Анализ безопасности информации при применении модели отнесения документов автоматизированной системы к информационным областям ответственности исполнителей
Модель изолированной программной среды. Анализ математической модели отнесения документов автоматизированной системы к информационным областям ответственности исполнителей, позволяющий сделать вывод о реализации дискреционного разграничения доступа.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 12.05.2017 |
| Размер файла | 241,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Анализ безопасности информации при применении модели отнесения документов автоматизированной системы к информационным областям ответственности исполнителей
Королев Игорь Дмитриевич
доктор технических наук, доцент
Поддубный Максим Игоревич
Филиал Военной академии связи
(г. Краснодар), Краснодар, Россия
В данной статье проводится анализ математической модели отнесения документов автоматизированной системы к информационным областям ответственности исполнителей, позволяющий сделать вывод о реализации дискреционного разграничения доступа
Ключевые слова: ЗАЩИТА ИНФОРМАЦИИ, ДИСКРЕЦИОННАЯ ПОЛИТИКА БЕЗОПАСНОСТИ, МОДЕЛЬ МАТРИЦЫ ДОСТУПОВ ХРУ
Анализ безопасности информации при применении модели отнесения документов автоматизированной системы к информационным областям ответственности исполнителей.
Обработка информации в автоматизированных системах (АС), по нашему мнению, позволит целенаправленно формировать информационные ресурсы и обеспечивать их эффективное функционирование. Однако применение АС приводит к необходимости разработки новых стратегий в области информационных технологий, учитывающих не только оперативную обработку информации, но и ее безопасность. Особенно остро проблема защиты информации стоит в организациях с распределенными информационными ресурсами [4].
Работа посвящена исследованию безопасности процесса взаимодействия должностных лиц с комплексом систем автоматизации (КСА) АС электронного документооборота.
Объектом исследования является типовая модель отнесения данных, содержащихся в документах автоматизированной системы к информационной области ответственности исполнителя (далее МОДИ)[3].
Предметом исследования - свойства МОДИ обеспечивающие безопасную обработку информации.
При повышении оперативности обработки информации нельзя пренебрегать безопасностью информации, т.к. сохранение в тайне информации конфиденциального характера имеет главенствующую роль в системах оперирующих такими сведениями.
Исследование свойств оперативности во взаимодействии со свойствами безопасности процесса взаимодействия должностных лиц с КСА АС на основе существующих моделей безопасности, обуславливает актуальность работы.
Таким образом, целью нашей работы является анализ свойств МОДИ обеспечивающих безопасную обработку информации.
В современных автоматизированных системах обработки информации используется несколько математических моделей безопасности:
1. Модель изолированной программной среды. Она является субъектно ориентированной. Целью моделирования является определение порядка безопасного взаимодействия субъектов системы. В рамках МОДИ нам необходимо рассматривать отнесение объектов к информационным областям ответственности субъектов, что идет в разрез с целями создания данной политики.
2. Модели безопасности информационных потоков. Данные модели, в зависимости от их представления, реализуют либо дискреционную политику безопасности (автоматная, программная модели), либо мандатную политику безопасности (вероятностная модель). Для качественного анализа целесообразно обратиться к классическим моделям, реализующим мандатное или дискреционное разграничение доступа.
3. Мандатная политика безопасности, в классическом исполнении, описываются моделью Белла-ЛаПадула[1,5]. Однако одним из элементов указанной модели является дискреционное разграничение доступа, выраженное в матрице возможных доступов.
4. Модели, реализующие дискреционное разграничение доступа. Основой дискреционного разграничения доступа является модель Харрисона Руззо-Ульмана (далее ХРУ) [1,5].
Таким образом, при рассмотрении математических моделей безопасности информации вАС мы неизбежно приходим к выводу о необходимости анализа МОДИ с точки зрения дискреционное разграничение доступа. При реализации в МОДИ дискреционного разграничения доступа, можно будет говорить о реализации в данной модели более сложных и надежных политик безопасности.
Исходя из поставленной цели, используя выбранный математический аппарат, определим следующие задачи исследования:
реализация функций МОДИ на основе системы ХРУ, с сохранением возможностей администрирования МОДИ и элементов системы разграничения доступа (СРД);
определить перспективы для применения существующих развитий СРД в МОДИ.
