Программные продукты и системы

Проблему обеспечения безопасности информационных систем (ИС) можно рассматривать с учетом двух компонент – автоматизации обработки информации и общей безопасности.

Отметим, что основная аксиома защиты информации формулируется следующим образом: все вопросы безопасности информации описываются доступом субъектов к объектам. Поэтому политика безопасности задается в виде правил, в соответствии с которыми должно осуществляться взаимодействие между субъектами и объектами. Взаимодействия, приводящие к нарушениям этих правил, необходимо пресекать средствами контроля доступа. Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и мандатные (нормативные). В данной статье рассматривается фундаментальная нормативная модель Белла–Ла­Падулы [1].

При описании мандатной модели разграничения доступа будем использовать такой подход к формальному моделированию безопасности ИС, при котором исследуемая система представляется в виде абстрактной системы (автомата), каждое состояние которой описывается доступами, реализуемыми субъектами к сущностям, а переходы ИС из состояния в состояние – командами или правилами преобразования состояний, выполнение которых обычно инициируется субъектами [2].

Классическая модель Белла–ЛаПадулы, используемая, в частности, в Руководящем документе «Средства вычислительной техники…» (РД СВТ) (http://www. fstec.ru/_docs/doc_3_3_003.htm), является автоматной моделью, в которой моделируемая ИС представляется абстрактной системой, каждое ее состояние описывается с использованием следующих обязательных составляющих:

­      множества текущих доступов субъектов к объектам системы;

­      функций, задающих для каждого субъекта уровень доступа и текущий уровень доступа, для каждого объекта уровень конфиденциальности;

­      матрицы доступов, позволяющей в дополнение к мандатному управлению доступом использовать дискреционное управление им.

Приведем формальное описание мандатной модели разграничения доступа, которая должна быть реализована в АСУП в соответствии с требованиями РД СВТ: S – множество субъектов s1, s2, s3, …, sn; O – множество объектов o1, o2, o3, …, om, SÌO; R={r, w, d} – множество  прав  доступа,  где r – доступ на чтение, w – на запись, d – на удаление; L={U, SEC, TOPS, GRS} – множество уровней секретности (иерархических категорий), где U – несекретно, SEC – секретно, TOPS – совершенно секретно, GRS – особой важности; Λ={L,≤,·,} – решетка уровней секретности, где ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности, · – оператор наименьшей верхней границы, Ä – оператор наибольшей нижней границы; V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M), где F : SÈO→L – функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определенный уровень секретности, M – матрица текущих прав доступа {Si, Oi}.

Таким образом, система S=(v0, R, T) в модели Белла–ЛаПадулы состоит из следующих элементов: v0 – начальное состояние системы, R – множество прав доступа, T: V´R→V – функция перехода, которая при выполнении запросов переводит систему из одного состояния в другое [2].

Рассмотрим реализацию модели Белла–Ла­Падулы на примере системы управления кон­тентом Oracle Enterprise Content Management Suite 11g (далее – ECM 11g). В ECM 11g для настройки мандатных правил разграничения доступа (ПРД) стандартными средствами в соответствии с требованиями РД СВТ необходимо выполнить следующие основные настройки.

1.    Прежде всего необходимо перейти в апплет «Управление пользователями» → «Защита» → «Предварительно определенные учетные записи», создать неиерархические и иерархические категории, указанные в таблице 1 (в ECM 11g категории называются учетными записями).

Таблица 1

Описание неиерархических и иерархических категорий

Графическое представление неиерархических и иерархических категорий в ECM 11g дано на рисунке 1.

2.    В LDAP-каталог сервера приложений Oracle Weblogic 11g следует добавить необходимые группы, соответствующие правам доступа пользователей к иерархическим категориям. Структура имен создаваемых групп следующая:

Примеры: @grs(W), @grs/tops/sec(RWD), где @ указывает на то, что данная группа в Weblogic соответствует категории в ECM 11g; имя категории между символами @ и ( должно точно совпадать с названием учетной записи в ECM11g; R, W, D – параметры полномочий пользователей к документам, относящимся к текущей иерархической категории (R – чтение, W – запись, D – удаление); права пользователей к категориям задаются в круглых скобках сразу после имени категории.

