автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Проектирование системы разграничения доступа автоматизированной информационной системы на основе функционально-ролевой модели на примере высшего учебного заведения

На правах рукописи

Демурчев Никита Георгиевич

ПРОЕКТИРОВАНИЕ СИСТЕМЫ РАЗГРАНИЧЕНИЯ

ДОСТУПА АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ

ФУНКЦИОНАЛЬНО-РОЛЕВОЙ МОДЕЛИ НА ПРИМЕРЕ ВЫСШЕГО УЧЕБНОГО ЗАВЕДЕНИЯ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Таганрог — 2006

Работа выполнена в ГОУ ВПО «Ставропольский государственный университет» на кафедре организации и технологии защиты информации

Научный руководитель:

Официальные оппоненты:

Ведущая организация:

Копытов Владимир Вячеславович,

доктор технических наук, старший научный сотрудник

1. Бабенко Людмила Климентьевна, доктор технических наук, профессор (ТРТУ, г. Таганрог);

2. Шаяхметов ОлегХазиакрамович, кандидат технических наук, доцент (СВИС РВ, г. Ставрополь).

ФГНУ НИИ "Спецвузавтоматика" (г. Ростов-на-Дону).

Защита состоится 23 августа 2006 года в 14.00 на заседании регионального диссертационного совета ДМ 212.259.06 при Таганрогском государственном радиотехническом университете по адресу: 347928, Ростовская область, г. Таганрог, ГСП - 17 А, пер. Некрасовский, 44.

Отзывы на автореферат просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, Таганрогский государственный радиотехнический университет, ученому секретарю диссертационного совета ДМ 212.259.06 Галуеву Г.А.

С диссертацией можно ознакомиться в научной библиотеке Таганрогского государственного радиотехнического университета по адресу: 347928, Ростовская область, г. Таганрог, ул. Чехова, 22.

Автореферат разослан

Ученый секретарь диссертационного сов| доктор технических н; профессор

2006 года

Галуев Г. А.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность задачи. Построение современных автоматизированных информационных систем (АИС) управления тесно связано с проблемой обеспечения информационной безопасности. Данной проблеме посвящено значительное количество работ отечественных и зарубежных исследователей, среди которых В.А. Герасименко, A.A. Грушо, Д.П. Зегжда, A.M. Ивашко, Ю.Н. Мельников, Е.Е. Тимонина, А.Ю. Щербаков, Leonard J. LaPadula, D. Elliot Bell, Goguen J.A., Harrison M., Hoffman J., John McLean, Meseguer J., Millen J., Neumann P., Ruzzo W., Ravi S. Sandhu, Uhlman J. и другие. Кроме того, существует большая группа современных международных и отечественных стандартов и нормативных документов в области информационной безопасности.

Однако, согласно статистике нарушений безопасности информационных систем, предоставляемой исследовательскими организациями, наблюдается экспоненциальный рост числа таких нарушений. В ходе глубокого анализа возможных причин их возникновения (Зегжда Д.П.) выяснилось, что ими являются ошибки, допущенные еще на этапе создания АИС (8% - анализ требований, 56% — проектирование, 16% - реализация, и только 17% - эксплуатация). Кроме того, подавляющее большинство недостатков средств защиты АИС связано с контролем доступа - 89%, а на идентификацию/аутентификацию и контроль целостности приходится незначительная часть ошибок. Из чего следует, что основной причиной появления уязвимо-стей, приведших к нарушениям безопасности АИС, является низкое качество создаваемых систем контроля и управления доступом вследствие ошибок, допущенных на первоначальных этапах жизненного цикла системы.

Выходом из данной ситуации является построение гарантированно защищенных информационных систем, основанное на применении формальных моделей безопасности на всех этапах жизненного цикла системы, особенно на этапе проектирования. При этом наиболее важным является использование формальных моделей при проектировании систем разграничения доступа (СРД).

Вместе с тем, как отмечают многие исследователи, вопрос выбора и применения конкретных формальных моделей для построения СРД крупных АИС, в частности АИС вузов, в настоящее время недостаточно проработан. В первую очередь это связано с тем, что АИС крупных предприятий являются многофункциональными системами, предназначенными для автоматизации широкого спектра областей и направлений деятельности, в работу с которыми вовлечено значительное количество сотрудников предприятия. Такие АИС имеют исторически сложившуюся модульную структуру и обеспечивают доступ к информационным ресурсам системы множества пользователей с учетом сложной организационно-управленческой структуры. При этом ни одна из существующих моделей управления доступом не учитывает особенностей ролевой структуры пользователей АИС в применении к взаимодействующим функциональным модулям, что не позволяет адекватно и полно описывать происходящие в системе информационные процессы.

Кроме того, использование существующих формальных моделей разграничения доступа осложняется наличием следующих нерешенных задач:

- при построении СРД достаточно сложно интерпретировать формальную модель в реальной системе, то есть обеспечить полное соответствие абстрактных сущностей и процессов модели реальным объектам и правилам функционирования системы;

- ни одна из классических моделей не содержит количественных параметров разграничения доступа и тем самым не предоставляет формализованных методов оценки эффективности СРД АИС.

Исходя из этого, в работе сформулирована научная задача исследования: разработка функционально-ролевой модели разграничения доступа и методики проектирования системы разграничения доступа на основе данной модели с использованием формализованных методов оценки эффективности.

Цель исследования - развитие методического обеспечения проектирования и оценки эффективности систем разграничения доступа автоматизированных информационных систем.

Объект исследования - автоматизированная информационная система.

Предмет исследования — система разграничения доступа автоматизированной информационной системы.

Для достижения цели исследования были решены следующие задачи:

1) анализ существующего методического обеспечения построения систем разграничения доступа автоматизированных информационных систем;

2) разработка функционально-ролевой модели разграничения доступа к информационным ресурсам автоматизированной информационной системы;

3) разработка методики проектирования системы разграничения доступа на основе функционально-ролевой модели;

4) оценка эффективности системы разграничения доступа на примере автоматизированной информационной системы вуза.

В рамках исследования использовались методы теории множеств, теории графов, реляционной алгебры, методы объектно-ориентарованного моделирования.

Основные положения, выносимые на защиту.

1. Формальное описание функционирования СРД АИС, соответствующее реальным информационным процессам, достижимо на основе использования функционально-ролевой модели разграничения доступа, являющейся комбинацией существующих моделей, усовершенствованных для учета особенностей АИС.

2. Модель организационного разграничения доступа, представляющая собой усовершенствованную модель тематического разграничения доступа, может быть применена для организации безопасного управления доступом к информационным объектам АИС с учетом особенностей организационной структуры.

3. Разработанная методика проектирования СРД АИС на основе функционально-ролевой модели позволяет с высокой степенью адекватности интерпретировать эту модель в реальной системе, а внедрение в методику процедур оценки

эффективности калодого из этапов проектирования позволяет повысить эффективность проектируемых СРД.

4. Предложенные показатели количественной оценки, основанные на понятии «потенциальной опасности», «закрытости» и «открытости» объектов доступа, позволяют определять эффективность СРД.