Исследовательский характер данной работы сводиться к выявлению при помощи модели ХРУ в МОДИ свойств обеспечивающих безопасную обработку информации.
Предлагаемая математическая МОДИ разработана на основе средств алгебры конечных предикатов[2,3].
Для выполнения поставленной задачи определим элементы МОДИ, которыми будем оперировать:
- конечное множество документов поступающих исполнителю;
- конечное множество зон документа;
- конечное множество переменных в зонах документа;
- множество терминологических понятий;
- предикат персонификации областей ответственности исполнителей;
программный дискреционный разграничение доступ
При реализации данной модели в ХРУ необходимо указанные элементы представить элементам системы ХРУ.
Модель ХРУ описывает дискреционную систему разграничения доступа. Элементами модели ХРУ при этом являются:
О - множество объектов системы;
S - множество субъектов системы (SО);
R - множество видов прав доступа субъектов на объекты;
М - матрица доступов, строки которой соответствуют субъектам, а столбцы - объектам. М[s,o]R,где R - права доступа субъекта s на
объект о.
Функционирование системы рассматривается только с точки зрения изменений в матрице доступа. Возможные изменения определяются шестью видами примитивных операторов.
В результате выполнения примитивного оператора ? осуществляется переход из одного состояния q = (S, O, M) в результирующее состояние
q` = (S`, O`, M`). Этот переход обозначим через q+?q`.
Т.к. система МОДИ относит новый объект в системы (документ) к области ответственности субъекта (исполнитель), следовательно, нас будут интересовать операторы:
«создать» объект о`;
«внести» право rRв матрицу М.
Из примитивных операторов составляются команды. Каждая команда состоит из двух частей:
условия, при которых выполняется команда;
последовательности примитивных операторов.
Представим МОДИ в виде системы ХРУ при этом:
О = O` O``
где О` = M, О``- множество объектов системы;
S = S` S``
где S` = Z, S`` - множество субъектов системы (SО);
R= {read, write, own, yes}- множество видов прав доступа субъектов на объекты, где право (yes) будет сигнализировать о наличии в конкретной зоне некоторого признака ;
М - матрица доступов, строки которой соответствуют субъектам, а столбцы - объектам. М[s,o] R, где R - права доступа субъекта s на объект о.
и выступает в качестве конечного множества объектов подлежащих «созданию» в СРД;
выражается в виде внесенных прав доступа yes M[s`, o`];
- задается в виде условий команды «создания» о`;
Таким образом, команда в общем виде записывается так:
;
. . .
;
endif
end
Например: СРД состоит из 3-х субъектов 3 объектов и распределяет между 2-я субъектами поступающие документы 2-х видов определяющихся по двум различным признакам в двух зонах соответственно, на основе принципа описанного в публикации И.Д. Королева и С.В. Носенко [2].
При этом:
; ; ;
; ; ;
R = {read, write, own, yes};
В данную систему по условию поступают два вида документов. Каждый вид характеризуется признаками, определяющими его вид в зонах документа «подпись» и «согласование». Наличие признаков, определяющих вид документа в зонах удобно представить в виде таблиц: заявление по вопросу А (Таблица 1) и заявление по вопросу Б (Таблица 2).
Таблица 1 - Признаки определяющие заявление по запросу А
|
Признак Зона документа |
Начальник отдела |
Начальник цеха |
Директор |
Зам. директора |
|
|
Подпись |
1 |
0 |
0 |
0 |
|
|
Согласование |
0 |
0 |
1 |
0 |
Таблица 2 - Признаки определяющие заявление по запросу Б
|
Признак Зона документа |
Начальник отдела |
Начальник цеха |
Директор |
Зам. директора |
|
|
Подпись |
0 |
1 |
0 |
0 |
|
|
Согласование |
0 |
0 |
0 |
1 |
Система будет проверять наличие или отсутствие установленной переменной в соответствующей зоне документа, поэтому переменная может принимать на себя только одно значение, но в каждой зоне своё. Данные матрицы информативность системы позволяет свести в одну, при этом информативность не ограничена, а введение дополнительных зон и переменных осуществляется введением дополнительных o`, s` или введением дополнительных прав доступа.
