автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.12, диссертация на тему:Разработка реляционной модели для проектирования систем безопасности сети объектов

На правах рукописи

Мохаммед Насир Уддин

РАЗРАБОТКА РЕЛЯЦИОННОЙ МОДЕЛИ ДЛЯ ПРОЕКТИРОВАНИЯ СИСТЕМ БЕЗОПАСНОСТИ СЕТИ ОБЪЕКТОВ

Специальность: 05.13.12 - Системы автоматизации проектирования

(по отраслям: энергетика, приборостроение, информатика) 05.13.01 - Системный анализ, управление и обработка информации

(по отраслям: энергетика, приборостроение, информатика, производственные процессы)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва - 2004

Работа выполнена в Московском энергетическом институте (техническом университете) на кафедре Вычислительной техники.

Научный руководитель: кандидат технических наук, доцент

Аникеев Геннадий Евгеньевич

Официальные оппоненты: доктор технических наук, профессор

Кулагин Владимир Петрович

доктор технических наук, профессор Артамонов Евгений Иванович

Ведущая организация: Институт электронных управляющих машин

Защита состоится 24 июня 2004 года в 1600 в аудитории Малый актовый зал на заседании диссертационного совета Д 212.157.08 в Московском энергетическом институте (техническом университете), адрес: 111250, Москва, ул. Красноказарменная, д. 14.

С диссертацией можно ознакомиться в библиотеке Московского энергетического института (технического университета).

Автореферат разослан 2004 года.

Ученый секретарь диссертационного совета

Беседин В. М.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальностьтемы.

Одной из задач, с которой сталкивается любая организация, является проблема защиты деловой и частной информации, а также имущества и других объектов от действий злоумышленников. Повышение ценности информации в современном мире делает задачу защиты еще более сложной и актуальной.

Защита информации и имущества осуществляется с использованием систем безопасности (СБ), которая имеет аппаратные и программные средства для осуществления задачи безопасности объектов защиты. Под объектом защиты будем понимать некоторое имущество (физический объект) или информацию (логический объект). Объекты защиты в системе безопасности могут быть связаны между собой функциональными связями и образовывать иерархические структуры. В целом они образуют некоторую сеть объектов.

Функциональные связи физических объектов между собой и с информационными (логическими) объектами носят более сложный характер, чем связи информационных объектов между собой. Поэтому задача проектирования систем безопасности, включающих физические объекты, более сложная, чем проектирование систем безопасности с чисто информационными объектами. Даже небольшая организация может включать сотни и более объектом защиты и десятки сотрудников и гостей. Достоверную оценку безопасности такой сложной системы на этапе её проектирования можно получить только с использованием систем автоматизации проектирования (САПР).

Системы автоматизации проектирования системы безопасности (САПР СБ) сети объектов содержат инструменты для выбора и разработки аппаратуры, программного обеспечения и технической документации. Проектирование, установка и эксплуатация систем безопасности являются ответственными и дорогостоящими. Выбор неверных решений при проектировании системы может не позволить полностью решить задачу обеспечения безопасности. Поэтому для систем с высокими требованиями по безопасности (класса В2, ВЗ, А1) стандартами предусмотрена разработка формальной модели управления доступом, включающей все субъекты и объекты данной системы. Должен проводиться анализ наличия побочных каналов утечек, и выявление элементов структуры СБ, критических с точки зрения защиты.

Таким образом необходимыми элементами САПР СБ для разработки крупномасштабных систем высокого класса безопасности, являются модель системы безопасности, которая представляет все элементы системы и связи между ними, методики анализа ее свойств и получения оценки параметров безопасности, а также методики синтеза структуры системы безопасности.

При работе системы безопасности ее основные параметры (объекты защиты, субъекты системы и права доступа субъектов к объектам) постоянно изменяются. Поэтому модель системы должна позволять использовать ее для анализа свойств и оценки качества обеспечения безопасности при управлении доступом

в системе безопасности.

<

Однако известные модели безопасности ориентированы на использование в информационно-вычислительных системах, сложны для использования при оценке системы безопасности физических объектов, не всегда позволяют рассмотреть все возможные связи между элементами системы и варианты поведения субъектов системы. Поэтому актуальным является разработка адекватных моделей и методов для системы физической безопасности сети объектов.

Целью работы является разработка модели и методов для проектирования и управления работой системы безопасности сети объектов и разработка методов анализа параметров обеспечения безопасности в этой системе.

Основными задачами диссертации являются:

1. Разработка модели системы безопасности сети объектов, описывающей все взаимосвязи между компонентами системы безопасности.

2. Разработка на основе предложенной модели методов анализа качества обеспечения безопасности в проектируемой системе безопасности.

3. Разработка на основе предложенной модели методов оценки качества поддержания безопасности в системе безопасности в ходе изменения параметров системы при управлении системой.

Методы исследования основываются на формальных аппаратах теории множеств, теории графов и теории матриц.

Научной новизной характеризуются следующие результаты работы:

1. Реляционная модель системы безопасности сети объектов, основанная на описании объектов и субъектов системы, прав доступа субъектов к объектам и правам других субъектов, связей между ними, а также устройств ограничения доступа к этим объектам в виде отношений между элементами соответствующих множеств. Отношения представлены в матричной форме.

2. Методы анализа качества обеспечения безопасности в проектируемой системе безопасности, которые позволяют рассчитать доступность и недоступность всех объектов, и существование каналов утечки. Разработана методика оценки гарантированности обеспечения политики безопасности.

3. Методы оценки качества поддержания безопасности в системе безопасности в ходе изменения основных параметров системы (объектов защиты, субъектов системы и прав доступа субъектов к объектам) при управлении ее работой.

Практическая ценность работы состоит в следующем:

1. Полученные результаты позволяют автоматизировать анализ качества обеспечения параметров безопасности проектируемой системы безопасности и их соответствие поставленным требованиям.

2. Предложенная модель и методы оценки качества поддержания политики безопасности упрощают и удешевляют проектирование и эксплуатацию систем безопасности.

Реализация результатов работы. Полученные в диссертации результаты использованы при исследованиях и разработке программного комплекса управления системами безопасности "APACS" фирмы ААМ Системз.

Апробация работы и публикации. Основные положения работы апробированы па международных конференциях "Информационные средства и технологии" в рамках Международных форумов информатизации МФИ-2001 и МФИ-2002.

По теме диссертации опубликовано 2 работы.

Структура и объем диссертационной работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложения. Диссертация содержит 15 рисунков, 7 таблиц. Список литературы состоит из 25 наименований. Общий объем диссертации составляет 97 стр.

Содержание работы

Во введении обоснована актуальность темы диссертации, новизна работы, сформулированы цель, задачи исследования, показана практическая ценность.

В первой главе дается терминология, основные понятия и общий обзор состояния задачи обеспечения безопасности объектов и существующих подходов к ее решению, а также обзор известных моделей систем безопасности.

Основным средством системы безопасности по обеспечению защиты объектов является контроль за правами субъектов. Права субъектов реализуются через права доступа субъекта к объекту. Доступ - это осуществление логической (физической) связи некоторого субъекта (человек, вычислительный процесс) с каким-либо объектом для его функционального использования или получения (модификации) поддерживаемых этим объектом свойств (данных). Система безопасности осуществляет разграничение доступа субъектов к объектам на основании некоторых правил политики безопасности.

