автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.01, диссертация на тему:Разработка и исследование методов построения защищенных корпоративных аналитических систем

На правах рукописи

Тульский Сергей Александрович

РАЗРАБОТКА И ИССЛЕДОВАНИЕ МЕТОДОВ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ КОРПОРАТИВНЫХ АНАЛИТИЧЕСКИХ СИСТЕМ

Специальности

05.13.01 - Системный анализ, управление и обработка информации

(энергетика, приборостроение, информатика, производственные процессы)

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Москва - 2006

Работа выполнена в Московском энергетическом институте (техническом университете) на кафедре Управления и информатики.

Научный руководитель

доктор технических наук, профессор Бородюк Виталий Павлович

Научный консультант

кандидат физико-математических наук, доцент Применю Эдуард Андреепнч

Официальные оппоненты

доктор физико-математических наук, профессор Грушо Александр Александрович

доктор технических наук, профессор Вагин Вадим Николаевич

Ведущая организация

Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ)

Защита состоится 30 ноября 2006 г. в 16 час. 00 мин. на заседании диссертационного совета Д 212.157.08 при Московском энергетическом институте (техническом университете) по адресу:

Москва, ул. Красноказарменная, д. 14 в Малом актовом зале МЭИ.

С диссертацией можно ознакомиться в библиотеке МЭИ (ТУ).

Отзывы на автореферат в двух экземплярах, заверенные печатью, просим направлять по адресу: 111250, Москва, ул. Красноказарменная, д. 14, Ученый совет МЭИ (ТУ).

Автореферат разослан 41££" октября 2006 г.

Ученый секретарь диссертационного совета

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы

Проблема принятия эффективных решений в любой сложной технико-экономической системе, от предприятия до отрасли, занимает одно из центральных мест в современной теории и практике управления. Поэтому неудивительно то внимание, которое в последнее время уделяется средствам и концепциям построения информационных систем, ориентированных на аналитическую обработку данных. Подобный класс систем получил название информационные аналитические системы или системы поддержка принятия решений (СППР, DSS - Decision Support System).

Последние достижения в области разработки аналитических систем, такие как концепция хранилищ данных {Data Warehouse) и технология оперативной аналитической обработки данных (OLAP — On-Line Analytical Processing) способствовали бурному развитию систем этого класса.

Хранилища данных аналитических систем, как правило, содержат огромные объемы данных, которые охватывают различные сферы деятельности организации. Многие данные являются конфиденциальными, либо представляют коммерческую тайну (например: личная информация, финансовая информация, данные о новых разработках и т.п.). Случайное, либо целенаправленное искажение данных может привести к принятию неверных решений по управлению организацией, что чревато серьезным ущербом для ее деятельности.

До недавнего времени информационная безопасность корпоративных аналитических систем не считалась особенно критичной для деятельности организации, т.к. круг пользователей таких систем был весьма ограничен (высшее руководство компании и «доверенные» аналитики). Однако в последнее время пользовательская аудитория корпоративных аналитических систем стремительно расширяется. Руководителям среднего и низшего звена для более эффективного осуществления своей профессиональной деятельности также требуется доступ к инструментам анализа отдельных направлений деятельности организации, а, следовательно, и к информации, содержащейся в хранилище данных аналитической системы. Также становится нормой привлечение сторонних консалтинговых и аудиторских компаний для проверки и консультирования в целях повышения эффективности деятельносга организации. В этих условиях необходимость решения проблем обеспечения информационной безопасности корпоративных аналитических систем приобретает первостепенное значение.

Можно выделить основные особенности корпоративных аналитических систем, затрудняющие применение классических методов обеспечения информационной безопасности:

• нерегламентированность аналитических запросов пользователей к данным;

• наличие как детальных (фактографических), так и сводных (агрегированных) данных с различными уровнями агрегации;

• наличие большого числа рассчитываемых показателей;

• невозможность чётко разграничить пользователей системы по подмножествам необходимых им первичных данных.

Проведенный анализ известных формальных моделей информационной безопасности (модель Харрисона-Руззо-Ульмана, типизированная матрица доступа, Белла-ЛаПадула, Low-Water-Mark, ролевые модели, а также специализированные модели безопасности сети объектов и модель безопасных корпоративных систем) показал, что ни одна из них не может в полной мере служить основой для разработки защищенных корпоративных аналитических систем, поскольку не учитывает все сложные информационные связи между данными, а также особенности обработки информации в системах этого класса.

Отдельные средства разграничения доступа к данным, предлагаемые ведущими производителями аналитических систем позволяют лишь частично решать наиболее острые проблемы безопасности. В целом предлагаемые решения не обладают системностью и не основываются на формальных моделях субъектно-объектного взаимодействия в аналитических системах. Практически полностью отсутствуют в открытой литературе теоретические и методологические основы построения информационно защищенных корпоративных аналитических систем.

Все это даёт основание считать, что актуальной научной проблемой является разработка новых моделей и методов обеспечения информационной безопасности корпоративных аналитических систем с учетом особенностей хранения, передачи и обработки информации в системах этого класса.

Диссертация опирается на результаты работ ведущих российских и зарубежных ученых: В.А. Герасименко, A.A. Грушо, П.Д. Зегжды, В.А, Конявского, Е.Е, Тимониной, Harrison M-, John McLean, Ruzzo W., Ravi S. Sandhu, Uhiman J., Inmon W., Codd E.F. и других.

Объект и предмет исследования

Объектом исследования в диссертации является класс корпоративных аналитических систем (систем поддержки принятия решений), построенных на основе концепции хранилищ данных и технологии оперативного многомерного анализа данных (OLAP).

Предметами исследования являются:

• процессы обработки информации в корпоративных аналитических системах класса OLAP;

• формальные модели безопасности информационных систем;

• методы и технологии построения информационно защищенных корпоративных аналитических систем.

Целью диссертации является разработка новых моделей и методов обеспечения информационной безопасности корпоративных аналитических систем.

Для реализации поставленной цели с учетом анализа открытых литературных источников были поставлены и решены следующие основные задачи:

1. Анализ применимости известных подходов к построению информационно защищенных корпоративных аналитических систем.

2, Исследование принципов субъектно-объектного взаимодействия в аналитических системах класса OLAP и построение концептуальной объектно-многомерной модели данных для задач обеспечения информационной безопасности.

3. Разработка и исследование формальной модели информационной безопасности (модели разграничения доступа) для корпоративных аналитических систем класса OLAP.

4. Разработка методики построения информационно защищенных корпоративных аналитических систем на основе разработанных формальных моделей.

5. Разработка технологии практической реализации защищенной аналитической системы на основе коммерческих реляционных СУБД.

6. Разработка и внедрение подсистемы информационной безопасности, построенной на основе предлагаемых методов, в составе аналитического программного комплекса «Нострадамус», производства ЗАО «ПрограмБанк».

Методы исследования. Для решения поставленных задач использовались методы системного анализа, теория множеств, теория графов, теория матриц, теории многомерных и реляционных баз данных. При разработке программных компонент использовалось объектно-ориентированное проектирование и программирование.

Достоверность результатов. Обоснованность научных положений, выводов и рекомендаций, сформулированных в диссертации, подтверждается строгостью математических и логических выкладок, внутренней непротиворечивостью результатов исследования и их соответствием основным положениям теории системного анализа и теории информационной безопасности, а также разработкой и успешным внедрением действующих программ.

Научная новизна работы состоит в следующем:

1. Предложен новый подход к унификации субъектно-объектных взаимодействий в аналитических системах класса OLAP на основе декомпозиции на три уровня. Данный подход позволяет осуществить переход к единой модели взаимодействия субъектов и объектов системы.

2. Предложена новая концептуальная объектно-многомерная модель данных корпоративной аналитической системы, позволяющая, по сравнению с уже известными моделями, более полно описывать информационные связи между данными аналитической системы.

3. Разработана новая формальная модель информационной безопасности корпоративных аналитических систем класса OLAP. Модель отличается от уже известных тем, что позволяет задавать правила политики безопасности и описывать информационные процессы субъектно-объектного взаимодействия в аналитических системах класса OLAP с учетом особенностей хранения и обработки информации в системах этого класса.

4. Предложено расширение понятийного аппарата ролевой модели управления доступом (RBAC - Role Based Access Control) путем введения нового понятия параметризованной роли. Сформулированы правила построения иерархий ролей и показаны преимущества применения параметризованных ролей в разработанной модели информационной безопасности.

5. Разработана матричная методика построения информационно защищенных корпоративных аналитических систем класса OLAP, которая основана на предложенной в диссертации модели безопасности, и позволяет производить построение аналитической системы с заданной политикой безопасно-

сти (ПБ), а также выполнять контроль выполнения правил ПБ.

Практическая значимость работы определяется возможностью использования предложенных в ней моделей и методов для обеспечения информационной безопасности корпоративных аналитических систем, построенных на основе концепции хранилищ данных и технологии оперативной аналитической обработки данных (OLAP). Область применения этого класса систем достаточно широка и включает, в частности, информационные системы управления ресурсами предприятия (ERP - Enterprise Resource Planning), системы управления взаимоотношениями с клиентами (CRM - Client Relations Management) и т.п. Разработана технология практической реализации информационно-защищенных аналитических систем на основе реляционных СУБД.

Использование результатов диссертации. На основе предложенной модели безопасности разработана подсистема обеспечения информационной безопасности аналитического программного комплекса (АПК) «Нострадамус» компании «ПрограмБанк». Данная подсистема в составе АПК «Нострадамус» внедрена в информационно-вычислительном центре (ИВЦ) Московской железной дороги (филиале ОАО «Российские железные дороги»), что подтверждают акты об использовании результатов диссертации от ЗАО «ПрограмБанк» и ИВЦ Московской железной дороги.