Научная новизна работы заключается в следующем. Разработана модель функционально-ролевого разграничения доступа, основанная на комбинации существующих моделей управления доступом с учетом особенностей АИС. Усовершенствована модель тематического разграничения доступа, что позволило организовать безопасное управления доступом к информационным объектам АИС с учетом особенностей организационной структуры. Разработана методика проектирования системы разграничения доступа на основе модели функционально-ролевого разграничения доступа. В состав данной методики введены процедуры оценки эффективности каждого из этапов проектирования. Для оценки эффективности системы разграничения доступа предложены количественные показатели на основе комплексного показателя потенциальной опасности объекта.

Практическая значимость исследования заключается в следующем.

1. Разработанная модель функционально-ролевого разграничения доступа может использоваться для проектирования и реализации эффективных систем разграничения доступа АИС.

2. Использование разработанной методики построения СРД позволяет повысить эффективность создаваемой системы.

3. Предложенные показатели количественной оценки эффективности СРД могут применяться для оценки существующих и создаваемых систем, в том числе для проведения аудита информационной безопасности АИС.

4. Кроме того, основные положения исследования могут быть применены при разработке и проектировании защищенных автоматизированных информационных систем.

Реализация и внедрение результатов. Основные результаты исследования были использованы при проведении следующих научно-исследовательских работ, что подтверждено соответствующими актами.о внедрении:

—, разработка АИС Ставропольского государственного университета;

— разработка АИС Ставропольского института дружбы народов Кавказа;

— создание на базе СГУ регионального центра мониторинга послевузовского профессионального образования по гранту Министерства образования и науки и др.

Кроме того, результаты исследования использовались в учебном процессе на кафедре организации и технологии защиты информации Ставропольского государственного университета при проведении лабораторных работ по курсу «Математические и информационные модели защиты информации» для студентов специальности 075200 - «Компьютерная безопасность».

Достоверность полученных результатов подтверждается корректным использованием известного математического аппарата и строгостью проведенных математических выкладок, а также сведением полученных результатов при ограничениях на функциональность объектов к известным моделям.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на 48-51 научно-методических конференциях «Университетская наука - региону» (Ставрополь, 2003-2006 гг.), Международной конференции «Информационные технологии в образовании, технике и медицине» (Волгоград, 2004 г.), Всероссийском семинаре-совещании «Проблемы информатизации фундаментальной науки» (CAO РАИ, 2005 г.), Всероссийской научно-практической конференции «Образовательная среда сегодня и завтра» (Москва, 2005 г.), Всероссийском научно-практическом семинаре «Автоматизированные системы управления учебным процессом в вузе: опьгг, проблемы, возможности» (Шахты, 2005 г.), Второй Международной научно-технической конференции «Инфокоммуникационные технологии в науке и технике» (Ставрополь, 2006 г.). Авторство, новизна и полезность принципиальных технических решений защищены 16 свидетельствами об отраслевой и официальной регистрации программных продуктов.

Публикации. По теме диссертации опубликовано 11 научных статей и тезисов докладов, в том числе 1 статья в журнале из перечня ВАК.

Структура и объем диссертации. Диссертация включает введение, четыре раздела, заключение, библиографический список, содержащий 74 наименования, и два приложения. Основной текст диссертации изложен на 147 страницах, включая 22 рисунка и 5 таблиц.

ОСНОВНЫЕ ПОЛОЖЕНИЯ РАБОТЫ

Во введении обоснована актуальность исследований в области проектирования СРД АИС, сформулированы цель и задачи работы, определена практическая ценность и научная новизна выносимых на защиту результатов.

В первом разделе рассмотрены АИС организаций, в частности вузов, сформулированы ключевые свойства организации и ее информационной системы с позиции обеспечения требований информационной безопасности. Проведен анализ структуры системы защиты информации АИС, определены основные принципы ее построения. Рассмотрены основные классы формальных моделей разграничения доступа, выявлены их достоинства и недостатки, связанные с проектированием СРД.

Современные АИС, в том числе вузов, обладают рядом ключевых свойств, которые существенным образом влияют на информационную безопасность и предъявляют дополнительные требования к системе защиты информации:

- сложно структурированная система, состоящая из множества подсистем, имеющих многофункциональные разветвленные взаимосвязи друг с другом и внешней средой;

- наличие сложных иерархических организационно-управленческих и организационно-технологических структур;

- наличие однотипных подразделений, выполняющих одинаковые функции, имеющих схожую организационно-штатную структуру, типовой документооборот и другие аспекты деятельности;

- большое число пользователей и персонала различных категорий, осуществляющих непосредственный и одновременный доступ к информационным ресурсам;

- присутствие в системе конфиденциальной информации, безопасность которой необходимо обеспечивать согласно законодательству РФ.

Анализ структуры системы защиты информации от несанкционированного доступа (НСД) показал, что основополагающей для реализации зашиты информации является система разграничения доступа, так как механизмы защиты именно этой группы призваны противодействовать НСД к информационным ресурсам АИС. Остальные же группы механизмов (криптографическая защита, контроль целостности и др.) реализуются в предположении, что механизмы управления доступом могут быть преодолены злоумышленником.

В работах многих современных исследователей, а также в международных и отечественных стандартах и нормативных документах (в частности, ГОСТ Р ИСО/МЭК 15408-2002) отмечается, что построение безопасных СРД АИС должно основываться на применении формальных моделей управления доступом пользователей к информационным ресурсам системы.

В ходе анализа наиболее распространенных формальных моделей управления доступом с позиции их применения для проектирования СРД АИС было выявлено, что ни одна из рассмотренных моделей не позволяет учесть перечисленные выше свойства АИС, и не может бьггь использована в качестве основной. Однако существует возможность частичного использования некоторых из представленных моделей для формального описания отдельных задач разграничения доступа. Кроме того, учет организационной структуры информационных ресурсов, связанной с наличием типовых подразделений, невозможен в рамках ни одной из моделей. Однако для решения этой задачи может быть использована модель тематического разграничения доступа, усовершенствованная путем расширения области применимости для учета организационной структуры.

Таким образом, для построения эффективной СРД к информационным ресурсам АИС необходима разработка формальной модели разграничения доступа, которая может быть построена на основе комбинации существующих моделей разграничения доступа. При этом должно существовать формальное доказательство безопасности модели, что, исходя из свойств моделей разграничения доступа, является и доказательством адекватности модели.

Учитывая, что формальная модель допускает некоторый уровень абстракции и не рассматривает вопросы реализации СРД следует разработать методику проектирования СРД АИС на основе функционально-ролевой модели. Данная методика должна адекватно интерпретировать модель в реальной системе, то есть обеспечивать полное соответствие абстрактных сущностей и процессов модели реальным объектам и правилам функционирования системы. Кроме того, в связи с тем, что задача построения СРД является сложной и многоэтапной, необходимо предло-

жить способы количественной оценки эффективности системы и отдельных этапов ее проектирования, с целью выбора оптимального варианта.

Во втором разделе описана разработка функционально-ролевой модели системы разграничения доступа АИС. Введены понятия и определения, сформулированы основные положения модели. Проведено доказательство безопасности модели.

