Научная статья на тему 'Защита информации в объектно-атрибутной вычислительной системе'

Защита информации в объектно-атрибутной вычислительной системе Текст научной статьи по специальности «Автоматика. Вычислительная техника»

CC BY
63
10
Поделиться
Ключевые слова
СЕТЕВАЯ БАЗА ДАННЫХ / ЗАЩИТА ИНФОРМАЦИИ / ТАБЛИЦА ПРАВ ДОСТУПА / РОЛЕВОЙ ПОДХОД / КОПИРОВАНИЕ ПРАВ ДОСТУПА К ДАННЫМ / ОБЪЕКТНО-АТРИБУТНАЯ ВЫЧИСЛИТЕЛЬНАЯ СИСТЕМА / NETWORK DATABASE / INFORMATION SECURITY / ACCESS CONTROL LISTS (ACL) / ROLE-PLAYING APPROACH (RBAC) / COPING INFORMATION ACCESS RIGHT / OBJECT-ATTRIBUTE COMPUTING SYSTEM

Аннотация научной статьи по автоматике и вычислительной технике, автор научной работы — Салибекян С.М.

Тема настоящей работы методика защиты, применяемой в объектно-ориентированной (ОА) вычислительной системе управления базой данных (БД). ОА-системы предназначены для управления данными, представленными в виде сети (графа). ОА-БД имеет произвольную структуру, которая может динамически модифицироваться непосредственно во время вычислительного процесса. Это значительно усложнило разработку методики, т.к. потребовало разработки новых принципов защиты информации, отличных от широко применяемых в настоящее время для управления правами доступа в реляционных и объектно-ориентированных БД. Однако задача была успешно решена на основе известных механизмов защиты данных списки контроля доступа (ACL), ролевой подход (RBAC), которые были адаптированы для работы в ОА-вычислительной системе. Т.к. в ОА-вычислительной системе манипуляции с БД (чтение или удаление поля данных, изменение структуры сети) осуществляются с помощью виртуальных устройств (ВУ), разработанная методика основывается на использовании специализированного ВУ под названием «Охранник», контролирующего функционирование рабочих ВУ, производящих информационные манипуляции в БД. Рабочее ВУ производит чтение и удаление данных из сети, а также модификацию структуры сети по заданию пользователя, обладающего определенными правами доступа или ролью. «Охранник» на основе информации из ACL о правах доступа пользователя, управляющего рабочим ВУ, или роли, в которой он выступает, может заблокировать рабочее ВУ в случае несоответствия производимых действий с данными правам доступа к ним. ACL могут быть ассоциированы со всей БД, с ее частью, с узлом сетевой БД, а также и отдельными записями в узле сети. Методика позволяет производить копирование таблиц ACL во время копирования БД или ее части.The article is devoted to protection technique used in object-oriented (OA) computer database (DB) management system (DB). OA systems are designed to manage the data presented in the form of a network (graph). OA-DB has an arbitrary structure that can be dynamically modified during the computing process. This greatly complicated the development of the technique, as it required the development of new information security principles than is widely currently used to manage access rights in relational and object-oriented database. However, the problem was solved on the basis of well-known data protection mechanisms Access Control Lists (ACL) and role-playing approach (RBAC), which have been adapted for use in OA computer system. Because OA-system is set of virtual devices (VD) manipulating data (reading or deleting data fields, changing the network structure), developed technique is based on the use of specialized VD called "guard", which controls operations of the other VD (Operation VD). A user having certain privileges or role controls the Operation VD. The Guard can to stop VD activity of data control if access right of user or his role do not allow the VD to do it. ACL can be associated with the whole database, with part of it, with a network database node, or with single entries in the node data. The technique allows one to copy ACL during coping database or parts of it.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Текст научной работы на тему «Защита информации в объектно-атрибутной вычислительной системе»

имитационной модели: формализация имитационной модели, программирование имитационной модели и испытание имитационной модели.

Литература

1. Болдырев, В.В. Системный подход к разработке контура управления инновационного проекта создания интеллектуальной системы энергосбережения / В.В. Болдырев, М.А. Горькавый // Сборник научных трудов XVIII Международной научно-практической конференции, Санкт-Петербург, 2014. - С. 116-117.