Положения, выносимые на защиту:

1. Результаты декомпозиции системы класса OLAP на субъекты, объекты и операции. Трехуровневое представление процесса субъекшо-объектного взаимодействия.

2. Формальная модель информационной безопасности аналитической системы класса OLAP на основе объектно-многомерного представления данных в системе.

3. Матричная методика построения информационно защищенных корпоративных аналитических систем класса OLAP.

4. Технология построения защищенных корпоративных аналитических систем на основе коммерческих реляционных СУБД.

Дпробапия работы. Основные результаты работы докладывались и обсуждались на XIV международном научно-техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» (Алушта) в 2005 г., на международной конференции «Информационные средства и технологии» (Москва, МЭИ) в 2003 и 2005 гг., на XII Всероссийской научно-практической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, МИФИ) в 2005 г.

Публикации. По результатам диссертационного исследования опубликованы четыре печатные работы общим объемом 1.1 пл. В публикациях, написанных в соавторстве, автору принадлежат основные результаты.

Структура и объем диссертации. Диссертация состоит из введения, пяти глав с выводами к ним, заключения, списка литературы и трех приложений. Основной текст работы изложен на 150 страницах машинописного текста и включает 31 рисунок и 5 таблиц. Список литературы содержит 114 источников. Объем приложений составляет 15 страниц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность решаемой в диссертации научно-технической проблемы, сформулированы цель и задачи исследования, научная новизна и практическая ценность проведенных исследований.

В первой главе диссертации проводится анализ текущего состояния проблемы обеспечения информационной безопасности корпоративных аналитических систем (КАС). Выполнен аналитический обзор литературы по вопросам защиты информации в КАС. Рассмотрены стандарты России и других стран в области информационной безопасности, проведен обзор методов защиты информации, отмечена значимость внутренних угроз безопасности для информационно-аналитических систем.

Рассмотрены современные концепдии построения КАС. Наиболее заметными достижениями последнего времени являются концепция хранилищ данных (Data Warehouse) И технология оперативной аналитической обработки данных (OLAP — On-Line Analytical Processing), на основе которых строится большинство современных корпоративных аналитических систем. Родоначальником технологии OLAP является Э.Ф.Кодд (E.F.Kodd), который определил общие требования к системам OLAP, расширяющим функциональность реляционных систем управления базами данных (РСУБД) и включающим многомерный анализ данных как одну из своих характеристик. Технология OLAP предоставляет удобные средства просмотра и анализа информации на основе естественной модели данных, организуя их в виде многомерных кубов.

Автором отмечен ряд особенностей аналитических систем класса OLAP, существенных для задач обеспечения информационной безопасности.

Основным методом защиты данных в информационных системах является разграничение доступа. Обычно оно основано на некоторых формальных моделях безопасности, регламентирующих базовые принципы доступа субъектов к объектам системы.

Объектами доступа в информационной системе являются её данные. Следовательно, необходимо выбрать модель представления данных для исследования субъектно-обьектного взаимодействия. Рассмотрены такие известные модели данных как реляционная, многомерная и объектно-ориентированная и проведен анализ их применимости для описания данных системы с целью использования в задачах разграничения доступа. При этом обнаружено, что ни одна из рассмотренных моделей не может в полной мере служить для описания пассивной (объектной) части корпоративной аналитической системы, поскольку имеет недостатки, существенные для указанных задач.

Также проведен обзор и анализ применимости основных известных моделей безопасности: дискреционных, мандатных и ролевых, который показал, что базовые классические модели также не могут быть непосредственно использованы в КАС класса OLAP, Проблемой является очень большой объем данных в хранилище, необходимость детального разграничения доступа (например, на уровне отдельных ячеек многомерного куба данных), а также сложные связи

между данными. Специализированные модели для этого класса систем отсутствуют, а модели, разработанные для других классов информационных систем, неприменимы для обеспечения безопасности КАС.

Сделано заключение, что известные модели безопасности не дают полного описания субъектно-объектного взаимодействия в КАС, не учитывают сложных связей между объектами КАС, а также особенностей процессов обработки информации. Поэтому поставлена задача разработки специализированной модели информационной безопасности, ориентированной на использование в КАС класса OLAP. Для этого требуется детальная проработка аспектов субъектно-объектного взаимодействия в системах подобного класса, описание информационных связей между данными и построение специализированной модели безопасности.

Сформулированы следующие основные требования к этой модели:

• наличие средств описания многомерных данных системы;

• наличие средств описания информационных связей между объектами;

• наличие средств описания субъектно-объектного взаимодействия при оперативной аналитической обработке данных в КАС;

• независимость от типа и модели хранения данных СУБД, на основе которой построено хранилище данных КАС.

В основу разрабатываемой модели положен ролевой способ управления доступом (RBAC), как наиболее универсальный и перспективный.

Вторая глава посвящена исследованию и формализации субъектно-объектного взаимодействия в корпоративных аналитических системах класса OLAP и разработке объектно-многомерной модели данных.

Декомпозиция корпоративной аналитической системы основывается на классических принципах разделения сущностей системы на активные и пассивные (субъекты и объекты).

Показано, что субъектно-обьектное взаимодействие в системе может быть описано на трех уровнях абстракции, на каждом из которых используется свой способ описания пассивной части системы и операции, посредством которых осуществляется взаимодействие. Трехуровневая схема представления субъектно-объектного взаимодействия в КАС изображена на рис. 1.

На первом уровне представления субъект aeS (где S — множество субъектов системы) взаимодействует со сложным объектом — многомерным пространством данных (многомерным кубом) — посредством большого и сложно формализуемого множества операций OPR.

На втором уровне произведена декомпозиция многомерного пространства данных на множества элементов многомерной модели данных (ММД):

1, Измерения многомерного пространства: DIM= {dimi.....dim„}.

2. Показатели многомерного пространства: Р н {Ph .■ -} i среди которых можно выделить базовые (хранимые в базе данных) Рв (-Рй&Р) и производные (например, вычисляемые агрегированием по измерениям) Ps(^Pd~0.

На втором уровне представления субъектно-объектного взаимодействия удалось ограничить и сократить количество операций в системе.

Уро*енъ 1. Взаимодействие субъекта с многомерным пространством данных.

„ ^ \-dimj

Субъект системы

ОРЛ - возможные операции

О

7. Агрегация

2. Детализация

3. Срез

4. Расширение

5. ...

dimi

Многомерное пространство данных (многомериый куб m еМ)

Уровень 2, Взаимодействие с элементами многомерной модели данных.

ЛРл ) -ч

О

с

1. Read dim

2. Modify dim

3. Readps. Pa

4. Modify pb

5. Calculate p4

dim

f

dim

t

dim J

Иерархия измерений (tfcD/Af)

Множества связанных измерений и показателей {dimeDIM; ре,рАеР)

ря-базовый показатель, Ра - агрегированный показатель.

Уровень 3. Взаимодействие субъекта с классами и объектами системы.

1 I

О

ОР- базовые объектные операции

=о

1. Read

2. Add

3. Change

4. Delete

5. Activate

Множество ассоциированных классов <с€0

Рис. I. Уровни субъектно-объектного взаимодействия в К АС класса OLAP

Третий уровень субъекта о-объектного взаимодействия получен путем декомпозиции пассивной части системы до уровня, описываемого объектно-ориентированной моделью данных (ООМД).

Зададим множество информационных объектов О парами <9={(H,iV/)} где 0/НеМ {М - множество атрибутов объекта, Н — атрибуты ключа объекта). Значение ключа уникально идентифицирует объект в системе. Таким образом, информационный объект задается множеством своих атрибутов - переменных, определяющих свойства (характеристики) объекта.

Множество классов обозначим как С (С £ О) (c=(E*,M*), Voec => А/*), 0^Н*сЛ/). Класс обладает именем и единым набором атрибутов, определяющих свойства всех своих объектов. Согласно ООМД, между классами могут быть ассоциации. Обозначим наличие ассоциативной связи как: Cj ас2, где c/=(HiJVfi)eCи сг=(Е2,Мг)<=С.

В диссертации показано, что измерение многомерного пространства данных может быть представлено классом: VdimeDIM dim^ce.C (т.е. DlMc.C). При этом элементы этого измерения могут быть представлены в виде объектов.

Иерархия (обозначим как Н) измерений многомерного пространства данных может быть представлена как некоторое подмножество ассоциированных классов-измерений: H^DIM, H={hj \ hi=Ci =dimeDIMл 3hj=dimj=Cj<~H \ ct a cj).

Каждый показатель системы может быть представлен классом среС, следующего вида:

р~ср=(Ер, Мр)г =.p={dimh сИтъ.... dim»}, Mp^Epkj ар, где

dim!,.,., dimn — ссылки на измерения, на которых определен показатель,

ар- атрибут, характеризующий численное значение показателя (мера).

На данном уровне субъектно-объекшого взаимодействия выделены следующие базовые операции над объектами системы: read— чтение некоторого объекта класса; add - добавление нового объекта в класс;

change — модификация (изменение) значений атрибутов объекта; delete - удаление (уничтожение) объекта класса.

Помимо этого, введена операция activate — активации (вычисления) значений производного показателя на основе базовых. Множество базовых операций в системе (обозначим как OP): OP=• {read, add, change, delete, activate).

