CC BY
52
МОДЕЛИРОВАНИЕ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЫ ВУЗА
О.М. Лепешкин, Н.Г. Демурчев
MODELLING THE SECURITY OF AUTOMATED INFORMATION SYSTEM OF HIGH SCHOOL
O.M. Lepeshkin, N.G. Demurchev
The paper views the problem of creating automated information systems in high school. The approach to modelling system of the information protection for the automated information system of the high school, based on the use of a complex including formal models of management by access and data integrity models is described.
В статье рассматривается проблема создания гарантированно защищенных автоматизированных информационных систем вуза, описывается подход к моделированию системы защиты информации автоматизированной информационной системы вуза, основанный на использовании комплекса формальных моделей управления доступом и моделей целостности данных.
УДК 6B1.3
Построение современных автоматизированных информационных систем (АИС) управления, используемых в сфере высшего профессионального образования, тесно связано с проблемой обеспечения информационной безопасности. Решением данной проблемы является построение гарантированно защищенных информационных систем, основанных на математических моделях безопасности [1, 2].
Модели безопасности играют важную роль в процессах разработки и исследования защищенных АИС, так как обеспечивают системотехнический подход, включающий решение следующих важнейших задач [3]:
- выбор и обоснование базовых принципов архитектуры защищенных АИС, определяющих механизмы реализации средств и методов защиты информации от несанкционированного доступа;
- подтверждение свойств разрабатываемых систем путем формального доказательства безопасности системы;
- составление формальной спецификации политики безопасности как важнейшей составной части организационного и документационного обеспечения разрабатываемых защищенных АИС.
Несмотря на достаточно высокий уровень теоретических исследований в области формальных моделей доступа, их практическая реализация связана с существенными трудностями, связанными с особенностями разрабатываемой системы и объекта информатизации.
Лепешкин О.М., Демурчев Н.Г. «Моделирование безопасности автома
Рассмотрим свойства информационной системы вуза с точки зрения разграничения доступа к информации [4]:
- наличие ценных информационных ресурсов, конфиденциальность и целостность которых существенно влияет на эффективность деятельности вуза (следовательно, существует заинтересованность в несанкционированном доступе к информационным ресурсам как со стороны внешних, так и внутренних злоумышленников);
- отсутствие строгой классификации информации по уровням конфиденциальности; вся информация, хранимая и обрабатываемая в АИС, обладает одним уровнем секретности - «для служебного пользования» и является конфиденциальной (за исключением специализированных или военных вузов);
- большое количество направлений (профилей) деятельности (учебная, научная, финансовая и т.д.) и как следствие информационные ресурсы имеют сложную иерархическую древовидную структуру с большим числом объектов;
- сложная организационно-управленческая структура;
- большое количество пользователей системы, объединенных в группы по принадлежности к подразделениям и функциональным обязанностям.
Большинство современных АИС, предназначенных для управления крупными предприятиями, каким является вуз, представляют собой многопользовательские программно-аппаратные системы, построенные на основе технологии «клиент-сервер». Серверной частью является СУБД, реализующая механизмы хранения, обработки и обеспечения безопасности информации. Клиентскими частями являются установленные на персональных ЭВМ пользователей программные модули (АРМы), предоставляющие пользователям необходимые по функциональным обязанностям механизмы отображения и обработки информации.
Для обеспечения безопасности, и в частности, для реализации контроля и управления доступом к ресурсам данного класса АИС предлагается использовать подход, ос-
нованный на концепциях «информационного ресурса» и «функционального модуля», позволяющий распространить общесистемную политику безопасности на все операции доступа.
Под информационным ресурсом в данном случае понимается любая обладающая уникальным идентификатором абстрактная сущность, способная участвовать в отношениях доступа в качестве источника либо приемника информации, доступ к которой осуществляется с помощью фиксированного набора операций, работающих с содержанием только одного ресурса и осуществляющих передачу информации только в одном направлении - либо от потребителя к ресурсу, либо от ресурса к потребителю [5]. Информационным ресурсом в АИС является совокупность сведений, характеризующих определенную сущность внешней среды (например, информация о студенте, сотруднике или кафедре), и представимых в СУБД в виде набора записей одной или нескольких таблиц реляционной базы данных. Информационные ресурсы, в отношении которых действует политика безопасности, называются объектами. Все информационные ресурсы АИС классифицируются в соответствии с тематической структурой предметной области (рис. 1).
Рис. 1. Фрагмент классификации информационных ресурсов.
Функциональный модуль - это совокупность субъектов, объединенных, исходя из тематики выполняемых действий, и предоставляющих некоторый набор универсальных операций над данными. Под субъектом понимается активная сущность, способная изменять состояние системы.