Для анализа систем безопасности и выявления слабых мест в системе защиты сегодня используют такие теоретические модели безопасности как модель Белла-Лападула, модель матрицы доступов HRU, модель распространения прав доступа Take-Grant, модель безопасности информационных потоков, иерархическая модель безопасности. Однако данные модели ориентированы на моделирование доступа в информационных системах и компьютерных сетях и не учитывают специфику систем физической безопасности, сложны для оценки безопасности системы, не всегда позволяют рассмотреть все возможные варианты поведения субъектов и во многих случаях не дают гарантированной оценки безопасности.

Таким образом, существует потребность в формализованном описании систем физической безопасности {модели системы безопасности), которое в простой форме представит все элементы системы и связи между ними и будет удобно для использования в решении задач анализа и синтеза проектных решений и управления системой безопасности. Существует потребность в разработке методик формализованного анализа свойств и получения оценки параметров безопасности на этапе проектирования и эксплуатации систем, а также методик синтеза структуры системы безопасности. Существующие модели не отвечают всем указанным требованиям.

Во второй главе рассмотрена формальная модель, основанная на множественно-матричном представлении основных элементов системы безопасности и отношений между ними.

Доступ субъектов к объектам или другим субъектам в рассматриваемой модели системы безопасности можно представить как реализацию взаимосвязей, связывающие множества объектов О , субъектов S и множества прав доступа Р.

Взаимосвязимежду элементами системы безопасности можно разделить на следующие виды:

1) Отношение разрешения использования права. Существует множество Р8 пар (р к | в ( ) , где 8168- некоторый субъект, который может обладать правом р к £ Р. Множество Р8 задается прямым произведением (Р х в) множества Р мощностью т и множества S мощностью I. На множестве PS можно определить одноместное отношениеразрешения использования субъектом в; 6 Бне-которого права р к € Р. Это отношение удобно задать прямоугольной матрицей PS размерностью тх1 (рис.1).

Рис. 1. Матрица разрешения Рис.2. Матрица управления правами

прав (т = 6,1 = 4). (менеджмент) субъектов.

Строки матрицы соответствуют различным правам доступа, а столбцы -субъектам системы. Если данное к-е право разрешено для некоторого ¡-го субъекта, то в к-й строке в ¡-м столбце будет значение 1. Разрешенные права могут применяться для любых объектов системы.

2) Отношение управления правами субъектов. Существует множество SS пар СеI, вл ) , где в!, Sj е в -субъект системы безопасности. Множество SS задается прямым произведением (Б х Б) множества S мощностью I. На множестве SS можноопределтъотношениеуправленияправамисубъектов.

Его можно задать квадратной матрицей 88 размерностью 1x1 (рис. 2).

Если ьй субъект является менеджером для .¡-го субъекта и может управлять его правами, то в ьй строке в ^М столбце матрицы будет значение 1. Субъект может управлять только теми правами, которые ему разрешены (матрица PS).

3) Отношение наследования прав. Существует множество ОО пар (о {, о} ), где о,, о} е О - объекты системы безопасности. Множество ОО задается прямым произведением множества О мощностью На множестве ОО можно определить отношение наследования прав. Это отношение можно задать квадратной матрицей размерностью пхп (рис.3). Отношение описывает внутренние взаимосвязи между объектами для рассматриваемого права. Эти связи могут быть двух видов. Непосредственно получаемые права доступа , которые нельзя ограничивать. Они описываются матрицей наследования непосредственных прав OON. Наследуемые права доступа которые можно ограничивать, описываются матрицей наследования прав

Строки и столбцы матриц соответствуют объектам системы. Если для рассматриваемого права из обладания им в ¡-м объекте следует обладание этим же

правом в ум объекте, то в 1-й строке в .¡-м столбце будет значение 1. Для каждого права для каждого субъекта существует своя матрица наследования прав.

OON

(0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0\

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0

0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0

1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0

0 0 1 0 0 0 0 0 1 0 0 0 0 0 Oft 0 0 0 0 0 0 0 1 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0

0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 о 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

.0 0 0 0 0 0 0 0 0 0 0 0 0 Oj 1.0 0 0 0 0 0 0 0 0 О 0 0 0 oj

а)

б)

Рис.3. Матрица отношения наследования непосредственных прав (а) и матрица наследования прав (б) (n=14).

4) Отношение разрешения начать доступ. Существует множество SOI пар (s,, Oj ) для каждого права доступа, где s j е S - некоторый субъект, который может иметь разрешение начать выполнение этого доступа на объекте о} б О. Множество SOI задается прямым произведением (S х О) множества S мощностью I и множества О мощностью п. На множестве SOI можно определить одноместное отношение разрешения начать выполнение субъектом Sj е S рассматриваемый доступ по отношению к некоторому объекту Oj е О. Это отношение можно задать прямоугольной матрицей I хп (рис.4).

Рис.4. Матрица разрешения начала выполнения доступа субъектами на объекты (1 = 4, п = 12).

Рис.5. Матрица разрешения окончания выполнения доступа субъектами на объекты (1 = 4, п = 12).

Строки матрицы соответствуют субъектам системы, а столбцы - объектам системы. Если разрешено начать выполнение рассматриваемый доступ некоторым субъектом по отношению к объекту, то в строке в столбце будет значение 1. Для каждого права существует своя матрица начала выполнения доступа.

5) Отношение разрешения закончить ДОСТУП. Существует множество SOU пар (s 15 О j ) для каждого права доступа, где s i е S - некоторый субъект, который может иметь разрешение закончить выполнение этого доступа на объекте о Множество задается прямым произведением множества S

мощностью I и множества О мощностью п. На множестве SOU можно определить одноместное отношение разрешения закончить выполнение субъектом Si 6 S рассматриваемого доступа по отношению к некоторому объекту о j е О. Это отношение можно задать прямоугольной матрицей I хп (рис.5).

Строки матрицы соответствуют субъектам системы, а столбцы - объектам системы. Если разрешено закончить выполнение рассматриваемого доступа некоторым i-м субъектом по отношению к j-му объекту , то в i-й строке в j-M столбце будет значение 1. Для каждого права существует своя матрица окончания выполнения доступа.

Фактически SOI и SOU получаются путем поэлементного логического сложения матриц разрешения по источникам прав. В общем случае для конкретной реализации системы безопасности способ получения матриц разрешения SOI и SOU зависит от принятых для данной системы правилами управления доступом. Технически ограничения доступа SOI и SOU реализуется, например, с помощью таких технических средств как турникеты, кодовые замки, пароли и т.п.

6) Отношение разрешения для объектов использования доступа. Существует множество ОР пар (о j, pj ), где о, е О - некоторый объект, который может разрешать любым субъектам осуществлять право доступа р ^ е Р. Множество ОР задается прямым произведением (О х Р) множества О мощностью п и множества Р мощностью т. На множестве ОР можно определить одноместное отношение разрешения для объектов Oj е О использования некоторого доступа.Это отношение удобно задать прямоугольной матрицей разрешений доступа для объектов ОР размерностью пхт (рис.6).

Строки и столбцы матрицы соответствуют объектам системы, а столбцы -правам доступа. Если для рассматриваемого i-ro объекта разрешено к-е право доступа, то в строке в столбце будет значение 1.