Представив зоны документа и переменные в них в виде таблицы, мы получили наглядное отображение сегмента дискреционной модели безопасности, отвечающего за реализацию функций МОДИ. (Таблица 3)
Таблица 3- Сегмент ХРУ, реализующий функции МОДИ
|
значение переменной Зона документа |
( ) |
( ) |
|
|
( ) |
Начальник отдела |
Начальник цеха |
|
|
( ) |
Директор |
Зам. директора |
В систему поступает документ подписанный начальником отдела и согласованных с начальником цеха.
При поступлении в АС электронного документа активируются команды на определение принадлежности его к области ответственности субъекта по переменным относящихся к зонам документа, а именно их сравнению с имеющимися в матрице доступов. В данном случае это:
«создать» объект;
«внести» право ownв ;
«внести» право readв ;
endif
end
«создать» объект ;
«внести» право ownв ;
«внести» право readв ;
endif
end
В результате документ будет добавлен в область ответственности исполнителя с предоставлением ему права чтения данного документа и администратор оставляет право владения документом. При этом в данной системе пользователь , являясь администратором сети рассматривается как доверенный субъект (т.е. используя свои должностные обязанности, не нарушает политики безопасности организации).
В результате система безопасности по одной из команд перейдет в состояние,в данном случае система будет иметь вид:
; ; ;
; ; ;
R = {read, write, own, yes};
Используя результаты исследования И.Д. Королева и С.В. Носенко при создании МОДИ [2]можно утверждать, что при задании зон документа, переменных, терминологических понятий и предикатов в системе в соответствии с правилами построения МОДИ, каждый документ будет однозначно относиться к области ответственности только одного исполнителя. Другими словами подходить под условия только одной команды запускаемой при поступлении документа. Согласно принципам функционирования системы ХРУ, команда выполняется только в том случае, если выполняются все ее условия. Таким образом, из запускаемых команд будет выполнено не более одной команды.
Очевидно, что в данной модели безопасности может быть реализованы любые реакции системы на «условия» при поступлении документа, определяемые политикой безопасности организации.
Т.к. команды активируются автоматически и являются неизменными при поступлении документа любого вида, следовательно, в роли субъекта s3может выступать автоматический программный модуль, идентифицированный в системе.
Выводы
1. Модель МОДИ реализует дискреционную политику разграничения доступа.
2. Модель МОДИ может быть реализована на базе существующих программно - аппаратных комплексов реализующих дискреционное разграничение доступа, что существенно снизит расходы на внедрение.
3. Реализация в классической модели ХРУ позволяет говорить об открывающейся перспективе применения различных ее развитий с целью повышения уровня безопасности системы.
Список литературы
1. Девянин П.Н. Модели безопасности компьютерных систем: Учеб.пособие для студ. высш. учеб. заведений / П.Н. Девянин - М.: Издательский центр «Академия», 2005 - 144 с.
2. Королев И.Д. Подходы к оперативной идентификации формализованных электронных документов в автоматизированных делопроизводствах / И.Д. Королев, С.В. Носенко // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2013. - №08(092).
3. Носенко С.В. Математическая модель отнесения документов автоматизированной системы к информационным областям ответственности исполнителей / С.В. Носенко, И.Д. Королев Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. - Краснодар: КубГАУ, 2013. - №08(092). - IDA [article ID]: 0921308057. - Режим доступа: http://ej.kubagro.ru/2013/08/pdf/57.pdf, 0,625 у.п.л.
4. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности/ В.Ю. Скиба, В.А. Курбатов - СПб. Питер, 2008. - 320с.
5. Хорев П.Б. Программно-аппаратная защита информации: учебное пособие /П.Б. Хорев - М.: Форум, 2009. -352 с.
Размещено на Allbest.ur
...Подобные документы
Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014Перечень защищаемых ресурсов на объекте информатизации. Выбор механизмов и средств защиты информации. Набор требований по безопасности. Описание реализации информационных сервисов. Разграничение доступа автоматизированной системы предприятия к ресурсам.
реферат [24,7 K], добавлен 24.01.2014Элементы автоматизированной системы обработки экономической информации. Информационная модель программного решения задачи "Учет сбыта и реализации готовой продукции", структура и описание реквизитов входных и выходных документов, справочной информации.
курсовая работа [55,6 K], добавлен 30.10.2011Выбор, обоснование и особенности работы СУБД. Характеристика языков программирования. Разработка структурной и функциональной модели информационной системы аптеки. Проектирование программной среды АИС и ее интерфейса. Построение модели базы данных.