Отмечен основной результат декомпозиции системы: все данные системы (базовые и производные) описываются посредством классов и объектов ООМД. Достигнута унификация субъекшо-объектного взаимодействия посредством ограниченного количества операций.

На основе полученных результатов декомпозиции предлагается концептуальная объектно-многомерная модель представления данных КАС. Для этого вводится ряд дополнительных отношений на множестве классов системы.

t. Бинарное отношение доминирования по иерархии на декартовом квадрате классов-измерений, которое обозначим DU:

DHsDIMxDIM.

Пара классов-измерений diime-DIMcJC, dim^DIMcÇ (dim„ dmj)eDHt если измерение dintj является вышестоящим уровнем иерархии над измерением dirrn в некоторой иерархии измерений многомерного пространства данных.

2. Бинарное отношение подчиненности по информационным связям, или информационной подчиненности на декартовом квадрате классов системы, которое обозначим СС:

CCtCxC,

Класс Су=(Е,уЦ)еС подчинен классу по информационной

связи, если любому объекту класса cj можно поставить в соответствие единственный объект класса ct на основе равенства значений пары атрибутов объектов, причем один из этих атрибутов должен быть ключевым атрибутом класса.

3. Бинарное отношение выводимости на декартовом квадрате классов-показателей системы, которое обозначим PN:

PNqJPXP.

Пара классов-показателей системы (pu pj)sPN, если значения объектов класса-показателя pjsPçjC формируются {выводятся) на основе значений некоторого подмножества объектов класса-показателя p^Pç^C* В системах класса OLAP всегда имеется выводимость по агрегированию показателей, когда значения некоторого агрегированного показателя pjtp,)mPo (ЯвСС) могут быть получены агрегированием значений показателя р,еРв-

Пример описания данных аналитической системы, посредством введенных отношений объектно-многомерной модели, представлен в виде графа на рис. 2. Вершинами графа являются классы системы, которые можно разделить на классы-измерения (c=dimеDIMçjC) и классы показатели (c-p^Pç^C).

С) —dimj et ф С4 "dim*

(страны)/^ГЧ^ Ж (категория c,-dimi

заказчиков^* (профили

деятельности)

Cg^dirH}

__ (физические лица)

(суммарный цма продажи^ ^V c/o-pi объем про- \ __———^7П[сумма кредита)

даж товаров по странам)

с6 -dim6 (товары) (dimb (подразделения)

------дуги графа домиаироваяш по иерархии ВН

-дуги графа информационной подчиненности СС

---—■■>• дуги графа выводимости РЫ

Рис. 2, Пример описания данных КАС отношениями объектво-многомерной модели

Предложенная концептуальная объектно-многомерная модель данных КАС является объединением и развитием объектно-ориентированной и многомерной моделей данных и имеет следующие основные особенности:

1. В отличие от большинства классических многомерных моделей, предложенная модель позволяет описывать более одной иерархии над каждым из измерений многомерного пространства данных.

2. Модель позволяет описывать информационные связи, как между базовыми классами системы, так и между производными (например, агрегированными показателями).

3. Введенные отношения позволяют более полно, по сравнению с традиционно используемой ММД, описывать информационные связи между сущностями системы, которые необходимо учитывать при разграничении доступа.

В третьей главе диссертации автором разработана новая ролевая модель информационной безопасности КАС класса OLAP. В ней полномочиями доступа к объектам наделяются абстрактные роли системы (множество ,г*}),

В основе предлагаемой модели лежит структура данных, которая названа доменом. Домен определяет некоторое подпространство в многомерном пространстве данных. Обозначим домен как D. Домен представляет собой множество информационно подчиненных объектов системы, т.е. DçO.

Зададим некоторое подмножество классов системы QoeZJ/AfcC, которые назовем формирующими классами домена. Для каждого из этих классов зададим некоторое непустое подмножество объектов, которые назовем формирующими объектами домена. Обозначим это подмножество как 0/р.

Для построения домена используются следующие правила:

1. Формирующие объекты домена принадлежат домену: От çiD.

2. Объект принадлежит домену, если все объекты, которым он информационно подчинен, также принадлежат домену (правило распространения вниз).

VosD <=> (oqOw) v(Vo'j (о*, 6)<е00 =>o*eZ>) (1)

Пример формирования домена приведен на рис. 3.

О - объекты, не входящие в домен ф - объекты, входящие в домен @ - формирующие объекты домена

- классы системы ^

- формирующие классы домена

ci - с7 - классы-измерения с^ - класс-показатель

с?

Рве. 3. Пример формировании иерархического домена данных на множестве информационно подчиненных объектов системы

Бинарное отношение ОО в формуле (5) - это отношение информационной подчиненности объектов;

Vo,ea VojeO (о* oj)sOOО (ct=GetClass(od, cj=Getaass(pj))eCC, (2) где GelClass{p) — функция принадлежности объекта к классу.

Формирующие объекты домена могут задаваться статически (на этапе задания правил политики безопасности), либо динамически, на основе значений информационных атрибутов субъекта. Например, в многофилиальной организации формирующий объект домена данных по каждому из филиалов для конкретного пользователя системы может назначаться динамически, на основании информации о филиале, в котором работает пользователь. Для этого автором предлагается новая концепция параметризованных ролей. В отличие от обычной роли, параметризованная роль имеет некоторый набор параметров:

Грфагат) of class Cj, param2 of class c2, •.., param„ of class с J, где parami,..., param„~ параметры роли, c;,,..(c„- классы (типы) параметров. Область значений параметра представляет собой подмножество объектов данного класса: *iparams г=1,л => parami с GetObj(ci), где GetObjic)- функция, возвращающая множество объектов класса.

Множество субъектов системы можно представить, как подмножество её объектов OSfcO) и описывать некоторым набором информационных атрибутов. Тогда в многомерное пространство данных можно ввести класс-измерение субъектов. Атрибуты субъектов, ссылающиеся на другие классы системы, задают некоторое многомерное пространство атрибутов субъектов.

Автором предлагается использовать в качестве фактических значений параметров роли — значения информационных атрибутов субъекта, которому назначается эта роль. Для этого необходимо задать соответствие между классами пространства данных субъекта и параметрами роли. Тогда назначение параметризованной роли можно рассматривать как соединение многомерного пространства данных системы с многомерным пространством атрибутов субъекта, по классам-измерениям, являющимися классами (типами) параметров роли. В результате новым формирующим классом домена становится класс субъектов системы, а формирующим объектом домена — сам субъект, что проиллюстрировано на рис. 4.

В диссертации также формулируется и обосновывается правило построения иерархий параметризованных ролей.

Рве. 4. Динамическое задание формирующих объектов домена на основе атрибутов субъекта через параметршовапную роль

ООО I о, - субъекты системы

граница пространства атрибутов субъекта

Гранина пространства данных системы

Для возможности задания правил разграничения доступа, как к исходным, так и к агрегированным данным системы, в модели используется разделение многомерного пространства данных на область доступности, области полномочий по операциям и область агрегации.

Область доступности С&С для роли reR задает множество классов системы, над объектами которых могут быть совершены какие-либо операции.

Области полномочий по операциям представляют собой подмно-

жества объектов системы, в отношении которых разрешено выполнение операции ор&ОР. Область полномочий по каждой операции ор из множества {read, add, change, delete} задается отношением RCDop = RxCb^DM, где CS'DIh&jPB. Если (r,, Cj, D^sRCDcp, то роль r><=R имеет полномочия на совершение операции ор над объектами класса cj, принадлежащими домену Это отношение можно представить в виде таблицы полномочий, пример которой приведен на рис. 5.

■--KWK p>> esrs-.? lilieiiA

D, D, Dt.Di.Dj

• Г J - D,,Di D, Di,Ds

Dг Di D,

Рис 5. Пример задания области полномочий по операции через таблицу полномочий

Область агрегации Оопределяет множество доступных уровней агрегирования показателей системы и задается отношением RCDA = R у-DIM *DAi.

Объединение областей полномочий по операциям read и activate образует область достижимости — множество объектов, данные которых доступны явно (по операции read), либо опосредованно (после активации объекта).

Область полномочий по операции активации 0ocihx]tt,r£.Op=GetObj(PD\ включающая объекты агрегированных классов-показателей системы, формируется на основе области доступности и области агрегации следующим образом:

1, Все базовые показатели, из которых выводим класс-показатель объекта о е О ¡¡¿¡watt,г, должны принадлежать области доступности Сг для роли г:

Vo\o%Oec,toaUir*GetClass{o)rp<zPD => (Vp*| (p',p)ePN =>p*eC,) (3)

2. Все объекты классов-измерений, которым объект о е г информационно подчинен, должны принадлежать области агрегации для роли г:

Vo j oeOtchaHs ^ (Vo'eO | (о* а)еОО => о'е Оа,,) (4)

Автором предлагаются и обосновываются следующие критерии безопасности системы:

1. Безопасность по вхождению в область полномочий. Субъект может выполнить некоторую операцию над объектом только в том случае, если этот объект входит в область полномочий по данной операции.

2. Безопасность по чтению. Ни один объект системы, вне области достижимости, не должен быть выводим из объектов, входящих в эту область.

3. Безопасность по модификации. В результате совершения субъектом операции модификации из подмножества {add, change, delete} над объектом

системы, не должно измениться ни количество объектов вне соответствующей области полномочий, ни информационные связи между ними.

