Математическая модель обеспечения безопасности информации в базах данных Текст научной статьи по специальности «Компьютерные и информационные науки»

Интернет-журнал «Науковедение» ISSN 2223-5167 http ://naukovedenie. ru/ Том 7, №3 (2015) http://naukovedenie.ru/index.php?p=vol7-3 URL статьи: http://naukovedenie. ru/PDF/ 108TVN315.pdf DOI: 10.15862/108TVN315 (http://dx.doi.org/10.15862/108TVN315)

УДК 561.2.011.56

Кульба Владимир Васильевич

ФГБУН «Институт проблем управления им. В.А. Трапезникова Российской академии наук»

Россия, г. Москва Заведующий лабораторией Доктор технических наук Профессор E-mail: kulba@ipu.ru

Курочка Николай Павлович

ФГУП «18 ЦНИИ» министерства обороны Российской Федерации

Россия, г. Москва1 Младший научный сотрудник E-mail: alf162@rambler.ru

Математическая модель обеспечения безопасности информации в базах данных

1 143989, Московская область, г. Железнодорожный, ул. Граничная, дом 26, кв. 343

Аннотация. Рассмотрены основные методы и цели защиты информации в базах данных, приведена их классификация. Отмечены области применения и особенности указанных методов, достоинства и недостатки. Дано формально определение механизма защиты информации в базе данных, осуществлен переход к системе защиты базы данных. Приведены показатели эффективности разработки систем защиты базы данных. Задаются множества степеней секретности структурных элементов, а также множество полномочий пользователей базы данных. С учетом степеней секретности структурных элементов формируются степени секретности групп данных, что в свою очередь позволяет перейти к синтезу механизма защиты канонической структуры базы данных. Учитывая необходимость защиты на логическом уровне не только данных, но и связей между ними, вводится степень секретности отношений между логическими элементами. Кроме того, на основе данных о степени секретности групп канонической структуры базы данных формируются степени секретности логических записей. На основе указанных определений приведены показатели эффективности синтеза механизмов защиты канонической и логической структур баз данных. В целом сформирована математическая модель защиты информации для различных структур баз данных, что позволяет осуществить постановку задач комплексных синтеза систем защиты баз данных, оптимальных по различным критериям эффективности.

Ключевые слова: базы данных; безопасность информации; автоматизированные информационно-управляющие системы; каноническая структура; логическая структура; механизм защиты; система защиты; защита информации; методы защиты информации; синтез систем защиты информации.

Ссылка для цитирования этой статьи:

Кульба В.В., Курочка Н.П. Математическая модель обеспечения безопасности информации в базах данных // Интернет-журнал «НАУКОВЕДЕНИЕ» Том 7, №2 (2015) http://naukovedenie.ru/PDF/108TVN315.pdf (доступ свободный). Загл. с экрана. Яз. рус., англ. DOI: 10.15862/108ГУТО15

Обеспечение безопасности информации при функционировании любой информационно-управляющей системы (АИУС) является важным вопросом. Эффективность работы АУИС может быть значительно снижена при наличии ошибок в процессе проектирования системы защиты информации от несанкционированного доступа. Защита информации от несанкционированного доступа осуществляется для достижения следующих целей:

• обеспечение целостности данных, исключающее их уничтожение или повреждение;

• недопущение несанкционированного изменения данных, представляющего собой умышленные или случайные действия по модификации информации;

• недопущение несанкционированного получения данных;

• недопущения несанкционированного тиражирования данных.

Данные цели обусловлены возросшей уязвимостью информации, связанной со следующими основными факторами: резкое увеличение объемов перерабатываемой информации; сосредоточение в базах данных большего объема разнородной информации, включая текстовые, фотографические, аудио-, видеоданные и др. информацию; развитие ЛВС, систем типа «Клиент-Сервер» и «Клиент-Агент-Сервер», многопользовательских систем, что приводит к расширению круга пользователей, имеющих доступ к информационным ресурсам и др.

Основными принципиально возможными путями утечки информации при функционировании АИУС являются:

• прямое хищение носителей информации и документов, используемых при функционировании АИУС;

• копирование информации;

• несанкционированное подключение к аппаратуре передачи данных (терминалу пользователей) и незаконное ее использование для доступа к информации;

• несанкционированный доступ к данным, и модификация данных с помощью специализированных программных средств;

• использование специальных технических средств для перехвата и расшифровки электромагнитных волн, излучаемых техническими средствами АИУС в процессе переработки информации.

Множество существующих методов защиты включают в себя организационные, процедурные, структурные, аппаратные и программные методы (см. рис.).

Рисунок. Классификация методов защиты информации в базе данных (БД)

Организационные методы защиты используются для ограничения числа лиц, которые получают право доступа в помещение вычислительного центра. Эти меры включают организацию режима доступа в ВЦ, а также к терминалам, мероприятия по обеспечению надежного хранения носителей информации, регламентируют технологические схемы автоматизированной обработки защищаемой информации, процесс взаимодействия пользователей с системой, задачи и обязанности обслуживающего персонала вычислительного центра (ВЦ) и пользователей БД и т.д.

Процедурные методы защиты делают возможным доступ к данным и передачу их только тем пользователям, которые имеют соответствующие разрешения. К указанным методам относится установление различного рода паролей пользователей, присвоение документам грифов секретности, проведение занятий с персоналом с целью повышения уровня ответственности.

Наиболее часто процедурные методы защиты используются на этапах первичной обработки данных, управления процессом функционирования системы и на этапе выдачи информации пользователям.

