доступа пользователя СУБД к информационным объектам автоматизированной системы предложен способ организации меток объектов, соответствующий модели мандатной политики безопасности. На рисунке приведен укрупненный алгоритм процедуры контроля и управления доступом (процедура МАСО).

Укрупненный алгоритм процедуры контроля и управления доступом (Метка объекта МО вкючает: группу субъекта, который внес данный объект; уровень доступа на чтение - МЧО; уровень доступа на запись - МЗО. Метка субъекта МС включает: группу, к которой принадлежит субъект; максимальный уровень доступной субъекту информации - МЧС; минимальный уровень объекта, который может быть создан данным субъектом - МЗС Предложен способ дополнительного структурирования пользователей с введением группы доступа (группы субъекта); иерархии по уровням доступа (десять уровней от 1 до 10); иерархии по уровням доверия (десять уровней от 1 до 10).

Группа субъекта (допущенного до работы пользователя) указывает на его принадлежность к группе субъектов по доступу (принадлежность к группе людей, объединенных одними функциями). Группа назначается субъекту в со-

ответствии с правилами политики безопасности, при этом возможно перемещение субъекта из одной группы в другую.

Введена возможность организации до 250 индексированных групп с номерами от 1 до 250.

Данным (объектам) присваивается метка группы пользователей (субъектов), которые их сформировали. Данные, принадлежащие одной группе пользователей, не доступны пользователям другой группы.

Однако группа может доверить другой группе работу со своими данными.

Уровень доступа субъекта задается при его создании (администратором безопасности) или изменяется позже. Он определяет: какие данные (по уровню конфиденциальности) доступны субъекту, а какие нет. Все данные с уровнем конфиденциальности более высоким, чем уровень доступа конкретного субъекта, скрываются.

Уровень доверия субъекта определяется в соответствии с правилами действующей политики безопасности и обозначает важность (т.е. конфиденциальность) данных, вносимых субъектом. СУБД не должна позволять субъекту вносить информацию в объект с низким (чем уровень доверия субъекта) уровнем конфиденциальности.

Этот уровень призван защитить пользователей с высоким уровнем доверия от случайного (или намеренного) присвоения секретным данным низкого уровня конфиденциальности. Любая вносимая (изменяемая) этим субъектом информация уже будет иметь минимальный «гриф» или уровень конфиденциальности. Его информация может быть только более (не менее) защищенной.

В доверенной среде СУБД «ЛИНТЕР» обеспечена возможность совместной реализации дискреционной и мандатной политик безопасности.

При этом действуют два глобальных правила:

доступ к объектам, поддерживаемым и дискреционной, и мандатной политиками безопасности, должен быть санкционирован ими обеими;

субъект не может ни получить доступ к объекту, к которому применены две политики безопасности, ни управлять доступом к этому объекту, если он не имеет доступа к нему в одной из политик безопасности.

В этом отношении среди пользователей выделяется только уполномоченный администратор безопасности, который может изменять метки доступа пользователей (но не данные и их метки).

В дискреционном контроле доступа для каждой пары субъект-объект можно задать явное и недвусмысленное перечисление возможных действий субъекта:

SELECT - чтение данных объекта;

INSERT - добавление новых данных в объект;

DELETE - удаление некоторых/всех данных объекта;

UPDATE - изменение данных объекта;

ALTER - изменение физической / логической структуры базовой таблицы;

INDEX - создание/удаление индексов на столбцы базовой таблицы;

ALL - все возможные действия, т.е. все предыдущие действия вместе взятые.

В профессиональных базах данных (БД), где много (тысячи) субъектов и объектов, очень сложно определять возможности (или права) каждого субъекта при работе с каждым объектом. Для упрощения этой процедуры реализуется аппарат ролей. С помощью аппарата ролей можно строить не только иерархические взаимоотношения пользователей (старший - подчиненный), но и вообще произвольную структуру доступа. Предусмотрена следующая схема построения ролей:

создать роль (значит стать ее владельцем) может только субъект Dba-категории (администратор БД);

назначить/изъять роль может только ее владелец/создатель. Таким образом, могут присутствовать две схемы передачи прав: прямая и косвенная, через аппарат ролей. Причем обе эти схемы можно использовать в совокупности.

В мандатном методе контроля управление доступом строится на основе меток конфиденциальности или меток безопасности. Эти метки хранятся вместе с объектом и играют важную роль при разрешении (допуске) субъектов к информации помеченного объекта.

В результате применения меток безопасности объектов получается гибкая система разделения полномочий субъектов при администрировании данных и прав доступа в СУБД. Для этого в автоматизированной системе присутствуют две независимые категории администраторов - администратор БД и администратор прав доступа. С помощью комбинированных средств и методов контроля, разделенных во времени и пространстве независимых процедур установки параметров безопасности, обеспечивается эффективная защита данных.

ДальНИИЛХ Поступила 15.12.02

I.A. Boichenko. V.G. Sarajkin

Integrated Model of Security Policy in Database Management System

An integrated security policy model has been proposed for ensuring an authorized access of database management system users to the informational objects.