С помощью функциональных модулей и реализованного в них набора универсальных операций, называемых интерфейсом, осуществляется доступ к информационным ресурсам. Интерфейс доступа к информационным ресурсам определяет множество универсальных для данного типа ресурсов операций доступа к информационному содержанию ресурса, а также операций его создания, уничтожения и управления свойствами, в том числе и атрибутами безопасности. Все операции однозначно отображаются на отношения доступа, регламентируемые моделями безопасности АИС.
Среди субъектов, доступ к которым осуществляется с помощью функциональных модулей, выделяются следующие классы субъектов: процедуры преобразования и аналитические процедуры.
Процедура преобразования (transformation procedure) определяется как любая ненулевая последовательность элементарных действий. Элементарное действие определяется как переход состояния, который может вызвать изменение некоторых элементов данных [3, 6]. Например, субъекты могут устранять элементы данных, изменять информацию в элементах данных, копировать их и т.д.
«Представлением» информации или аналитической процедурой (analytic procedure) в АИС называется процедура формирования и предоставление именованному пользователю необходимого ему подмножества информационных объектов АИС, в том числе с возможным их количественным и структурным видоизменением исходя из задач разграничения доступа к информации
[3].
Выделение процедур преобразования в отдельный класс субъектов связано с тем, что в крупных информационных системах существует некоторое множество процессов
обработки данных, реализующих функциональную логику системы и состоящих из большого числа элементарных операций над объектами. Особенность этих процессов заключается в том, что операции, входящие в их состав, не могут быть проконтролированы системой контроля доступа в момент принятия решения о предоставлении пользователю доступа к субъекту. Решение о назначении прав доступа данным субъектам принимает разработчик/администратор системы, который и определяет, что данный субъект является безопасным, т.е. не нарушающим политику безопасности. Поэтому использование понятия «процедура преобразования» позволяет избежать проблемы контроля корректности элементарных операций.
В рамках АИС под процедурами преобразования понимаются программные реализации алгоритмов преобразования данных, выполненные в виде «хранимых процедур», «функций пользователя» или «триггеров» СУБД. Активизация (запуск) процедур преобразования происходит при выполнении авторизированным пользователем определенных действии при работе с функциональным модулем. Ход выполнения процедур преобразования контролируется системными механизмами обеспечения целостности СУБД (ссылочная целостность, «ограничения», «правила» и др.).
Необходимо отметить, что существует строго определенное отношение процедур преобразования и функциональных модулей. Процедура преобразования может принадлежать только одному функциональному модулю. Аналитическая процедура может принадлежать нескольким функциональным модулям одновременно. Такое закрепление процедур преобразования связано с тем, что добавлением, изменением и преобразованием данных занимаются пользователи (операторы, методисты) выполняя свои функциональные обязанности в рамках строго определенного направления деятельности организации, которому однозначно соответствует определенный функциональный модуль. Аналитические процедуры используются в основном административно-управленческим персоналом, которому для принятия
ы
ШЛепешкин О.М., Демурчев Н.Г.
«Моделирование безопасности автоматизированной информационной системы вуза»
Рис. 2. Схема функциони
решений необходима информация о различных направлениях деятельности организации.
Концепция информационных ресурсов и функциональных модулей определяет обобщенную схему функционирования средств защиты АИС, представленную на рис. 2.
Средства аутентификации обеспечивают доступ к системе только авторизиро-ванных пользователей. Процесс, выполняющийся от имени пользователя и обладающий его полномочиями, осуществляет доступ к ресурсам АИС под обязательным контролем средств идентификации, которые определяют соответствующий ему субъект доступа. Все обращения к информационным ресурсам осуществляются под контролем средств управления доступом, которые обеспечивают выполнение правил политик безопасности при доступе к тем информационным ресурсам, которые являются объектами. Все операции доступа к ресурсам (как успешные, так и неуспешные) заносятся в протокол аудита. Средства контроля целостности обеспечивают целостность средств защиты и восстановления целостности информационных ресурсов.
Перейдем к рассмотрению модели безопасности АИС и формально опишем
ия средств защиты АИС.
основные положения и сущности, а также критерий безопасности системы.
