Механизм реализации мандатной политики безопасности в АСУП на базе Oracle ECM 11g Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.8

МЕХАНИЗМ РЕАЛИЗАЦИИ МАНДАТНОЙ ПОЛИТИКИ БЕЗОПАСНОСТИ В АСУП НА БАЗЕ ORACLE ECM 11G

М.А. Проскуряков; Б.В. Палюх, д.т.н.; В.В. Мельникова

(Тверской государственный технический университет); С.Л. Котов, к.э.н. (Государственный испытательный центр ПС ВТ, г. Тверь, gic@tvcom.ru)

Рассматривается проблема обеспечения соответствия подсистемы мандатного контроля доступа в Oracle ECM 11g требованиям РД СВТ, предъявляемым к данной подсистеме. Предложен механизм реализации мандатной политики разграничения доступа в Oracle ECM 11g.

Ключевые слова: Oracle ECM 11g, РД СВТ, мандатная модель Белла-ЛаПадулы, аттестация, контент-сервер, АСУП, сертификационные испытания.

Проблему обеспечения безопасности информационных систем (ИС) можно рассматривать с учетом двух компонент - автоматизации обработки информации и общей безопасности.

Отметим, что основная аксиома защиты информации формулируется следующим образом: все вопросы безопасности информации описываются доступом субъектов к объектам. Поэтому политика безопасности задается в виде правил, в соответствии с которыми должно осуществляться взаимодействие между субъектами и объектами. Взаимодействия, приводящие к нарушениям этих правил, необходимо пресекать средствами контроля доступа. Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и мандатные (нормативные). В данной статье рассматривается фундаментальная нормативная модель Белла-ЛаПадулы [1].

При описании мандатной модели разграничения доступа будем использовать такой подход к формальному моделированию безопасности ИС, при котором исследуемая система представляется в виде абстрактной системы (автомата), каждое состояние которой описывается доступами, реализуемыми субъектами к сущностям, а переходы ИС из состояния в состояние - командами или правилами преобразования состояний, выполнение которых обычно инициируется субъектами [2].

Классическая модель Белла-ЛаПадулы, используемая, в частности, в Руководящем документе «Средства вычислительной техники...» (РД СВТ) (НПр^/^т. fstec.ru/ docs/doc_3_3_003.htm), является автоматной моделью, в которой моделируемая ИС представляется абстрактной системой, каждое ее состояние описывается с использованием следующих обязательных составляющих:

- множества текущих доступов субъектов к объектам системы;

- функций, задающих для каждого субъекта уровень доступа и текущий уровень доступа, для каждого объекта уровень конфиденциальности;

- матрицы доступов, позволяющей в дополнение к мандатному управлению доступом использовать дискреционное управление им.

Приведем формальное описание мандатной модели разграничения доступа, которая должна быть реализована в АСУП в соответствии с требованиями РД СВТ: S - множество субъектов sb s2, s3, ..., sn; O - множество объектов ob o2, o3, ..., om, ScO; R={r, w, d} - множество прав доступа, где r - доступ на чтение, w - на запись, d - на удаление; L={U, SEC, TOPS, GRS} - множество уровней секретности (иерархических категорий), где U -несекретно, SEC - секретно, TOPS - совершенно секретно, GRS - особой важности; Л=^,< •, ® } -решетка уровней секретности, где < - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности, • - оператор наименьшей верхней границы, ® - оператор наибольшей нижней границы; V - множество состояний системы, представляемое в виде набора упорядоченных пар (F, M), где F : SuO^-L - функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определенный уровень секретности, M - матрица текущих прав доступа {S,, O,}.

Таким образом, система D=(v0, R, T) в модели Белла-ЛаПадулы состоит из следующих элементов: v0 - начальное состояние системы, R - множество прав доступа, T: VxR^V - функция перехода, которая при выполнении запросов переводит систему из одного состояния в другое [2].