Структурные методы защиты применяются на этапах проектирования структур БД (канонических и логических). Они призваны обеспечить такую структуризацию данных, при которой распределение данных по группам и логическим записям, а также установление между ними соответствующих взаимосвязей позволяет повысить уровень защищенности хранимых данных. Процедуры анализа и синтеза структур БД и соответствующие им механизмы защиты должны обеспечивать:

• разделение всей хранимой информации БД на общедоступные и индивидуальные (конфиденциальные) данные;

• идентификацию прав пользователей;

• защиты данных и взаимосвязей между ними.

Аппаратные средства защиты информации представляют собой различные электронные устройства, встраиваемые в состав технических средств вычислительной системы или сопрягаемые с ними с помощью стандартного интерфейса. К аппаратно реализованным методам защиты, предназначенным для контроля обращения к данным, хранящимся в оперативной памяти, относятся блоки защиты памяти, схемы прерываний и др. В настоящее время разработаны устройства распознавания пользователей, основанные на сравнении аудиограмм их голосов, отпечатков пальцев и других индивидуальных характеристик человека (однозначно его идентифицирующих), с тем что записано в памяти

терминала. Следует отметить, что эти устройства отличаются высокой надежностью исполнения функций идентификации. Широко используются аппаратные средства в системе охраны территории и помещений вычислительных центров. К ним относятся различные датчики, представляющие собой радиолокационные устройства, инфракрасные приборы, оконные и дверные контакты, устройства, принцип действия которых основан на использовании эффекта Доплера, и т.п. Сигналы от датчиков поступают к персоналу специальной службы. Широкое применение находят аппаратные средства и при создании автоматизированных контрольно-пропускных пунктов. Криптографическая защита информации БД может быть реализована с помощью специальной аппаратуры шифрования или кодирования.

Программные методы играют важнейшую роль при создании эффективных систем защиты информационных ресурсов БД от несанкционированного доступа. Под программными средствами защиты понимаются специальные программы, предназначенные для выполнения функций обеспечения безопасности данных. Программные методы защиты могут быть реализованы путем включения разработанных программ в состав используемых операционных систем и СУБД, либо выделения их в специальные самостоятельные пакеты программ, которые инициируются перед началом процесса обслуживания запросов пользователей.

Программные методы позволяют реализовать большинство функций защиты: идентификацию пользователей БД, проверку подлинности пользователей, проверку полномочий пользователей на осуществление того или иного типа доступа к защищаемым данным, реагирование на попытку несанкционированного доступа путем прерывания выполнения запроса или отключения терминала, уничтожение остаточной информации в оперативной памяти ЭВМ после удовлетворения санкционированного запроса пользователя и другие. К основным недостаткам программных методов защиты следует отнести необходимость расходования ресурсов ЭВМ, увеличение времени обработки данных, а также возможность непреднамеренного, либо злоумышленного изменения программ, в результате чего программы могут утратить способность выполнять возложенные них функции обеспечения защиты информационных ресурсов БД от несанкционированного доступа. Программные методы зашиты могут поддерживать различные стратегии разграничена доступа пользователей к ресурсам БД: разграничение по спискам, разграничение по матрицам установления полномочий, разграничение по кольцам секретности, мандатную систему доступа.

Аппаратные и программные методы защиты используются в основном на этапах обработки данных. Они обеспечивают обслуживание только пользователей, успешно прошедших идентификацию в системе; доступ к защищаемым объектам в соответствии с установленными правилами и правами; возможность изменения правил, установленных для взаимодействия пользователей с объектами защиты; возможность получения информации о сохранности и безопасности объектов зашиты.

Различные методы защиты информации характеризуются определенными технико-экономическими показателями. К основным характеристикам методов защиты относятся: затраты, производимые на их разработку и в процессе эксплуатации, безопасное время, под которым понимается математическое ожидание времени «взлома» метода защиты путем опробования множества возможных вариантов проникновения. Безопасное время может служить показателем эффективности соответствующего метода защиты. Выбор различных способов организации одной и той же процедуры контроля доступа влечет за собой различные экономические затраты на реализацию.

Механизм защиты (МЗ) применяется с целью организации доступа и допуска к защищенной информации только тех групп пользователей, которые обладают соответствующими полномочиями и прошли авторизацию. МЗ реализуется путем использования одного или нескольких методов защиты (организационных, процедурных, структурных, аппаратных или программных).

МЗ БД определяется перечнем требований к БД по защите информации и имеет своей целью идентификацию правомочности доступа конкретных пользователей к закрытой информации в БД.

Пусть Q = {qk; к = 1, К } - множество пользователей БД, В = {ь; I = 1,1В | -разрабатываемая БД; Р = {р; ] = 1, Jв } - программное обеспечение (ПО), работающее с БД, где Ь и р компоненты разрабатываемой БД и ПО соответственно. Тогда под МЗ БД будем понимать отображение М такое, что: , Ь, Р;)}———^ {^0,1}, где «1» соответствует разрешению доступа пользователя qk е Q к элементам е В или р е Р, а «0» - запрещению подобного доступа.

Тогда, МЗ БД представляет возможность определения правомочности пользователя на осуществление доступа к тем или иным информационным элементам, являющиеся единицей обмена при работе пользователей с БД.

Разработка МЗ БД представляет из себя сложный процесс построения и анализа механизмов защиты соответствующих уровней хранения и представления информации в БД (канонической и логической структур БД).

В данном случае информация о предметной области пользователей, требования, предъявляемые к степени секретности различных данных, полномочия различных групп пользователей на чтение или модификацию данных при решении своего круга задач являются исходными для проектировщика.

