CC BY
54
Gudkov Alexey Alexandrovich, master, postgraduate, gudkov_aa@rambler. ru, Russia, St. Petersburg, Military academy of communication of S.M. Budyonny,
Kletskov Dmitry Aleksandrovich, candidate of technical sciences, lecturer, major 7786@mail. ru, Russia, Cherepovets, Cherepovets highest military engineering college of radio electronics,
Kuzmin Vitaly Vladimirovich, postgraduate, vitalij. kuzmin. 198 7@,mail. ru, Russia, St. Petersburg, Military academy of communication of S.M. Budyonny,
Udaltsov Nikolay Petrovich, candidate of military sciences, associate professor, n-p-ud@mail.ru, Russia, St. Petersburg, Military academy of communication of S.M. Budyonny
УДК 004.9
РАЗРАБОТКА СИСТЕМЫ РАЗГРАНИЧЕНИЯ ДОСТУПА В ИНТЕРЕСАХ РАЗВИТИЯ ИНФОРМАЦИОННЫХ СИСТЕМ СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
А.В. Галанкин, М.А. Прохоров, М.Н. Квасов
В современных условиях важное значение имеют различные аспекты действенного управления. Актуальность данного материала обусловлена необходимостью автоматизации управления информационными системами специального назначения при помощи специального программного обеспечения (СПО). Обозначенное СПО рассматривается как одна из составляющих автоматизированных систем управления, а, именно, как система инициализации функций разграничения доступа к ресурсам автоматизированного рабочего места (АРМ) и средствам безопасности общего программного обеспечения, анализа и настройки характеристик АРМ. В целях разработки корректной структуры подобной системы раскрываются основные понятия, реализуемые в общем случае функции и набор требований к системе разграничения доступа.
Ключевые слова: автоматизированные системы управления, система разграничения доступа, автоматизация процессов управления информационными системами специального назначения.
В соответствии с содержанием управленческой деятельности, процесс управления информационными системами специального назначения (ИССН) в общем случае складывается из последовательной реализации взаимосвязанных этапов. Эти этапы составляют цикл управления, который охватывает комплекс мероприятий, выполняемых командирами и органами управления с учетом конкретных условий обстановки. Таким образом, основная цель автоматизации управления ИССН это приведение уровня управленческой деятельности должностных лиц органов управления и самих органов управления в соответствие с предъявляемыми требованиями за счет широкого использования современных математических методов, компьютерных технологий, комплексов средств автоматизации (КСА) и эффективных средств систем телекоммуникации.
291
Вопросы выявления, формализации и практической реализации в автоматизированном (автоматическом) режиме циклов управления являются одними из самых сложных в процессе создания автоматизированных систем управления (АСУ) ИССН. Прежде всего, это определяется существенным разнообразием принимаемых должностными лицами решений. В частности, каждый цикл управления ИССН слагается из следующих этапов [1].
1. Сбор и обработка информации о внешней среде, своих силах и средствах, средствах управления и связи, окружающей обстановке.
2. Уяснение задачи управления и оценки обстановки.
3. Планирование применения ИССН в условиях изменившейся обстановки.
4. Выработка и принятие решения по управлению ИССН.
5. Формирование управляющих воздействий.
6. Доведение управляющих воздействий до подчиненных.
7. Контроль доведения и исполнения распоряжений.
Каждый из перечисленных выше этапов имеет свое содержание, целенаправленность, логику; может выполняться тем или иным методом в зависимости от конкретных условий обстановки и других факторов, а также имеет свои подходы по их автоматизации.
В соответствии с ГОСТ 34.003.90 «Автоматизированные системы. Термины и определения» в зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами, АСУ предприятиями и АСУ специального назначения. Одним из представителей АСУ специального назначения является АСУ ИССН, которая представляет собой совокупность персонала, КСА и средств телекоммуникаций, реализующую информационную технологию выполнения задач по обработке информации и управлению в интересах эффективного функционирования управляемых объектов.
Рассматривая информационные системы специального назначения как организационно-технические системы, будем понимать под АСУ ИССН совокупность информационно-взаимосвязанных органов и объектов управления с их персоналом и техническими средствами, реализующими выработанные наукой и принятые в практике функции и методы управления ИССН в интересах эффективного выполнения боевых задач. Из определений следует, что в АСУ ИССН в целом можно выделить три основные части [1]:
1) персонал органов и объектов управления;
2) технические и программные средства управления (КСА);
3) методы и способы управления, реализуемые персоналом и средствами автоматизированного управления ИССН.