В диссертации исследованы условия выводимости агрегированных показателей в системе и доказано следующее условие безопасности состояния системы (5):

Vdfffi; s DIM, rjeR, At g DM\ (rh dim,, Dk) e RCDA=> (5)

=> Vdimh I (dimu dimk)oPH (r,t dimh, Dk) e RCDA Переход системы из состояния в состояние происходит в результате изменения количества объектов в результате выполнения операций модификации {add, change, delete}. Обоснованы следующие утверждения:

Утверждение 1. Переход по добавлению безопасен, если в результате операции add все добавленные объекты вошли в область полномочий по операции добавления.

Утверждение 2. Переход по изменению безопасен, если в результате операции change все измененные объекты не вышли вз области полномочий по операции изменения.

Утверждение 3. Переход по удалению безопасен, если все объекты, информационно подчиненные удаляемому объекту oteOt входят в область полномочий по операции удаления и при удалении объекта о( также удаляются.

В последнем разделе главы исследована проблема неконтролируемых информационных потоков в системе через скрытые каналы, когда субъекты системы с полномочиями на операции модификации могут записывать в области достижимости других субъектов данные, недоступные тем по правилам политики безопасности. Выявлены следующие типы скрытых каналов:

• горизонтальные —между объектами одного класса;

• вертикальные - между объектами-показателями системы, с нижних уровней агрегирования на более высокие уровни.

Доказаны необходимые условия для задания областей полномочий Оорг и агрегации при выполнении которых исключается возможность нарушения правил политики безопасности системы через скрытые каналы.

В четвертой главе автором разработана матричная методика построения защищенной корпоративной аналитической системы (КАС) на основе предложенной модели. Методика основана на матричном представлении отношений модели информационной безопасности КАС класса OLAP.

Методика позволяет произвести переход от описания системы в терминах многомерной модели данных (ММД) к структурам разработанной модели безопасности и построить информационно защищенную КАС, в которой отсутствуют нарушения правил заданной политики безопасности.

На первом этапе производится построение объектно-многомерной модели данных системы. Результатом этого неформального этапа являются следующие, некоторым произвольным образом упорядоченные множества:

• Рв~{рв1> — ipBm}* \Рв\=т -множество базовых показателей;

• DIM = {dim;, dint,,}, \D1M\— множество измерений многомерного

пространства данных.

Зададим логическую (булеву) матрицу РО зависи- 1 1 1 {Л

мости показателей от измерений, размерностью тхп. рп-Каждая строка матрицы, соответствующая некоторому показателю, определяет, на каких измерениях многомер- ^1110 0

НОГО пространства определен ЭТОТ показатель (см. рис. б). Рве. 6. Пример заданна Элемент матрицы рс1„= 1 означает, что показатель р, зави- матрицы № {«-5; ю-3) сит от измерения 4щ(т.е. информационно ему подчинен).

Аналогично задаются следующие логические матрицы:

• ЬО размерности пхп — матрица смежности графа иерархии измерений.

• CN размерности пхп - матрица наследования классов системы.

Логическая матрица отношения доминирования по иерархии ОН может

быть вычислена следующим образом:

1СТМИ

0Н = 00\/00г\/...\?00'-1 = Х,00' (6)

Логическая матрица отношения информационной подчиненности классов СС вычисляется по следующей формуле:

СС = (ООт у СУ )|| ДОг (7)

На основе матрицы СС вычисляется логическая матрица ССН размерности |Св|х|Ся|.В этой матрице элемент сск{~\ означает, что па графе информационной подчиненности классов системы существует конечный путь от класса а к классу С/(возможно, нулевой длины):

ССН = Е V СС V СС1 V ...V = Е V £ СС', где: (8)

|>|

Е-единичная матрица той же размерности, что и матрица СС.

На втором этапе производится формализация правил политики безопасности по разграничению доступа к данным системы, которые составляются экспертами.

Задаются множества ролей Я и субъектов системы Б, граф иерархии ролей и его матрица смежности ЯН, матрица назначения ролей субъектам ¿Ж*. На их основе вычисляется матрица отношения вложенности ролей КИ и матрица отношения полного назначения ролей субъектам СТ.

Далее необходимо задать домены данных, которые определяются, как подпространства многомерного пространства данных, к которым необходимо иметь доступ каким-либо ролям системы. Домены задаются формирующими классами. Задается логическая матрица ОС/ размерности |ОЛ/[х(|ДШ1+|/>8|), которая указывает, какие классы системы являются формирующими для каждого из доменов. На основе матриц Е>С1 и СС рассчитывается матрица ОС размерности \0Щу.(\01Щ+\Рв\\ которая определяет все возможные классы объектов для каждого из доменов системы.

Задаются следующие логические матрицы:

• ЯС - матрица области доступности, размерности (!£>Ш|+|/'й();

• ОСор - назначения полномочий классам домена по операции, для каждой операции из множества {геа<},ас}с1,сЬап£е,(1е1е№}, размерности \0М\х(\01Щ+\Рв\)'>

• ОС - назначения доменов ролям системы, размерности |Л|х|ОЛ/|;

• DCA — задания областей агрегации для доменов, размерности \DM\x\DIM\,

На третьем этапе методики производится проверка соблюдения правил политики безопасности системы.

Задаются матрицы требуемых ограничений политики безопасности на доступ ролей к подмножествам объектов классов системы, которые обозначаются как RC'op (ДС* „„л RC'^ RC'Л С* м11г для операций чтения, добавления, изменения и удаления, соответственно). Каждая из матриц имеет размерность \К\х.{\01Щ+\Рв\)- Также задается матрица RCA требуемых ограничений ролей на подмножества классов области агрегации размерности \R\x\DlM\.

В диссертации показано, что при задании указанных матриц и последующей проверке выполнения правил политики безопасности, можно использовать элементы и операции трехзначной логики. Правила выполнения логических операций трехзначной логики позволяют трактовать значения следующим образом: «истина» — доступность всех объектов класса, «ложь» — недоступность ни одного из объектов класса, «неизвестно» - доступность некоторого несобственного подмножества объектов класса.

Контрольные матрицы RC'op для каждой операции ор из множества {read,add, change,delete) размерности (A[x((Z)7M]+|Pfi|) вычисляются как:

RC'op = RC л (RD x (DC'л DCBp )), где: (9)

DC'— матрица ограничений на подмножества объектов классов в доменах.

Контрольная матрица RCA' ограничений на область агрегации вычисляется как:

RCA' =RDx (DCA'л DC') х DH, где: (10)

DC" — матрица ограничений на подмножества объектов классов-измерений в доменах.

Необходимым условием соблюдения в системе правил ПБ является равенство матриц RCA' и RCA*, а также RC\^и RC*^ для любой операции ор из множества {read,add,change,delete)

Можно рассчитать контрольную матрицу RCO'op классов, ограничивающих подмножество доступных по операции ор объектов для ролей:

RCO'op = OfftV * ССЯТ) л (RD х DCI) (11)

Для каждого ограничивающего класса политикой безопасности задается способ назначения формирующих объектов (статический или динамический).

В пятой главе диссертации излагается разработанная автором технология практической реализации защищенных аналитических систем на основе коммерческих СУБД (на примере аналитического программного комплекса (АПК) «Нострадамус»).

Выделены основные этапы построения защищенных КАС. Определены цели и задачи, решаемые на каждом этапе, а также категории сотрудников организации, ответственных за реализацию каждого из этапов.

Дано подробное описание принципов программной реализации подсистемы информационной безопасности АПК «Нострадамус», в основу которой положена, разработанная в диссертации модель безопасности.

Рассмотрены преимущества предлагаемых в диссертации моделей и методов построения защищенных КАС на примере аналитической системы для анализа финансово-экономической информации по капитальному ремонту оборудования (КРО), реализованной на основе АПК «Нострадамус» и внедренной в информационно-вычислительном центре Московской железной дороги. Основными особенностями данной системы являются:

• большое число пользователей системы с различными правами доступа;

• большое количество разрезов анализа данных и точек агрегации;

• сложные правила разграничения доступа, как по подмножествам базовых данных, так и по уровням агрегирования производных данных системы.

Основные характеристики системы:

Количество субъектов (пользователей) ks-337. Количество ролей кт =7.

Базовых классов системы: измерений ksm~7; показателей кр =2. Базовых объектов всего к'0 = 7083896, в том числе:

- элементов измерений 1314;

- значений показателей 7082582.

Количество возможных агрегированных показателей (производных классов) системы рассчитывается как к'с=2" —1, где п - количество измерений многомерного пространства данных. Дня данной системы: jfc'(f= 2' -1 = 127.

Максимальное количество значений агрегированных показателей (объектов производных классов-показателей) к"в многомерного пространства данных

рассчитывается как к"в= +1)-л, »1.288-10", где и(— количество эле-

N1 'I

ментов /-го измерения (объектов класса-измерения).

Автором проведен сравнительный анализ разработанной технологии и других возможных способов реализации КАС. При этом сделаны следующие заключения:

1. Реализация системы с требуемой политикой безопасности при использовании стандартных механизмов разграничения доступа СУБД Oracle 9i невозможна.

2. Использование классической дискреционной модели невозможно, т.к. в этом случае размер дискреционной матрицы управления доступом составил бы:

- для базовых объектов системы: ksxk'0= 2 387 272 952 ячеек; -для всех объектов системы: JtjX(£'„+&") « 4.34-10" ячеек.

3. Применение предложенной в диссертации концепции параметризованных ролей позволило снизить количество требуемых ролей в системе с 301 роли до 7, а также добиться независимости множества ролей системы от территориальной и функциональной структуры организации.

В заключении приводятся основные результаты и выводы, полученные автором в ходе выполнения работы.