Функционально-ролевая модель АИС основана на следующих понятиях: функциональный модуль, роль, процедура преобразования, аналитическая процедура. Выделение процедур обработки данных как отдельных сущностей системы, связано с тем, что операции, входящие в их состав, не могут быть проконтролированы системой контроля доступа в момент принятия решения о предоставлении пользователю доступа к субъекту. Поэтому решение о назначение прав доступа данным субъектам принимает администратор системы, который и определяет, что данный субъект является безопасным, т.е. не нарушающим политику безопасности.

Разделение множества процедур обработки данных на два подмножества процедур связано с различиями в их использовании и организации доступа. Процедуры преобразования предназначены для выполнения процессов обработки данных, реализующих функциональную логику системы. Они однозначно закреплены за функциональными модулями и выполняющими их пользователями. Аналитические процедуры предназначены для предоставления сформированного специальным образом множества данных без их изменения. Множество аналитических процедур имеет иерархическую структуру, отражающую предметную область АИС, при этом доступ регламентируется не к конкретной процедуре, а к ее тематике.

Пользователи АИС получают доступ к информационным объектам посредством выполнения процедур преобразования или аналитических процедур, реализованных в составе функциональных модулей. Обобщенная структура функционирования АИС представлена на рисунке 1.

СРД АИС должна контролировать и обеспечивать безопасность описанных информационных потоков, функционирующих в АИС. На основе анализа формальных

Объекты. О

Рисунок 1 - Структура функционирования АИС

моделей управления доступом и свойств АИС был предложен следующий состав функционально-ролевой модели и определено разграничение областей применимости формальных моделей управления доступом в рамках единой модели (таблица 1).

Таблица 1 — Состав функционально-ролевой модели

Наименование модели Назначение

Модель организационного разграничения доступа Управление доступом к информационным объектам

Дискреционная модель на основе матрицы доступа Управление доступом к процедурам преобразования

Модель тематического разграничения доступа Управление доступом к аналитическим процедурам

Ролевая модель Управление ролями и полномочиями пользователей

Структура функционально-ролевой модели разграничения доступа и порядок взаимодействия, входящих в ее состав моделей, представлены на рисунке 2.

Рисунок 2 - Структура функционально-ролевой модели

Критерий безопасности общий для всех подсистем: Система Е (уо, И, Рг) безопасна тогда и только тогда, когда ее начальное состояние у0 безопасно и все состояния, достижимые из у0 путем применения конечной последовательности запросов из И, безопасны (Рт - функция перехода). Управление доступом и контроль над доступом субъектов к объектам осуществляет монитором безопасности, входящим в состав функциональных модулей, системы управления базами данных или операционной системы в зависимости от технических особенностей АИС.

Особенности управления доступом в моделях, входящих в состав функционально-ролевой модели разграничения доступа, описаны ниже.

Ролевая модель разграничения доступа используется в системе для управления пользователями, ролями и полномочиями ролей. Причем, из всех разновидностей данной модели выбрана модель, основанная на иерархиче-

ской организации системы ролей. Выбор данного типа ролевой модели обусловлен ее близостью к реальным организационно-управленческим и организационно-технологическим схемам на предприятиях и в организациях. Полномочия пользователей определяются правом активизации функциональных модулей. При этом управление доступом к информационным ресурсам, осуществляемое посредством функциональных модулей, контролируется в рамках других моделей, входящих в состав функционально-ролевой модели.

Модель организационного разграничения доступа. Для организации доступа к информационным объектам на основе организационной структуры, на множестве объектов построено иерархическое дерево, наиболее оптимально описывающее организационную структуру предприятия. Узлы дерева обозначают подразделения организации, а подчинение одного узла дерева другому означает организационную подчиненность подразделений, соответствующих данным узлам. Отношение подчиненности подразделений задается отношением частичного порядка элементов (рисунок 3).

Учебное управление Дек. 1 к , Дек. 3

Рисунок 3 - Пример дерева, описывающего иерархический классификатор

Переходы системы, обусловленные запросами и доступами существующих субъектов к существующим объектам, санкционируются монитором безопасности на основе следующих правил.

Правило 1. Доступ субъекта « к объекту о, вызывающий поток по чтению 51геат(5) о, неопасен и может быть разрешен тогда и только тогда, когда подразделение субъекта доминирует над подразделением объекта, —,/мН ¿/м[о].

То есть пользователь (субъект) может получить доступ на чтение к информационному объекту только в том случае, если подразделение, к которому относится объект, находится в подчинении у подразделения пользователя (субъекта) или когда подразделения объекта и субъекта совпадают.

Правило 2. Доступ субъекта « к объекту о, вызывающий поток по записи Зй-еат® —> о, неопасен и может быть разрешен тогда и только тогда, когда подразделение объекта равна подразделению субъекта, =\/мИ-

Данное правило основывается на том, что пользователь информационной системы, осуществляющий добавление или изменение информации в рамках своих должностных обязанностей, несет ответственность за ее достоверность, поэтому пользователи других подразделений, в том числе и руководящих, не имеют право на изменение этой информации. В работе доказано, что система, построенная на основе данной модели, позволяет обеспечить безопасный доступ к информационным ресурсам с учетом их организационной структуры.

Дискреционная модель на основе матрицы доступа используется для управления доступом к процедурам преобразования. Объектами доступа являются процедуры преобразования, а субъектами - пользователи. Матрица доступа специфицирует права пользователей на выполнение процедур преобразования. Так как процедура преобразования однозначно закреплена за функциональными модулями, то с каждым функциональным модулем ассоциирована своя матрица доступа, определяющая права пользователей на выполнение процедур преобразования данного функционального модуля. В работе показано, что пользователь ни при каких условиях не выполнит неразрешенной для него процедуры преобразования, то есть система обеспечивает безопасное управление доступом пользователей к процедурам преобразования.

В модели тематического разграничения доступа объектами доступа являются аналитические процедуры, субъектами - пользователи. Основанием классификации сущностей является тематическая категория объектов и субъектов доступа, а не их уровень безопасности, как в мандатных моделях. Предметная область сведений АИС представляется тематическим классификатором, построенным на основе иерархического подхода. Санкционирование неопасных доступов существующих субъектов к существующим объектам производится на основе следующего правила разграничения доступа.

Правило. Доступ субъекта в к объекту о, вызывающий поток по чтению Б^еат^) «— о, неопасен и может быть разрешен тогда и только тогда, когда мультирубрика субъекта доминирует над рубрикой объекта, -,/мМ ^УмоМ-

Поскольку аналитические процедуры предназначены для предоставления информации, то в системе не существует потоков по записи. В работе доказано, что модель тематического разграничения доступа может быть использована для организации безопасного доступа к информационным ресурсам системы посредством аналитических процедур.