Рассмотрим особенности применения программного обеспечения КСА. Предназначение большинства информационных систем как специального программного обеспечения подразумевает хранение и использова-
292
ние больших объемов информации, а также доступ к ним определенного круга лиц [5]. В то же время разграничение доступа к функциям системы и защита от несанкционированного доступа хранящихся в ней данных являются одними из важнейших задач при функционировании обозначенной системы.
В данной статье в качестве информационной системы рассматривается операционная система (ОС), как часть общего программного обеспечения КСА. Одной из особенностей автоматизации процессов управления ИССН является применение различных типов операционных систем, в том числе и иностранной разработки, что обуславливает необходимость использования кроссплатформенных программных средств.
Согласно [4] обеспечение защиты, в том числе КСА, осуществляется:
- системой разграничения доступа (СРД) субъектов к объектам доступа;
- обеспечивающими средствами для СРД.
Система разграничения доступа - это совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах [3].
Основными функциями СРД являются [4]:
- реализация правил разграничения доступа субъектов и их процессов к данным;
- реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;
- изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
- управление потоками данных в целях предотвращения записи данных на носители несоответствующего грифа;
- реализация правил обмена данными между субъектами для АС и средств вычислительной техники, построенных по сетевым принципам.
Способы реализации СРД зависят от конкретных особенностей средств вычислительной техники и АС. Возможно применение следующих способов защиты и любых их сочетаний [4]:
- распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);
- СРД в рамках операционной системы, СУБД или прикладных программ;
- СРД в средствах реализации сетевых взаимодействий или на уровне приложений;
- использование криптографических преобразований или методов непосредственного контроля доступа;
- программная и (или) техническая реализация СРД.
293
Рассмотрим особенности применения второго способа реализации СРД. Недостатком встроенной СРД является то, что пользователи практически никогда напрямую с ней не общаются, то есть ее закрытость, которая с одной стороны предохраняет ее от вмешательства неопытных пользователей, с другой стороны по причине неочевидности возможностей СРД даже администраторы операционных систем не в полной мере используют ее потенциал, в некоторых случаях предпочитая инсталлировать специальное программное обеспечение разграничения доступа, которое или дублирует функции СРД ОС или исполняет их при помощи своего интерфейса, используя функции разграничения доступа самой ОС, но при этом ведя свои журналы, предлагая универсальный с точки зрения разработчика набор дополнительных возможностей и замедляя работу системы.
Одним из путей разрешения несоответствия существующего программного обеспечения требованиям по применению кроссплатформенно-го программного средства, позволяющего осуществлять разграничение доступа к ресурсам автоматизированного рабочего места и средствам безопасности общего программного обеспечения, анализ и настройку характеристик АРМ, основанных на ОС, таких как, Windows v. 5, 6 и Linux-подобная операционная система МСВС 3.0, является разработка соответствующей системы инициализации функций (СИФ). Такая система позволит с учетом особенностей различных семейств ОС автоматизировать доступ к выше обозначенным функциям, повысить оперативность типовых действий администратора системы с целью повышения уровня автоматизации процессов управления ИССН.
Исходя из вышесказанного, сформулируем требования к СИФ:
- кроссплатформенность;
- понятный для рядового пользователя интерфейс;
- реализация доступа как к графическим приложениям ОС, так и к консольным, при этом необходимо предусмотреть наиболее часто применяющиеся наборы ключей консольных приложений;
- наличие у СИФ собственного механизма аутентификации, а при большом количестве администраторов и авторизации, а также журнала осуществленных операций.
Для выполнения требования кроссплатформенности в качестве средства разработки был выбран Qt Creator с набором библиотек Qt версии 4.0 для ОС МСВС 3.0 и Qt версии 4.7 для ОС Windows v. 5, 6.