ЗАКЛЮЧЕНИЕ

В процессе решения задач, поставленных в диссертации, получены следующие основные научные и практические результаты:

1. Выполнен анализ применимости известных подходов к построению информационно защищенных корпоративных аналитических систем класса оперативной аналитической обработки данных (OLAP).

2. Выполнен переход к единой модели субъектно-обьектного взаимодействия в корпоративных аналитических системах класса OLAP на основе декомпозиции пассивных сущностей системы до уровня, описываемого объектно-ориентнрованной моделью данных.

3. Предложена концептуальная объектно-многомерная модель описания данных корпоративной аналитической системы класса OLAP, являющаяся объединением и развитием многомерной и объектно-ориентированной моделей данных.

4. Разработана формальная модель информационной безопасности (модель разграничения доступа) для корпоративных аналитических систем класса OLAP.

5. Разработана матричная методика построения информационно защищенных корпоративных аналитических систем и контроля выполнения правил политики безопасности.

6. Предложена технология практической реализации корпоративных аналитических систем, основанных на использовании разработанной в диссертации модели безопасности, с использованием коммерческих реляционных СУБД.

7. Выполнены работы по проектированию и разработке подсистемы обеспечения информационной безопасности аналитического программного комплекса (АПК) «Нострадамус» и построение на его основе информационной системы для анализа финансово-экономической информации по капитальному ремонту оборудования для ИВЦ Московской железной дороги.

Основные положения диссертации изложены в следующих публикациях:

J. Бородюк В.П., тульский С.А. Ролевая модель безопасности для иерархически организованных многомерных данных. // Вестник МЭИ. — 2006. — №4, — С. 109-114.

2. Тульский С.А. Модель управления доступом для хранилищ данных информационных аналитических систем. // Международная научно-техническая конференция «Информационные средства и технологии» 18-20 октября 2005г.: Тр. конференции, в 3-х т.т., - М., Янус-К, 2005. - Том 2. - С. 186-189.

3. Тульский С.А. Способ модификации ролевой модели управления доступом в информационных системах. // Международный научно-технический семинар «Современные технологии в задачах управления, автоматики и обработки информации». Сентябрь 2005г.: Тр. семинара, — Самара, Самарский государственный аэрокосмический университет, 2005. - С. 3II.

4. Бородюк В.П., Тульский С.А. Методика построения политики безопасности для систем класса OLAP. // Научная сессия МИФИ-2005. ХП Всероссийская научная конференция «Проблемы информационной безопасности в системе высшей школы» 27 января 2005г.: Сб. научных трудов, - М., МИФИ, 2005. -С. 79-80.

Подписано в Тир. 400 П.л.

Полиграфический центр МЭИ (ТУ) Красноказарменная ул., д. 13

ВВЕДЕНИЕ.

ГЛАВА 1. АНАЛИЗ СОСТОЯНИЯ ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ АНАЛИТИЧЕСКИХ СИСТЕМ.

1.1 Угрозы нарушения информационной безопасности в корпоративных информационных системах.

1.2 Методы и стандарты защиты информации.

1.2.1 Анализ методов защиты информации.

1.2.2 Стандарты информационной безопасности и защиты информации.

1.3 Технологии построения корпоративных аналитических систем.

1.3.1 Хранилища данных.

1.3.2 Оперативная аналитическая обработка данных (OLAP).

1.3.3 Архитектура современной корпоративной аналитической системы.

1.4 Обеспечение информационной безопасности в корпоративных аналитических системах.

1.4.1 Политика безопасности.

1.4.2 Особенности обеспечения информационной безопасности в корпоративных аналитических системах.

1.5 Модели безопасности информационных систем.

1.5.1 Дискреционные модели.

1.5.2 Мандатные модели.

1.5.3 Ролевая модель управления доступом.

1.5.4 Специализированные модели дискреционного доступа.

1.6 Модели данных в хранилище аналитических систем.

1.6.1 Реляционная модель.

1.6.2 Многомерная модель.

1.6.3 Объектно-ориентированная модель.

1.7 Определение и формулировка задач исследования.

Выводы по первой главе.

ГЛАВА 2. ИССЛЕДОВАНИЕ СУБЪЕКТНО-ОБЪЕКТНОГО ВЗАИМОДЕЙСТВИЯ И ПОСТРОЕНИЕ МОДЕЛИ ДАННЫХ.

2.1 Субъектно-объектное представление системы.

2.2 Декомпозиция системы на уровни субъектно-объектного взаимодействия

2.2.1 Декомпозиция до уровня элементов многомерной модели.

2.2.2 Декомпозиция до уровня классов и объектов.

2.2.3 Описание сложных сущностей системы на основе объектной модели.

2.2.4 Основные результаты декомпозиции системы.

2.3 Построение объектно-многомерной модели данных для задач обеспечения информационной безопасности.

2.3.1 Доминирование по иерархии измерений.

2.3.2 Подчиненность классов по информационным связям.

2.3.3 Выводимость на множестве показателей системы.

2.3.4 Пример описания данных КАС в терминах объектно-многомерной модели. 60 Выводы по второй главе.

ГЛАВА 3. РАЗРАБОТКА МОДЕЛИ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ АНАЛИТИЧЕСКОЙ СИСТЕМЫ КЛАССА OLAP.

3.1 Исходные положения для задачи разработки модели информационной безопасности КАС.

3.2 Неформальное описание модели безопасности.

3.2.1 Ограничения и условия применимости модели.

3.2.2 Основные понятия модели безопасности.

3.2.3 Правила и критерии модели безопасности.

3.3 Формализация правил модели безопасности.

3.3.1 Формальное определение домена данных.

3.3.2 Задание области доступности роли.

3.3.3 Задание областей полномочий роли по основным объектным операциям.

3.3.4 Задание области агрегации роли.

3.3.5 Формирование области полномочий роли по операции активации.

3.3.6 Назначение ролей субъектам системы и формирование областей доступности, полномочий и агрегации для субъектов.

3.4 Концепция параметризованных ролей для ролевой модели управления доступом.

3.4.1 Понятие параметризованной роли.

3.4.2 Информационные атрибуты субъектов системы.

3.4.3 Активация параметризованных ролей.

3.4.4 Иерархии параметризованных ролей.

3.5 Условия безопасности системы.

3.5.1 Состояние системы, безопасность состояния.

3.5.2 Переходы системы.

3.5.3 Основная теорема безопасности.

3.6 Предотвращение передачи информации через разделяемые ресурсы.

3.6.1 Анализ возможности возникновения неконтролируемых информационных потоков в системе.

3.6.2 Информационные потоки между объектами одного класса.

3.6.3 Информационные потоки от низюних уровней агрегирования показателей к верхним уровням.

Выводы по третьей главе.

ГЛАВА 4. РАЗРАБОТКА МАТРИЧНОЙ МЕТОДИКИ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ КОРПОРАТИВНЫХ АНАЛИТИЧЕСКИХ СИСТЕМ.

4.1 Постановка задачи и основные этапы.

4.2 Построение объектно-многомерной модели данных КАС.

4.2.1 Декомпозиция данных системы на элементы многомерной модели.

4.2.2 Построение отношений объектно-многомерной модели.

4.3 Задание правил политики безопасности системы.

4.3.1 Формирование списка и иерархий ролей, назначение их субъектам системы

4.3.2 Формирование доменов данных системы.

4.3.3 Формирование областей доступности, полномочий и агрегации для ролей системы

4.4 Проверка выполнения критериев безопасности системы.

4.4.1 Соответствие областей полномочий требованиям политики безопасности

4.4.2 Соответствие областей агрегации требованиям политики безопасности

4.4.3 Безопасность переходов в результате совершения объектных операций. 114 Выводы по четвертой главе.

ГЛАВА 5. ТЕХНОЛОГИЯ ПРАКТИЧЕСКОЙ РЕАЛИЗАЦИИ ЗАЩИЩЕННЫХ АНАЛИТИЧЕСКИХ СИСТЕМ НА ПРИМЕРЕ АПК «НОСТРАДАМУС».

5.1 Концептуальная трехэтапная схема построения защищенной аналитической системы.

5.2 Назначение и технологические основы построения АПК «Нострадамус»

5.3 Реализация основных структур объектно-многомерной модели данных в рамках реляционной СУБД.

5.3.1 Обоснование выбора реляционной СУБД для реализации хранилища данных

5.3.2 Классы и объекты.

5.3.3 Элементы многомерной модели данных.

5.4 Реализация подсистемы информационной безопасности.

5.4.1 Субъекты и роли системы.

5.4.2 Статические и динамические списки управления доступом.

5.4.3 Реализация доменов средствами СУБД.

5.4.4 Реализация областей полномочий средствами СУБД.

5.5 Пример реализации системы анализа финансово-экономической информации для Московской железной дороги.

5.5.1 Описание предметной области.

5.5.2 Многомерная модель данных системы.

5.5.3 Пользователи и роли системы, политика безопасности.

5.5.4 Оценка основных количественных параметров разработанной КАС.

5.6 Оценка применимости и качественный анализ возможных подходов к построению КАС с заданной политикой безопасности.

Выводы по пятой главе.

Актуальность проблемы

Проблема принятия эффективных решений в любой сложной технико-экономической системе, от предприятия до отрасли, занимает одно из центральных мест в современной теории и практике управления. Поэтому неудивительно то внимание, которое в последнее время уделяется средствам и концепциям построения информационных систем, ориентированных на аналитическую обработку данных. Подобный класс систем получил название информационные аналитические системы или системы поддержки принятия решений (Clil IP, DSS - Decision Support System).