/10 0 10 0 10 0 0 10 10 0 110 10 10 10 10 0 10 1 10 0 0 11

110 10 1 1 0 0 0 1 1 , 0 10 10 0 0 10 0 0 1 О 1 0 0 0 0 ^о 1оооо,

Рис.6. Матрица разрешений доступа

для объектов (п=12, m=6).

Рассматриваемое отношение разрешений доступа действует для любых субъектов. Оно известно как «защита атрибутами».

Реляционная модель системы безопасности можно построить на основе совокупности отношений, рассмотренных выше. Она формализующую задачу доступа субъектов к объектам.

Отношения наследования прав доступа к объектам складывается из непосредственно получаемых прав доступа, которые описываются матрицей наследования непосредственных прав OON и наследуемых прав доступа, которые описываются матрицей наследования прав 00 (рис.3).

о о о о

О,, о„ о„ Ом

(TBI) (ТВ2)

Рис.7. Граф наследования доступа.

Полная матрица наследования доступа к объектам без учета ограничений доступа получается как поэлементная логическая сумма

AMP = OON + OO (2.1)

Отношение наследования прав также можно задать графом наследования доступа (рис.7), для которого матрица AMP является матрицей смежности. Например, для объектов - помещений (О i - О ю ) матрица и граф наследования задают право доступа в эти помещения. Ребра, соответствующие матрице OON изображены с остроконечными стрелками, а ребра, соответствующие матрице 00 изображены с залитыми стрелками. Граф наследования соответствует плану размещения помещений, вход в которые может быть ограничен системой управления доступом. Вершины графа соответствуют помещениям, а ребра - проходам между помещениями.

Отношение наследования отражает внутренние взаимосвязи между объектами для некоторого права, и задает направление наследования этого права.

Вместе с этим, для каждого субъекта s j е S можно задать ограничения доступа к объектам, определяемые матрицей SOI разрешения начала и матрицей SOU разрешения окончания исполнения права для каждого права доступа Для объектов-помещений первая из них ограничивает вход, а вторая - выход. Ограничения действуют для данного субъекта в отношении конкретного объекта. Эти ограничения могут быть учтены умножением матрицы 00 соответственно справа на матрицу SOID и слева на матрицу SOUD : AMR = OON + SOUD х 00 х SOID , (2.2)

где матрица SOID является диагональной матрицей, в главной диагонали которой элементы соответствуют строке матрицы SOI для рассматриваемого права доступа р k е Р и данного с у б ъ esy в S, а матрица SOUD является диагональной матрицей, в главной диагонали которой элементы соответствуют строке матрицы SOU для этого права доступа р к еР и данного субъекта Sj е S.

Вместе с этим для некоторого права можно задать ограничения на доступ к отдельным объектам для всех субъектов.

Можно определить матрицу доступа субъекта к объектам размерностьюп хп AMS = OON + SOUD х ОО х SOID х OPD, (2.3)

где матрица OPD является диагональной матрицей, в главной диагонали которой элементы соответствуют столбцу матрицы разрешений доступа ОР для рассматриваемого права доступа р^ е Р.

Для рассмотренного примера с объектами - помещениями матрица и граф доступа к объектам имеют вид рис.8. Точки входа (выхода) ТВ1 и ТВ2гявляются для субъекта исходными при его взаимодействия с системой безопасности.

С учетом собственных и добавленных менеджером прав отношение обладания правами можно представить как логическое произведение матрицы разрешения прав PS на матрицу назначенных прав субъектов S S : PSSL = PS x SS (2.4)

А1У1&

/01 1 1000000000 10001100000000 00010010000000 10001000000000 О 1000000000000 О 0*0 01000000000 0 0*1 00000100000 00000000100000 00000000010000 00000100100000 00000000000000 00000000000000 00000000000000 оооооооооооооо

а)

<?0„

О, (ТВ1)

б)

(ТВ2)

Рис.8. Матрица доступа в помещения (а) и граф доступа в помещения (б).

На рис.9 показана матрица разрешения полных прав PSSL для рассматриваемого примера. Здесь же дана матрица арифметического произведения матриц РББ = РБ х ББ , из которой видно, например, что субъект 4 получает разрешение на применение права 2 из двух источников: собственного разрешения и за счет передачи ему разрешения от субъекта 2.

Рис.9. Матрица полных прав.

Объединяя полученные результаты, можно представить реляционную модель системы безопасности в виде следующего матричного выражения:

АМБ^ = СХЖ1к + (БОШ^ х 003>к х БОШд х ОРБк)* рээ^к ,(2.5)

где рзз1 ¿к является элементом матрицы Р88Ь, лежащим на пересечении строки соответствующей праву , и столбца , соответствующему

субъекту в ; € Б , и скалярно умножается на результат произведения матриц ОО^, определяющей наследование субъектом в] € в права доступа рк е Р, диагональной матрицы ОРБ к , задающей атрибуты разрешения применения права Рк е Р по отношению к объектам системы, и диагональных матриц БОГО^к и БОЩ) ^к , определяющих разрешения для субъекта Э1 е в начать и закончить применять право доступа р к е Р по отношению к объектам системы.

Каждая прямоугольная матрица АМБ ^ размерностью п * п определяет возможность доступа субъекта с правом из объекта объекту о, 6 О с учетом всех источников разрешений и запрещений для данного субъекта и данного права.

В третьем главе диссертации рассмотрено использование формальной модели для апализа дискреционной политики безопасности (ДПБ). Методы анализа получены на основании доказательства рада теорем. Вследствие ограничения объема автореферата доказательства теорем не приводятся.

В общем виде ДПБ в СБ должна решать следующие задачи (обеспечить услуги):

1. Обеспечить доступность объектов по заданным правам для субъектов.

2. Обеспечить недоступность объектов по заданным правам для субъектов.

3. Обеспечить отсутствие каналов утечки.

4. Обеспечить доступность субъектов по заданным правам для других субъектов.

5. Обеспечить недоступность субъектов по заданным правам для других субъектов. Обычно администратор системы имеет все права доступа к объектам и правам других субъектов. Администраторы групп пользователей могут быть ограничены в правах управления в пределах группы и выделенной части объектов.

В системе безопасности состав объектов зашиты, субъектов и прав доступа может меняться как при проектировании системы безопасности, так и в различные периоды времени работы системы. Могут также изменяться связи (наследование) между объектами. Система безопасности должна проверять доступность, недоступность и отсутствие каналов утечки после изменений в системе.

Доступность и недоступность объектов в СБ. Для решения этих задач ДПБ в СБ можно сформировать две группы списков:

1. Списки разрешенных прав доступа для каждого субъекта к объектам, которые должны быть обеспечены СБ для заданной ДПБ («белый список»).

2. Списки запрещенных прав доступа для каждого субъекта к объектам, к которым не должно быть доступа для заданной ДПБ («черный список»).

Списки п. 1 можно задать множеством матриц требуемых прав ESO & , для всех прав Строки матрицы соответствуют субъектам системы, а столбцы

- объектам системы. Если рассматриваемое право должно быть обеспечено для некоторого i-ro субъекта по отношению к j-му объекту , то в i-й строке в j-м столбце будет значение 1. Для каждого права существует своя матрица ESO

Списки п.2 можно задать множеством матриц запрета доступа DSO ^ для всех прав , Строки матрицы соответствуют субъерам системы, а столбцы -

объектам системы. Если рассматриваемое право должно быть запрещено для некоторого i-ro субъекта по отношению к j-му объекту , то в i-й строке в j-M столбце будет значение 1. Для каждого права существует своя матрица

На рис. 10 дан пример матриц требуемых прав и запрета для права доступа в помещения.