2. Болдырев, В.В. Имитационная модель функционирования распределенной интеллектуальной системы энергосбережения с ограниченным количеством трудовых ресурсов/ В.В. Болдырев, М.А. Горькавый // Сборник научных трудов XIX Международной научно-практической конференции, - Санкт-Петербург, 2015. - С. 235-241.

3. Трусов Р.Е. Интеллектуальный модуль оценки эффективности работы команды инновационного проекта / Р.Е. Трусов, М.А. Горькавый // Современная наука: актуальные проблемы и пути их решения, Липецк, 2016. - С. 23-27.

УДК 004.652.3

ЗАЩИТА ИНФОРМАЦИИ В ОБЪЕКТНО-АТРИБУТНОЙ ВЫЧИСЛИТЕЛЬНОЙ

СИСТЕМЕ12

Салибекян Сергей Михайлович, к.т.н., доцент Национального исследовательского университета «Высшая школа экономики», Московский институт электроники и математики, Москва,

salibek@yandex.ru

В настоящее время развивается ОА-подход к организации структуры данных и вычислительного процесса. Данный подход реализует объектный принцип организации данных, однако данные имеют сетевую (графовую) структуру. Поэтому можно сказать, что ОА-структура данных относится к сетевому (графовому) типу базы данных (БД) [2], ОА-подход потребовал разработки новых методов защиты информации. Объектом защиты в ОА-системе является ОА-граф (база данных сетевого/графового типа). ОА-граф может содержать в себе не только информацию, но и программы (наподобие методов в объектно-ориентированной (ОО) парадигме). Сложность решения данной задачи состоит в том, что структура данных в ОА-БД может иметь любую топологию, а не только тип «дерева», как, например, в парадигме объектно-ориентированной (ОО). Объектом поиска в сетевой БД является либо одна запись, хранящаяся в узле графа, либо подграф. Поэтому для защиты информации в такой структуре не подойдут привычные методы, применяемые для реляционных баз данных [3] и ОО-БД [4].

Графовые БД развиваются достаточно динамично - появилось множество стандартов и программных продуктов, например: RDF, которая нашла достаточно широкое применение в Semantics Web, Neo4j [5] - сетевая БД, широко применяемая компаниями E-bay, Walmart, National Geographic, HP, CISCO и др. Графовая БД имеет неоспоримые преимущества перед реляционной в случае, когда необходимо работать со структурой данных, имеющей множество неструктурированных связей, и с данными, которые можно представить в виде диаграммы состояний переходов. Поэтому все это подтверждает актуальность данного научного направления, и вопросы защиты информации в графовых БД, в частности.

Теперь перечислим особенности ОА-принципа организации структуры данных, влияющие на принцип защиты информации. В вычислительной системе (ВС) в первую очередь требуется защищать от постороннего доступа информацию, которая может быть

12 Статья рекомендована к опубликованию в журнале "Прикладная информатика"

64

считана или модифицирована несколькими пользователями. В ОА-ВС такой информацией является ОА-граф (БД графового типа). Сложность его защиты состоит в том, что он может иметь любую структуру, причем данные организованы динамически, т.е. связь между узлами графа осуществляется с помощью ссылок. Также сложность добавляет и то, что ОА-граф может подвергаться существенной модификации во время вычислительного процесса. Объектом поиска в ОА-графе может выступать как информационная капсула (ИК), так и подграф ОА-графа (в этом случае запросом будет являться ОА-граф).

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

По аналогии с другими БД защита ОА-графа может быть организована на уровне общего доступа (share-level security), когда ограничиваются права доступа ко всей БД (в нашем случае ОА-графу). Организация такой защиты не представляет собой сложности. Более интересен для нас уровень пользователя (User-level security), когда охраняются отдельные записи БД (в нашем случае ИК, ассоциированные с узлами ОА-графа). Для идентификации пользователей в данном случае могут применяться списки контроля доступа (Access Control List - ACL), куда заносятся сведения о правах пользователей на доступ к каким-либо полям БД (в нашем случае ИК или фрагментам ОА-графа). Хорошо зарекомендовала себя и модель безопасности, основанная на ролях (Role-based access control, RBAC), когда в ACL указываются права доступа не для конкретных пользователей, а для ролей - конкретный пользователь может быть связан с конкретной ролью. Такая модель безопасности существенно упрощает администрирование ВС.