3.    Далее необходимо включить пользователей в созданные на предыдущем шаге группы пользователей. Модель мандатных ПРД, согласно РД СВТ, запрещает нисходящий информационный поток в соответствии с моделью Белла–ЛаПадулы, то есть пользователю запрещается запись данных в объекты с более низким уровнем доступа, чем у него самого (уровень определяется набором неиерархической и иерархической категорий), а также чтение данных из объектов с более высоким уровнем доступа, чем у него.

Для обеспечения данного требования необходимо включить пользователей в группы, представленные в таблице 2.

Таблица 2

Настройка групп пользователей в соответствии с их уровнем доступа

В действительности описанных выше настроек мандатных ПРД в ECM 11g недостаточно для реализации всех требований к мандатной модели согласно РД СВТ, поскольку иерархические категории в ECM устроены таким образом, что права, назначенные корневой категории (в данном случае корневой категорией является категория grs – «Особой важности»), автоматически назначаются всем вложенным категориям (в данном случае категориям grs/tops и grs/tops/se). При описанных выше настройках начальное состояние (F, M) мандатной модели разграничения доступа в ECM 11g будет безопасно по чтению: "sÎS, "oÎO, rÎM[s, o]®F(o)£F(s), но не будет безопасно по записи, то есть не будет соблюдаться следующее правило: "sÎS, "oÎO, wÎM[s, o]®F(s)£F(o). Таким образом, стандартная мандатная модель разграничения доступа в ECM 11g не соответствует требованиям РД СВТ.

Для обеспечения безопасности мандатной системы разграничения доступа в ECM 11g как по чтению, так и по записи необходимо модернизировать стандартную мандатную модель разграничения доступа в ECM 11g, добавив пользователям во встроенном LDAP-каталоге Weblogic дополнительный атрибут, имеющий условную метку и по сути дублирующий иерархическую категорию пользователя. Согласно этой метке, в профиле регистрации новых документов на контент-сервере ECM 11g по заданному алгоритму в списке выбора категорий для регистрируемого пользователем документа будут отображаться только те иерархические категории, которые не ниже иерархической категории пользователя.

Модернизация мандатной системы разграничения доступа в ECM 11g будет состоять из следующих основных этапов.

1.     Добавление и настройка пользовательского JPS-атрибута.

1.1.    Выбрать в LDAP-каталоге JPS-атрибут для пользователя, в котором будет храниться дублирующая информация об уровне доступа пользователя согласно мандатной модели разграничения доступа (комбинация неиерархической и иерархической категорий). В качестве примера возьмем пользовательский атрибут Employeenumber во встроенном LDAP-каталоге Weblogic (атрибут JPS).

1.2.    Создать новое информационное поле uEmployeenumber на вкладке «Информационные поля» апплета «Управление пользователями», который должен принимать значение пользовательского атрибута Employeenumber из встроенного LDAP-каталога Oracle Weblogic 11g. Для этого в настройках поставщика пользователей JPS (на вкладке «Поставщики» в ECM 11g) необходимо настроить соответствие между пользовательским атрибутом во встроенном LDAP-каталоге и информационным полем в апплете «Управление пользователями» в ECM 11g.

2.     Настройка соответствия значения пользо-вательского JPS-атрибута уровню доступа поль-зователя в мандатной модели разграничения доступа.

2.1. В апплете «Диспетчер конфигураций» ECM 11g необходимо создать таблицу Checklist, содержащую информационные поля, отраженные в таблице 3.

Таблица 3

Информационные поля таблицы Checklist

2.2. Создать представление Checklist для таблицы Checklist и заполнить его данными, приведенными в таблице 4.