Обобщенный алгоритм функционирования СРД включает следующие этапы. После авторизации пользователя в системе формируется множество ролей, в которые входит учетная запись данного пользователя непосредственно или за счет иерархии ролей. На основе данного множества определяется и ассоциируется с учетной записью пользователя множество

идентификаторов тех подразделений, к которым относится пользователь и множество тематических категорий, доступных пользователю в структуре информационных ресурсов. Далее формируется множество доступных пользователю функциональных модулей. Пользователь активизирует требуемый ему функциональный модуль, в процессе инициализации которого формируется множество доступных пользователю процедур преобразования и аналитических процедур. Исходными данными при этом являются множество реализованных в функциональном модуле процедур и структура информационных ресурсов. При запуске пользователем конкретной процедуры на основе идентификатора подразделения, присвоенного пользователю, определяется множество информационных объектов, доступ к которым имеет данная процедура. Множество информационных объектов, доступных в ходе выполнения процедуры, формируется каждый раз при попытке ее запуска.

Взаимосвязь моделей и доказательство безопасности. Так как каждая из моделей, входящих в состав функционально-ролевой модели, обеспечивает безопасное функционирование системы, то для доказательства безопасности функционально-ролевой модели разграничения доступа необходимо рассмотреть взаимодействие моделей. При этом взаимодействие считается безопасным, если все сущности первой модели однозначно отображается на множество сущностей второй модели. В работе рассмотрены все возможные взаимодействия моделей, показана их безопасность. Таким образом, построенная на основе функционально-ролевой модели СРД, является безопасной.

В третьем разделе описана методика проектирования системы разграничения доступа АИС на основе функционально-ролевой модели.

Проектирование СРД традиционно включает следующие этапы:

1) построение структуры информационных ресурсов системы;

2) определение набора процессов и процедур для формирования функциональных модулей, т.е. построение функционально - алгоритмической структуры системы;

3) создание ролей, групп на основе функциональных обязанностей персонала и организационно-штатной структуры;

4) назначение итоговых (ролевых и индивидуальных) прав доступа.

Исходными данными для проектирования являются сведения, полученные в ходе детального анализа предметной области АИС, среди которых организационно-штатная структура, функциональная модель деятельности, модели процессов и потоков данных, должностные обязанности сотрудников, политика безопасности и другие. В работе описаны подходы к построению перечисленных моделей и структур с использованием известных методик структурного проектирования: БАОТ, ГОЕР, ОРБ, Е1Ш.

Проектирование системы разграничения доступа - сложная многоэтапная задача. Центральной проблемой разработки распределенных про-

цедур решения сложных задач является нахождение такой декомпозиции распределения ее на подзадачи, а также выбор таких методов их решения в каждом элементе созданной структуры, которые приводили бы к получению приемлемого по качеству решения всей задачи.

Рисунок 4 - Схема методики построения СРД АИС

Поэтому необходимо проводить оценку выполнения поставленных требований на каждом этапе построения СРД, при этом критерии оптимальности каждого из этапов должны быть связаны с критерием оптимальности всей

системы. В связи с этим, известная методика расширена за счет добавления процедур оценки эффективности каждого этапа проектирования и процедуры итоговой оценки эффективности системы в целом (рисунок 4). По итогам оценки эффективности этапа возможна корректировка полученных результатов в случае, если не были получены требуемые характеристики.

Таким образом, процесс проектирования СРД на основе данной методики является итерационным и содержит несколько циклов итераций. Первые четыре цикла связаны с созданием отдельных подсистем, а пятый - с созданием системы в целом.

В четвертом разделе представлены целевая функция системы функционально-ролевого разграничения доступа и методики вычисления весов элементов, необходимых для определения целевой функции. Предложены обобщенный коэффициент эффективности функционально-ролевой СРД и другие количественные характеристики системы.

Эффективность СРД определяется способностью системы обеспечивать безопасный доступ пользователей к объектам (конфиденциальность) при сохранении множества доступов, необходимых пользователям системы для выполнения своих функциональных и должностных обязанностей (доступность). При этом составляющие эффективности являются противоположными по смыслу и направлению (Гайдамакин Н.А.).

Целевая функция эффективности СРД Ь определяется как линейная комбинация функции доступности информации Ь1 и функции конфиденциальности информации ¿г:

Ь = с,Ь, + с3Ь3, (1)

где С} + С2 - 1 — весовые коэффициенты, отражающие политику безопасности в системе в плане общего взгляда (установок) на соотношение доступности и конфиденциальности информации в системе.

Значение целевой функции вычисляется по формуле:

Ь™ = + С2с/(2)Г£^(2)0(2) _ (2)

где С/0, С/2> - веса субъектов доступа, 0е0, сР* - веса объектов доступа, £<1), - веса назначений доступа. Значение целевой функции Ь™ €[0,1], при этом, чем ближе Ьря к 1, тем эффективней система. Определение множества итоговых назначений доступа пользователей к объектам системы Е?* основывается на графовой модели системы (рисунок 6) и вычисляется по формуле:

= (Ни + 1))т • (Т-¡3 Ф (ЛЛи)г • (Д® + /)), (3)

где IV— множество включений пользователей в роли (рабочие группы), Н^ -множество включений одних ролей (рабочих групп) в другие, кт - множество ролевых (групповых) назначений доступа, Т - множество включения объектов доступа в функциональные модули, Я» — множество включений одних объектов в другие, (2 - множество назначений доступа ролей к функциональным модулям, I - единичная матрица.

Рабочие группы, роли

Рисунок 6 - Графовая модель системы функционально-ролевого разграничения

доступа

Максимизация целевой функции ЬРЛ позволяет создать систему разграничения доступа с оптимальным сочетанием доступности и конфиденциальности информации.

Для вычисления весов объектов 0(г), входящих в выражение (2), и других показателей используются значения потенциальной опасности процедур, ценности ресурсов и опасности операций доступа. Определение потенциальной опасности процедур может быть автоматизировано при помощи алгоритмов автоматического анализа кода процедур.

Итоговая эффективность СРД определяется коэффициентом Ко, равным:

^ _ (4)

О -О шах лип

где Дот, ¿Эт/„, Д, — максимальная, минимальная и реальная потенциальные опасности системы соответственно. Потенциальная опасность системы равна суммарной потенциальной опасности всех объектов системы. Значение коэффициента Ко е [0; 1], причем если Кв- 0, то £>, = Отах и система не эффективна, а если Ко = 1, то Д, = £>ти и система оптимальна.

Эффективность проектирования функционально-алгоритмической структуры характеризуется эффективностью разбиения множества объектов на функциональные модули и определяется коэффициентом КР, равным:

>

(5)

где Э — общее количество доступов в системе, й/„ — количество доступов при использовании функциональных модулей. Значение коэффициента К? е (-<», 1]. При Кр < 0 разбиение считается не эффективным; чем ближе К ¡.к 1, тем эффективней разбиение.

Для оценки эффективности проектирования системы ролей и рабочих групп применяются методики количественного анализа и оптимизации систем индивидуально-группового доступа, позволяющие выявлять дублирование (избыточность) Кду/х, и превышение требуемых прав доступа пользователей к объектам системы Кпре,ыш\ определять близость ролей и пользователей Г2Г; вычислять индивидуальные характеристики объектов (ОТКР, ЗАКР) и пользователей (ОСВЕД, БЕЗОП) системы.

Соответствие показателей оценки эффективности и этапов методики проектирования СРД представлено на рисунке 7.