User-level security в ОА-системе может быть организована на четырех уровнях: защита ОА-графа, защита фрагмента (подграфа) ОА-графа, защита ИК, защита информационной пары (ИП). Начнем с защиты ИК. В ИК находится множество ИП, которые описывают характеристики объекта или управление ФУ-ами (подпрограмма, аналогичная методу в ОО-парадигме). Защиту ИК можно осуществить двумя способами: «с помощью специальной ИП» и «с помощью указателя». В первом случае в ИК добавляется ИП с атрибутом «ACL» («Список контроля доступа»). Данная ИП используется только для контроля доступа к ИК: она игнорируется во время поиска информации в ИК и во время рассылки ИП, предназначенных для управления ФУ, и потому не влияет на работу ОА-ВС. Второй способ - добавление специального поля «указатель на список контроля доступа» («ACL location») в указатель на ИК. Например, в настоящее время указатель в программно реализованной экспериментальной ОА-системе имеет сложный формат: кроме непосредственно адреса ячейки памяти, в него входят поля: «тип данных», «индекс ИП», «индекс ИК», и этот список можно дополнить полем «указатель на таблицу прав доступа». Однако такое решение охраны ИК может привести к неоправданному расходу памяти ЭВМ, т.к., во-первых, не все ИК могут иметь защиту; во-вторых, указатели хранят адрес не только ИК, но и констант, и в этом случае дополнительное поле «ACL location» останется неиспользованным. Однако первый вариант защиты ИК также имеет недостатки: ФУ, осуществляющему контроль доступа, необходимо тратить время и вычислительные ресурсы на поиск защитной ИП в ИК. Однако, несмотря на недостатки, первый способ представляется нам наиболее приемлемым в ОА-ВС, т.к. он не требует дополнительной памяти во время решения вычислительных задач и обработки структур данных, не нуждающихся в защите информации.

Защиту на уровне фрагмента ОА-графа можно обеспечить двумя способами. Во-первых, поместив во все ИК фрагмента ОА-графа защитные ИП с указателем на единый ACL. Второй способ - поставить защиту ИК в так называемых точках входа в подграф. Точками входа могут быть, во-первых, внешние указатели (например, ссылка, передаваемая на ФУ, которое будет производить обработку ОА-графа), во-вторых, «мосты», связывающие фрагмент ОА-графа с основным ОА-графом (host-граф). Такой способ приемлем в том случае, когда обработка ОА-графа осуществляется с помощью его обхода. У данного способа есть один недостаток - ОА-граф может быть модифицирован в любой момент вычислительного процесса, и поэтому велика вероятность того, что в защите появится

«дырка» - внешняя ссылка или мост, который окажется незащищенным. Поэтому первый способ защиты фрагмента ОА-графа более предпочтителен, однако тот факт, что в каждой ИК находится защитная ИП, может привести к излишнему расходу памяти компьютера.

Защита всего ОА-графа может осуществляться тремя способами. Первый - единая ACL. Второй - защита по фрагментам, т.е. для каждого фрагмента существует своя ACL. Третий - защита внешних точек входа в ОА-граф (применимо только в случае обработка ОА-графа с помощью его обхода).

Защита на уровне ИП необходимо в том случае, когда пользователю необходимо предоставить не всю информацию из найденного в результате поиска ИП или фрагмента ОА-графа. Например, рядовому работнику можно предоставить список сотрудников, однако заблокировать все записи (в нашем случае ИП), где указывается зарплата работника. В реляционных БД эта проблем решается за счет того, что пользователю предоставляется доступ не к записи БД, а только к запросу, а запрос выводит пользователю лишь разрешенную информацию. В ОА-БД такую проблему можно решить, добавив в ACL поля «разрешенные атрибуты» и «запрещенные атрибуты», которые представляют собой список атрибутов ИП, информация из которых будет выдаваться (или не выдаваться) пользователю. Данные атрибуты учитываются ФУ, ответственным за выдачу результата поискового запроса. Например, для того, чтобы лишить пользователя возможности запускать на выполнение программы, встроенные в ОА-граф, необходимо добавить в список запрещенных атрибут Prog (в нагрузке ИП с таким атрибутом находится указатель на программу).