Последние достижения в области разработки аналитических систем, такие как концепция хранилищ данных (Data Warehouse) и технология оперативной аналитической обработки данных (OLAP - On-Line Analytical Processing) способствовали бурному развитию систем этого класса.

Хранилища данных корпоративных аналитических систем, как правило, содержат огромные объемы данных, которые охватывают различные сферы деятельности организации. Многие данные являются конфиденциальными, либо представляют коммерческую тайну (например: личная информация, финансовая информация, данные о новых разработках и т.п.). Случайное, либо целенаправленное искажение данных может привести к принятию неверных решений по управлению организацией, что чревато серьезным ущербом для ее деятельности.

До недавнего времени информационная безопасность корпоративных аналитических систем не считалась особенно критичной для деятельности организации, т.к. круг пользователей таких систем был весьма ограничен (высшее руководство компании и «доверенные» аналитики). Однако в последнее время пользовательская аудитория корпоративных аналитических систем стремительно расширяется. Руководителям среднего и низшего звена для более эффективного осуществления своей профессиональной деятельности также требуется доступ к инструментам анализа отдельных направлений деятельности организации, а, следовательно, и к информации, содержащейся в хранилище данных аналитической системы. Также становится нормой привлечение сторонних консалтинговых и аудиторских компаний для проверки и консультирования в целях повышения эффективности деятельности организации. В этих условиях необходимость решения проблем обеспечения информационной безопасности корпоративных аналитических систем приобретает первостепенное значение.

Можно выделить основные особенности корпоративных аналитических систем, затрудняющие применение классических методов обеспечения информационной безопасности:

• нерегламентированность аналитических запросов пользователей к данным;

• наличие как детальных (фактографических), так и сводных (агрегированных) данных с различными уровнями агрегации;

• наличие большого числа рассчитываемых показателей;

• невозможность четко разграничить пользователей системы по подмножествам необходимых им первичных данных.

Проведенный автором анализ известных формальных моделей информационной безопасности показал, что ни одна из них не может в полной мере служить основой для разработки защищенных корпоративных аналитических систем, поскольку не учитывает все сложные информационные связи между данными, а также особенности обработки информации в системах этого класса.

Отдельные средства разграничения доступа к данным, предлагаемые ведущими производителями аналитических систем позволяют лишь частично решать наиболее острые проблемы безопасности. В целом предлагаемые решения не обладают системностью и не основываются на формальных моделях субъектно-объектного взаимодействия в аналитических системах. Практически полностью отсутствуют в открытой литературе теоретические и методологические основы построения информационно защищенных корпоративных аналитических систем.

Все это дает основание считать, что актуальной научной проблемой является разработка новых моделей и методов обеспечения информационной безопасности корпоративных аналитических систем с учетом особенностей хранения, передачи и обработки информации в системах этого класса.

Диссертация опирается на результаты работ ведущих российских и зарубежных ученых: В.А. Герасименко, А.А. Грушо, П.Д. Зегжды, В.А. Коняв-ского, Е.Е. Тимониной, Harrison М., John McLean, Ruzzo W., Ravi S. Sandhu, Uhlman J., Inmon W., Codd E.F. и других.

Объект и предмет исследования

Объектом исследования в диссертации является класс корпоративных аналитических систем (систем поддержки принятия решений), построенных на основе концепции хранилищ данных и технологии оперативного многомерного анализа данных (OLAP).

Предметами исследования являются:

1. Процессы обработки информации в корпоративных аналитических системах класса OLAP.

2. Формальные модели безопасности информационных систем.

3. Методы и технологии построения информационно защищенных корпоративных аналитических систем.

Цель исследований

Целью настоящей диссертации является разработка новых моделей и методов обеспечения информационной безопасности корпоративных аналитических систем.

Для реализации поставленной цели, с учетом анализа открытых литературных источников были поставлены и решены следующие основные задачи:

1. Анализ применимости известных подходов к построению информационно защищенных корпоративных аналитических систем.

2. Исследование принципов субъектно-объектного взаимодействия в аналитических системах класса OLAP и построение концептуальной объектно-многомерной модели данных для задач обеспечения информационной безопасности.

3. Разработка и исследование формальной модели информационной безопасности (модели разграничения доступа) для корпоративных аналитических систем класса OLAP .

4. Разработка методики построения информационно защищенных корпоративных аналитических систем на основе разработанных формальных моделей.

5. Разработка технологии практической реализации защищенной аналитической системы на основе коммерческих реляционных СУБД.

6. Разработка и внедрение подсистемы информационной безопасности, построенной на основе предлагаемых методов, в составе аналитического программного комплекса «Нострадамус», производства ЗАО «Програм-Банк».

Методы исследования

Для решения поставленных задач использовались методы системного анализа, теория множеств, теория графов, теория матриц, теории многомерных и реляционных баз данных. При разработке программных компонент использовалось объектно-ориентированное проектирование и программирование.

Достоверность результатов

Обоснованность научных положений, выводов и рекомендаций, сформулированных в диссертации, подтверждается строгостью математических и логических выкладок, внутренней непротиворечивостью результатов исследования и их соответствием основным положениям теории системного анализа и теории информационной безопасности, а также разработкой и успешным внедрением действующих программ.

Научная новизна работы состоит в следующем:

1. Предложен новый подход к унификации субъектно-объектных взаимодействий в аналитических системах класса OLAP на основе декомпозиции на три уровня. Данный подход позволяет осуществить переход к единой модели взаимодействия субъектов и объектов системы.

2. Предложена новая концептуальная объектно-многомерная модель данных корпоративной аналитической системы, позволяющая, по сравнению с уже известными моделями, более полно описывать информационные связи между данными аналитической системы.

3. Разработана новая формальная модель информационной безопасности корпоративных аналитических систем класса OLAP. Модель отличается от уже известных тем, что позволяет задавать правила политики безопасности и описывать информационные процессы субъектно-объектного взаимодействия в аналитических системах класса OLAP с учетом особенностей хранения и обработки информации в системах этого класса.

4. Предложено расширение понятийного аппарата ролевой модели управления доступом (RBAC - Role Based Access Control) путем введения нового понятия параметризованной роли. Сформулированы правила построения иерархий ролей и показаны преимущества применения параметризованных ролей в разработанной модели информационной безопасности.

5. Разработана матричная методика построения информационно защищенных корпоративных аналитических систем класса OLAP, которая основана на предложенной в диссертации модели безопасности, и позволяет производить построение аналитической системы с заданной политикой безопасности (ПБ), а также выполнять контроль выполнения правил ПБ.

Практическая значимость работы

Определяется возможностью использования предложенных в ней моделей и методов для обеспечения информационной безопасности корпоративных аналитических систем, построенных на основе концепции хранилищ данных и технологии оперативной аналитической обработки данных (OLAP). Область применения этого класса систем достаточно широка и включает, в частности, информационные системы управления ресурсами предприятия (ERP - Enterprise Resource Planning), системы управления взаимоотношениями с клиентами (CRM - Client Relations Management) и т.п. В диссертации разработана технология практической реализации информационно-защищенных аналитических систем на основе реляционных СУБД.

Использование результатов диссертации

На основе предложенной модели безопасности разработана подсистема обеспечения информационной безопасности аналитического программного комплекса (АПК) «Нострадамус» компании «ПрограмБанк». Данная подсистема в составе АПК «Нострадамус» внедрена в информационно-вычислительном центре (ИВЦ) Московской железной дороги (филиале ОАО «Российские железные дороги»), что подтверждают акты об использовании результатов диссертации от ЗАО «ПрограмБанк» и ИВЦ Московской железной дороги.

Положения, выносимые на защиту:

1. Результаты декомпозиции системы класса OLAP на субъекты, объекты и операции. Трехуровневое представление процесса субъектно-объектного взаимодействия.

2. Формальная модель информационной безопасности аналитической системы класса OLAP на основе объектно-многомерного представления данных в системе.

3. Матричная методика построения информационно защищенных корпоративных аналитических систем класса OLAP. 4. Технология построения защищенных корпоративных аналитических систем на основе коммерческих реляционных СУБД.

Апробация работы

Основные теоретические и практические результаты работы докладывались и обсуждались на XIV международном научно-техническом семинаре «Современные технологии в задачах управления, автоматики и обработки информации» (Алушта) в 2005г., на международной конференции «Информационные средства и технологии» (Москва, МЭИ) в 2003 и 2005 гг., на XII Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы" (Москва, МИФИ) в 2005 г.

Публикации

По теме диссертации опубликованы четыре печатные работы общим объемом 1.1 п.л. В публикациях, написанных в соавторстве, автору принадлежат основные результаты.

Структура и объем диссертации

Диссертация состоит из введения, пяти глав с выводами к ним, заключения, списка литературы и трех приложений. Нумерация таблиц, рисунков и формул - сквозная. Основной текст работы изложен на 150 страницах и включает 31 рисунок и 5 таблиц. Список литературы содержит 114 источников, в том числе 37 на иностранных языках. Объем приложений составляет 15 страниц.

Выводы по пятой главе

1. Задачу построения защищенной КАС можно разбить на три этапа, на каждом из которых ответственными исполнителями являются разные категории сотрудников организации.

2. АПК «Нострадамус» является инструментом для разработки аналитических прикладных систем различного назначения. Поэтому важными требованиями к его подсистеме обеспечения информационной безопасности (ИБ) являются её гибкость, для возможности настройки требуемых правил политики безопасности, а также наличие удобных в использовании средств администрирования подсистемы обеспечения ИБ.