Характеристики, Иеу и АЬк

Коэффициент эффективности разбиения, Кр

Потенциальная опасность функциональных моделей, йппЛ

Потенциальная опасность

Близость ролей, 1У

Избыточиочность прав, Кд,^

Превышение прав,

Характеристики объектов, ОТКР и ЗАКР

Характеристики пользователей, ОСВЕД и БЕЗОП

Целевая функция, Ь

Коэффициент эффективности, Ко

Шш

' формирование функционально-' алгоритмической структуры

формирование'структуры

урол^Гр^ч^п,-,

Назначение итоговые прав * '"Доступе ' ■'

Рисунок 7 - Соответствие показателей оценки и этапов проектирования

В работе сформулированы методологические рекомендации и принципы проектирования СРД, внедрение которых в АИС Ставропольского государственного университета позволило повысить эффективность СРД АИС.

В заключении приведены основные результаты проведенных исследований и вытекающие из них выводы, указаны направления дальнейших исследований.

Основные научные результаты, выносимые на защиту.

1. Разработанная функционально-ролевая модель разграничения доступа, позволяющая адекватно описывать процессы управления доступом к информационным ресурсам АИС, представляющая собой комплекс существующих моделей управления доступом, усовершенствованных для учета особенностей АИС.

. 2. Разработанная методика проектирования СРД АИС на основе функционально-ролевой модели разграничения доступа, позволяющая получать количественные оценки эффективности СРД и отдельных этапов ее проектирования.

3. Предложенные показатели эффективности СРД АИС, в основу которых положен комплексной показатель потенциальной опасности объекта доступа.

По теме диссертационного исследования опубликованы следующие основные работы.

1. Демурчев Н.Г., Белозеров B.C., Копытов В.В., Шульгин А.О. Автоматизированная информационная система как средство повышения эффективности управления вузом // Журнал «Компьютерные учебные программы и инновации». -2004.-№5.-с. 53-57.

2. Демурчев Н.Г., Копытов В.В. Проблемы обеспечения информационной безопасности автоматизированных информационных систем учебных заведений на различных этапах жизненного цикла // Информационные технологии в образовании, технике и медицине: Материалы Международной конференции: В 3 т. Т.З/ ВолгГТУ. - Волгоград, 2004. - с. 36-37.

3. Демурчев Н.Г., Копытов В.В. Выбор метода оценки эффективности системы обеспечения информационной безопасности автоматизированной информационной системы вуза // Информационные и коммуникационные технологии в обучении, управлении и научных исследованиях: Материалы 50 научно-методической конференции «Университетская наука - региону». - Ставрополь: Изд-во СГУ, 2005. - с. 15-17.

4. Демурчев Н.Г. Применение формальных моделей управления доступом при проектировании автоматизированных информационных систем вузов. // Образовательная среда сегодня и завтра: Материалы II Всероссийской научно-практической конференции. — М.: Рособразование, 2005. - с. 234-236.

5. Демурчев Н.Г. Использование стандартов информационной безопасности при проектировании автоматизированных информационных систем вузов // Научно-методические и нормативные материалы VIII Пленума УМО по образова-

нию в области информационной безопасности. - Екатеринбург: ГОУ ВПО УГТУ-УПИ, 2005. - с. 117-119.

6. Демурчев Н.Г., Лепешкин О.М. Моделирование безопасности автоматизированной информационной системы вуза. // «Вестник СГУ». - 2006. - №43. -с.143-151.

7. Демурчев Н.Г. Подходы к количественному анализу эффективности методики построения системы разграничения доступа // Материалы 51 научно-методической конференции СГУ «Университетская наука - региону». - Ставрополь: Изд-во СГУ, 2006.-с. 356-359.

8. Демурчев Н.Г. Оценка эффективности системы разграничения доступа, построенной на основе функционально-ролевой модели // Инфокоммуникационные технологии в науке, производстве и образовании: Материалы Второй Международной научно-технической конференции, г. Ставрополь, 2006. - с. 55-59.

9. Демурчев Н.Г. Методика построения системы разграничения доступа автоматизированной информационной системы // Материалы МП Международной научно-практической конференции «Информационная безопасность». - Таганрог. Изд-во ТРТУ, 2006. - с. 210-213.

Подписано в печать 17.07.2006 Формат 60x84 1/16 Усл.печ.л. 1,05 Уч.-изд.л. 0,96

Бумага офсетная Тираж 100 экз. Заказ 297

Отпечатано в Издательско-полиграфическом комплексе Ставропольского государственного университета. 355009, Ставрополь, ул.Пушкина, 1.

Введение.

1 Анализ проблемы защиты информации в автоматизированной

Ш информационной системе.

1.1 Анализ существующих автоматизированных информационных систем вузов.

1.2 Анализ структуры системы защиты информации от несанкционированного доступа.

1.3 Анализ стандартов в области информационной безопасности.

1.4 Анализ формальных моделей управления доступом.

1.4.1 Дискреционные модели.

1.4.2 Мандатные модели.

1.4.3 Модели тематического разграничения доступа.

1.4.4 Ролевые модели.

1.5 Постановка задачи исследования.

Выводы.

2 Разработка функционально-ролевой модели разграничения доступа.

2.1 Концептуальная модель функционально-ролевого разграничения доступа.

2.2 Формальная модель функционально-ролевого разграничения доступа.

2.2.1 Ролевая модель разграничения доступа.

2.2.2 Модель организационного разграничения доступа.

2.2.3 Дискреционная модель на основе матрицы доступа.

2.2.4 Модель тематического разграничения доступа.

2.2.5 Взаимосвязь моделей и доказательство безопасности.

Выводы.

3 Разработка методики проектирования системы разграничения доступа. 82 3.1 Обоснование этапов проктирования системы разграничения доступа.

3.2 Построение структуры информационных ресурсов.

3.3 Структура информационных объектов.

3.4 Инвентаризация информационных ресурсов и категорирование защищаемой информации.

3.5 Построение функционально-алгоритмической структуры.

3.6 Построение структуры ролей и рабочих групп пользователей.

3.7 Назначение итоговых прав доступа.

Выводы.

4 Количественные показатели эффективности системы разграничения доступа АИС.

4.1 Целевая функция функционально-ролевой модели разграничения доступа.

4.1.1 Методика определения итоговых прав доступа.

4.1.2 Методика определения весов объектов.

4.1.3 Методика определения весов субъектов.

4.2 Оценка уровня сложности структуры информационных ресурсов.

4.3 Оценка эффективности разбиения объектов на функциональные модули.

4.4 Оценка эффективности проектирования системы ролей и рабочих групп.

4.4.1 Анализ избыточности, превышения и недостатка прав доступа пользователей к объектам системы.

4.4.2 Индивидуальные характеристики потенциальной осведомленности и опасности пользователей.

4.4.3 Индивидуальные характеристики «открытости» и «закрытости» объектов доступа.

4.4.4 Топологическая характеристика системы ролей.

4.5 Оценка эффективности построенной системы разграничения доступа. .:.

4.6 Использование количественных показателей эффективности при назначении итоговых прав доступа.

Выводы.

Актуальность проблемы.