Qt - кросс-платформенный инструментарий разработки программного обеспечения на языке программирования C++. Отличительная особенность Qt от других библиотек - использование предварительной системы обработки исходного кода для последующей компиляции любым стандартным C++ компилятором, что позволяет во много раз увеличить мощь библиотек, вводя такие понятия, как слоты и сигналы. Qt включает в себя все основные классы, которые могут потребоваться при разработке специ-
ального программного обеспечения, начиная от элементов графического интерфейса и заканчивая классами для работы с сетью, базами данных и XML. Qt является полностью объектно-ориентированным, легко расширяемым и поддерживающим технику компонентного программирования. Qt Creator включает в себя редактор кода, справку, графические средства Qt Designer и возможность отладки приложений. Qt Creator может использовать GCC или Microsoft VC++ в качестве компилятора и GDB в качестве отладчика.
Для выполнения требования наличия у СИФ собственного механизма аутентификации (авторизации) предлагается включить в ее состав модуль аутентификации (авторизации), включающий в свой состав следующие блоки:
- интерфейс аутентификации (авторизации);
- блок, реализующий механизм аутентификации (авторизации);
- база данных шифрованных паролей;
- журнал событий.
Модуль авторизации в случае положительного результата прохождения пользователем аутентификации должен после выполнения правил разграничения доступа предоставлять для работы интерфейс главной экранной формы программного модуля СИФ, при этом модулем авторизации должна выполняться фиксация записи о входе каждого пользователя в базу данных, входящую в разрабатываемую систему в качестве отдельного файла. Пароли в базе данных должны храниться в виде хэш-кода шифрования md5.
Для выполнения требования понятного для рядового пользователя интерфейса необходимо при его разработке учесть ряд особенностей:
- интерфейс должен быть максимально единообразен для СИФ в различных семействах ОС;
- минимизировать количество экранных форм (ЭФ) СИФ, например, ЭФ аутентификации (авторизации), главная ЭФ с меню и справочной системой, ЭФ выбора необходимых функций;
- максимальное единообразное наименований функций разграничения доступа АРМ, настройки средств безопасности общего программного обеспечения, анализа и настройки характеристик АРМ в различных семействах ОС.
Для организации взаимодействия интерфейса пользователя (администратора) СИФ и ОС МСВС 3.0 предлагается использовать встроенные библиотеки Qt, которые распространяются вместе с самим дистрибутивом ОС. Для организации взаимодействия интерфейса пользователя СИФ и ОС семейства Windows предлагается использовать статические библиотеки Qt, которые будут включены в программной модуль СИФ. Такой подход к применению библиотек Qt наиболее целесообразен для распространения СИФ на различные семейства ОС по причине отсутствия необходимости устанавливать и дополнительное программное обеспечение, и саму СИФ,
295
которую можно будет распространять копированием. Для организации работы модуля программных средств командной строки СИФ обращается к командному интерпретатору ОС, в котором будет функционировать СИФ. Для организации работы модуля программных средств графического интерфейса СИФ в ОС МСВС 3.0 предлагается использовать окружение рабочего стола ELC, а в ОС семейства Windows - диспетчер окон рабочего стола [2].
Для выполнения последнего требования к СИФ рассмотрим отдельно модули программных средств командной строки и графического интерфейса ОС МСВС 3.0 и ОС Windows v. 5, 6.
Предлагаемый состав модуля программных средств командной строки ОС МСВС 3.0:
- консоль elc-term;
- X-терминал для KDE;
- файловый менеджер;
- блок визуализации (БВ) состояния сетевых параметров;
- БВ состояния сетевых портов;
- БВ состояния таблицы маршрутизации;
- БВ информации о системе.
Предлагаемый состав модуля программных средств графического интерфейса ОС
МСВС 3.0, предоставляющий доступ к графическим приложениям разграничения доступа к ресурсам АРМ, средствам безопасности ОС и вспомогательной информации:
- блок категорий и уровней секретности;
- блок настройки регистрации событий;
- БВ событий аудита;
- БВ состояния сетевых параметров;
- блок настройки сети;
- блок управления пользователями;
- файловый менеджер.
Качественным отличием СИФ ОС Windows v. 5, 6 является наличие дополнительного модуля, включенного в СИФ, статически линкованных библиотек Qt v. 5.3, что является необходимым условием при распространении системы на АРМ без предустановки библиотек Qt и дополнительного программного обеспечения.