0 0 0 0 0 0 0 0 1 0 0 1\ ^0000 10000 10 0Л

000010000000 000000000000

000000000000 ' оооооооооооо,

Рис.10. Матрица требуемых прав ESO и матрица запрета прав DSO. Очевидно, что пересечение множеств элементов двух списков должны давать пустое множество:

Ese

000000001000 Ю ооооооюоо о;

DSQ

Многие свойства модели удобно рассматривать в терминах графа доступа.

Под распространением прав доступа будем понимать наследование субъектом прав доступа от одного объекта к другим объектам согласно матрице AMS. На графе доступа распространение прав доступа представлено ребрами графа. Право будет наследовано из 01 в , если из вершины 0|в вершину 0| направлено ребро (дуга). Будем называть объект о в £ О базовым или начальным, если субъект уже получил доступ к нему, и необходимо проверить возможность распространения права доступа из него до некоторых других объектов.

Под шагом распространения права доступа будем понимать получение доступа к соседним по графу доступа объектам из данного объекта согласно матрице AMS. На графе доступа шаг распространения права доступа соответствует получение доступа ко всем вершинам по ребрам, исходящим из вершины о 1

Маршрутам распространения прав (или просто маршрутом) будем называть конечную или бесконечную последовательность объектов (вершин графа доступа), которые на графе доступа соединены ребрами, причем вершина конца одного ребра является началом следующего. Маршрут распространения прав будем называть цепью распространения прав, если ребра графа доступа встречаются в нем не более одного раза. Замкнутая цепь, в которой объекты начала маршрута и конца маршрута совпадают, будем называть циклам.

Доступностью некоторого целевого объекта из заданного базового объекта будем называть свойство системы безопасности распространения права доступа на этот объект из базового через конечное число шагов. Объект будет доступен, если на графе доступа существует маршрут из базового объекта в целевой объект.

Недоступностью некоторого целевого объекта из заданного базового объекта будем называть свойство системы безопасности, когда нет ни одного маршрута распространения прав доступа на этот объект из базового объекта.

Теорема 3 3. Недоступность объекта о j е О из назначенного начального объекта по заданному праву доступа для некоторого субъекта будет обес-

печена, если при последовательном возведении матрицы доступа АМ8 в степень с 1 по (п - 1), где п = |0| - число объектов системы, в матрице результатов элемент на пересечении строки и столбца не будет принимать значение 1.

Следствие 3.4. Доступность объекта о} е О из назначенного начального объекта по заданному праву доступа для некоторого субъекта будет обес-

печена, если при последовательном возведении матрицы доступа АМ8 в степень с 1 по (п - 1), где п = |0| - число объектов системы, в матрице результатов элемент на пересечении 1-й строки и .¡-го столбца примет значение 1.

Матрицей доступности МА 1ц для субъекта Б ] по праву доступа р^ • е Р будем называть матрицу размерностью , элемент которой

равен 1 лишь в том случае, если для субъекта в ] имеется доступ по праву р ^ из объекта о | б О к соответствующему объекту оч е О хотя бы по одному маршруту.

Теорема 3.5. Матрица доступности МА ц для субъекта Б } по праву доступа Р б Р может быть получена как поэлементная логическая сумма соответствующих элементов матрицы доступа АМБ у для права достур^и всех матриц маршрутов т-й степени (АМБ у)ш от нее производных, где т = 1 .. (п-1):

МАц=ЕАМ8кит ,т=1..(п-1). (3.6)

Будем называть некоторый объект точкой входа в систему для субъекта по некоторому праву доступа р к £ Р , если этот субъект осуществляет это право доступа на данный объект при входе в систему (регистрация, начало работы). Будем называть некоторый объект точкой выхода из системы для субъекта по некоторому праву доступа , если этот субъект должен осуществить это

право доступа на данный объект для выхода из системы (окончания работы). Точки входа и выхода для данного права могут совпадать. Точки входа или выхода для разных прав могут не совпадать. Право может не иметь точек входа и выхода, если получение доступа по этим правам к объектам не связано с входом или выходом из системы безопасности.

Права доступа будем называть связанными или условными, если получение одного права доступа {дополнительное или дочернее право) к некоторым объектам обусловлено необходимостью обладания другим правом доступа (основное или родительское право) к определенному объекту (объектам). Право, которое не зависит от другого права, будем называть безусловным, или абсолютным правом. Связанный доступ будем обозначать как р к / Р»> где р 1 6 Р является родительским, а дочерним правом. Основное право может иметь несколько дочерних прав. Дополнительное право может иметь несколько родительских прав. В этом случае дочернее право связано с родительскими функциями алгебры логики.

Множество объектов, из которых субъект может осуществлять некоторое право доступа связанные наследованием данного права, будем называть

доменом доступа по праву . Множество объектов, включающее точку входа в систему, из которых субъект прямо или через наследование может осуществлять право доступа будем называть доменом доступности по праву . До-

мен доступности включает точку входа в систему, объекты домена доступа по этому праву и объекты, входящие в маршруты, связывающие точку входа с каждым из объектов домена доступа. Домен доступности определяет ресурсы системы, которые предоставлены субъекту S для выполнения некоторых действий. Субъекты могут иметь разные домены доступности для различных прав доступа.

Вектором домена доступности для субъекта по праву доступа ,

где будем называть упорядоченную последовательность длины п, где п -

число объектов в системе, элементов уаЛ^ , каждый из которых обозначает вхождение 1-го объекта в данный домен доступности.

Теорема 3.7. Элементы (уа<1 [ вектора домена доступности УАО для субъекта Б j по безусловному праву доступа р к, где р к 6 Р; может быть получен как поэлементная логическая сумма ш элементов соответствующих столбцов [ для тех строк матрицы доступности для права доступа , которые соответствуют точкам входа в систему, т.е. каждый элемент вектора доступности (уас! ц) 1 можно найти как:

(уаси^ - ^ (та]у)ч,| , (3.8)

где q = 1 .. m - строки матрицы MA у , соответствующие точкам входа в систему, a i = 1.. п - столбцы матрицы MAig

Теорема 3.9. Элементы (vad щ) i, где i = 1 .. п вектора домена доступности (VAD ft) j для субъекта S j по условному праву доступа р k / р t, где р t € Р является родительским, а р к € Р дочерним правом, могут быть получены как поэлементная логическая сумма суммы m элементов (ma tj ) q,x соответствующих столбцов i для тех строк q матрицы доступности МА у для родительского права доступа р t, которые соответствуют ш точкам входа в систему, и суммы по всем строкам х, где х = 1.. п столбца i, произведения элемента (ma ^ ) v строки х матрицы доступности MA kj для дочернего права доступа на поэлементную логическую сумму m элементов (та у ) ^ соответствующих столбцов х для тех строк q матрицы доступности МА у для родительского права доступа р,, которые соответствуют точкам входа в систему, т.е. каждый элемент вектора доступа (vad ytj)i можно найти как:

(vadk/u), =Е (ma,j)ql +Z ((ma^Ki (ma,j)qx ) , (3.9)

где i = 1.. n, X = 1 .. n, n= ¡О) - число объектов системы.