Таблица 4

Содержание представления Checklist

2.3. Перейти на вкладку «Сервер администратора» → «Диспетчер компонентов» → «Расширенный диспетчер компонентов» и установить новые компоненты RemoveProfileStandardMenus.zip для удаления стандартного профиля регистрации документов и UserDataSecurityFilter.zip для пользовательского модуля реализации безопасности с целью обеспечения фильтрации доступных пользователям категорий безопасности при регистрации документов на контент-сервере согласно значению атрибута Employeenumber.

2.4. Открыть вкладку «Защита» созданного ранее представления Checklist и указать имя пользовательского класса intradoc.server.schema.UserData­SecurityFilter.

2.5. Найти файл [cs_home]/data/schema/views/ CheckList.hda и добавить строчки:

-    schSecurityImplementorUserDataField = employeenumber;

-    schSecurityImplementorUserDataValue = uEmployeenumber.

3.     Настройка профиля для регистрации документов согласно заданным на предыдущих шагах правилам.

3.1. Создать информационное поле xwCategory на вкладке «Информационные поля» апплета «Диспетчер конфигураций» и настроить для данного информационного поля список вариантов со ссылкой на представление Checklist.

3.2. В правиле gStandardFields, отвечающем за отображение и обработку стандартных атрибутов для загружаемых на сервер документов, обязательному атрибуту xwCategory необходимо указать следующее значение для параметра «Является производным полем» - <$dprDerivedValue=#xw­Category.docAccount$> и скрытому атрибуту dDocAccount указать следующее значение для параметра «Является производным полем» - <$dpr­DerivedValue=#getFieldViewValue(“xwCategory”,#active.xwCategory,”docAccount”)$>.

Схема работы модернизированной мандатной модели разграничения доступа в ECM 11g при выполнении регистрации документов пользователями на контент-сервере представлена на рисунке 2.

Таким образом, начальное состояние (F, M) модернизированной мандатной модели разграничения доступа в ECM 11g будет безопасно как по чтению: "sÎS, "oÎO, rÎM[s, o]®F(o)£F(s), так и по записи: "sÎS, "oÎO, wÎM[s, o]®F(s)£F(o) [2]. Безопасность всех остальных состояний модернизированной системы S=(v0, R, T) мандатного принципа разграничения доступа в ECM 11g будет обеспечиваться тем, что в ECM 11g изменять уровни безопасности пользователей – группы и значения служебных атрибутов пользователей в LDAP-каталоге Weblogic – разрешено только пользователям, играющим роль администратора Weblogic, другие пользователи ECM не имеют прав доступа к консоли администрирования Weblogic. Доступ к апплетам администрирования ECM 11g также разрешен только пользователям, играющим роль администрирования ECM 11g. Следовательно, можно утверждать, что модернизированная система S=(v0, R, T) мандатного принципа разграничения доступа в ECM 11g является безопасной, поскольку ее начальное состояние v0 и другие состояния системы, достижимые из начального состояния v0 путем применения конечной последовательности запросов из R, безопасны. Практическое применение модернизированной мандатной модели разграничения доступа в ECM 11g, несмотря на наличие сертификата безопасности, требует, чтобы модель безопасности на аттестуемых АСУП также была настроена в соответствии с разработанными в данной статье требованиями.

Литература

1.     Палюх Б.В., Котов С.Л., Демирский А.А. Тестирование ПС: учеб. пособие. Тверь: ТГТУ, 2011. 134 с. 

2.     Девянин П.Н. Модели безопасности компьютерных систем: учеб. пособие для вузов. М.: Изд-во «Академия», 2005. 144 с.

3.     Игнатьев В.А. Информационная безопасность современного коммерческого предприятия : монография. Старый Оскол: ООО «ТНТ», 2005. 448 с.

4.     Котов С.Л., Палюх Б.В., Федченко С.Л. Методы оценки, тестирования и выбора рациональных характеристик корпоративных информационных систем: учеб. пособие. Тверь: ТГТУ, 2008.