КОНЦЕПТУАЛЬНОЕ МОДЕЛИРОВАНИЕ УПРАВЛЕНИЯ ДОСТУПОМ К ИНФОРМАЦИИ В КЛЮЧЕВОЙ СИСТЕМЕ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ С.А. Агеев, кандидат технических наук, доцент. Санкт-Петербургская военная академия связи имени С.М. Буденного. И.Б. Саенко, доктор технических наук, профессор. Санкт-Петербургский институт информатики и автоматизации РАН. А.Г. Филиппов. Санкт-Петербургский университет ГПС МЧС России Обсуждаются вопросы, связанные с концептуальным моделированием управления доступом к информационным ресурсам критически важных инфраструктур. Рассматривается формальная постановка задачи для синтеза схемы разграничения доступа. Приводится состав исходных данных задачи и критерии синтеза, основанные на совместном использовании показателей конфиденциальности и доступности информации. Ключевые слова: информационная инфраструктура, безопасность информации, несанкционированный доступ к информации, управление доступом к информации, моделирование CONCEPTUAL MODELING OF DATA ACCESS CONTROL IN THE KEY SYSTEM OF INFORMATION INFRASTRUCTURE S.A. Ageev. Saint-Petersburg Мilitary аcademy of telecommunications of S.M. Budenny. I.B. Saenko. Saint-Petersburg institute for informatics and аutomation of RAS. A.G. Filippov. Saint-Petersburg university of State fire service of EMERCOM of Russia The article discusses issues related to conceptual modeling of access control to information resources of critical infrastructures. We consider the formal statement of the problem for the synthesis of different access schemes. We give the composition of the input data and the criteria for synthesis, based on the joint use of indicators of confidentiality and availability of information. Key words: information infrastructure, data security, unauthorized access to information, control access to information, modeling Ключевая система информационной инфраструктуры (КСИИ) – это информационноуправляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления объектом (процессом), или официальное информирование граждан. В результате деструктивных информационных воздействий на данную систему может создаться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями. К числу таких систем по праву можно отнести многие автоматизированные системы, функционирующие в крупных финансовых, нефтяных, газодобывающих, химических, транспортных и телекоммуникационных компаниях, а также 55 в службах жизнеобеспечения, сервиса и почтовой связи. Под критически важным объектом понимается объект, нарушение (или прекращение) функционирования которого приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно-территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок. Под критически важной информацией понимается такая закрепленная в документации на КСИИ информация, уничтожение, блокирование или искажение которой может привести к нарушению функционирования автоматизированной системы. Кроме того, к этому классу относится информация о самой КСИИ (о ее составе, характеристиках управляемого процесса, характеристиках программного и программноаппаратного обеспечения, размещении, коммуникациях), которая в случае ее хищения (ознакомления с ней) может быть непосредственно использована для деструктивных информационных воздействий на КСИИ. Таким образом, среди задач, решаемых в КСИИ, важнейшей задачей является защита критически важной информации от несанкционированного доступа к ней. Требования, предъявляемые к КСИИ по решению данной задачи, во многом определяют характер решений как по построению КСИИ, так и по ее управлению (администрированию). К числу важнейших функций КСИИ по защите от несанкционированного доступа, наряду с криптографической защитой, аудитом безопасности и обеспечением целостности, относится разграничение доступа к критически важной информации. Реализация данной функции возлагается на систему управления доступом (СУД). Центральным элементом СУД является схема разграничения доступа (СхРД) – формализованное представление совокупности полномочий, установленных для пользователей относительно защищаемых информационных ресурсов КСИИ. Формирование СхРД для КСИИ в настоящее время, как правило, осуществляется эвристическим путем. Однако построение эффективных СхРД обусловливает необходимость концептуального моделирования СУД КСИИ и формализации построения СхРД. Для этой цели рассмотрим формализованную постановку задачи синтеза СхРД для КСИИ: R ri , i 1,.., I – множество объектов доступа (ОД) (защищаемых информационных ресурсов КСИИ); U u j , j 1,.., J – множество субъектов доступа (СД) (пользователей, программ); V v k – множество типов полномочий, которые СД имеют над ОД; H hl , l 1,..,L – множество средств разграничения доступа; S треб U R V – требуемая СхРД субъектов к объектам доступа, заданная явным образом либо определенная во вспомогательной задаче. Графическое представление теоретико-множественных отображений, существующих между исходными данными, показано на рис. 1. Выделим следующие отображения: D RH : R H , отображающее множество объектов доступа на множество средств защиты СРД; DUH : U H , отображающее на множество средств защиты СРД множество субъектов доступа. 