CC BY
29Решетневские чтения
УДК 004.056.52
Н. А. Семенова
Московский институт электроники и математики, Россия, Москва
ОЦЕНКА КАЧЕСТВА СИСТЕМЫ РОЛЕВОГО РАЗГРАНИЧЕНИЯ ДОСТУПА С ИСПОЛЬЗОВАНИЕМ КРИТЕРИЯ ВЕСОВОЙ СЛОЖНОСТИ
Описывается новый критерий для оценки качества систем ролевого разграничения доступа сложность. Приведен пример применения критерия на иерархии ролей класса ЯБЛСЗ.
весовая
Системы ролевого разграничения доступа (СРРД) в настоящее время широко применяются в автоматизированных информационных системах (АИС) для управления доступами пользователей. При этом каждая СРРД является реализацией формальной модели ролевого разграничения доступа (РМРД). В настоящее время множество коммерческих СРРД, используемых в том числе российскими предприятиями, построено на основе формальной модели КБАСЗ, описанной в стандарте [1].
Существует достаточно много алгоритмов, применяемых для проектирования СРД на основе КБАСЗ
[2]. Для оценки качества полученной СРД используются такие критерии, как общее количество ролей в системе и полнота покрытия множества привилегий
[3]. Данные критерии не позволяют оценить СРД с точки зрения оптимальности структуры и удобства администрирования, в то время как эти показатели являются ключевыми для предприятий - владельцев АИС, для которых настраивается СРД.
В данной работе автором предлагается новый критерий оценки качества СРД АИС - весовая сложность, и показано, что данный критерий позволяет оценить оптимальность структуры СРД с точки зрения заданных требований.
Рассмотрим некоторые основные понятия базовой РМРД КБАСЗ, которые потребуются для дальнейшего описания [1]:
Р - множество всех возможных прав доступа (привилегий);
и - множество всех пользователей системы; Я с 2Р - множество всех ролей системы (роль -множество привилегий из Р);
иЛ с и х Я - множество всех назначений пользователей на роли;
иР с Р х Я - множество всех назначений привилегий в состав ролей;
ЯН с Я х Я - множество иерархических отношений между парами ролей.
Задачу оценки качества РМРД можно сформулировать следующим образом. Обозначив через т число привилегий, а через п - число пользователей, допуская возможность непосредственного назначения привилегий пользователям и считая, что каждому пользователю может быть назначено относительно большое число полномочий, необходимо оценить число связей между т и п. Доказано, что число таких связей в ролевой модели можно сократить до порядка (т+п) [3]. Введем определение «весовая сложность ролевой мо-
дели». Эта сложность включает в себя число связей в ролевой модели, при этом разные связи могут иметь различные веса.
Определение
Пусть W = <wr, wu, Wp, wh, wd>, где wr, wu, wp, wh, wd e □ + u {¥} . Тогда весовая сложность модели (ВСМ) - wsc( г, W) - вычисляется по формуле
wsc(r, W) = wr • | R | +wu • | UA | +wp • | PA | + +wh• 11 _reduce(RH) | + wd• | DUPA |,
где |.| - размер множества связей, а t reduce (RH) - результат сокращения иерархии ролевой модели.
Сокращение ролевой модели - это минимальное множество связей, соответствующее той же иерархии. Например, t_reduce({(rь r2), (r2, r3), (rb r3)}) = = {(ri, r2), (r2, r3)}, так как (ri, r3) следует из двух предыдущих связей.
Вычисления с бесконечностью обозначаются следующими выражениями:
0* ¥ = 0, V + X •¥ = ¥, V п ,, X + ¥ = ¥.
' xeO + ' xe0 u{¥}
Руководствуясь вышеописанным критерием оценки эффективности, при построении ролевой модели нужно стремиться максимально возможно сократить ее вес, сохранив при этом все существующие в системе доступы. Для этого можно установить максимально допустимый вес модели, рассматриваемой в качестве рабочей. Определив wh= ¥, на выходе получаем плоскую (лишенную иерархии) ролевую модель, так как вес любой из связей наследования будет бесконечным.
Положив wd = ¥, мы запретим прямое назначение привилегий пользователям. Установив wr = i, wu = wp = 0 и wh = wd = ¥, мы можем минимизировать число ролей.