Построение современных автоматизированных информационных систем (АИС) управления тесно связано с проблемой обеспечения информационной безопасности. Данной проблеме посвящено значительное количество работ отечественных и зарубежных исследователей, среди которых В.А. Герасименко, A.A. Грушо, Д.П. Зегжда, A.M. Ивашко, Ю.Н. Мельников, Е.Е. Тимонина, А.Ю. Щербаков, Leonard J. LaPadula, D. Elliot Bell, Goguen J.A., Harrison M., Hoffman J., John McLean, Meseguer J., Millen J., Neumann P., Ruzzo W., Ravi S. Sandhu, Uhlman J. и другие. Кроме того, существует большая группа современных международных и отечественных стандартов и нормативных документов в области информационной безопасности.

Однако, согласно статистике нарушений безопасности информационных систем, предоставляемой исследовательскими организациями [1], наблюдается экспоненциальный рост числа нарушений. В ходе глубокого анализа возможных причин возникновения данных нарушений, выяснилось, что ими являются ошибки, допущенные еще на этапе создания АИС (8% - анализ требований, 56% - проектирование, 16% - реализация, и только 17% - эксплуатация) [2]. Кроме того, подавляющее большинство недостатков средств защиты АИС связано с контролем доступа - 89%, а на идентификацию/аутентификацию и контроль целостности приходится незначительная часть ошибок. Из этого следует, что основной причиной появления уязвимостей, приведших к нарушениям безопасности АИС, является низкое качество создаваемых систем контроля и управления доступом вследствие ошибок, допущенных на первоначальных этапах жизненного цикла системы.

Выходом из данной ситуации является построение гарантированно защищенных информационных систем, основанное на применении формальных моделей безопасности на всех этапах жизненного цикла системы, особенно на этапе проектирования. При этом наиболее важным является использование формальных моделей при проектировании систем контроля и управления доступом.

Вместе с тем, как отмечают многие исследователи, вопрос выбора и применения конкретных формальных моделей для построения систем разграничения доступа (СРД) крупных АИС, в частности АИС вузов, в настоящее время недостаточно проработан. В первую очередь это связано с тем, что АИС крупных предприятий являются многофункциональными системами, предназначенными для автоматизации широкого спектра областей и направлений деятельности, в работу с которыми вовлечено значительное количество сотрудников предприятия. Такие АИС имеют исторически сложившуюся модульную структуру и обеспечивают доступ к информационным ресурсам системы множества пользователей с учетом сложной организационно-управленческой структуры. При этом ни одна из существующих моделей управления доступом не учитывает особенности ролевой структуры пользователей АИС в применении к взаимодействующим функциональным модулям, что не позволяет адекватно и полно описывать происходящие в системе информационные процессы.

Кроме того, использование существующих формальных моделей разграничения доступа осложняется наличием следующих нерешенных задач:

- при построении СРД достаточно сложно интерпретировать формальную модель в реальной системе, то есть обеспечить полное соответствие абстрактных сущностей и процессов модели реальным объектам и правилам функционирования системы;

- ни одна из классических моделей не содержит количественных параметров разграничения доступа и тем самым не предоставляет формализованных методов оценки эффективности СРД АИС.

Исходя из этого, в работе сформулирована научная задача исследования: разработка функционально-ролевой модели разграничения доступа и методики проектирования системы разграничения доступа на основе данной модели с использованием формализованных методов оценки эффективности.

Целью исследования является развитие методического обеспечения проектирования и оценки эффективности систем разграничения доступа автоматизированных информационных систем.

Объектом исследования является автоматизированная информационная система.

Предметом исследования является система разграничения доступа автоматизированной информационной системы.

Для достижения цели исследования были решены следующие задачи:

1) анализ существующего методического обеспечения построения систем разграничения доступа автоматизированных информационных систем;

2) разработка функционально-ролевой модели разграничения доступа к информационным ресурсам автоматизированной информационной системы;

3) разработка методики построения системы разграничения доступа на основе функционально-ролевой модели;

4) оценка эффективности системы разграничения доступа на примере автоматизированной информационной системы вуза.

В рамках исследования использовались методы теории множеств, теории графов, аппарата реляционной алгебры, методы объектно-ориентированного моделирования.

Основные положения, выносимые на защиту:

1. Формальное описание функционирования СРД АИС, соответствующее реальным информационным процессам, достижимо на основе использования функционально-ролевой модели разграничения доступа, являющейся комбинацией существующих моделей, усовершенствованных для учета особенностей АИС.

2. Модель организационного разграничения доступа, представляющая собой усовершенствованную модель тематического разграничения доступа, может быть применена для организации безопасного управления доступом к информационным объектам АИС с учетом особенностей организационной структуры.

3. Разработанная методика проектирования СРД АИС на основе функционально-ролевой модели позволяет с высокой степенью адекватности интерпретировать эту модель в реальной системе, а внедрение в методику процедур оценки эффективности каждого из этапов проектирования позволяет повысить эффективность проектируемых СРД.

4. Предложенные показатели количественной оценки, основанные на понятии «потенциальной опасности», «закрытости» и «открытости» объектов доступа, позволяют определять эффективность СРД.

Научные результаты, выносимые на защиту.

1. Функционально-ролевая модель разграничения доступа, позволяющая адекватно описывать процессы управления доступами к информационным ресурсам АИС вуза, представляющая собой комплекс существующих моделей управления доступом, усовершенствованных для учета особенностей АИС.

2. Методика построения системы разграничения доступа АИС на основе функционально-ролевой модели разграничения доступа, позволяющая получать количественные оценки эффективности методики и ее отдельных этапов.

3. Оценка эффективности системы разграничения доступа на основе комплексного показателя потенциальной опасности объекта доступа.

Научная новизна работы заключается в следующем.

Разработана модель функционально-ролевого разграничения доступа, основанная на комбинации существующих моделей управления доступом с учетом особенностей АИС.

Усовершенствована модель тематического разграничения доступа, что позволило организовать безопасное управления доступом к информационным объектам АИС с учетом особенностей организационной структуры.

Разработана методика проектирования системы разграничения доступа на основе модели функционально-ролевого разграничения доступа. В состав данной методики введены процедуры оценки эффективности каждого из этапов проектирования.

Для оценки эффективности системы разграничения доступа предложены количественные показатели на основе комплексного показателя потенциальной опасности объекта.

Достоверность полученных результатов подтверждается корректным использованием известного математического аппарата и строгостью проведенных математических выкладок, а также сведением полученных результатов при ограничениях на функциональность объектов к известным моделям.

Практическая значимость исследования заключается в следующем.

1. Разработанная модель функционально-ролевого разграничения доступа может использоваться для проектирования и реализации эффективных систем разграничения доступа АИС.

2. Использование разработанной методики построения СРД позволяет повысить эффективность создаваемой системы.

3. Предложенные показатели количественной оценки эффективности СРД могут применяться для оценки существующих и создаваемых систем, в том числе для проведения аудита информационной безопасности АИС.

4. Кроме того, основные положения исследования могут быть применены при разработке и проектировании защищенных автоматизированных информационных систем.