3. Для невозможности обхода подсистемы обеспечения ИБ аналитической системы с помощью средств доступа к СУБД от сторонних поставщиков, она должна быть реализована на уровне хранилища данных корпоративной аналитической системы.

4. Сущности (классы и объекты) объектно-многомерной модели данных могут быть реализованы на реляционных СУБД в виде информационно связанных реляционных отношений (таблиц). При такой реализации многомерных кубов и иерархических измерений многомерного пространства данных получается схема реляционных таблиц, известная в литературе под названием «снежинка».

5. Для практической реализации подсистемы информационной безопасности (ИБ) на основе предложенной в диссертации модели безопасности недостаточно встроенных в СУБД средств разграничения доступа. Поэтому при создании подсистемы ИБ АПК «Нострадамус» использовались дополнительные средства СУБД, такие как дополнительные таблицы словаря метаданных, представления (view) и хранимые процедуры (stored procedures). В результате разработанная подсистема обеспечения ИБ обеспечивает выполнение условий и критериев безопасности системы.

6. Практическая реализация подсистемы ИБ АПК «Нострадамус», а также построение на его основе, внедрение и успешная эксплуатация защищенной аналитической системы для ИВЦ Московской железной дороги, подтверждает работоспособность предложенных в диссертации моделей и методов построения информационно защищенных корпоративных аналитических систем.

7. Показано, что предложенный в диссертации подход к реализации защищенных корпоративных аналитических систем на основе разработанной модели безопасности обладает рядом преимуществ перед использованием классических моделей безопасности и базовых средств разграничения доступа в СУБД.

ЗАКЛЮЧЕНИЕ

В представленной диссертации проведен анализ известных в настоящее время моделей, методов и технологий обеспечения информационной безопасности корпоративных аналитических систем (систем поддержки принятия решений). Показано, что современные концепции построения корпоративных аналитических систем (концепция хранилищ данных и технология оперативной аналитической обработки данных - OLAP) существенно усложняют задачи обеспечения информационной безопасности.

В результате проведенного анализа выявлены недостатки и ограничения применимости существующих моделей информационной безопасности при построении защищенных корпоративных аналитических систем. Практически все известные модели информационной безопасности описывают субъектно-объектное взаимодействие в системе на абстрактном уровне и не учитывают особенности хранения, обработки и передачи информации в аналитических системах. Таким образом, для построения средств разграничения доступа к данным корпоративных аналитических систем известные модели безопасности в существующем виде неприменимы.

Учитывая сложность и недостаточную теоретическую и методологическую разработанность проблемы построения защищенных корпоративных аналитических систем, основное внимание в диссертации уделено разработке базовой модели информационной безопасности для аналитических систем класса OLAP. В результате анализа специфических, а зачастую и противоречивых, требований к обеспечению информационной безопасности корпоративных аналитических систем, в диссертации разработана новая модель информационной безопасности аналитической системы, основанная на ролевом принципе управления доступом.

Для описания сложных взаимосвязей данных аналитической системы класса OLAP разработана концептуальная объектно-многомерная модель данных, представляющая собой объединение и развитие объектноориентированной и многомерной моделей данных.

Предложенная модель информационной безопасности закладывает основы для разработки методики построения защищенной корпоративной аналитической системы. Использование предложенной в диссертации методики позволяет на основе неформального описания данных системы и правил политики безопасности создать формальную модель управления доступом к данным. Разграничение доступа к данным возможно как по «горизонтали», т.е. по подмножествам первичных данных системы, так и по «вертикали» - по уровням агрегирования сводных данных. Применение данной методики позволяет решить задачу построения системы, удовлетворяющей требуемой политике безопасности, осуществлять контроль соблюдения правил политики безопасности, а также упростить администрирование средств обеспечения информационной безопасности корпоративной аналитической системы.

Предлагаемые в работе подходы к практической реализации, позволяют создать информационно защищенные аналитические системы на основе широко распространенных коммерческих СУБД. В качестве примера дано описание разработанной и успешно внедренной информационной системы по анализу финансово-экономических данных, построенной на основе предложенных в диссертации моделей и методов.

В основном, полученные результаты диссертации актуальны для построения информационно защищенных аналитических систем крупных и средних организаций, однако могут быть использованы (после адаптации) и в аналитических информационных средах сложных социально-экономических систем, таких как отрасли и регионы.

Автор надеется, что полученные результаты будут способствовать более широкому распространению безопасных информационных аналитических систем в корпоративной среде. Повышение уровня информационной безопасности корпоративных аналитических систем должно способствовать более широкому охвату пользовательской аудитории и привести к увеличению количества анализируемых бизнес-процессов, таким образом, улучшая качество принимаемых решений по стратегическому управлению различными предприятиями и организациями в нашей стране.

1. Алферов А.П. и др. Основы криптографии. / Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. М.: Гелиос АРВ, 2001.

2. Америди Ю. Технология BI и EAI для многофилиальных банков. // Банки и технологии. 2005. - №1. - С. 20-23.

3. Анохин М.И. и др. Криптография в банковском деле. / Анохин М.И., Вар-новский Н.П., Сидельников В.М., Ященко В.В. М.: МИФИ, 1997.

4. Андерсон Д. Дискретная математика и комбинаторика: Пер. с англ. М.: Вильяме, 2003.

5. Антонов А.В. Системный анализ. М.: Высшая школа, 2004.

6. Ардатский С.Н., Бартунов О.С., Назин С.Н. Управление доступом в сложных информационных системах на основе ролевой авторизации. // Сб. статей "Образовательные порталы России". Вып. 1.Научн. ред. В.В. Радаев. -М.: Технопечать, 2004. С. 138-148.

7. Асосков А.В., Иванов М.А., Мирский А.А. Поточные шифры. М.: КУДИЦ-ОБРАЗ, 2003.

8. Бармен С. Разработка правил информационной безопасности.: Пер. с англ. -М.: Вильяме, 2005.

9. Барсегян А.А. и др. Методы и модели анализа данных: OLAP и Data Mining. / Барсегян А.А., Куприянов М.С., Степаненко В.В., Холод И.И. -СПб.: БХВ-Петербург, 2004.

10. Безопасна ли ваша среда Business Intelligence? Электронный ресурс. // По материалам компании Gartner.: Пер. с англ.http ://www. iso.ru/journal/ articles/191 .html

11. Бородюк В.П., Применко Э.А., Тульский С.А. Генераторы псевдослучайных последовательностей в системах защиты информации. Особенности моделирования и анализа. // Вестник МЭИ. 2004. - №1. - С. 70-75.

12. Бородюк В.П., Тульский С.А. Ролевая модель безопасности для иерархически организованных многомерных данных. //Вестник МЭИ. 2006. - №4. -С. 109-114.

13. Бьер М. Интеллектуальное ведение и сопровождение бизнеса: Пер. с англ. -М.: КУДИЦ-ОБРАЗ, 2005.

14. Внутренние ИТ-угрозы формируют новый рынок систем информационной безопасности. Электронный ресурс.http://www.infowatch.ru/threats?chapter=147151396&id=153468677

15. Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: Изд-во уральского университета, 2003г.

16. Галатенко В.А. Основы информационной безопасности: Курс лекций. -М.: ИНТУИТ.ру, 2003.

17. Галахов И. Проектирование корпоративной аналитической системы. // Открытые системы. 2003.-№4. С. 27-32.

18. Ю.Галкина В.А. Дискретная математика: комбинаторная оптимизация на графах. -М.: Гелос АРВ, 2003.

19. Герасименко В.А., МалюкА.А. Основы защиты информации. -М.: МИФИ, 1997.

20. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

21. ГОСТ 34.601-90. Информационная технология. Автоматизированные системы. Стадии создания.

22. ГОСТ Р 51583. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении.

23. ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.

24. ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.

25. ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.

26. Гостехкомиссия РФ. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. 2002.

27. Гостехкомиссия РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. 1997.

28. Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации., 30 марта 1992 г.

29. Гостехкомиссия РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. 1992.

30. Гостехкомиссия РФ. Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К)., 2002 г.

31. Гостехкомиссия РФ. Руководящий документ. Безопасность информационных технологий Руководство по разработке профилей защиты и заданий по безопасности. -М.: Гостехкомиссия России, 2003.

32. Грушо А. А, Применко Э.А., Тимонина Е.Е. Анализ и синтез криптоалгоритмов: Курс лекций. Йошкар-Ола: Марийский фил. Моск. открытого соц. ун-та, 2000.

33. Грушо А.А. О существовании скрытых каналов // Дискретная математика, т. 11, вып. 1, 1999.

34. Грушо А.А., Тимонина Е.Е. Проблемы компьютерной безопасности. // Сб. научных докладов «Информационные технологии в производстве, медицине, психологии и этике» Академии информационных управленческих технологий. М.: Центр Управления Полетами, 2003.

35. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М.: Издательство Агентства «Яхтсмен», 1996.

36. Дейт К. Дж. Введение в системы баз данных. 7-е издание: Пер. с англ. -М.: Изд. дом "Вильяме", 2001.

37. Дмитриев В. 0LАР-технология в кредитном мониторинге клиентов банка. // Банковские технологии. 2004. - №10. - С.28-30.

38. Завгородний В.И. Комплексная защита информации в компьютерных системах. -М.: Логос, 2001.

39. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности АС и ИБС / Котенко И. В., Котухов М. М., Марков А. С. и др. Под ред. И. В. Котенко. СПб: ВУС, 2000.