АИС представляется совокупностью следующих наборов сущностей:
- множество объектов О (в:, 02, ..., ом);
- множество субъектов Б 82, ..., я);
- множество процедур преобразования ТР((р:, 1р2, ..., 1рс), ТР с Б;
- множество аналитических процедур АР(ар:, ар2, ..., ар), АР с Б, причем Б = ТР и АР, ТР п АР = 0;
- множество пользователей и (и1, Ы2, ..., ик);
- множество прав доступа и привилегий Я (г:, г2, ..., го);
- множество тематических категорий (рубрик) Т (ть
- множество уровней принадлежности к подразделениям
- множество функциональных моделей ЕМ ([ш:, /т2, ..., /тх), причем (/тI с Б, для V / е (1^Х)).
Отношения между сущностями системы устанавливаются следующими отображениями:
Б1: ОхТ - отображение множества объектов на множество тематических категорий;
Б2: 8хТ - отображение множества субъектов (аналитических процедур) на множество тематических категорий;
Б3: ихТ - отображение множества пользователей на множество тематических категорий;
ОхБ - отображение множества объектов на множество уровней принадлежности к подразделениям;
Б5: ИхБ - отображение множества пользователей на множество уровней принадлежности к подразделениям;
Б6: 8хБМ - отображение множества субъектов на множество функциональных модулей;
Б7: ИхБМ - отображение множества пользователей на множество функциональных модулей.
Данные отношения между основными множествами сущностей модели отражены на рис. 3.
Рис.3. Отношения между множествами сущностей модели.
Функционирование системы основывается на введении и использовании следующих функций:
/: Ои8иИ ®Т - значением функции/ (х) = Т является набор тематик Т = {(Тхь тх2, . ..}с Т, к которым относится
сущность х по какому-либо из отображений ¥;, ¥2 и ¥3;
/: ОиИ - значением функции / (х) = Б является множество уровней принадлежности к подразделениям Б = ^х1, dx2, .. .}с Б, к которым относится сущность х по какому-либо из отображений ¥4 и ¥5;
/т: И®БМ - значением функции /т (и) = БМ является набор функциональных модулей БМ = {£ти1, £тЁ2,.. .}с БМ, к которым пользователь и включен по отображению ¥7;
/ассезз: Их8®Я - значением функции /ассеьь (и, «) = г является право доступа г е Я пользователя и на активизацию субъекта
Критерием безопасности системы является следующее утверждение. Система безопасна, если пользователи системы ни при каких обстоятельствах не смогут выполнить следующие действия:
- получить доступ к неразрешенной им информации;
- выполнить неразрешенные им процедуры преобразования, то есть осуществить несанкционированное изменение информации;
- нарушить целостность информации.
Таким образом, модель безопасности АИС должна учитывать описанные выше классы сущностей и их свойства и обеспечивать гарантированную безопасность системы, основанную на выполнении критерия безопасности модели.
В ходе анализа свойств формальных моделей управления доступом, проведенного в [4], было показано, что для построения модели безопасности АИС вуза необходимо комплексное применение формальных моделей управления доступом с обеспечением корректного разделения областей применимости моделей.
Однако ввиду того, что важнейшим свойством информационных ресурсов АИС помимо конфиденциальности является целостность, комплексная модель безопасности АИС должна включать в свой состав требования по обеспечению целостности информации. Поэтому предложенный в [4] набор формальных моделей управления доступом
ШЛепешкин О.М., Демурчев Н.Г.
«Моделирование безопасности автоматизированной информационной системы вуза»
необходимо дополнить моделью целостности информации.
В качестве модели целостности информации в АИС предлагается использовать модель Кларка-Вилсона [6], разработанную для построения компьютерных приложений, обеспечивающих целостность обрабатываемых данных. Итоговое разграничение областей применимости формальных моделей управления доступом и модели целостности в рамках модели безопасности АИС представлено в таблице.
Таблица Состав модели безопасности АИС
Рассмотрим, каким образом представленные модели функционируют в рамках единой модели безопасности АИС, каким образом осуществляется управление сущностями системы, а также как обеспечивается безопасность системы, согласно критерию безопасности.
Основу модели безопасности АИС составляет видоизмененная модель Белла-ЛаПадулы [1, 2, 3], реализующая политику мандатного доступа. Отличием данной модели от классической является использование в качестве атрибутов безопасности объектов комбинации элементов, состоящей из набора значений из множества классов информации и набора значений из множества
подразделений организации, а не уровня безопасности объектов. То есть, атрибут безопасности а (а е Ь), где Ь - базовое множество атрибутов безопасности, имеет вид: а = [к, й], где к - множество идентификаторов классов информации (к е Ы), й - множество идентификаторов подразделений (й е Ы). Например, атрибут доступа информации о студенте выглядит следующим образом: [(22); (5)], где 22 - идентификатор класса информации о студенческом составе, 5 -идентификатор факультета.