Матрицей доменов доступности MAD к для права доступа р к 6 Р будем называть матрицу из q строк и п столбцов, где q = |Sj - число субъектов системы, а каждая строка представляет собой вектор домена доступности VAD у длины п для субъекта по праву доступа

Теорема 3.12. В системе безопасности гарантированно обеспечивается доступность объектов, если для матрицы доменов доступности MAD kj и матрицы требуемых прав ESO у для соответствующих элементов выполняется условие

(mad 0 j,, ä (eso к ) j,, , где j = 1.. 1, i - 1.. п. (3.20)

Теорема 3.14. В системе безопасности гарантированно обеспечивается недоступность объектов» если для матрицы домена доступности MAD kj и матрицы 'запрета прав DSOkj для соответствующих элементов выполняется условие

(madk)j.,£ l(dsok)j,,, где j = 1 ..1, i=l ..п. (3.22)

Каналы утечки.

Под утечкой будем понимать запрещенный доступ к объектам, угрожающий их конфиденциальности или целостности, который возникает на основе сочетания разрешенных прав доступа. Каналом утечки будем называть недопустимое сочетание прав доступа двух или более субъектов к заданному множеству объектов общего доступа в пересечении их доменов доступа. Сочетание двух прав доступа является недопустимым для заданного и определяемого по некоторому алгоритму множества неразделяемых объектов NSO pi рг (S i, S j ) . Это множество может бать сформировано любыми путями.

Вектором домена общего доступа VDC для двух субъектов S i и S 2 будем называть вектор длины п , элемент которой vdc i равен 1 лишь в том случае, если к соответствующему объекту о i е О разрешен доступ как S ь так и S 2

Вектором неразделяемых объектов У^ф^ц^я) для двух субъектов Б ] и Бг будем называть вектор длины п, элемент которого утк , равен 1 лишь в том случае, если соответствующий объект 0,еО не разделяем по данному сочетанию права доступа р1 е Р для Б | и права доступа р2 е Р для Б 2• Вектор неразделяемых объектов УИБ (р^щрг,^) является векторным представлением множества неразделяемых объектов

Теорема 3.17. Пусть р1, р2 е Р являются недопустимым сочетанием прав доступа двух субъектов Б 1 и Б 2 к общим объектам. Тогда канал утечки будет иметь место, если логическое поэлементное произведение векторов

УЬюлнд.Я) » УОр,.81 * УБр2.52* ^(„лмйда* Уо, (3.26)

где УО р(а51 и УБ р2^2 являются векторами доменов доступа для 8[ и Бг соответственно, является вектором неразделяемых объектов, а это нулевой вектор (все элементы раны нулю).

В четвертой главе диссертации рассмотрено использование формальной модели для анализа качества обеспечения дискреционной политики безопасности (ДПБ) в системе безопасности в ходе изменения параметров (состава объектов, субъектов и прав доступа) при управлении системой.

В системе безопасности в различные периоды работы могут изменяться параметры системы: состав объектов защиты, субъектов и: прав доступа. Такие изменения являются обычными при работе СБ. Они вносятся администраторами системы при ее реконфигурации и отражают ее текущее рабочее состояние.

Задачу анализа системы безопасности после внесения изменений можно сформулировать следующим образом: приведут ли изменения параметров системы, являвшейся безопасной до их внесения, к потере этого свойства.

Полагаем, что такие изменения вносятся по одному. Поэтому безопасность состояния системы (поддержку заданной политики безопасности) можно также проверять после каждого шага внесения этих изменений. Анализ безопасности нового состояния системы можно выполнить, используя методы анализа, рассмотренные в главе 3. Однако для системы большого масштаба полный анализ может занимать заметное время. Поэтому представляет интерес разработка методики сокращенного анализа безопасности системы, в которой анализу подвергаются в основном измененные параметры системы.

Добавление объекта в систему.

При добавлении новых объектов возникает задача проверки их доступности для субъектов. После добавления нового объекта может также измениться недоступность старых объектов, т.к. возникают новые связи по наследованию прав доступа. Доступность нового объекта для субъекта Б ] по праву доступа р к е Р означает, что он входит в домен доступа для Б} по праву доступа р к е Р

Теорема 4.4. В системе безопасности, после добавления нового объекта с „+1 доступность к старым объектом не ухудшается, т.е. для соответствующих элементов матриц доступности до и после добавления выполняется следующее:

(ma2Jii)i[>=(mal j.i)k , i=l ..п. (4.4)

При добавлении нового объекта о„+| в новой матрице доступности МА2 изменяются значения элементов, соответствующие старым объектам о,- (i=l..n) и появляется новая п+1 -я строка и новый п+1 -й столбец.

Теорема 4.6: При добавлении нового объекта Оц^ новые значения ma2 ¡j элементов матрицы доступности МА можно найти из выражений:

• измененные элементы, соответствующие старым объектам о t (i - 1.. n):

• элементы новой п+1 -й колонки:

Выражение (4.8) указывает простой метод коррекции матрицы МА. Если в i-й строке n+l-го столбца матрицы доступа AMS имеется значение 1 и j-м столбце п+1-й строки матрицы доступа AMS имеется значение 1, то элемент та у на пересечении i-й строки и j-ro столбца должен быть установлен в 1 независимо от старого значения. В противном случае значение элемента не изменяется.

Сравнение трудоемкости расчета в числе элементарных операций типа логическое сложение, умножение и сохранение значения в памяти.

Объем вычислений по (2.6) требует Tj = 2п3+ (п-1) + п2 * (п-1) я 2п4операций.

Оценим объем вычислений по (4.8) - (4.10) требует Т2 = 4п2 операций. Это в п*/2 раз меньше чем по (3.6).

Теорема 4.9. В системе безопасности, обеспечивающей гарантированную -доступность объектов, это состояние после добавления объекта о „.ц не изменится, если для каждого субъекта S j и каждого требуемого права р k £ Р для матрицы доменов доступности MAD^j и матрицы • требуемых прав ESO у для соответствующих элементов выполняется условие:

(madk)j.n+, £ (esoOj^i , где] = 1..1. (4.14)

Теорема 4.10. Пусть до добавления нового объекта система безопасности обеспечивала гарантированную недоступность объектов и имела матрицу домена доступности MAD у • Это состояние системы не изменится после добавления объекта если для матрицы домена доступности и матрицы запрета

прав для соответствующих элементов выполняется условие:

(S(madk)j,q*ams4.n+1 )»ams„4t,i <l(dsok)j.i, (4.16)

где j = 1 .. 1, i = 1 ..пи (mad i) у - элементы матрицы домена доступности MADig до добавления объекта ott+i, a ams4,n+i namSn+ij - новые элементы матрицы доступа AMS.

Сравним трудоемкость расчета гарантированной недоступности объектов по (4.16) в числе элементарных операций с расчетом ее по (3.22). Полный расчет по (3.22) требует для каждого субъекта вычисления новой матрицы доступности МА по (3.6), что дает 2п4 операций, и вычисление элементов вектора домена доступности VAD по (3.8), что потребует п2 операций. Расчет по (4.16) требует Тз = п2 + п я п2 операций для каждого субъекта. Следовательно, использование оценки по (4.16) ускоряет оценку гарантированной недоступности в 2п2 раз.

Если использовать для коррекции матрицы МА выражения (4.8) - (4.10), то потребуется всего Т4 = 4п2 + п == 5 п операций. В этом случае оценка по (4.16) позволяет ускорить расчеты в 5 раз.