40. Зегжда Д. П. Принципы и методы создания защищенных систем обработки информации.: Автореф. дисс. д.т.н. СПб., 2002.

41. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем.- М.: Горячая линия-Телеком, 2000.

42. Кнут Д. Искусство программирования. Том 2. Получисленные алгоритмы, 3-е изд.:Пер. с англ. М.: Издательский дом "Вильяме", 2000.

43. Комментарии к Российскому стандарту ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» / Долинин М. Ю., Кобзарь М. Т., Лыков В. А. и др. М.: ФГУП «ЦНИИАТОМИН-ФОРМ», 2003.

44. Корнеев И.Р., Беляев А.В. Информационная безопасность предприятия.- СПб.: БХВ-Петербург, 2003.

45. Коровкин С. Д., Левенец И. А., Ратманова И. Д. Решение проблемы комплексного оперативного анализа информации хранилищ данных // СУБД.- 1997.-№5-6.-С. 47-51.

46. Корт С.С. Теоретические основы защиты информации: Учебное пособие. -М.: Гелиос АРВ, 2004.

47. Мельников Ю.Н., Теренин А.А. Политика безопасности в банке. // Банковские технологии. 2004. - №10. - С.43-49. -№11.- С.51-54.

48. Петренко С.А. Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. -М.:ДМК-Пресс, 2005.

49. Сахаров А.А. Концепция построения и реализации информационных систем, ориентированных на анализ данных // СУБД. 1996. - №4. - С.55-70.

50. Скородумов Б., Иванов В. Стандарты информационной безопасности. // RS-Club, корпоративный журнал компании R-Style SoftLab. 2001. - №4. С. 22-25.

51. Смирнов С.Н. Анализ реализации ролевой модели разграничения доступа в СУБД Oracle // Методы и технические средства обеспечения безопасности информации: Тез. докл. / Под ред. П.Д.Зегжды. СПб.: Изд-во СПбГТУ. - 2000. - С. 83-85.

52. Спирли Э. Корпоративные хранилища данных. Планирование, разработка и реализация. Том первый.: Пер. с англ. М.: Изд. дом "Вильяме", 2001.

53. Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». // Вестник Банка России. 2006. - №6.

54. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы. -М: МЦНМО, 2002.

55. Строллингс В. Криптография и защита сетей: принципы и практика, 2-е изд.: Пер. с англ. -М.: Изд. дом "Вильяме", 2001.

56. Ы.Стулов А. Особенности построения информационных хранилищ. // Открытые системы. -2003.-№4. С.76-79.

57. Тарасов Д. О. Моделирование систем защиты информации в реляционных базах данных.: Автореф. дисс. к.т.н., Львов, 2002.

58. Теория и практика обеспечения информационной безопасности. / Под редакцией П.Д. Зегжды. М.: Изд-во Агентства «Яхтсмен», 1996.

59. Теренин А.А. Методика построения защищенной вычислительной сети электронных платежей.: Автореф. дисс. к.т.н., М., 2004.

60. Терьо М., Ньюмен A. Oracle. Руководство по безопасности. -М.: ЛОРИ, 2004.

61. Уддин Мохаммед Н. Разработка реляционной модели для проектирования систем безопасности сети объектов: Автореф. дисс. к.т.н., -М., 2004.

62. Фаулер М., Скотт К. UML в кратком изложении. Применение стандартного языка объектного моделирования. /Пер. с англ. М.: Мир, 1999.

63. Федичкин С. Хранилище данных: Вопросы и ответы. // Банки и технологии. 2001. - №4. - С.12-15.71 .Фергюсон Н., Шнайер Б. Практическая криптография. /Пер. с англ. М.: Изд. дом "Вильяме", 2005.

64. Чаусов В., АмеридиЮ. Классификация аналитических систем. Три года спустя. // Банки и технологии. 2002. - №6. - С.36-44.

65. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. / Пер. с англ. М.: Изд-во ТРИУМФ, 2003.

66. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. / Пер. с англ. СПб.: Питер, 2003.

67. Bider I. Practically Oriented Conceptual Model For OLAP. //The Data Administration Newsletter. 2005. - Issue 31.0.; Перевод: Практически ориентированная концептуальная модель OLAP. Электронный ресурс. http://www.iso.ru/iournal/articles/197.html

68. CSI/FBI Computer Crime and Security Survey 2005. Электронный ресурс. http://www.cpppe.umd.edu/Bookstore/Documents/2005CSISurvey.pdf81 .Codd E.F. A Relational Model of Data for Large Shared Data Banks. // Comm. ACM, 13. 1970. -No. 6. pp. 377-383.

69. Codd E.F., CoddS.B., Salley C.T. Providing OLAP (On-Line Analytical Processing) to User-Analysts: An IT Mandate. E.F.Codd & Associates, 1993.

70. Computer Security Requirements. Guidance for Applying the Department of Defence Trusted Computer System Evaluation Criteria in Specific Environments. Department of Defence, 1985.

71. BellE.D., LaPadulaL.J. Secure Computer Systems: Mathematical Foundations. // MITRE Technical Report 2547, Volume I, 1 March 1973.

72. Ferraiolo D., Kuhn R. Role-Based Access Control. // 15th NIST-NCSC National Computer Security Conference, Baltimore, MD, October 13-16. 1992, pp.554563.

73. Ferraiolo D., CuginiJ., Kuhn R. Role-Based Access Control: Features and motivations. // Annual Computer Security Application Conference. IEEE Computer Society Press, 1995.

74. Harrison M., Ruzzo W., Uhlman J. Protection in operating systems. // Communication of the ACM, 1976.

75. Harrison M., Ruzzo W. Monotonic protection systems. Foundation of secure computation. Eds. Academic Press, Orlando, Fla., 1978.

76. He Qingfeng, Anton Annie I. Framework for Modeling Privacy Requirements in Role Engineering. // Int'l Workshop on Requirements Engineering for Software Quality (REFSQ), Klagenfurt Velden, Austria, 16-17 June, 2003.

77. BS 7799-2:2000 Information security management Part 2: Specification for information security management systems. British Standard BS7799, Part 2, 1998.

78. Inmon W.H. Building The Data Warehouse (Second Edition). -NY: John Wiley, 1993.

79. ISO/IEC 15408-1 1999 Information technology Security techniques - Evaluation criteria for IT security - Part 1 Introduction and general model.

80. ISO/IEC 15408-2:1999 Information technology Security techniques - Evaluation Criteria for IT Security. Part 2: Security functional requirements.

81. ISO/IEC 15408-3:1999 Information technology Security techniques - Evaluation Criteria for IT Security. Part 3: Security assurance requirements.

82. ISO/IEC 17799 Code of practice for information security management is a guide containing advice and recommendations to ensure the security of a company's information according to ten fields of application.

83. McLean J. Reasoning about Security Models. // Proceedings of the IEEE Symposium on Security and Privacy. 1987. - pp. 123-131.

84. McLean J. Security Models and information flow. // IEEE symposium on research in security and privacy, 1990.

85. McLean J. The specification and modeling of computer security. // Computer, vol. 23, no. 1, Jan. 1990.

86. Kimball R. The Data Warehouse Toolkit. Practical Techniques for Building Dimensional Data Warehouses. John Willey & Sons, Inc., 1996.

87. Menezes A., van Oorshot P., Vanstone S. Handbook of Applied Cryptography., CRC Press New York, 1997.

88. Priebe Т., Fernandez, E.B., Mehlau, J.I., Pernul G. A Pattern System for Access Control. // Proc. 18th Annual IFIP WG 11.3 Working Conference on Data and Application Security, Sitges, Spain, July 2004.

89. Priebe, Т., Pernul G. A Pragmatic Approach to Conceptual Modeling of OLAP Security. // Proc. 20th International Conference on Conceptual Modeling (ER 2001), LNCS Vol. 2224, Springer, Yokohama, Japan, November 2001.

90. Priebe, Т., Pernul, G. Towards OLAP Security Design Survey and Research Issues. Proc. // Third International Workshop on Data Warehousing and OLAP (DOLAP 2000)., ACM Press, McLean, VA, USA, November 2000.

91. Proposed voluntary consensus standard for role based access control. Электронный ресурс. http ://csrc.nist.gov/rbac/rbac-std-ncits.pdf

92. Sandhu R.S., Coyne E.D., Feinstein H. L., Yourman. C.E. Role-Based Access Control Models. //IEEE Computer, Volume 29, N2, February 1996, pp. 38-47.

93. Sandhu R.S. The Typed Access Matrix Model. // Proceedings of the IEEE Symposium on Security and Privacy, Oakland, California, may 4-6., 1992. pp. 122-136.

94. Sandhu R., Samarati P. Access Control: Principles and Practice. // IEEE Communications. 1994. - Vol. 32. - № 9.

95. Trusted Computer System Evaluation Criteria ("Orange Book"). Department of Defense, 1985.

96. Trusted Database Management System Interpretation of the Trusted Computer System Evaluation Criteria., NCSC. 1991.

97. Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria ("Red Book"), NCSC, 1987.

98. Wang L., Jajodia S., Wijesekera D. Securing OLAP Data Cubes Against Privacy Breaches. // IEEE Symposium on Security and Privacy. 2004. - pp. 161-175.

99. WeipplE., Mangisengi O., Essmayr W., Lichtenberger F., Winiwarter W. An Authorization Model for Data Warehouses and OLAP. // Proc. of the Workshop on Security in Distributed Data Warehousing, New Orleans, Louisiana, October 2001.