Такие атрибуты невозможно сравнивать с помощью арифметических операций, поэтому отношение доминирования «<« определяется как отношение включения множеств «с« для наборов значений. Причем это никак не сказывается на свойствах модели, поскольку отношение «включение множеств» обладает свойствами антисимметричности, транзитивности и рефлективности, образуя над множеством атрибутов безопасности решетку2 [5].
Видоизмененная описанным выше образом модель используется в модели безопасности АИС для разграничения доступа к объектам и не распространяет свое действие на субъекты доступа. При активизации субъекта пользователем атрибут безопасности субъекта становиться равным атрибуту безопасности пользователя. Поэтому при анализе системы разграничения доступа достаточно оперировать терминами объект и субъект, ассоциируя субъект с пользователем, активизировавшим его.
Решение о допуске субъекта к объекту принимается следующим образом:
- субъект получает доступ на чтение объекта, если атрибут безопасности (идентификатор подразделения) объекта равен атрибуту безопасности субъекта.
- субъект получает доступ на запись объекта, если атрибут безопасности (идентификатор подразделения) объекта равен атрибуту безопасности субъекта.
2 Это требование является необходимым для моделей, основанных на принципе мандатного управления.
№ п/п Наименование модели Назначение
1 Мандатная модель управления доступом Управление доступом к объектам (информационным ресурсам)
2 Дискреционная модель на основе матрицы доступа Управление доступом к процедурам преобразования
3 Модель тематического разграничения доступа Управление доступом к аналитическим процедурам
4 Модель целостности Кларка-Вилсона Определение требований к процедурам преобразования
Таким образом, условия предоставления доступа на чтение и на запись совпадают с условиями, определяющими безопасные состояния по чтению и по записи в модели Белла-ЛаПадулы; следовательно, согласно основой теореме безопасности [1, 2, 3] в модели Белла-ЛаПадулы построенная система безопасна.
Описанная модель является основой системы разграничения доступа, и все последующие модели функционируют в рамках данной модели. То есть, все аналитические процедуры и процедуры преобразования имеют доступ только к тем объектам, у которых атрибут безопасности совпадает с атрибутом безопасности активного пользователя. Таким образом, пользователь не имеет возможности получить доступ к объектам, запрещенным ему политикой безопасности.
Управление доступом к процедурам преобразования осуществляется в рамках дискреционной модели на основе матрицы доступа [1, 2, 3]. Так как процедура преобразования однозначно закреплена за функциональными модулями, то с каждым функциональным модулем ассоциирована матрица доступа, определяющая права пользователей на выполнение процедур преобразования. Строки матрицы доступа соответствуют процедурам преобразования, столбцы пользователям, а в ячейках записываются права на выполнение соответствующей процедуры преобразования соответствующему пользователю.
Ввиду того, что закрепление процедур преобразования за функциональными модулями статично и назначается централизованно администратором/разработчиком системы, то данная система лишена основного недостатка дискреционных моделей - проблемы распространения прав доступа, следовательно, система обеспечивает безопасное разграничение доступа пользователей к процедурам преобразования.
Управление доступом к информационным ресурсам на уровне тематик предметной области осуществляется в рамках модели тематического разграничения доступа [3]. Модель тематического разграничения
доступа близка к политике мандатного доступа, однако в моделях тематического разграничения доступа основанием классификации сущностей является тематическая категория объектов и субъектов доступа, а не их уровень безопасности, как в мандатных моделях. Предметная область сведений АИС представляется тематическим классификатором Т, включающим набор тематических рубрик ъ и построенным на основе иерархического подхода.
Так как в АИС предоставление информации осуществляется с помощью аналитических процедур, результатом выполнения которых является необходимая информация, то объектом в модели тематического доступа является не информационный ресурс, а аналитическая процедура. Каждой аналитической процедуре отображением ¥3 поставлен в соответствие набор элементов из множества тематик, общей классификации информационных ресурсов АИС. Аналитическая процедура может принадлежать нескольким тематикам одновременно (например, ведомость о назначении стипендии - относится к бухгалтерской отчетности и к отчетности деканата).
Доступ пользователя к аналитической процедуре осуществляется следующим образом: если тематика аналитической процедуры принадлежит множеству доступных пользователю тематик, то доступ разрешается, иначе доступ запрещен. То есть, если Л(ар)с /(и), то/ассеб-б-(и, ар) = «разрешить», иначе/ассе!ш(и, ар) = «отказать», где и - активный пользователь, ар - инициируемая аналитическая процедура.
Ввиду того, что условия предоставления доступа на чтение и на запись совпадают с условиями, определяющими безопасные состояния по чтению и по записи в модели тематического разграничения доступа, то, согласно основой теореме безопасности в модели тематического доступа, построенная система безопасна.