Под системой защиты (СЗ) Яз = {я; I = 1,13 } будем понимать совокупность методов защиты, при этом есть I -й метод, а IЗ - общее число методов. Под оптимальной СЗ БД будем понимать такое множество методов с Яз защиты БД, при использовании которых

будет достигнуто экстремальное значение выбранного критерия эффективности разработки или эксплуатации СЗ БД. При этом необходимо соблюдение требований к процессу функционирования БД, выполнение функциональных и структурных ограничений, определяемых конкретной СУБД и пользователями.

К параметрам СЗ БД, которые проектировщик вправе выбрать в качестве критериев оптимизации, могут быть отнесены:

• вероятность обхода СЗ недобросовестными пользователями;

• время безопасной работы, которое представляет из себя среднее время, которое потребуется для обхода СЗ;

• экономический показатель, который учитывает финансовые средства, необходимые для разработки и внедрения СЗ, а также затраты на эксплуатацию СЗ, время, необходимое для ее разработки и последующего внедрения;

• количество успешных попыток неавторизованных пользователей получить доступ к защищенным информационным элементам в БД;

• время, необходимое для выполнения заданного множества информационных запросов различных групп пользователей и т.д. [1,9].

Процесс разработки СЗ информации в БД является сложным и многогранным. Определение МЗ и синтез оптимальной СЗ информации БД включают в себя: анализ требований, предъявляемых различными группами пользователей к степени секретности данных, синтез канонической и логической структур данных на основе указанных требований, а также выбора оптимального множества МЗ.

Обозначим р = ; I е Ь} - совокупность структурных элементов, входящих в

предметную область разрабатываемой БД; и =шк; к = 1, К } - множество информационных

требований пользователей. Каждое информационное требование qk -го пользователя ик в свою очередь есть совокупность структурных элементов, входящих в предметную область Ок = ;I е Ь £ Ь}, а также отношения смежности между различными структурными

элементами, представимые в виде матрицы семантической смежности Бк = ||ък||, l, I' е Ьк. Матрица Бк индексируется по строкам и столбцам элементами множества Вк. В матрице Бк Ъ\, = 1, если между структурными элементами dl и dl,, существует отношение Я, подразумевающее, что элемент dl есть один из аспектов информационного наполнения структурного элемента dl,. К примеру, элемент dl входит в dl, или расширяет, дополняет его и т.д. [2-4, 10]. И Ъ^ = 0 в противном случае.

Пусть также А = \dj; ] = 1, т } - множество всех возможных типов доступа к БД (для стандартных пользователей БД обычно т = 2, т. е. доступны операции чтения и изменения данных в БД).

Вводятся степени секретности (СС) структурных элементов (р1 е Ф, характеризующие

степень важности указанного элемента для владельца БД, где Ф = ( : I е Я} - множество

возможных СС информационных элементов БД. СС представляет из себя атрибут описания данных и обычно задается администратором БД. В случае если различные экземпляры одного

структурного элемента dl е Ок имеют разные СС, то для указанного элемента вводится несколько СС ( : I е Я}сФ.

Информацию о СС различных структурных элементов объединяют в матрицы секретности ^ =|| /п\ |, к = 1, К, г е Я, I е Ьк £ Ь, которые индексируется по строкам

элементами множества Ок, а по столбцам - элементами подмножества множества Ф = ( : г е Я}, использующихся с целью задания уровня секретности структурных элементов. Элемент = 1, если для экземпляров элемента dl е Ок, установлена соответствующая

степень секретности (р1 е Ф, и = 0 в противном случае. На следующем этапе осуществляется построение матрицы секретности структурных элементов предметной области разрабатываемой БД ^ = 11/ II с учетом матриц Fk, к = 1, К.

Будем считать, что СС ( е Ф структурного элемента dl е Dk покрывает СС рг е Ф структурного элемента dl,, т.е. ( У , если СС р1 требует большего ограничения доступа, чем СС (.

П = {як : k = 1, K} - множество полномочий пользователей БД. Под полномочиями

пользователя БД будем понимать возможность конкретного пользователя получить доступ к конфиденциальным данным. Уровень полномочий пользователя БД определяется максимальным уровнем секретности информационных ресурсов БД, разрешенных для

доступа пользователю. Для qk -го пользователя Лк = шах Кы, где Кк ={лш : I е R} образует

профиль полномочий каждого пользователя qk, представляющий собой все полномочия конкретного пользователя по отношению к информационным элементам БД.

Для каждого пользователя профиль полномочий задается матрицей полномочий P = 1 Рь||, которая индексируется по строкам множеством Q = {ук : k = 1, K}, а по столбцам -множеством введенных ранее степеней секретности Ф . Пусть рь = а., если полномочия пользователя qk е Q позволяют ему получить доступ типа я ■ к информационным элементам БД со степенью секретности ( е Ф, и ры = 0 в противном случае.

В процессе анализа информационных требований пользователей формируются требования к МЗ канонической структуры БД, осуществляются структуризация предметной области, выделение основных групп и элементов данных, а также осуществляется синтез канонической структуры БД [2-4, 8]. Она является моделью предметной области, инвариантной используемым СУБД. Каноническая структура БД является множеством типов

групп данных Dг = {ё : I е Ьг} и взаимосвязей между указанными группами

ЖГ = : I, I' е ^ }. Для каждой группы выделены множество ключей (первичных и вторичных) и множество атрибутов.