Отсутствие каналов утечки. После добавления нового объекта о n+i возникают новые связи по наследованию прав доступа. Это может привести к возникновению канала утечки. Согласно (3.26) для нового состояния системы после добавления нового объекта о n+i для недопустимого сочетания прав доступа pi, р2 е Р двух субъектов S i и S 2 к общим объектам будет иметь место канал утечки, если хотя бы для одного объекта системы о, (i = 1 .. п+1) логическое поэлементное произведение являются соответствующими элементами векторов доменов доступа для Si и S2 , a vns'i является элементом вектора неразделяемых объектов VNS (pl,Sl),(p2,S2) ЛДя объектов о, (i=l .. п+1).

Проверку этого выражения можно разделить на две части:

• Проверка для «старых» объектов

vdl'i * vd2'i *vnsj =1, i = 1.. п . (4.19)

Считаем, что для «старых» объектов значения элементов вектора неразделяемых объектов VNS не изменились (vns'j = vns \).

• Проверка для нового объекта о п+;

vdlVi * vd2'„+i * vnsV, = 1 . (4.20)

Согласно (3.7) для новых значений элементов вектора

vd,1=Ema4.i , (4.21)

Подставим (4.21) в (4.20) и с учетом (4.9) для элементов новой п+1 -й колонки и того, что выражение для проверки принимает вид:

Оценим трудоемкость проверки появления канала утечки после добавления нового объекта. Полный расчет по (3.26) требует Tj = 4n4 + 5nz « 4п4 операций.

Расчет по представленному методу оценки требует Tj = 12п операций. Следовательно, использование представленного правила оценки позволяет ускорить проверки появления канала утечки в П3/3 раз.

Удаление объекта из системы. При удалении объекта новых связей в графе доступа не возникает. Поэтому состояние гарантированной недоступности объектов сохраняется. Удаление объекта также не создает каналов утечки.

Однако удаление объекта может изменить существующие маршруты доступа и требует проверки сохранения доступности объектов. Для правильной работы системы после удаления объекта необходимо, чтобы для всех субъектов по всем правам была обеспечена доступность всех объектов в соответствии с матрицей требуемых прав ESO.

Оценим влияние удаления объекта на матрицу доступа МА и дадим методику быстрой коррекции МА.

Допустим, что удаляется объект О j. Изменения МА можно рассматривать в несколько этапов:

1) Вычеркиваем (заполняется нулями) столбец i и строка i матрицы доступа МА, соответствующие объекту о , т.к. этот объект становится недоступен как для входа (столбец), так и для выхода (строка).

2) Для элементов вычеркнутой строки с та ц = 1 выделяем столбцы, у которых все другие элементы ma^q3 0 (х = 1 .. п). Это значит, что доступ к оч возможен только из . Следовательно, все маршруты, проходящие через , становятся недействительными, в том числе доступ из них к соседним элементам.

3) Вычеркнем все строки q в МА, которые соответствуют таким столбцам.

4) Повторяем с этапа 2 для каждой вновь вычеркнутой строки до тех пор, пока в вычеркиваемой строке будут отсутствовать элементы со значением 1, или для элементов с = 1 все проверяемые столбцы будут содержать также другие ненулевые элементы (есть обходные маршруты).

В результате выполнения данного алгоритма коррекции из матрицы МА будут удалены все недействительные маршруты.

Оценим верхний предел трудоемкости вычислений для быстрой коррекции МА, считая, что в каждой вычеркиваемой строке каждый элемент равен 1.

Т7 < 2n + n *(n-l) + n *(n-l)*ri « п3 (4.27)

где 2п - очистка удаляемых строки и столбца

п *(п-1) - просмотр строки и оценка столбцов для удаляемого объекта

П ф(п-1)*п - просмотр всех остальных строк, оценка каждого столбца и очистка всех строк.

Оценка п3 существенно завышена, т.к. число единиц в столбцах незначительно и процесс коррекции матрицы МА быстро завершается. Но даже для полученной завышенной оценки объем работы по (4.27) в 2п раз меньше, чем полный перерасчет по (4.11).

Добавление субъекта в систему (регистрация нового пользователя) сопровождается также определением для него прав доступа, требований доступности и недоступности по всем правам для всех объектов. При добавлении новых субъектов задача проверки доступности и недоступности для них объектов решается методами, рассмогренными в главе 3. Добавление новых субъектов не изменяет для существующих субъектов доступность и недоступность объектов. Однако после добавления нового субъекта в некоторых объектах может возникнуть канал утечки между ним и одним или несколькими существующими субъектами.

Согласно (3.26) теоремы 3.17 для нового состояния системы после добавления нового субъекта з ь+1 для недопустимого сочетания прав доступа р1, р2 е Р двух субъектов Б ь+1 И Б $ (1' = 1 .. Ь) к общим объектам будет иметь место канал утечки, если хотя бы для одного объекта системы 01 0 = 1 .. п) логическое поэлементное произведение:

где У<11, и являются соответствующими элементами векторов доме-

нов доступа УО Р1,1.+1 > УО р^ для Б и Б ^ а упв, является элементом вектора неразделяемых объектов (Р1, ь+1)(р2, ^ для объектов о | (1=1 .. п). Значения I и 3 указывают соответственно на субъект и объект для канала утечки.

Следовательно, канал утечки будет иметь место, если:

Л X УС!11 * * УПБ, = 1 (4.28)

Удаление субъекта из системы не вызывает появления новых маршрутов, и не теряются старые маршруты для других субъектов системы безопасности. Поэтому гарантии доступности и недоступности для остающихся субъектов не изменяются. Удаление субъектов также не вызывает появление каналов утечки.

Добавление операций доступа в систему может происходить при добавлении в систему нового объекта с новыми свойствами или изменении свойств имеющихся объектов. Это приводит к появлению нового права доступа, которое контролируется системой безопасности. Добавление нового права доступа не изменяют доступность и недоступность объектов для старых прав доступа. Однако может возникнуть канал утечки. Проверку появления канала утечки следует провести с помощью (3.26).

Удаление операций доступа из системы не изменяет недоступность объектов для остающихся прав доступа и не создает каналов утечки. Однако следует проверить доступность объектов по остающимся правам доступа, если удаляемое право доступа являлось родительским по отношению к остающимся правам доступа.

Проверку доступности объектов следует провести по (3.20) для всех прав, связанных с удаляемым, если удаляемое право не является единственным. Если удаляемое право доступа является единственным для некоторого другого права доступа, то его удаление делает использование дочернего права невозможным, т.е. оно также удаляется из системы.

20 II'

- в 8 11

Основные результаты работы

В диссертационной работе были разработаны и исследованы модель и методы управления системами физической безопасности. При этом получены сле-дующиенаучные ипрактическиерезультаты:

1. Разработана реляционная модель системы безопасности сети объектов, основанная на описании объектов и субъектов системы, прав доступа субъектов к объектам и правам других субъектов, связей между ними, а также устройств ограничения доступа к этим объектам в виде отношений между элементами соответствующих множеств. Модель пригодна для применения в системах любого масштаба, т.к. в ее основу положено использование матричных операций. Модель позволяет легко добавлять и удалять субъектов и объекты доступа и связи между ними и может быть использована для анализа и синтеза проектных решений САПР систем безопасности и управления системой при ее эксплуатации.