Рассмотрим, каким образом на основании модели Кларка-Вилсона обеспечивается целостность информации при выполнении процедур преобразования. Для этого, согласно модели целостности Кларка-
ШЛепешкин О.М., Демурчев Н.Г.
«Моделирование безопасности автоматизированной информационной системы вуза»
Вилсона, среди информационных ресурсов необходимо выделить ресурсы, обладающие целостностью СБ1 и не обладающие целостностью Ш1. Причем, СБ1 и Ш1 = О, СБ1 п иБ1 = 0. Будем считать, что в рамках модели АИС все информационные ресурсы обладают целостностью, иначе функционирование системы было бы невозможным.
Для сохранения целостности информационных ресурсов АИС процедуры преобразования должны удовлетворять следующим правилам, описанных в рамках:
1. В системе должны иметься процедуры, утверждающие целостность любого СБ1. (Такими процедурами в АИС являются системные механизмы СУБД.)
2. Применение любой процедуры преобразования к любому СБ1 должно сохранять целостность этого и других СБ1.
3. Только процедура преобразования может вносить изменения в СБ1.
4. Субъекты могут инициировать только определенные процедуры преобразования над определенными СБ1.
5. Необходимо проводить соответствующую политику разделения обязанностей субъектов. (Разделение обязанностей осуществляется посредством закрепления процедур преобразования за функциональными модулями.)
6. Некоторые специальные процедуры преобразования могут превращать иБ1 в СБ1.
7. Каждое применение процедуры преобразования должно регистрироваться в специальном СБ1, в который может производиться только добавление информации, достаточной для восстановления картины о процессе работы этого СБ1. (Регистрация факта применения процедуры преобразования осуществляется системой аудита СУБД).
8. Система должна распознавать субъекты, пытающиеся инициировать процедуры преобразования. (Идентификация субъектов происходит в момент запуск функционального модуля.)
9. Система должна разрешать производить изменения в списках авторизации
только специальным субъектам (например, администраторами).
Каждое из выше перечисленных требований к процедурам преобразования учитывается и выполняется в ходе функционирования АИС, в связи с существование системных механизмов обеспечения целостности и архитектурных особенности АИС, следовательно, построенная система безопасна с точки зрения целостности данных.
Описанная модель безопасности АИС, объединяющая видоизмененную модель Белла-ЛаПадулы, дискреционную модель на основе матрицы доступа, модель тематического разграничения доступа и модель целостности Кларка-Вилсона, адекватно описывает систему защиты информации АИС вуза. Кроме того, так как вложенные модели контролируют разграничение доступа и целостность всех сущностей системы, без пересечения областей применимости, и показано, что каждая из моделей обеспечивает безопасность системы по какому-либо из признаков, то обобщенная модель безопасности АИС обеспечивает безопасность системы в целом, согласно критерию безопасности. Действительно, первое и второе условия критерия выполняются в рамках моделей разграничения доступа, а третье - в рамках модели целостности.
Таким образом, предложенная модель безопасности автоматизированных информационных систем может использоваться для построения гарантированно защищенных автоматизированных информационных систем вуза.
ЛИТЕРАТУРА
1. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Яхтсмен, 1996. -192 с.
2. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - 452 с., ил.
3. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. -Издательство Уральского ун-та, 2003. -328 с.
4. Демурчев Н.Г. Применение формальных моделей управления доступом при проектировании автоматизированных информацион-
ных систем вузов // Образовательная среда сегодня и завтра: Материалы II Всероссийской научно-практической конференции (Москва, 28.09 - 01.10.2005). - М.: Рособра-зование, 2005. - С. 234-236.
5. Зегжда Д.П. Принципы и методы создания защищенных систем обработки информации [Электронный ресурс]: Диссертация д-ра тех. наук: 05.13.19. - М.: РГБ, 2003.
6. Корт С.С. Теоретические основы защиты информации. - М.: Гелиос АРВ, 2004. - 240 с., ил.
Об авторах
Лепёшкин Олег Михайлович, кандидат технических наук, доцент, доцент кафедры Организа-
ции и технологии защиты информации Ставропольского государственного университета. Сфера научных интересов: исследование нелинейных систем, математические информационные модели защиты информации. Демурчев Никита Георгиевич, начальник отдела информационных систем управления Ставропольского регионального центра информатизации. Сфера научных интересов: современные информационные технологии, разработка автоматизированных информационных систем управления, безопасность информационных систем. Общее количество публикация - 24, по теме публикации - 15.
