автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.12, диссертация на тему:Разработка иерархической модели управления доступом для проектирования комплексов защиты объектов

ВВЕДЕНИЕ.

ЕЛАВА 1. ПРОБЛЕМЫ БЕЗОПАСНОСТИ И СУЩЕСТВУЮЩИЕ ПОДХОДЫ К ИХ РЕШЕНИЮ.

1.1. Классификация систем безопасности.

1.2. Основные элементы систем управления доступом.

1.3. Основные функции систем управления доступом и технические средства их реализации.

1.4. Модели представления структуры СУД.

1.5. Методы назначения прав доступа в СУД.

1.6. Модели и методы анализа безопасности.

1.7. Современные требования к системам безопасности.

1.8. Постановка задач диссертации.

1.9. Выводы по главе.

ЕЛАВА 2. ИЕРАРХИЧЕСКАЯ МОДЕЛЬ СУД.

2.1. Краткая характеристика подхода.

2.2. Первичная модель СУД.

2.3. Базовая модель СУД.

2.4. Полная модель СУД.

2.5. Выводы по главе.

Глава 3. КОНФИГУРИРОВАНИЕ ПОЛНОМОЧИЙ В СИСТЕМАХ

УПРАВЛЕНИЯ ДОСТУПОМ.

3.1. Базовые элементы системы полномочий.

3.2. Назначение прав доступа по методу "уровней логического доступа".

3.3. Виртуальные пути доступа.

3.4. Включение в группу.

3.5. Наследование прав.

3.6. Эквивалентность прав.

3.7. Прямое перечисление прав.

3.8. Эффективные права.

3.9. Синтез структуры СУД.

3.10. Выводы по главе.

Глава 4. КОМПОНЕНТНОЕ ПРОЕКТИРОВАНИЕ ПРОГРАММНЫХ КОМПЛЕКСОВ УПРАВЛЕНИЯ СИСТЕМАМИ БЕЗОПАСНОСТИ.

4.1. Выбор технологии построения программных комплексов.

4.2. Архитектура компонентного программного комплекса управления системой безопасности.

4.3. Варианты развертывания программного комплекса.

4.4. Выводы по главе.

Проблема защиты имущества и деловой информации от действий злоумышленников является актуальной для любой организации [1]. Эти действия могут быть направлены на получение важной закрытой информации, на нанесение материального ущерба, и др. Причем угроза может исходить как извне, так и изнутри организации. Бурное развитие современных технических средств безопасности, расширение выполняемых ими функций позволяет эффективно противодействовать таким угрозам. Как правило, безопасность объекта обеспечивается несколькими системами. Обычный минимальный комплект включает [10, 18] систему охранной и пожарной сигнализации (ОПС) [23, 24, 25, 26, 36, 40, 41], систему теленаблюдения (CCTV) [38] и систему управления доступом (СУД) [17, 39, 22]. В расширенном варианте в него также могут входить система периметральной охраны, система активного пожаротушения [37]. Иногда эти системы объединяют с инженерно-техническими подсистемами обеспечения жизнедеятельности, такими, как подсистема управления лифтами, вентиляцией, кондиционированием и пр. Каждая из этих систем в отдельности отвечает за свой участок работы в соответствии с решаемыми задачами, заложенными в нее на этапе проектирования.

Растущая сложность комплексов приводит к необходимости автоматизации проектирования таких систем. Причем даже при правильном проектировании, монтаже и обслуживании со временем, при развитии организации, число управляющих устройств увеличивается, что ведет к усложнению комплекса и, обычно, к усложнению процесса управления им. В результате этого процесса нагрузка на службу безопасности растет, что отрицательно сказывается на эффективности ее работы. Добавление новых функций, усложнение управления и увеличение размера системы могут привести к образованию слабых мест в системе защиты.

Одним из базовых элементов САПР систем безопасности являются теоретические модели безопасности [52, 53, 54, 55]. Они используются для выявления слабых мест и построения оптимальной структуры системы и стратегии управления безопасностью. Однако существующие на сегодняшний день подходы к решению этой задачи обладают рядом недостатков. В классической модели Белла-Лападула [53,54,60] определяется, какими свойствами должны обладать состояния и действия системы, однако в модели не указывается конкретно, что должна делать система по запросам на доступ субъектов к объектам и как осуществляется переход из одного состояние в другое. В модели матрицы доступов HRU [62] на системах большого размера фигурируют матрицы чрезвычайно большого размера, что приводит к проблемам ее использования. В основу модели распространения прав доступа Take-Grant [63, 59] положено использование графа доступа, однако алгоритмы последовательности применения правил преобразования графа доступа с целью получения некоторого результата по анализу системы в модели не определены. Модель безопасности информационных потоков [65] определяет общие условия информационной безопасности, но не предлагает методов для ее обеспечения.