В качестве примера проведем взвешивание двух моделей. W1: wr = wu = wp = wh = wd = i и W2: wr =wu = i; wp = wh = wd = 2. Согласно схеме W1 предположим, что стоимость добавления каждого элемента (роли или назначения роли пользователю) в ролевую модель равна 1. Весовая сложность, таким образом, равна стоимости построения модели. В схеме W2 цена всех операций с привилегиями выше. Такая модель используется во многих коммерческих продуктах, где для включения привилегии в состав роли необходимо выполнить ряд трудоемких операций, в то время как назначение роли пользователю является менее сложной задачей.
Методы и средства защиты информации
Таким образом, управляя коэффициентами весовой сложности, мы получаем возможность оценить сложность системы разграничения доступа и выбрать СРД, максимально отвечающую заданным требованиям: глубина иерархии, число привилегий в каждой роли, количество пользователей, обладающих заданной ролью и т. п. Предложенный автором критерий может быть использован при оценке качества СРД, внедряемых для контроля доступа АИС предприятий.
Библиографические ссылки
1. National Institute of Standards and Technology, Proposed Standard for Role-Based Access Control. URL: http://csrc.nist.gov/rbac/rbacSTD-ACM.pdf.
2. Colantonio A., Di Pietro R., Ocello A. A cost-driven approach to role engineering // Proc. of the 23rd ACM Symposium on Applied Computing, SAC'08. 2008. P. 2129-2136.
3. Ferraiolo D., Kuhn D., Chandramoul R. Role Based Access Control / ARTECH HOUSE. INC. 2003.
N. A. Semenova
Moscow State University of Electronics and Mathematics, Moscow, Russia
QUALITY EVALUATING OF RBAC SYSTEMS USING WEIGHT COMPLEXITY CRITERIA
This research is devoted to a new criteria for quality evaluating of RBAC system - weight complexity. A sample of criteria exploitation for RBAC3 class models is given.
© Семенова Н. А., 2010
УДК 004
Е. В. Тетерина, В. В.Черненко
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
АНАЛИЗ ЭФФЕКТИВНОСТИ РАБОТЫ СОВРЕМЕННЫХ АНТИВИРУСНЫХ ПРОГРАММ
Атака на систему антивирусной защиты, установленную на компьютере, - это один из распространенных методов, которые киберпреступники используют, чтобы получить доступ к ценной информации и ресурсам. Поэтому способность антивирусной программы противостоять этому воздействию играет важную роль.
Проблема защиты информации - одна из основных в современном мире. В компьютерном сообществе сообщения об атаках на информацию, о хакерах и компьютерных взломах стали обыденной практикой. Одним из распространенных видов атак на информацию являются компьютерные вирусы. Они способны причинить значительный ущерб не только отдельному человеку или организации, но и экономике в целом. Поэтому важное значение в современном мире имеет не только защита сети от вирусов, но и понимание пользователями принципов антивирусной защиты.
Современные программы взлома не перестают совершенствоваться, развиваются и находят все новые приемы для получения полного и длительного контроля над компьютером жертвы. Одним из основных методов получения желаемой информации является целенаправленное нарушение целостности работы защитной антивирусной программы, установленной на компьютере. Добившись желаемого, вредоносная программа «поселяется» в компьютере, и получает полный доступ к имеющейся в нем информации.
Для того чтобы обезопасить себя и свой компьютер, необходимо использовать качественную и на-
дежную антивирусную программу, которая способна предотвратить проникновение вируса в компьютер.
Так, в сентябре 2010 г., Российский информационно-аналитический центр Anti-Malware.ru проверил самозащиту 20 наиболее популярных комплексных персональных антивирусных продуктов класса Internet Security. Экспертами Anti-Malware.ru были протестированы эффективность самозащиты антивирусов на отдельных машинах под управлением Microsoft Windows XP SP3 и Windows 7 с правами локального администратора при помощи набора утилит, имитирующих распространенные виды атак на защитное ПО, или вручную.
В данном исследовании проверялись возможности изменения доступа к файлам и ключам реестра антивируса; модификация или удаление файлов антивируса; модификация и удаление значимых ключей реестра антивируса; завершение или модификация процессов антивируса множеством методов; выгрузка драйверов [1].
По итогам теста лидерами в самозащите оказались российские антивирусные продукты Kaspersky Internet Security 2011 и Dr. Web Security Space 6.0, показавшие результаты 100 и 99 % защиты соответст-