2. На основе предложенной модели системы безопасности разработаны методы анализа качества поддержания политики безопасности в системе безопасности, которые позволяют рассчитать доступность и недоступность всех объектов, и существование каналов утечки. Разработана методика оценки гарантированно-сти обеспечения политики безопасности.

3. Предложены методы анализа качества поддержания политики безопасности в системе безопасности в ходе изменения основных параметров системы (объектов защиты, субъектов системы и прав доступа субъектов к объектам) при управлении ее работой. Методы позволяют проводить оценку в существенно сокращенном объеме вычислений.

4. Предложенные в данной работе модели и методы использованы при исследованиях и разработке программного комплекса управления системами безопасности "АРАС8" фирмы ААМ Системз.

Основное содержание диссертации изложено в следующих публикациях:

1. Аникеев Г.Е., Викульцев А.Н., Мохаммед Насир Уддин. Реляционная модель системы управления доступом //Международный форум информатизации -2001: Доклады международной конференции «Информационные средства и технологии». 16-18 октября 2001г., в 3-х т.т. Т2 -М.:Из-во «Станкин», 2001,-с.34-37.

2. Аникеев Г.Е., Мохаммед Насир Уддин. Реляционная модель системы безопасности сети объектов //Международный форум информатизации - 2002: Доклады международной конференции «Информационные средства и технологии». 15-18 октября 2002г., в 3-х т.т. Т1 - М.: Янус-К., 2002, -с.26-30.

Подписано в печать /4.С&С43 а к. № Тир. КО Полиграфический центр МЭИ (ТУ) Красноказарменная ул., д. 13

ВВЕДЕНИЕ

Глава 1. СОВРЕМЕННОЕ СОСТОЯНИЕ ВОПРОСОВ БЕЗОПАСНОСТИ

1.1. Основные понятия и терминология 6 •

1.2. Угрозы безопасности

1.3. Методы и средства защиты от несанкционированного доступа

• 1.4. Политика безопасности

1.5. Модели систем безопасности сети объектов

1.6. Основные результаты, полученные в главе

Глава 2. РЕЛЯЦИОННАЯ МОДЕЛЬ СИСТЕМЫ БЕЗОПАСНОСТИ СЕТИ ОБЪЕКТОВ

2.1. Основные элементы системы безопасности

2.2. Управление правами доступа в системе безопасности

2.3. Взаимосвязи между элементами системы безопасности

2.4. Реляционная модель системы безопасности

2.5. Основные результаты, полученные в главе

Глава 3. ДИСКРЕЦИОННАЯ ПОЛИТИКА БЕЗОПАСНОСТИ В СИСТЕМЕ БЕЗОПАСНОСТИ СЕТИ ОБЪЕКТОВ

3.1. Основные задачи дискреционной политики безопасности

• 3.2. Доступность и недоступность объектов в СБ

3.3. Каналы утечки

3.4. Основные результаты, полученные в главе

Глава 4. ДИСКРЕЦИОННАЯ ПОЛИТИКА БЕЗОПАСНОСТИ В СИСТЕМЕ БЕЗОПАСНОСТИ ПРИ ИЗМЕНЕНИЯХ ПАРАМЕТРОВ СИСТЕМЫ

4.1. Добавление объекта в систему

4.1.1. Доступность и недоступность объектов

4.1.2. Отсутствие каналов утечки

4.2. Удаление объекта из системы

4.3. Добавление субъекта в систему

4.4. Удаление субъекта из системы

4.5. Добавление операций доступа в систему

4.5. Удаление операций доступа из системы

Одной из задач, с которой сталкивается любая организация, является проблема защиты деловой и частной информации, а также имущества и других объектов от действий злоумышленников. Бурное развитие информационных коммуникаций, расширение масштаба деловой активности и взаимодействия людей облегчает действия злоумышленников. Повышение ценности информации в современном мире делает задачу защиты еще более актуальной.

Защита информации и имущества осуществляется с использованием систем безопасности (СБ), которая имеет аппаратные и программные средства для осуществления задачи безопасности объектов защиты. Под объектом защиты будем понимать некоторое имущество (физический объект защиты) или информацию (логический объект защиты). Безопасность объектов защиты означает такое состояние имущества, хранимых, обрабатываемых и передаваемых данных, при котором невозможно их случайное или преднамеренное получение, изменение или уничтожение.

Объекты защиты в системе безопасности могут быть связаны между собой некоторыми функциональными связями. Примером может служить связь соседних помещений для прохода людей. Объекты могут образовывать иерархические структуры. Доступ к внутренним объектам в иерархических структурах объектов защиты возможен только при осуществлении доступа к внешним объектам. В целом объекты защиты образуют некоторую сеть объектов. Они связанны между собой по одному или нескольким функциональным связям.

Следует отметить, что связи физических объектов между собой и с информационными объектами носят более сложный характер, чем связи информационных объектов между собой. Поэтому задача проектирования систем безопасности, включающих как физические, так и логические объекты, более сложная, чем проектирование с чисто информационными объектами.

Действия злоумышленников могут быть направлены на получение важной закрытой информации, на нанесение материального ущерба или ущерба репутации фирмы и др. Источник угрозы может исходить как извне, так и изнутри организации. Организация может быть размещена на нескольких удаленных друг от друга площадках, окруженных неконтролируемой ею потенциально враждебной средой (с точки зрения безопасности). Даже небольшая организация может включать сотни и более объектом защиты и десятки сотрудников и гостей. Достоверную оценку безопасности такой сложной системы на этапе проектирования её общей структуры и основных функций можно получить только с использованием систем автоматизации проектирования (САПР).

Системы автоматизации проектирования системы безопасности (САПР СБ) сети объектов содержат инструменты для выбора и разработки аппаратуры, программного обеспечения и технической документации. Проектирование, установка и эксплуатация систем безопасности являются ответственными и дорогостоящими. Выбор неверных решений при проектировании системы может не позволить полностью решить задачу обеспечения безопасности. Поэтому для систем с высокими требованиями по безопасности (класса В2, ВЗ, А1) стандартами предусмотрена разработка формальной модели управления доступом, включающей все субъекты и объекты данной системы. Должен проводиться анализ наличия побочных каналов утечек, и выявление элементов структуры • СБ, критических с точки зрения защиты [1,6,8].

Следовательно в составе САПР СБ необходимы инструменты проектирования систем безопасности, позволяющие создавать модель разрабатываемой системы безопасности. Они позволят методами моделирования и инженерного анализа осуществить анализ проектируемого технического решения, получить оценку его основных параметров, выделить критические с точки зрения безопасности элементы и выполнить синтез решения, отвечающего поставленным требованиям.

Таким образом необходимыми элементами САПР СБ для разработки крупномасштабных систем высокого класса безопасности, являются модель системы безопасности, которая представляет все элементы системы и связи между ними, методики анализа ее свойств и получения оценки параметров безопас-« ности, а также методики синтеза структуры системы безопасности.

При работе системы безопасности ее основные параметры (объекты защиты, субъекты системы и права доступа субъектов к объектам) постоянно изменяются. Поэтому модель системы должна позволять использовать ее для анализа свойств и оценки качества обеспечения безопасности при управлении доступом в системе безопасности.

Однако известные модели безопасности ориентированы на использование в информационно-вычислительных системах, сложны для использования при оценке системы безопасности физических объектов, не всегда позволяют рассмотреть все возможные связи между элементами системы и варианты поведения субъектов системы. Поэтому актуальным является разработка адекватных моделей и методов для системы физической безопасности сети объектов.