Степени секретности групп зависят от их состава. Степень секретности р группы

ё е иг определяется максимальной степенью среди степеней секретности информационных элементов, составляющих указанную группу. Понятно, что в состав одной группы должен быть однородным для пользователя, т.е. ему должны быть доступны либо все информационные элементы, либо ни одного.

Таким образом, МЗ М (Оё) канонической структуры БД есть отображение {^,пк,,ёГ,)} —^ {0,1}, где qk е Q,жk еПк,а] е А,^ е Dг,р еФ; элемент множества «1» определяет возможность доступа типа а. qk -го пользователя, уровень полномочий которого

равен лк, к группе , имеющей степень секретности р., а элемент множества «0» запрещает такой доступ. МЗ М (Ок ) строится на этапе формирования канонической структуры БД. Каноническая структура БД представляется матрицей смежности В = ,||, которая

индексируется по строкам и столбцам элементами множества Dг = {ё : I е Ьг}. Пусть Ьй. = 1, в случае наличия на канонической структуре отношения непосредственной подчиненности между группами и , иначе Ьи, = 0. Матрице смежности В ставится в

соответствие граф канонической структуры Ок (Ог г) , вершины которого соответствуют

множеству групп Ог, а дуги - взаимосвязям между группами.

МЗ М (Ок) строится после анализа требований, предъявляемых к обеспечению защиты данных предметной области пользователей, их полномочий, информации о составе групп и предназначен для определения правомочности доступа каждого пользователя ко всем имеющимся типам групп данных в канонической структуре БД. МЗ М (Ок) считается эффективным, если каждый пользователь имеет возможность реализовать все свои информационные требования без нарушения конфиденциальности данных, т.е. в процессе работы он (пользователь) получает доступ только к разрешенным для него информационным элементам. Считается, что путь доступа к произвольному типу группы канонической структуры БД является допустимым, если входящие в состав данного пути группы имеют степени секретности, для которых уровень полномочий указанного пользователя является превосходящим. Формально МЗ М(Ок) представляется совокупностью матриц: канонической

структуры БД В = ||Ъгг||, степеней секретности групп ^ = ||/г|| и полномочий пользователей

Р = ||Рк\ . Матрица Р индексируется по строкам множеством типов групп Ог =: I е П | канонической структуры БД, требующих защиты, а по столбцам множеством установленных для групп степеней секретности ф = {< : / е я]. Элемент / = 1, если группа ^ е Оа имеет степень секретности р и / = 0 в противном случае.

МЗ М(Ое) логической структуры БД строится на этапе формирования логической структуры, представляемой графом Ол (). Логическая структура есть совокупность

типов логических записей N и связей между ними Шл. В матрице смежности В = описывающей логическую структуру БД и проиндексированной по строкам и столбцам множеством типов логических записей N = {п : , = 1, ^ элемент Ъ^, = 1, если запись п,

имеет отношение подчиненности по отношению к записи п . и Ъ^, = 0 в противном случае.

В процессе синтезе логической структуры БД определяется отображение 0(0г г) —(И,ШЛ), т.е. осуществляется поиск такого отображения элементов

множества групп Лг = {^1 :1 е Ьг ] в элементы множества типов логических записей

N = П : j = 1, ^ ] и множества связей Шг в множество связей Шл, при котором достигается

экстремальной значение целевой функции. Организация эффективной защиты БД от несанкционированного доступа на логическом уровне требует защиты не только данных, но и отношений между этими данными. Пусть степень секретности отношений между логиче-скими записями nj и п, есть < е ф. Тогда МЗ М(Ол) логической структуры БД Ол)

есть отображение {дк, жк, а,, (п,, п, ), р,, п,, рр,)] ^ {0,1 ].

Элемент множества «1» определяет случай, когда пользователь ^ е Q, имеющий уровень полномочий жк е Щ имеет право доступа типа а ■ е А к элементам логической

структуры (п ., п.,) и п. , имеющие степени секретности < еФ и < еФ , соответственно.

Элемент множества «0» соответствует запрету на такой доступ. Таким образом, МЗ логической структуры БД обеспечивает возможность идентификации правомочности доступа к защищенным типам логических записей и взаимосвязям между ними со стороны всех

пользователей. Защита связей между элементами множества логических записей N = П : j = 1, J} может быть реализована путем разделения записей в разные подсхемы.

Степень секретности (р. логической записи п. определяется на основании данных о

степени секретности групп канонической структуры БД, которые входят в ее состав. Пользователь имеет право доступа к логической записи в том случае, если ему доступны все группы, образующие эту запись. Формализованное описание механизма защиты М(Ол)

задается матрицей описания логической структуры БД В = Ьматрицей степеней

секретности ¥ = ^ , а также матрицей полномочий пользователей Р = ||рь 11. Матрица ¥

индексируется по строкам множеством типов записей N логической структуры БД и множеством связей между ними Ж, которые требуют защиты, а по столбцам - множеством

установленных для записей и связей степеней секретности Ф = {( : I е Я}.

В позицию ) матрицы ¥ заносится единица, если для логической записи

(связи) п е N(¡1.,П')е Ж) установлена степень секретности (р. и нуль в противном случае.

Каждому варианту 0 отображения канонической структуры БД в логическую соответствует конкретный механизм защиты М0 (Ол) логической структуры.

Анализ эффективности разработанных механизмов защиты на различных уровнях представления информации БД является сложным и трудоемким процессом. Достаточно полную оценку качества механизма защиты можно получить путем анализа динамики функционирования БД при реализации множества запросов пользователей. При этом требуется перебор множества альтернативных вариантов выполнения запросов на сложных структурных данных, которые имеют разные степени секретности, а также учет уровней полномочий различных пользователей БД.