курсовая работа [442,3 K], добавлен 21.04.2012Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.
презентация [1,1 M], добавлен 25.05.2016Разработка и реализация автоматизированной информационной системы "Трехмерная печать", предназначенной для организации заказов в филиале на производство трехмерных моделей. Системный анализ и анализ требований. Модели проектирования и реализации.
курсовая работа [889,8 K], добавлен 18.12.2010Организация управления высшим учебным заведением. Анализ деятельность кафедры, перечень исходных показателей. Построение автоматизированной концептуальной информационно-логической модели базы данных. Системные и технические средства реализации проекта.
дипломная работа [1,3 M], добавлен 25.03.2015Создание автоматизированной информационной системы для ОАО "Сибирь". Построение функциональной модели, описывающей существующую организацию работы на основе анализа деятельности предприятия. Смешанная модель в стандартах IDEF0, DFD, IDEF3 и IDEF1X.
курсовая работа [2,4 M], добавлен 17.09.2010Минимизация времени между совершением производственно-хозяйственных операций и их информационным отображением при принятии управленческих решений. Автоматизированная система обработки экономической информации на примере предприятия "Дорремстрой".
контрольная работа [28,3 K], добавлен 27.07.2009Разработка концептуальной (инфологической) модели, выбор языка и среды программирования. Разработка блок-схемы алгоритмов для отдельных подпрограмм. Пользовательский интерфейс автоматизированной системы. Требования к клиентскому программному обеспечению.
дипломная работа [2,4 M], добавлен 10.07.2017Процессы Oracle CDM. Стадии и этапы выполнения работ по созданию автоматизированной системы (АС). Основные модели жизненного цикла ПО. Требования к содержанию документов. Основная проблема спирального цикла. Работы, выполняемые при разработке проекта.
презентация [194,1 K], добавлен 14.10.2013Система мандатного разграничения доступа. Разработка функциональной модели и ее уровни. Разработка информационной и динамической модели. Необходимость использования механизмов. Методология IDEFO. Функциональный блок. Анализ идентификационных данных.
курсовая работа [1,9 M], добавлен 24.01.2009Структура, состав и размещение основных элементов АС "Фемида", информационные связи с другими объектами. Категории пользователей автоматизированной системы, режимы использования и уровни доступа к информации. Физические и технические средства защиты.
курсовая работа [52,5 K], добавлен 29.01.2014Создание автоматизированной информационной системы для автоматизации оформления документов по проживанию в гостинице "Галерея", г. Пермь. Организация системы информационной безопасности, угрозы характерные для предприятия и существующие меры защиты.
дипломная работа [3,5 M], добавлен 30.12.2013Разработка и внедрение автоматизированной информационной системы. Изучение основных процессов, протекающих в предметной области. Создание базы данных. Исследование средств защиты информации от несанкционированного доступа и идентификации пользователей.
курсовая работа [487,2 K], добавлен 17.03.2014Cоздание и описание логической модели автоматизированной системы обработки информации. Проектирование структуры системы в виде диаграмм UML. Анализ программных средств разработки программного обеспечения и интерфейса. Осуществление тестирования программы.
дипломная работа [2,5 M], добавлен 25.01.2015Характеристика предприятия и анализ существующей ИС. Обоснование выбора средства программной реализации ИС. Разработка модели TO–BE процесса оформления документов по проживанию в отеле "Галерея".Анализ условий труда на рабочем месте администратора.
дипломная работа [4,5 M], добавлен 08.01.2014Создание автоматизированной системы, включающей системы видеоконтроля качества полиграфической продукции и ее учета. Разработка программной системы. Модули обработки информации и изображения. Общий алгоритм распознавания. Интерфейс системы управления.
дипломная работа [3,0 M], добавлен 22.11.2015Описание автоматизированной информационной системы автотранспортного предприятия. Область применения системы, ее функциональное содержание и возможности. Требования к программной и аппаратной части, алгоритм работы. Сценарий работы с пользователем.
курсовая работа [638,6 K], добавлен 18.09.2014Структурно–функциональная модель системы проведения соревнований школьников. Формирование требований к проектируемой автоматизированной системе обработки информации и управления. Разработка концепции и документации, анализ и выявление ключевых процессов.
дипломная работа [3,4 M], добавлен 04.03.2014