Целью работы является разработка модели и методов для проектирования и управления работой системы безопасности сети объектов, и методов анализа параметров обеспечения безопасности в этой системе.

В соответствии с указанной целью решаются следующие задачи диссертационной работы:

1. Разработка модели системы безопасности сети объектов, описывающей все взаимосвязи между компонентами системы безопасности.

2. Разработка на основе предложенной модели методов анализа качества обеспечения безопасности в проектируемой системе безопасности.

3. Разработка на основе предложенной модели методов оценки качества поддержания безопасности в системе безопасности в ходе изменения параметров системы при управлении системой.

В диссертации выдвинуты и развиты следующие научные положения, представляемые на защиту:

• 1. Реляционная модель системы безопасности сети объектов, основанная на описании объектов и субъектов системы, прав доступа субъектов к объектам и правам других субъектов, связей между ними, а также устройств ограничения доступа к этим объектам в виде отношений между элементами соответствующих множеств. Отношения представлены в матричной форме.

2. Методы анализа качества обеспечения политики безопасности в системе безопасности, которые позволяют рассчитать доступность и недоступность всех объектов, и существование каналов утечки.

3. Методы анализа качества поддержания политики безопасности в системе безопасности в ходе изменения основных параметров системы (объектов защиты, субъектов системы и прав доступа субъектов к объектам) при управлении ее работой.

Методы исследования основываются на методах теории множеств и теории графов. Достоверность теоретических разработок, научных положений, выводов и рекомендаций подтверждаются строго доказательным стилем изложения материала и совпадением полученных теоретических результатов с данными математического моделирования и опытом эксплуатации реальных систем.

Практическая ценность диссертационной работы заключается в следующих результатах, имеющих большое хозяйственное значение:

1. Полученные результаты позволяют автоматизировать проектирование структуры системы безопасности, оценку параметров безопасности проектируемой системы и их соответствие поставленным требованиям.

2. Предложенная модель и методы оценки качества поддержания политики безопасности упрощают и удешевляют проектирование и эксплуатацию систем безопасности.

3. Предложенные в данной работе модели и методы использованы при исследованиях и разработке программного комплекса управления системами безопасности "АРACS" фирмы ААМ Системз.

Основные положения работы доложены на Международных форумах информатизации МФИ-2001 и МФИ-2002

Список трудов автора по теме диссертации содержит 2 работы.

Основные результаты работы заключаются в следующем:

1. Разработана реляционная модель системы безопасности сети объектов, основанная на описании объектов и субъектов системы, прав доступа субъектов к объектам и правам других субъектов, связей между ними, а также уст» ройств ограничения доступа к этим объектам в виде отношений между элементами соответствующих множеств. Модель пригодна для применения в системах любого масштаба, т.к. в ее основу положено использование матричных операций. Модель позволяет легко добавлять и удалять субъектов и объекты доступа и связи между ними и может быть использована для анализа и синтеза проектных решений САПР систем безопасности и управления системой при ее эксплуатации.

2. На основе предложенной модели системы безопасности разработаны методы анализа качества поддержания политики безопасности в системе безопасности, которые позволяют рассчитать доступность и недоступность всех объектов, и существование каналов утечки. Разработана методика оценки гарантиро-ванности обеспечения политики безопасности.

3. Предложены методы анализа качества поддержания политики безопасности в системе безопасности в ходе изменения основных параметров системы (объектов защиты, субъектов системы и прав доступа субъектов к объектам) при управлении ее работой. Методы позволяют проводить оценку в сущест

• венно сокращенном объеме вычислений.

Использование результатов работы подтверждается актом внедрения, полученным от ААМ Системе.

Объем исследований и степень реализации результатов работы позволяют утверждать, что научные результаты и положения, полученные в настоящей работе, отличаются достоверностью и подтверждаются практикой.

ЗАКЛЮЧЕНИЕ

Для САПР систем безопасности требуется формализованное описание систем безопасности {модель системы безопасности), которое в простой форме представит все элементы системы и связи между ними и будет удобно для использования в решении задач анализа и синтеза проектных решений, разработ

• ке методик формализованного анализа свойств и получения оценки параметров безопасности на этапе проектирования систем.

Выполненный комплекс теоретических и экспериментальных исследований систем безопасности позволил разработать реляционную модель системы безопасности и снабдить ее методиками оценки основных параметров безопасности: доступность и недоступность объектов для субъектов, существование каналов утечки для различных режимов работы. Модель системы безопасности также позволяет использовать ее для анализа свойств и оценки качества обеспечения безопасности при управлении доступом в системе в ходе ее эксплуатации.

1. Trusted Computer System Evaluation Criteria. US Department of Defense, CSC-STD-001-83,1983.

2. Trusted Network Interpretation. National Computer Security Center. NCSC-TG-005 Version 1, July 1987.

3. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. -М.: Военное издательство, 1992.

4. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. -М.: Военное издательство, 1992.

5. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. -М.: Военное издательство, 1992.

6. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. -М.: Военное издательство, 1992

7. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. М.: Из-во агентства «Яхтсмен». 1996.

8. Теоретические основы компьютерной безопасности: Учебное пособие для вузов / П.Н.Девянин, О.О.Михальский, Д.И.Правиков и др.- М.: Радио и связь, 2000.-192 с.:ил.

9. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

10. А. М. Абрамов, О. Ю. Никулин, А. Н. Петрушин. Системы управления доступом. 1998

11. Герасименко В.А. Проблемы защиты информации в системах их обработки// Зарубежная радиоэлектроника, 1989.- N12.C. 5-21.

12. Хофман Л.Дж. Современные методы защиты информации . М.: Советское радио, 1980.- 264 с.

13. Harrison М.А., Ruzzo W.L., Ullman J.D. Protection In Operating System// Communications of ACM, August 1976.- v. 19. n 8 P. 461-471.

14. Harrison M.A. Theoretical ModeLs of Security In Operating Systems. 4-th Jerusalim Conf. on Information Technology (JCIT), 21-25 May 1984.- Silver Spring.-P. 106-113.

15. Bell D.E., LaPadula L.J. Secure Computer Systems: Unified Exposition and Muitics Interpretation. MTR-2997 Rev.l. MITRE Corp.,Bedford, Mass, March 1976.

16. JonesA., Lipton R., Snyder L. A Linear Time Algorithm for "DecidingSecurity" / Proc. 17 th Annual Symp. on the Foundationsof Computer Science (Oct. 1976).

17. Bishop M. Theft of Information in the Take-Grant Protection System / J Computer Security. 3(4) (1994/1995).

18. Castano S., Fugini M.G., Martella G., Samarati P. Database Security. -Addison Wesley Publishing Company, ACM Press, 1995.

19. McLean J., John D. Comment on the "BasicSecurity Theorem" of Bell and LaPadula / Information Processing Letters/ 1985. -Vol.20, № 2, Feb.

20. Берж К. Теория графов и ее применение. М.: Издательство иностранной литературы, 1962

21. Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации. Научно-практическое пособие. Орел :, 2000. — 300с.

22. Полозов P.O. Создание иерархической модели и компонентное проектирование систем управления доступом в программно-аппаратных комплексах защиты объектов. Диссертация на соискание степени кандидата технических наук. -МЭИ, 2002г.