В связи с этим актуальность работы заключается в том, что создание крупномасштабных комплексов обеспечения безопасности объектов требует адекватных моделей и методов проектирования систем управления доступом.

Важнейшим элементом системы безопасности является система управления доступом. Именно характеристики данной системы как основы интегрированной системы безопасности определяют способность системы безопасности противостоять преднамеренным угрозам внешних и внутренних атак злоумышленников. Из всех подсистем системы безопасности СУД является единственной активной подсистемой. То есть в отличие от других подсистем она не только собирает и обрабатывает информацию, но и автоматически реагирует на возникновение различных ситуаций.

Целью работы является разработка модели и методов проектирования, управления и автоматизации назначения прав в системах управления доступом крупномасштабных систем безопасности.

В соответствии с указанной целью решаются следующие задачи диссертационной работы:

1. Создание модели системы управления доступом, которая отображает объекты защиты и связи между ними и позволяет автоматизировать процесс назначения прав в комплексах защиты объектов.

2. Разработка методов автоматизации назначения прав доступа пользователей системы.

3. Разработка организации структуры программного обеспечения для управления системой безопасности объекта, позволяющего стандартизировать и автоматизировать создание новых систем и обеспечивать масштабируемость и переносимость.

В диссертации выдвинуты и развиты следующие научные положения, представляемые на защиту:

1. Иерархическая модель системы управления доступом, которая инвариантно представляет все физические и логические объекты СУД, связи между ними, а также элементы ограничения доступа к этим объектам, и может быть использована в САПР комплексов защиты объектов.

2. Формализованные масштабируемые методы автоматизированного назначения прав доступа в СУД, а также синтеза структуры СУД на основе операций над булевыми матрицами.

3. Организация внутренней структуры компонентного масштабируемого программного комплекса управления системой безопасности.

Методы исследований основываются на формальных аппаратах теории множеств, теории графов, теории матриц и системного анализа.

Практическая ценность диссертационной работы заключается в следующем.

Полученные результаты позволяют автоматизировать проектирование систем управления доступом с возможностью добавления новых функций, увеличения сложности систем безопасности и уменьшения аппаратных затрат. Разработанная модель и методы проектирования упрощают и удешевляют проектирование и эксплуатацию систем безопасности, позволяют строить тиражируемые крупномасштабные комплексы интегрированных систем безопасности.

Результаты диссертации использованы при исследованиях и разработке программного комплекса "АРACS" в компании "ААМ Системз".

Основные положения работы апробированы на международных конференциях "Информационные средства и технологии" в рамках Международных форумов информатизации МФИ-96, 98, 99 и на 2-ой международной конференции CAD/CAM/PDM - 2002.

По теме диссертации опубликовано 8 работ.

Основные результаты работы заключаются в следующем:

• Разработана иерархическая модель системы управления доступом, позволяющая автоматизировать процесс назначения прав в комплексах защиты объектов. Модель пригодна для применения в системах произвольного масштаба, т.к. в ее основу положено использование матричного представления объектов системы и их связей. Модель позволяет легко добавлять и удалять объекты доступа и связи между ними, хорошо визуализируется с целью восприятия обслуживающим персоналом.

• Предложены масштабируемые методы автоматизации назначения прав доступа для пользователей СУД. В их ее основу также положено использование матричных операций, что хорошо согласуется с используемой моделью СУД. Методы позволяют назначать как индивидуальные, так и групповые права доступа. Они реализовывают все основные применяемые в настоящее время способы наделения пользователей правами доступа к ресурсам системы.

• Разработана организация внутренней структуры компонентного программного комплекса, позволяющая стандартизировать и автоматизировать создание новых систем и обеспечить масштабируемость и переносимость программных комплексов управления системой безопасности объектов. Она использована при проектировании системы безопасности, базирующейся на результатах данной работы.

Использование результатов работы подтверждается актами о внедрении в компании "ААМ Системз".

Объем исследований и степень реализации результатов работы позволяют утверждать, что научные результаты и положения, полученные в настоящей работе, отличаются достоверностью и полностью подтверждаются практикой.

ЗАКЛЮЧЕНИЕ

Выполненный комплекс теоретических и экспериментальных исследований систем управления доступом позволил разработать объектную иерархическую модель и методы автоматизации назначения прав доступа пользователей при проектировании сложных комплексов защиты объектов.