Как отмечалось ранее, требования к уровню секретности структурных элементов предметной области описываются с помощью результирующей матрицы степеней

секретности ¥ = ||/и ||, I е Ь, I е Я. Матрица ¥ проиндексирована по строка - элементами , множества & , а по столбцам - множеством требуемых степеней секретности Ф = {р /1 е Я}. Заполнение матрицы ¥ осуществляется с учетом информации, содержащейся в матрицах ¥к, k = 1, К . При этом в позицию /и матрицы ¥ помещается единица, если хотя бы в одном из информационных требований щ структурному элементу ё е & установлена степень секретности ( еФ . В противном случае /и = 0 .

В режиме диалога проектировщик (администратор БД) осуществляет анализ матрицы степеней секретности ¥ и при необходимости выполняет ее корректировку. Корректировка требуется в том случае, если некоторый структурный элемент ё е & входит в несколько информационных требований ик и имеет в них разные степени секретности, т.е. в матрице

¥ строка I содержит несколько единичных записей. В таких ситуациях проектировщик либо администратор БД в результате анализа значимости рассматриваемого структурного элемента ё для функционирования организации-владельца базы данных осуществляют согласование

требований к степени секретности элемента ё со стороны различных пользователей путем

приведения их к одному уровню. В строке l матрицы F может содержаться несколько единичных записей только тогда, когда администратор БД принимает решение о целесообразности ввести для разных экземпляров структурного элемента dt е D разные

степени секретности. После завершения корректировки из матрицы F следует вычеркнуть столбцы, состоящие из одних нулей, так как соответствующая степень секретности не используется для помечивания элементов d е D предметной области. Корректировка степеней секретных данных может вызвать изменения в профилях полномочий пользователей с целью обеспечения возможностей обращения к требуемым информационным ресурсам БД.

Далее осуществляется реструктуризация канонической структуры БД с учетом ограничений, накладываемых механизмом защиты M (Ок) канонической структуры БД.

В режиме диалога проектировщик БД может осуществлять уточнение исходных требований к защите данных путем анализа сформированных групп и информации о степенях секретности структурных элементов предметной области. При выявлении противоречий в уровнях секретности групп и составляющих их информационных элементов требуется корректировка исходной информации. Например, некоторый объект предметной области

(группа данных) d. е Dz в исходных требованиях может быть помечен степенью

секретности, которая не согласуется со степенью секретности {< / i е Я} его атрибутов

(информационных элементов) dj е H(d.). Степень секретности объекта предметной области

должна соответствовать степени секретности наиболее важных с точки зрения организации -владельца БД характеристик (атрибутов) объекта. В некоторых случаях во избежание дополнительных затрат на выявление и устранение неточностей, допущенных при формировании задания на проектирование системы защиты БД, степени секретности групп (объектов) игнорируются. Они определяются как производные от требований, предъявляемых к защите информационных элементов, на основе информации о составе групп.

Для пользователя sk е S, имеющего уровень полномочий 7tk, допустимыми являются группы d е Dz, состоящие из элементов данных {dy е H(d.)} со степенью секретности {< / i е Я}, не превышающими его полномочия: < / f = 1, Vd^. е H (dl). Каноническая

структура G должна обеспечивать пользователю sk при выполнение любых его запросов

возможность обращаться ко всем доступным ему информационным элементам без нарушения требований защиты от несанкционированного просмотра. Приведение структуры информационного требования к такому виду целесообразно потому, что базы данных представляют собой централизованные хранилища, как правило, разной степени секретности информации и являются системами коллективного пользования для множества абонентов с самыми различными уровнями полномочий. При этом механизм и система защиты БД, а также система обработки запросов в целом, будут эффективнее, если обеспечивается максимальная полнота удовлетворения информационных потребностей авторизованных пользователей БД.

Для формирования структуры обобщенного информационного требования, соответствующей эффективному механизму защиты M(GK) канонической структуры БД,

может потребоваться внесение изменений в структуру Gk (Ds, Wг), полученную на предыдущем этапе и свободную от дублируемых информационных элементов и избыточных взаимосвязей. Целью этих изменений является улучшение первоначально полученной

структуры представления пользователей Gk(Ds,Wг) путем обеспечения необходимых путей 11

доступа к данным, обеспечения предпосылок для требуемого уровня защиты информационных ресурсов БД, повышения эффективности обработки данных. Внесение изменений в структуру представления пользователя заключается в осуществлении перекомпоновки групп информационных элементов путем перераспределения состава некоторых из этих групп. В этом случае некоторые элементы данных, в зависимости от уровня их секретности, могут быть помещены в отдельные группы.

Для выполнения процедур перекомпоновки групп элементов данных в канонической структуре G., на основании матрицы полномочий P определяется упорядоченное по возрастанию безызбыточное множество уровней полномочий пользователей БД П = |ж | k = 1, K j. При этом уровень полномочий q -го пользователя жк определяется в соответствии с выражением жк = < / Pki Ф 0, < > pt,, VPki Ф 0, i, i' e R, i Ф i'.