Рассмотрим реализацию модели Белла-Ла-Падулы на примере системы управления контентом Oracle Enterprise Content Management Suite 11g (далее - ECM 11g). В ECM 11g для настройки мандатных правил разграничения доступа (ПРД) стандартными средствами в соответствии с требованиями РД СВТ необходимо выполнить следующие основные настройки.

1. Прежде всего необходимо перейти в апплет «Управление пользователями» ^ «Защита» ^ «Предварительно определенные учетные записи», создать неиерархические и иерархические категории, указанные в таблице 1 (в ECM 11g категории называются учетными записями).

Таблица 1

Описание неиерархических и иерархических категорий

Категория Примечание

grs Иерархическая категория «Особой важности» внутри неиерархической категории grs

grs/tops Иерархическая категория «Совершенно секретно» внутри неиерархической категории grs

grs/tops/sec Иерархическая категория «Секретно» внутри неиерархической категории grs

test1 Неиерархическая категория test1, которая не содержит иерархических категорий

Графическое представление неиерархических и иерархических категорий в ЕСМ дано на рисунке 1.

2. В LDAP-каталог сервера приложений Oracle Weblogic 11g следует добавить необходимые группы, соответствующие правам доступа пользователей к иерархическим категориям. Структура имен создаваемых групп следующая:

@[Имя категории из таблицы 1]([Права доступа к данной иерархической категории])

Примеры: @grs(W), @§гзЛор8/8ес(ЯЖО), где @ указывает на то, что данная группа в Weblogic соответствует категории в ЕСМ 1^; имя категории между символами @ и ( должно точно совпадать с названием учетной записи в ЕСМ1^; Я, Ж, Б -параметры полномочий пользователей к документам, относящимся к текущей иерархической категории (Я - чтение, Ж - запись, Б - удаление); права пользователей к категориям задаются в круглых скобках сразу после имени категории.

3. Далее необходимо включить пользователей в созданные на предыдущем шаге группы пользователей. Модель мандатных ПРД, согласно РД СВТ, запрещает нисходящий информационный поток в соответствии с моделью Белла-ЛаПадулы, то есть пользователю запрещается запись данных в объекты с более низким уровнем доступа, чем у него самого (уровень определяется набором неиерархической и иерархической категорий), а также чтение данных из объектов с более высоким уровнем доступа, чем у него.

Для обеспечения данного требования необходимо включить пользователей в группы, представленные в таблице 2.

Таблица 2

Настройка групп пользователей в соответствии с их уровнем доступа

Категория пользователя в ECM 11 g

grs/tops/sec

grs/tops

grs

Группы Weblogic

@grs(W)

@grs/tops/sec(RWD)

@grs(W)

@grs/tops(RWD)

@grs/tops/sec(RD)

@grs(RWD)

@grs/tops(RD)

@grs/tops/sec(RD)

Описание

Ожидается, что пользователь с иерархической категорией «Секретно» имеет право на запись документов в объекты с более высокой меткой (в иерархические категории «Совершенно секретно» и «Особой важности») и в объекты с такой же меткой, как у него («Секретно»), а читать и удалять данные может только из объектов с категорией «Секретно»

Ожидается, что пользователь с иерархической категорией «Совершенно секретно» имеет право на запись документов в объекты с более высокой меткой (категории «Особой важности») и в объекты с такой же меткой, как у него («Совершенно секретно»), а читать и удалять данные может из объектов с категориями «Секретно» и «Совершенно секретно»

Ожидается, что пользователь с иерархической категорией «Особой важности» имеет право на запись данных только в объекты с такой же меткой, как у него («Особой важности»), а читать и удалять данные может из объектов с более низкими иерархическими категориями «Совершенно секретно» и «Секретно»

В действительности описанных выше настроек мандатных ПРД в ЕСМ недостаточно для реализации всех требований к мандатной модели согласно РД СВТ, поскольку иерархические категории в ЕСМ устроены таким образом, что права, назначенные корневой категории (в данном случае корневой категорией является категория grs -«Особой важности»), автоматически назначаются всем вложенным категориям (в данном случае категориям grs/tops и grs/tops/se). При описанных выше настройках начальное состояние (Р, М) мандатной модели разграничения доступа в ЕСМ будет безопасно по чтению: У^еб", УоеО, геМ[5, о]^Е(о)<Р^), но не будет безопасно по записи, то есть не будет соблюдаться следующее правило: УоеО, »еМ[^, о]^РХ)<Ро). Таким обра-

зом, стандартная мандатная модель разграничения доступа в ECM 11g не соответствует требованиям РД СВТ.