1. Аникеев Т.Е., Полозов P.O. Проблемы безопасности систем защиты объектов // Международный форум информатизации - 98: Доклады международной конференции "Информационные средства и технологии" том 1. 20-22 октября 1998 г., М., 1998. -С. 65-70.

2. Аникеев Г.Е., Полозов P.O. Трехэтапная модель оценки риска для защищаемого объекта // Международный форум информатизации 98: Доклады международной конференции "Информационные средства и технологии" том 1. 19-21 октября 1999 г., -М., 1999.

3. Полозов P.O. Компонентное построение систем безопасности // Международный форум информатизации 98: Доклады международной конференции "Информационные средства и технологии" том 1. 19-21 октября 1999 г., - М., 1999.

4. Полозов Р. О. Программный комплекс АР ACS основа интегрированной системы безопасности // Системы безопасности связи и телекоммуникаций. - 1998. - №18. - С. 86-87.

5. Полозов Р. О., Андрусенко С. В. Lyrix Программный комплекс управления интегрированными системами безопасности // "Системы безопасности". - 2002. -№1 (43), февраль-март. - С. 30-33.

6. Прикупец А.Л. Обеспечение безопасности передачи данных в корпоративных системах. Диссертация на соискание ученой степени кандидата технических наук. 1998.

7. Абалмазов Э.И., Абалмазова М.Э. Концепция безопасности: эшелонированность защиты и многорубежное противодействие угрозам. Журнал "Системы безопасности". Март-апрель 1996.

8. Учебник. Под редакцией В.И. Кирина. Специальная техника и информационная безопасность. М., 2000.

9. Гинце A. A. APACS основа интегрированной системы безопасности // Банковские Технологии - 1999. -№12. с.52-53.

10. Гинце А. А. Интегрированные системы безопасности на основе оборудования компании APOLLO и программного комплекса АР ACS. Доклад в Международном центре научной и технической информации (МЦНТИ). - 25-26 февраля 1998 г.

11. Гинце А. А. Слагаемые безопасности // Системы безопасности, связи и телекоммуникаций. 1999, январь-февраль, №24, с.32-33.

12. Гинце А. А. Архитектура различных систем управления доступом // Бизнес и Безопасность в России. 1999, февраль, №2, с.8-9.

13. Гинце А. А. Назначение систем управления доступом // Мир Безопасности. ноябрь 1999, с.46-50.

14. Алексеенко В. Современная концепция комплексной защиты. Технические средства защиты, АО "Ноулидж Экспресс" и МИФИ, 1994, 38с.

15. Абрамов А., Никулин О., Петрушин А. Системы управления доступом, Оберег-РБ, 1998, 192с.

16. Алексеенко В., Сокольский Б. Система защиты коммерческих объектов. Технические средства защиты, Москва, 1992, 94с.

17. Г.Лакин Биометрия, Высшая школа, 1990, 352с.

18. Г.Макаров Оборудование для автоматических систем контроля доступа, Формула безопасности, 1997,21с.

19. Сборник Выбор и применение современных технических средств охранно-пожарной сигнализации на объектах народного хозяйства (Рекомендации), ВНИИПО, 1991, 222с.

20. Сборник Рекомендации по выбору и тактике применения технических средств охранной сигнализации, ВНИИПО, 1981, 218с.

21. Сборник Технические средства, применяемые в охранной деятельности, Школа охраны "Баярд", 1995, 160с.

22. Ф.Уокер Электронные системы охраны, "За и против", 1991, 289с., пер. с англ.

23. Безопасность компьютерных систем. Словарь терминов, Санкт-Петербург, 1993, 47с.

24. С.Овчинников Технологии безопасности предпринимательской деятельности. В 4 томах, Саратов, 1998.

25. Е.Поздняков Защита объектов (серия "Советы профи"), Банковский деловой центр, 1997, 224с.

26. Пособие Безопасность банков, АО "Солинг", 1996 (изд. второе, доп.), 80с.

27. Сборник Банк и безопасность: Концепция. Методы. Аппаратура, СНПО "Элерон", 1995, 57с.

28. Сборник Обеспечение безопасности предпринимательства, Воронеж, 1992, 96с.

29. А.Тарас Безопасность бизнесмена и бизнеса, Минск: Сэкай, 1996, 158с.

30. А.Шаваев Безопасность корпораций ("Серия Советы профи"), Банковский деловой центр, 1998,240 е.35.