Реализация и внедрение результатов. Основные результаты исследования были использованы при проведении следующих научно-исследовательских работ:

- разработка автоматизированной информационной системы Ставропольского государственного университета;

- разработка АИС Ставропольского института дружбы народов Кавказа;

- создание на базе СГУ регионального центра мониторинга послевузовского профессионального образования по гранту Министерства образования и науки и др.

Кроме того, результаты исследования использовались в учебном процессе на кафедре организации и технологии защиты информации Ставропольского государственного университета при проведении лабораторных работ по курсу «Математические и информационные модели защиты информации» для студентов специальности 075200 - «Компьютерная безопасность».

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на конференциях и семинарах:

1) 48-51 научно-методических конференциях «Университетская наука - региону» (Ставрополь, 2003-2006 гг.);

2) Межвузовской научно-методической конференции «Проблемы образования в области информационной безопасности», Москва, 17-18 ноября 2004 года;

3) Международной конференции «Информационные технологии в образовании, технике и медицине» (Волгоград, 18-22 октября 2004 г.);

4) Всероссийском семинаре-совещании «Проблемы информатизации фундаментальной науки» (CAO РАН, 24-26 июля 2005 г.);

5) Всероссийской научно-практической конференции «Образовательная среда сегодня и завтра» (Москва, 28 сентября - 2 октября 2005 года);

6) Всероссийском научно-практическом семинаре «Автоматизированные системы управления учебным процессом в вузе: опыт, проблемы, возможности» (Шахты, 24-27 октября 2005 г.);

7) Второй международной научно-технической конференции «Инфокомму-никационные технологии в науке и технике (Инфоком-2)», Ставрополь, 24-28 апреля 2006 г./ Северо-Кавказский государственный университет. Авторство, новизна и полезность принципиальных технических решений защищены 16 свидетельствами об отраслевой регистрации программных продуктов.

Публикации. По теме диссертации опубликовано 11 научных статей и тезисов докладов.

Структура и объем диссертации. Диссертация включает введение, четыре раздела, заключение, библиографический список и два приложения.

Выводы

Эффективность системы разграничения доступа может определяться способностью системы обеспечивать безопасный доступ пользователей к объектам (конфиденциальность), при сохранении множества доступов, необходимых пользователям системы для выполнения своих функциональных и должностных обязанностей (доступность). В качестве целевой функции эффективности системы разграничения доступа можно воспользоваться линейной комбинацией функции доступности информации и функции конфиденциальности информации.

Вычисление весов объектов доступа, необходимых для нахождения значения целевой функции, возможно при использовании понятия потенциальная опасность объекта. Оценка эффективности формирования функционально-алгоритмической структуры также основана на данном понятии.

Использование предложенных количественных показателей оценки эффективности в ходе проектирования системы разграничения доступа позволяет повысить эффективность создаваемой системы.

Целевая функция и коэффициент эффективности системы разграничения доступа могут применяться для сравнения различных вариантов системы или для сравнения различных систем.

ЗАКЛЮЧЕНИЕ

В результате обзора распространенных формальных моделей управления доступом был проведен сравнительный анализ, выявлены недостатки и ограничения применения существующих моделей при построении систем разграничения доступа АИС вузов. Особенности АИС вузов не позволяют использовать формальные модели управления доступом в существующем виде.

Функционально-ролевая модель разграничения доступа, представляющая собой комбинацию моделей организационного разграничения доступа, дискреционной модели на основе матрицы доступа, модели тематического разграничения доступа и ролевой модели, с учетом предложенного разграничение областей применимости моделей, адекватно описывает функционирование системы разграничения доступа и может быть использована для ее проектирования. При выполнении системой разграничения доступа всех требований функционально-ролевой модели разграничения доступа автоматизированная информационная система является безопасной.

Методика проектирования системы разграничения на основе функционально-ролевой модели должна адекватно интерпретировать формальную модель в реальной системе, то есть обеспечить полное соответствие абстрактных сущностей и процессов модели реальным объектам и правилам функционирования системы. В связи с чем в состав методики должны входить следующие этапы: построение структуры информационных ресурсов системы; построение функционально-алгоритмической структуры системы; создание ролей, групп на основе функциональных обязанностей персонала и организационно-штатной структуры; назначение итоговых прав доступа.

Использование предложенных количественных показателей оценки эффективности в ходе проектирования системы разграничения доступа позволяет повысить эффективность создаваемой системы. Кроме того, предложенные показатели могут применяться для сравнения различных вариантов системы или для сравнения различных систем.

Таким образом, была разработана методика проектирования системы разграничения доступа АИС вуза, позволяющая учесть все особенности АИС вуза, способная обеспечить безопасный доступ к информационным ресурсам, а предоставляющая количественные оценки эффективности системы разграничения доступа.

Подводя итог, можно заключить: поставленная цель исследования полностью достигнута, все научные задачи решены.

1. Анфилатов B.C., Емельянов A.A., Кукушкин A.A. Системный анализ в управлении: Учебное пособие. М.: Финансы и статистика, 2003. - 368 с.

2. Баранов А.П. и др. Математические основы информационной безопасности. Орел: ВИПС, 1997.

3. Вендоров A.M. Проектирование программного обеспечения экономических информационных систем: Учебник. М.: Финансы и статистика, 2003.-352 с.

4. Вендоров А. М. CASE-технологии. Современные методы и средства проектирования информационных систем. — М.: «Финансы и статистика», 1998.-176 с.

5. Гайдамакин H.A. Автоматизированные информационные системы, базы и банки знаний. Вводный курс: Учебное пособие. М.: Гелиос АРВ, 2002. -368 с.

6. Гайдамакин H.A. Оптимизация назначений доступа к объектам в иерархических структурах. 4.1 // Защита информации. Конфидент. 2001. - №3 (39). - с. 73-79; 4.2. - №4 (40) - с. 73-80.

7. Гайдамакин H.A. Разграничение доступа к информации в компьютерных системах. Изд-во Уральского ун-та, 2003. - 328с.

8. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий.

9. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, 1994. - Кн. 1. - 401 с.

10. ГОСТ Р 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования."

11. ГОСТ Р 51624-00 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования."

12. ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий».

13. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации- М.,1992.

14. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.-М.,1992.

15. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. -М.,1992.

16. Гостехкомиссия РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Воениздат, 1992.

17. Государственная система защиты информации. Система «Кобра». Техническая документация // Государственный научно-исследовательский институт моделирования интеллектуальных сложных систем. 1995. - 70 с.

18. Грушо A.A. Скрытые каналы и безопасность информации в компьютерных системах // Дискретная математика. 1998. - Т. 10. Вып. 1.

19. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. -М.: Яхтсмен, 1996.- 192 с.

20. Демурчев Н.Г. Методика построения системы разграничения доступа автоматизированной информационной системы // Материалы VIII Международной научно-практической конференции «Информационная безопасность». Таганрог: Изд-во ТРТУ, 2006. - с. 210-213.

21. Демурчев Н.Г. Подходы к количественному анализу эффективности методики построения системы разграничения доступа // Материалы 51 научно-методической конференции СГУ «Университетская наука региону». -Ставрополь: Изд-во СГУ, 2006. - 356 с.