Для обеспечения безопасности мандатной системы разграничения доступа в ECM 11g как по чтению, так и по записи необходимо модернизировать стандартную мандатную модель разграничения доступа в ECM 11g, добавив пользователям во встроенном LDAP-каталоге Weblogic дополнительный атрибут, имеющий условную метку и по сути дублирующий иерархическую категорию пользователя. Согласно этой метке, в профиле регистрации новых документов на контент-сервере ECM 11g по заданному алгоритму в списке выбора категорий для регистрируемого пользователем документа будут отображаться только те иерархические категории, которые не ниже иерархической категории пользователя.

Модернизация мандатной системы разграничения доступа в ECM 11g будет состоять из следующих основных этапов.

1. Добавление и настройка пользовательского JPS-атрибута.

1.1. Выбрать в LDAP-каталоге JPS-атрибут для пользователя, в котором будет храниться дублирующая информация об уровне доступа пользователя согласно мандатной модели разграничения доступа (комбинация неиерархической и иерархической категорий). В качестве примера возьмем пользовательский атрибут Employeenumber во встроенном LDAP-каталоге Weblogic (атрибут JPS).

1.2. Создать новое информационное поле uEmployeenumber на вкладке «Информационные поля» апплета «Управление пользователями», который должен принимать значение пользовательского атрибута Employeenumber из встроенного LDAP-каталога Oracle Weblogic 11g. Для этого в настройках поставщика пользователей JPS (на вкладке «Поставщики» в ECM 11g) необходимо настроить соответствие между пользовательским атрибутом во встроенном LDAP-каталоге и информационным полем в апплете «Управление пользователями» в ECM 11 g.

2. Настройка соответствия значения пользовательского JPS-атрибута уровню доступа пользователя в мандатной модели разграничения доступа.

2.1. В апплете «Диспетчер конфигураций» ECM 11g необходимо создать таблицу Checklist, содержащую информационные поля, отраженные в таблице 3.

Таблица 3

Информационные поля таблицы Checklist

2.2. Создать представление Checklist для таблицы Checklist и заполнить его данными, приведенными в таблице 4.

Таблица 4

Содержание представления Checklist

ID docAccount employeenumber

1 grs 0

2 grs/tops 0

3 grs/tops/sec 0

4 grs 1

5 grs/tops 1

6 grs 2

7 testl 3

2.3. Перейти на вкладку «Сервер администратора» ^ «Диспетчер компонентов» ^ «Расширенный диспетчер компонентов» и установить новые компоненты RemoveProfileStandardMenus.zip для удаления стандартного профиля регистрации документов и UserDataSecurityFilter.zip для пользовательского модуля реализации безопасности с целью обеспечения фильтрации доступных пользователям категорий безопасности при регистрации документов на контент-сервере согласно значению атрибута Employeenumber.

2.4. Открыть вкладку «Защита» созданного ранее представления Checklist и указать имя пользовательского класса intradoc.server.schema.UserData-SecurityFilter.

Имя Тип Длина Первичный

docAccount varchar 50

ID int Да

employeenumber varchar 50

Рис. 2. Схема выполнения регистрации документов

2.5. Найти файл [cs_home]/data/schema/views/ CheckList.hda и добавить строчки:

- schSecuritylmplementorUserDataField = employeenumber;

- schSecuritylmplementorUserDataValue = uEmployeenumber.

3. Настройка профиля для регистрации документов согласно заданным на предыдущих шагах правилам.