Среди пользователей БД Q = jq; k = 1, K j выделяются такие пользователи je Q, k = 1, K, которые имеют самый низкий уровень полномочий ж° = ^еП / ж < жк,, Vk' = 1, K, k = 1, K, k Ф k'. Во множестве сформированных ранее групп обобщенного информационного требования U определяется подмножество D* с Dг групп, недоступных пользователям jgl je Q, имеющих минимальный уровень полномочий: Dl = jd e Ds / p > ж\, Vf Г = 1, i e Rj. В этих группах анализируются элементы данных, экземпляры которых имеют разные степени секретности. Элемент данных di, имеющий более одной степени секретности < je Ф, среди которых только часть не превышает уровня полномочий ж° e П пользователей БД, заменяется совокупностью информационных элементов dр , число которых в общем случае равно |П| +1. Каждому новому

информационному элементу присваивается уникальный идентификатор. После этого первый из указанных элементов данных получает степень (степени) секретности

<Рп ejps}сФ| Рп <Ж° . Каждому последующему элементу данных dp e jdp j присваивается степень секретности (степени секретности) pn e < j с Ф | ж" < p < жр , р = 1, |П| -1, m = р — 1. Самый последний новый элемент данных будет иметь степень секретности pn e jps j с Ф | pn > жрр, р = |П| — 1. Отметим, что в зависимости от соотношения множеств П

и <}сФ, не каждый элемент данных jdP j множества может получить хотя бы одну

степень секретности. Такие информационные элементы являются избыточными и их следует удалить.

Отношения смежности каждого элемента dp e jdp j однозначно определяются взаимосвязями первоначального информационного элемента dj e Dд. Выполнение описанных действий приводит к расширению состава соответствующих групп и, соответственно, к корректировке матриц в и F . Далее каждая группа dt e D* разбивается таким образом, что элементы данных jdp e H{dl) | pi <ж'°, Vfpi = 1, i e Rj остаются в первоначальной группе dt, а остальные элементы распределяются в |П| — 1 новых группах jd" / " = 1, |П| — 1j. Группа d] включает в состав только те из оставшихся элементов

первоначальной группы е О , степени секретности которых не превышают очередной непосредственно следующий за уровнем ж\ в упорядоченном множестве П уровень полномочий ж\ пользователей, т.е. н(&])= \&уп е Н(&)| ж" < р < ж\,= 1,I е Я,ё е О1}. Группа состоит из тех элементов данных разбиваемой группы е О, степени

секретности которых не выше уровня полномочий жк еП пользователей БД: н(&2)= & е Н&)| Ж < ( < ж2к,= 1,I е Я,е О}.

Аналогично получаются остальные группы множества {ё£}, пока не будут проанализированы степени секретности всех информационных элементов первоначальной группы ё е О. При / = |П| -1 группа будет состоять из недоступных ни одному

пользователю дк е Q информационных элементов, если таковые в группе ё е О имеются.

В результате в общем случае вместо множества ОГ получаются |П| типов множеств групп О^ = {ё/ /1 е Ь },/ = 0, |П|. При этом каждый тип множества групп характеризуется тем,

что все входящие в него группы имеют уровни секретности, доступные определенной категории пользователей, если эти пользователи могут обращаться хотя бы к одной из групп рассматриваемого множества. В свою очередь, если хотя бы один информационный элемент доступен некоторому пользователю БД д е Q, то и вся группа, в состав которой входит указанный элемент данных, доступна пользователю.

Как правило, пользователю, реализующему конкретные функциональные задачи обработки информации, не целесообразно произвольно использовать все данные, доступные уровню его полномочий. Такого рода ограничения на доступ к информации, размещаемой в БД, позволяют реализовать применение концепции подсхем. Задачи формирования необходимого множества подсхем для авторизованных пользователей БД решаются на этапе синтеза механизмов защиты логической структуры БД.

Для формирования на структуре обобщенной модели предметной области множества разрешенных путей доступа пользователей к различным типам элементов данных взаимосвязи между группами информационных элементов устанавливаются следующим

образом. Каждая группа ^ е О3, / = 1, |П| на графе Оk (О2 ,Жг) соединяется дугой только с

соответствующей ей группой е О/, / = 0, и причем таким образом, что непосредственно

предшествует ей, т.е. размещается на следующем нижележащем уровне.

В том случае, если для первоначальной группы ^ е О^, не являющейся висячей вершиной на графе О(О2,Жг) , множество Н(ё1),е О/,/ = 0, является пустым, то вместо группы е О/, / = 0, вводится новая группа (группа-связка), состоящая из одного или нескольких ключевых атрибутов. Степень секретности группы-связки должна позволять обращаться к ней пользователям {д// Q. Группа-связка включается в множество О/, / = 0,

и идентифицируется как группа е О/, / = 0.

Если указанная ситуация имеет место для висячих вершин-групп на графе О (Ог, Жг) , при разбиении в группе ё остаются информационные элементы, имеющие степени

секретности, ближайшие к уровню полномочий п\ пользователей в упорядоченном множестве П, а остальные элементы данных помешаются в новые группы с более высокими степенями секретности, которые будут являться порожденными по отношению к разбиваемой группе.

Отношения семантической смежности между полученными группами ^ е Рг, / = 1, |П| , и их информационными элементами определяются на основе составов этих групп. При этом на графе Ок(Рг,Жг) дуги, направленные от вершин ^ е Рд | d е Н),^ е Ог,/ = 1,|П|, в

вершины ^ е ОМ, / = 0, переориентируются к соответствующим вершинам d/ е Рг, / = 1, |П|.

В результате формируется структурированное обобщенное информационное требование пользователей БД 8 = {к / к = 1, К] с уровнями полномочий П = {як / к = 1, К}. Полученное информационное требование формально описывается упорядоченной в

пМ

соответствии с уровнями иерархии групп матрицей смежности В , которой соответствует орграф Ок . Вершинами графа Ок(РМ,Жг) являются элементы множества информационных

О г ( г г\ Г'П г!