22. Демурчев Н.Г., Белозеров B.C., Копытов В.В., Шульгин А.О. Автоматизированная информационная система как средство повышения эффективности управления вузом //«Компьютерные учебные программы и инновации».-2004.-№5.

23. Демурчев Н.Г., Лепешкин О.М. Моделирование безопасности автоматизированной информационной системы вуза. //Вестник СГУ. 2006. - №43. -с.143-151.

24. Демурчев Н.Г., Шульгин А.О., Касимов Р.И., Москаленко А.С. Автоматизированная информационная система Ставропольского государственного университета //Компьютерные учебные программы и инновации. 2006 №1.

25. Домарев В. В. Защита информации и безопасность компьютерных систем. -Киев: "ДиаСофт", 1999.-480 с.

26. Дуров В.П. Методическое обеспечения принятия оперативных управленческих решений по защите информации на объекте информатизации Электронный ресурс.: Дис. канд. техн. наук : 05.13.19. -М.: РГБ, 2003.

27. Зегжда Д.П. Анализ предпосылок нарушений безопасности в Internet // Вестник связи. -1999г. №4. - с. 95-99.

28. Зегжда Д.П. Принципы и методы создания защищенных систем обработки информации Электронный ресурс.: Дис. д-ра техн. наук : 05.13.19. М.: РГБ, 2003.

29. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем.- М.: Горячая линия Телеком, 2000. - 452с.: ил.

30. Зубанов Ф.В. Microsoft Windows 2000. Планирование, развертывание, установка. М.: «Русская редакция», 2000.

31. Йордон Э., Аргила К. Структурные модели в объектно-ориентированном анализе и проектировании / Пер. с англ. М.: «ЛОРИ», 1999. - 264 с.

32. Калянов Г. Н. CASE структурный системный анализ (автоматизация и применение). -М.: «ЛОРИ», 1996.-242 с.

33. Каталог сертифицированных средств защиты информации. М.: Гостехкомиссия России, 1998. - 72 с.

34. Комплекс стандартов и руководящих документов по созданию автоматизированных систем (ГОСТ 34.201-89, ГОСТ 34.602-89, РД 50-682, РД 50-68088, ГОСТ 34.601-90, ГОСТ 34.401-90, РД 50-34.698-90, ГОСТ 34.003-90, РД 50-34.119-90).

35. Концепция создания интегрированной автоматизированной информационной системы Минобразования России. М., 2000.

36. Корнеев В.В., Гарее А.Ф., Васютин СВ., Райх В.В. Базы данных. Интеллектуальная обработка информации. М.: Издатель Молгачева С.В., 2000.

37. Корт С.С. Теоретические основы защиты информации. М.: Гелиос АРВ, 2004.-240 е.: ил.

38. Левкин В.В., Шеин A.B. Система защиты информации от несанкционированного доступа «Снег»: Методическое пособие по применению. М.: МИФИ, 1996.-88 с.

39. Липаев В.В. Системное проектирование сложных программных средств для информационных систем. М.: СИНТЕГ, 2002. - 268 с.

40. Липаев В.В. Функциональная безопасность программных средств. М.: СИНТЕГ, 2004.-348 с.

41. Мельников В.В. Защита информации в компьютерных системах. М.: Фи-насы и статистика; Электронинформ, 1997. - 368 с.

42. Орлов С.А. Технологии разработки программного обеспечения. Санкт-Петербург: Питер, 2004.

43. Перервенко A.B. Модели и методы формирования политик безопасности автоматизированных систем на основе данных активного аудита Электронный ресурс.: Дис. канд. техн. наук : 05.13.19, 05.13.06. -М.: РГБ, 2006.

44. Петренко С.А., Симонов C.B. Управление информационными рисками. Экономически оправданная безопасность М.: Компания АйТи; ДМК Пресс, 2004. - 384 е.: ил. - (Информационные технологии для инженеров).

45. РД IDEF0 2000. Методология функционального моделирования IDEF0: Руководящий документ. М.: Госстандарт России, 2000.

46. Резников Б. А. Системный анализ и методы системотехники. Ч 1. Методология системных исследований. Моделирование сложных систем. М.: МО СССР, 1990.-522 с.

47. Семко Ю., Прохоров А. Рынок систем безопасности. Тенденции и перспективы // Компьютер пресс. 2002. - №3. с. 10-13.

48. Смирнова Г.Н., Сорокин A.A., Тельнов Ю.Ф. Проектирование экономических информационных систем: Учебник. М.: Финансы и статистика, 2003.-512 с.

49. Федеральный закон "Об информации, информатизации и защите информации", № 24-ФЗ, 1995.

50. Хансен Г., Хансен Д. Базы данных: разработка и управление/ Пер. с англ. -М.: ЗАО «Издательство БИНОМ», 1999. 704 с.

51. Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных: Учебник для высших учебных заведений / Под редакцией проф. А.Д. Хомоненко СПб.: КОРОНА принт, 2000.

52. Хоффман Л.Дж. Современные методы защиты информации. М.: Сов.радио, 1980.-230 с.

53. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: Издатель Молгачева C.B., 2001. - 352 с.

54. Barker R. CASE*Method. Entity-Relationship Modelling. Copyright Oracle Corporation UK Limited, Addison-Wesley Publishing Co., 1990.

55. Chen P. The Entity-Relationship Model Toward a Unified View of Data. -ACM Transactions on Database Systems. - 1976. V. 1. - № 1.

56. Chris Gane, Irish Sarson. Structured System Analysis. Prentice-Hall, 1979.

57. D. D. Clark and D. R. Wilson, "A Comparison of Commercial and Military Computer Security Policies"// Proceedings of the 1987 Symposium on Security and Privacy. IEEE Computer Society. Washington, D.C. 1987. - pp. 184-195.

58. Ferraiolo D., Cugini J. and Kuhn D.R. "Role based access control: Features and motivations." In Annual Computer Security Applications Conference. IEEE Computer Society Press, 1995.

59. Harrison M., Ruzzo W. "Monotonic protection systems", Foundation of secure computation, 1978.

60. Harrison M., Ruzzo W., Uhlman J. "Protection in operating systems", Communications of the ACM, 1976.

61. ISO 13335:1996-1998 «Information technology Guidelines for the management of IT Security».

62. ISO/IEC 17799:2000 «Information technology Information security management».

63. LaPadula Leonard J. and Bell D. Elliott "Secure Computer Systems: A Mathematical Model", MITRE Corporation Technical Report 2547, V. II. 31 May 1973.

64. McLean John "Security models", Encyclopedia of software engineering, 1994.

65. McLean John "The Specification and Modeling of Computer Security", Computer, 23(1): 9-16, January 1990.

66. Sandhu Ravi S. "The Typed Access Matrix Model" Proceedings of IEEE Symposium on Security and Privacy, Oakland, California, 1992, P.122-136.

67. Sandhu Ravi S., Coyne Edward J, Feinstein Hal L. and Youman Charles E. "Role-Based Access Control Models", IEEE Computer, Volume 29, Number 2, February 1996,-P.3 8-47.