3.1. Создать информационное поле xwCategory на вкладке «Информационные поля» апплета «Диспетчер конфигураций» и настроить для данного информационного поля список вариантов со ссылкой на представление Checklist.

3.2. В правиле gStandardFields, отвечающем за отображение и обработку стандартных атрибутов для загружаемых на сервер документов, обязательному атрибуту xwCategory необходимо указать следующее значение для параметра «Является производным полем» - <$dprDerivedValue=#xw-Category.docAccount$> и скрытому атрибуту dDocAccount указать следующее значение для параметра «Является производным полем» - <$dpr-DerivedValue=#getFieidViewValue("xwCategory",#a ctive.xwCategory,"docAccount")$>

Схема работы модернизированной мандатной модели разграничения доступа в ECM 11g при выполнении регистрации документов пользователями на контент-сервере представлена на рисунке 2.

Таким образом, начальное состояние (F, M) модернизированной мандатной модели разграничения доступа в ECM 11g будет безопасно как по чтению: VseS, VoeO, reM[s, o]^F(o)<F(s), так и по записи: VseS, VoeO, weM[s, o]^F(s)<F(o) [2]. Безопасность всех остальных состояний модернизированной системы £=(v0, R, T) мандатного

принципа разграничения доступа в ЕСМ будет обеспечиваться тем, что в ЕСМ изменять уровни безопасности пользователей - группы и значения служебных атрибутов пользователей в LDAP-каталоге Weblogic - разрешено только пользователям, играющим роль администратора Weblogic, другие пользователи ЕСМ не имеют прав доступа к консоли администрирования Weblogic. Доступ к апплетам администрирования ЕСМ также разрешен только пользователям, играющим роль администрирования ЕСМ 1^. Следовательно, можно утверждать, что модернизированная система Е=(у0, Я, Т) мандатного принципа разграничения доступа в ЕСМ является безопасной, поскольку ее начальное состояние у0 и другие состояния системы, достижимые из начального состояния у0 путем применения конечной последовательности запросов из Я, безопасны. Практическое применение модернизированной мандатной модели разграничения доступа в ЕСМ 1^, несмотря на наличие сертификата безопасности, требует, чтобы модель безопасности на аттестуемых АСУП также была настроена в соответствии с разработанными в данной статье требованиями.

Литература

1. Палюх Б.В., Котов С.Л., Демирский А.А. Тестирование ПС: учеб. пособие. Тверь: ТГТУ, 2011. 134 с.

2. Девянин П.Н. Модели безопасности компьютерных систем: учеб. пособие для вузов. М.: Изд-во «Академия», 2005. 144 с.

3. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия : монография. Старый Оскол: ООО «ТНТ», 2005. 448 с.

4. Котов С.Л., Палюх Б.В., Федченко С.Л. Методы оценки, тестирования и выбора рациональных характеристик корпоративных информационных систем: учеб. пособие. Тверь: ТГТУ, 2008.

УДК 004.942+896

ПРОГРАММНАЯ ИМИТАЦИОННАЯ МОДЕЛЬ MACHINA SPECULATRIX УОЛТЕРА ГРЕЯ

П.А. Колос; Н. С. Волкова

(Черкасский национальный университет им. Богдана Хмельницкого, dr_peter@£.ua, manunya@£.ua)

Статья посвящена особенностям моделирования поведения живых существ при создании технических систем. Описываются биоморфные кибернетические робототехнические системы machina speculatrix Уолтера Грея, а также исследуются особенности разработки и использования имитационных моделей таких систем.

Ключевые слова: бионика, кибернетические черепашки, робототехнические системы, биоморфные роботы, программные имитационные модели.

Управление техническими системами - главная Бионика (в англоязычной литературе - биоми-задача кибернетики. Современные кибернетиче- метика) - научно-технологическое направление по ские технологии с этой целью очень часто исполь- заимствованию у природы ценных идей и реализуют бионический подход. зации их в виде конструкторских и дизайнерских