Предлагаемый состав модуля программных средств командной строки ОС
Windows v. 5, 6:
- интерпретатор команд ОС Windows;
- БВ анализа сетевых портов;
- БВ состава и состояния сетевого окружения;
- БВ настройки сетевых параметров;
296
- БВ состояния таблицы маршрутизации;
- БВ информации о системе.
Предлагаемый состав модуля программных средств графического интерфейса ОС Windows v. 5, 6:
- графическая консоль;
- блок управление компьютером;
- групповая политика безопасности;
- локальная политика безопасности;
- БВ журнала событий;
- БВ состояния служб ОС;
- диспетчер устройств;
- межсетевой экран Windows;
- блок управление учетными записями;
- БВ конфигурации системы;
- БВ состава и состояния общих папок и текущих сеансов.
Состав модулей должен обладать возможностью варьироваться в
соответствии со специализацией СИФ или требований администраторов системы.
Заключение
Таким образом, при выполнении требований к СИФ и реализации модулей аутентификации (авторизации), программных средств командной строки, программных средств графического интерфейса различных семейств ОС в должном объеме полученная система позволит автоматизировать доступ к функциям разграничения доступа АРМ и средствам безопасности общего программного обеспечения, анализа и настройки характеристик АРМ, повысить оперативность типовых действий администратора системы, что в конечном итоге дает возможность повысить уровень автоматизации процессов управления ИССН.
Список литературы
1. Волков В.Ф., Галанкин А.В., Федер А.Л. Общая характеристика процесса автоматизированного управления сложными организационно-техническими системами специального назначения Воздушно-космических сил // Наукоемкие технологии в комических исследованиях Земли. 2015. Т. 7. № 6. С. 50-54.
2. Структура системы разграничения доступа к ресурсам АРМ и средствам безопасности операционной системы МСВС 3.0 и операционных систем Windows v. 5, 6 / А.В. Галанкин, А.Ю. Гуляев, А.Л. Федер, С.В. Чащин // Теоретические и прикладные проблемы развития и совершенствования автоматизированных систем управления военного назначения: сборник трудов всероссийской научно-технической конференции. 2014. Ч. 1. С. 139-142.
3. Руководящий документ ФСТЭК. Защита от несанкционированного доступа к информации. Термины и определения. М., 1992.
4. Руководящий документ ФСТЭК. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. М., 1992.
5. Федоров А.В., Пьянков В.М., Вихлянцев П.С. Система разграничения доступа к данным на уровне записей и ячеек // Защита информации. INSIDE. 2011. № 3. С. 2-4.
Галанкин Андрей Вячеславович, канд. техн. наук, зам. нач. кафедры, biruk98@,gmail. com, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского,
Прохоров Михаил Александрович, адъюнкт, mihan 78@mail. ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского,
Квасов Михаил Николаевич, адъюнкт, kvasov mnamail.ru, Россия, Санкт-Петербург, Военно-космическая академия имени А. Ф.Можайского
THE DEVELOPMENT OF THE SYSTEM OF DIFFERENTIA TION OF A CCESS IN THE INTERESTS OF DEVELOPMENT OF INFORMA TION SYSTEMS
FOR SPECIAL PURPOSES
A. V. Galankin, M.A. Prokhorov, M.N. Kvasov
In modern conditions the importance of different aspects of dei-governmental control. The relevance of this material due to automation of management information systems special purpose with the help of special software. Designated special software was selected as one of the components of automated control systems, and, namely, as a system initialization functions of differentiation of access to resources auto-matirovanie workplace (AWP) and the common security programs-security, analysis, and tuning characteristics of the arm. In order to develop the cor be correct, the structure of this system describes the basic concepts implemented in the General case of a function and a set of requirements to the system of differentiation of access.
Key words: automated control systems, system access control, automation of management information systems special purpose.
Galankin Andrey Vyacheslavovich, candidate of technical sciences, deputy head of the chair, biruk98@gmail.com, Russia, St. Petersburg, Mozhaisky Military Space Academy,
Prokhorov Mikhail Alexandrovich, adjunct, mihan78amail.ru, Russia, St. Petersburg, Mozhaisky Military Space Academy,
Kvasov Mikhail Nikolaevich, adjunct, kvasov mn a mail.ru, Russia, St. Petersburg, Mozhaisky Military Space Academy