56 Объекты доступа (R) Средства защиты (H) Субъекты доступа (U) DUH DRH r1 h1 r2 u1 h2 ri-1 uj ri hl ri+1 uJ hL rI Рис. 1. Графическое представление исходных данных Виды отображений D RH UH и D зависят от структуры и параметров H и, в свою очередь, определяют вид реальной СхРД S можно задать функционалом реал U R V , которую в общем случае S реал F U ,R,V ,H . ( 1) Для того чтобы сформировать критерии синтеза постановки задачи, следует провести сравнительный анализ требуемой и реальной СхРД. Требуемую и реальную СхРД можно представить с помощью отображения DV : R U V , как показано на рис. 2. При этом приведены отношения упорядочения между полномочиями: ' R' 'W ' ' A' . Предполагается, что 'R' есть полномочие «доступ только для чтения», 'W' – «доступ для редактирования», 'А' – «административный доступ». 57 Объекты доступа (R) RХU Субъекты доступа (U) r1 u1 ri uj rI uJ DV R W A Полномочия (V) Рис. 2. Представление CxРД как отображения DV : R U V Если требуемая и реальная СхРД могут быть представлены в виде отображений, то тогда при проведении их сравнительного анализа к ним как к множествам могут быть применены теоретико-множественные операции, в частности, операция теоретикомножественного вычитания "\". Введем обозначения: S Если S реал треб совпадает с S треб S треб \ S реал и S реал S реал \ S треб . , то одновременно выполняются условия S треб 0 , ( 2) S реал 0 . ( 3) В этом случае полностью удовлетворяются требования по обеспечению безопасности информации. Однако на практике, как правило, либо не выполняется (2), либо не выполняется (3), либо не выполняются (2) и (3) одновременно. В этом случае СхРД частично удовлетворяет требованиям по безопасности информации. Невыполнение условия (2), означает, что требуемая схема S реал которые отсутствуют в реальной схеме S свойства конфиденциальности информации. 58 треб содержит элементы, . Это означает, что имеет место нарушение Невыполнение условия (3), напротив, означает, что имеются избыточные ограничения на доступ пользователей к информации, не подтвержденные требованиями. По сути это означает нарушение доступности информации. Так как свойства конфиденциальности и доступности являются известными частными свойствами безопасности информации как свойства более высокого уровня, нарушение любого из указанных частных свойств означает нарушение безопасности информации в целом. Поэтому показатели конфиденциальности и доступности следует использовать для построения критериев синтеза СхРД. Показатель конфиденциальности W соответствующими функционалами конф и показатель доступности W дост S . задаются W конф W конф S треб , W дост W дост Показатель безопасности W бо ( 4) реал ( 5) в общем случае задается функционалом вида W бо W бо S треб , S реал . ( 6) Если имеет место использование в явном виде (4) и (5), то критерии синтеза формируются в следующих вариантах: конф W конф Wтреб , W дост max , дост W дост Wтреб ,W конф max , конф дост , W конф Wтреб , W дост Wтреб конф ( 7) ( 8) ( 9) дост где Wтреб и Wтреб – требуемые значения показателей конфиденциальности и доступности, соответственно. Если имеет место использование (6), то критерий синтеза имеет один из следующих видов: бо W бо Wтреб , W бо max . ( 10) ( 11) бо где Wтреб – требования, предъявляемые к СРД по обеспечению безопасности информации. Выражениями (4)–(11) определяется концептуальная модель построения СхРД для КСИИ, инвариантная относительно состава элементов СУД и их возможностей. Конкретизация их вида для различных способов доступа, используемых в КСИИ, в частности, дискреционного, мандатного или ролевого [1], позволяет свести задачу моделирования СУД к одному из классов задач математического программирования. В результате этого за счет оптимизации реальной СхРД возможно в полном объеме 59 реализовать требования по защите информации от несанкционированного доступа, предъявляемые к КСИИ. Литература 1. Козленко Л. Информационная безопасность в современных системах управления базами данных // КомпьютерПресс. 2002. № 3. 60