элементов Рд и множества групп данных Ргм = рг \ Р*м)и I иРМ . Матрица семантической

и=1 )

смежности ВМ, проиндексированная по строкам и столбцам множеством 0м = рд и Ргм,

получается на основе матрицы В с учетом описанных процедур структуризации предметной области БД и реорганизации составов групп в соответствии с требованиями защиты информационных ресурсов БД.

Элементы матрицы

ВМ

отображают наличие (запись Ьн, = 1) или отсутствие (запись

Ьм = 0) отношений смежности между выделенными группами и элементами данных. При

этом на графе Огм (ргм ) вершины - группы dl е Ргм , доступные пользователям } £ 0 с

самым низким уровнем полномочий як, образуют сквозные пути доступа от вершин первого уровня к вершинам нижних уровней. Очевидно, что эти группы будут доступны пользователям с более высокими полномочиями.

Группы ^ е Ра^, / = 1, П , имеющие степени секретности выше уровней полномочий

ж\ пользователей ° } £ 0, являются висячими вершинами на графе Ок, и при поиске общедоступных данных исключается их несанкционированный просмотр.

Структурированное информационное требование 8 не содержит дублируемых элементов данных, избыточных связей между группами и обеспечивает возможность выполнения любых санкционированных запросов пользователей. При такой стратегии структуризации предметной области пользователей БД формируемая каноническая структура БД позволяет пользователям при развитии приложений базы данных формулировать запросы к БД, которые выходят за рамки их информационных требований, но соответствуют уровню их полномочий.

Уровень секретности типов элементов данных канонической структуры БД

представляется матрицей ^ = || / 11, которая индексируется по строкам элементами множества

ключей, а по столбцам - множеством степеней секретности, требуемых для описания уровня конфиденциальности информационных ресурсов БД.

Заполняется матрица ¥ на основании информации степени секретности ключей и ассоциируемых с ними атрибутов. Элемент матрицы ¥ равен единице, если группа, состоящая из ключа ё и непосредственно независимых от него атрибутов, имеет степень

секретности ( е Ф . В противном случае элемент /и равен нулю. При этом если ключ либо какой-нибудь зависимый от него атрибут имеет несколько уровней секретности, используется наиболее высокая степень секретности рассматриваемого элемента группы.

Таким образом, механизм защиты М (Ок) канонической структуры БД представляется

в виде совокупности трех матриц: матрицы ¥ , матрицы полномочий пользователей Р = ||р^Ц

и матрицы описания канонической структуры БД. Механизм зашиты М (Ок) канонической

структуры БД позволяет установить правомочность доступа пользователей, осуществляемого из точек входа в БД к любому элементу данных (ключу или атрибуту) или группе элементов данных, размещаемых в БД.

Следует отметить, что качество механизма защиты М (Ок ) канонической структуры БД

определяется существованием на канонической структуре БД разрешенных путей доступа к различным типам элементов данных предметной области пользователей, т.е. зависит от состава групп данных и структуры установленных между ними взаимосвязей при заданных уровнях полномочий пользователей.

Полнота удовлетворения информационных потребностей пользователей БД без нарушения требований защиты является одним из главных требований, предъявляемых к качеству механизма защиты канонической структуры БД.

Таким образом, предложена формальная математическая модель описывающая все аспекты функционирования АИУС с точки зрения безопасности информации, что позволяет ставить задачи синтеза механизмов защиты БД, которые решаются стандартными способами математического программирования.

ЛИТЕРАТУРА

1. Мамиконов А.Г., Кульба В.В., Шелков А.Б. Достоверность, защита и резервирование информации в АСУ. - М.: Энергоатомиздат, 1986. - 304 с.

2. Мамиконов А.Г., Кульба В.В., Косяченко С.А., Сиротюк В.О. и др. Оптимизация структур данных в АСУ. - М.: Наука, 1998. - 256 с.

3. Косяченко С.А., Кульба В.В. и др. Модели и методы проектирования распределенных баз данных (Обзор). - АиТ, 1989, №3, с. 3-58.

4. Мамиконов А.Г., Кульба В.В., Косяченко С.А., Ужастов И.А. Оптимизация структур распределенных баз данных в АСУ. М.: Наука, 1990. - 235 с.

5. Кульба В.В., Ковалевский С.С., Горгидзе И.А., Зайцев К.С., Карсанидзе Т.В., Шелков А.Б. Методы повышения эффективности и качества функционирования автоматизированных информационно-управляющих систем. - М: «КомпьюЛог», 2001. - 343 с.

6. Кульба В.В., Курочка Н.П. Достоверность информации при проектировании баз данных [Текст] / В.В. Кульба, Н.П. Курочка // Системы управления и информационные технологии. Научно-техн. журнал, Москва-Воронеж, 2014, -2014. - №3(57). - с. 80 - 85.

7. Кульба В.В., Курочка Н.П. Синтез системы обеспечения достоверности информации в системах обработки данных [Текст] / В.В. Кульба, Н.П. Курочка // Системы управления и информационные технологии. Научно-техн. журнал, Москва-Воронеж, 2013, том 53, №3.1(53). С. 149 - 155.

8. Курочка, П.Н. Модель определения надежности при нечетких сведениях о степени надежности [Текст] / П.Н. Курочка, А.Л. Маилян // Системы управления и информационные технологии. Научно-техн. журнал, Москва-Воронеж, том 49, №3.1(49), 2012. С. 192 - 197.