Для осуществления защиты информации выделим специализированное ФУ, называемое «Охранник» («Guard»). Данное ФУ осуществляет контроль учетных записей пользователей и ролей (если используется подход RBAC), а также создание и обработку ACL для ИК, входящих в состав ОА-графа. Ссылка на «охранника» помещается в контекст (совокупность внутренних регистров ФУ) рабочих ФУ (Work FU), которые осуществляют обработку ОА-графа. Такие ФУ прежде, чем приступать к обработке ИК ОА-графа, спрашивают «разрешение» на доступ к ней у «охранника», которому предварительно передается ссылка на эту ИК; если доступ запрещен, то «охранник» блокирует обработку ИК рабочим ФУ. На рис. 1 представлена схема функционирования системы контроля доступа к

Для предотвращения несанкционированного доступа к ACL, адрес которой помещается в нагрузке защитной ИП, в алгоритм функционирования рабочего ФУ добавляются ограничения манипуляций с защитной ИП: запрет удаления защитной ИП (эта ИП может удаляться только во время удаления всей ИК, где она находится), запрет перехода по ссылке в нагрузке защитной ИП и т.д. Обработка таблиц прав доступа (создание, уничтожение и модификация) возлагается только на «охранника».

Предложенная методика работы защиты в ОА-ВС удобна тем, что позволяет копировать права доступа при копировании фрагмента ОА-графа. Этот механизм заменяет принцип наследования в ОО-парадигме: вместо копирования класса и добавления в него новых полей и методов используется копирование эталонного ОА-графа и дополнение его новыми вершинами и связями [2]. Находящиеся в ИК шаблона защитные ИП копируются вместе с другими ИП ОА-графа и адрес в нагрузке защитной ИП копируется без изменений: если ссылка в нагрузке ИП указывает на ячейку памяти, не относящуюся к ОА-графу, то при копировании ИП она не изменяется. Таким образом, все настройки защиты переносятся в копию фрагмента ОА-графа (рис. 2).

Рис. 2 - Копирование прав доступа при копировании фрагмента ОА-графа

Предложенная методика защиты в ОА-ВС обеспечивает защиту на всех уровнях ОА-ВС: ОА-графа, фрагмента ОА-графа, ИК и ИП. И хотя методика разработана специально для ОА-БД, она с некоторой модификацией, скорее всего, может быть использована для защиты других видов графовых БД.

Литература

1. Салибекян С.М., Панфилов П.Б. Объектно-атрибутная архитектура - новый подход к созданию объектных систем // Информационные технологии. 2012, №2 стр. 8-14

2. Салибекян С.М., Белоусов А.Ю. Сетевая база данных, построенная по объектно-атрибутному принципу. // Объектные системы - 2014 (зимняя сессия): материал IX Международной научно-практической конференции (Ростов-на-Дону, 10-12 мая 2014 г.) / Под общ. ред. П.П. Олейника. - Ростов-на-Дону: ШИ (ф) ЮРГТУ (НПИ) им. М.И. Платова, 2014. с. 70-76 URL: http://obj ectsystems.ru/files/2014WS/Object_Systems_2014_Winter_session_Proceedings.pdf

3. Райордан Р. Основы реляционных баз данных/Пер, с англ. — М.: Издательско-торговый дом «Русская Редакция», 2001. — 384 с.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Олейник П.П. Модель разграничения прав доступа в объектно-ориентированных приложениях // Проблемы информационной безопасности. Компьютерные системы. 2015. № 4. с. 70-78.

5. Aleksa Vukotic, Jonas Partner, Nicki Watt. Neo4j in Action. — Manning Publications Company, 2014.