9. Курочка, П.Н. Критичность в сетях с нечеткими продолжительностями операций [Текст] / П.Н. Курочка, А.М. Потапенко, И.В. Федорова // Системы управления и информационные технологии. 2005. №4(21). - с. 43 - 45.

10. Курочка, П.Н. Алгоритм получения робастных расписаний частичного порядка [Текст] / П.Н. Курочка, А.А. Новиков, О.Н. Толстикова, И.В. Федорова // Вестник Воронежского государственного технического университета, Том 3, №7, 2007. - с. 101 - 106.

Рецензент: Баркалов Сергей Алексеевич, доктор технических наук, профессор, директор института экономики, менеджмента и информационных технологий, ФГБОУВПО «Воронежский государственный архитектурно-строительный университет».

Kulba Vladimir Vasilevich

V.A. Trapeznikov Institute of Control Sciences of Russian Academy Sciences

Russia, Moscow E-mail: kulba@ipu.ru

Kurochka Nikolay Pavlovich

FSUE «CRI 18» The Russian Defense Ministry

Russia, Moscow E-mail: alf162@rambler.ru

Mathematical model for information safety ensuring in databases

Abstract. This article presents the major techniques and purposes of information protection in databases as well as their classification. There are noted the application fields and features of these methods, advantages and disadvantages. A formal definition of the information protection mechanism in the database and the transition to the system of database protection are given. The indexes of efficiency for devel-oping systems of database protection and sets of degrees of structural element secrecy, as well as many authorities of database users are presented. The degrees of secrecy for data groups are formed with due consideration of ones of the struc-tural element secrecy, followed by allows us to pass on to the synthesis of mecha-nism to protect the canonical structure of database. Appreciating the necessity to protect at the logic level not only data, but also links between them, we intro-duced the degree of secrecy for relations between the logic elements. In addition, the degrees of secrecy for logical records are formed on the basis of data on the degree of secrecy for groups of the database canonical structure. The indexes of efficiency for synthesis of mechanisms to protect the canonical and logical struc-tures of databases are given on the basis of these definitions. Cumulatively, a mathematical model of information protection has been formed for a variety of database structures that allows us to carry out the statement of tasks on synthe-sizing complex systems of database protection by different criteria of efficiency.

Keywords: databases; information safety; automated management information systems; canonical structure; logical structure; protection mechanism; protection system; information protection; methods of information protection; synthesis of information protection systems.

REFERENCES

1. Mamikonov A.G., Kul'ba V.V., Shelkov A.B. Dostovernost', zashchita i rezervirovanie informatsii v ASU. - M.: Energoatomizdat, 1986. - 304 s.

2. Mamikonov A.G., Kul'ba V.V., Kosyachenko S.A., Sirotyuk V.O. i dr. Optimizatsiya struktur dannykh v ASU. - M.: Nauka, 1998. - 256 s.

3. Kosyachenko S.A., Kul'ba V.V. i dr. Modeli i metody proektirovaniya raspredelennykh baz dannykh (Obzor). - AiT, 1989, №3, s. 3-58.

4. Mamikonov A.G., Kul'ba V.V., Kosyachenko S.A., Uzhastov I.A. Optimizatsiya struktur raspredelennykh baz dannykh v ASU. M.: Nauka, 1990. - 235 s.

5. Kul'ba V.V., Kovalevskiy S.S., Gorgidze I.A., Zaytsev K.S., Karsanidze T.V., Shelkov A.B. Metody povysheniya effektivnosti i kachestva funktsionirovaniya avtomatizirovannykh informatsionno-upravlyayushchikh sistem. - M: «Komp'yuLog», 2001. - 343 s.

6. Kul'ba V.V., Kurochka N.P. Dostovernost' informatsii pri proektirovanii baz dannykh [Tekst] / V.V. Kul'ba, N.P. Kurochka // Sistemy upravleniya i informatsionnye tekhnologii. Nauchno-tekhn. zhurnal, Moskva-Voronezh, 2014, - 2014. - №3(57). -s. 80 - 85.

7. Kul'ba V.V., Kurochka N.P. Sintez sistemy obespecheniya dostovernosti informatsii v sistemakh obrabotki dannykh [Tekst] / V.V. Kul'ba, N.P. Kurochka // Sistemy upravleniya i informatsionnye tekhnologii. Nauchno-tekhn. zhurnal, Moskva-Voronezh, 2013, tom 53, №3.1(53). S. 149 - 155.

8. Kurochka, P.N. Model' opredeleniya nadezhnosti pri nechetkikh svedeniyakh o stepeni nadezhnosti [Tekst] / P.N. Kurochka, A.L. Mailyan // Sistemy upravleniya i informatsionnye tekhnologii. Nauchno-tekhn. zhurnal, Moskva-Voronezh, tom 49, №3.1(49), 2012. S. 192 - 197.

9. Kurochka, P.N. Kritichnost' v setyakh s nechetkimi prodolzhitel'nostyami operatsiy [Tekst] / P.N. Kurochka, A.M. Potapenko, I.V. Fedorova // Sistemy upravleniya i informatsionnye tekhnologii. 2005. №4(21). - s. 43 - 45.

10. Kurochka, P.N. Algoritm polucheniya robastnykh raspisaniy chastichnogo poryadka [Tekst] / P.N. Kurochka, A.A. Novikov, O.N. Tolstikova, I.V. Fedorova // Vestnik Voronezhskogo gosudarstvennogo tekhnicheskogo universiteta, Tom 3, №7, 2007. -s. 101 - 106.