ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Journal influence

Higher Attestation Commission (VAK) - К1 quartile
Russian Science Citation Index (RSCI)

Bookmark

Next issue

4
Publication date:
09 September 2024

Developing of mandatory security policy mechanism in CIM based on Oracle ECM 11G

The article was published in issue no. № 1, 2012 [ pp. 115 - 118 ]
Abstract:The problem of Oracle ECM 11g mandatory access control subsystem correspondence to the requirements of management directive «Computer Aids» is considered in the article. The main idea of the article is mandatory access policy mechanism implementation in Oracle ECM 11g.
Аннотация:Рассматривается проблема обеспечения соответствия подсистемы мандатного контроля доступа в Oracle ECM 11g требованиям РД СВТ, предъявляемым к данной подсистеме. Предложен механизм реализации мандатной поли-тики разграничения доступа в Oracle ECM 11g.
Authors: (gic@tvcom.ru) - , Palyukh B.V. (pboris@tstu.tver.ru) - Tver State Technical University, Tver, Russia, Ph.D, Melnikova V.V. (viklipse@mail.ru) - Tver State Technical University, Tver, Russia, , S.L. Kotov (info@gicpsvt.ru) - Main Testing Certification Center of Security Software and Computer Engineering (Associate Professor), Tver, Russia, Ph.D
Keywords: certified tests, computer integrated manufacturing, content server, certification, mandatory Bell-LaPadula model, , Oracle ECM 11g
Page views: 12531
Print version
Full issue in PDF (5.33Mb)
Download the cover in PDF (1.08Мб)

Font size:       Font:

Проблему обеспечения безопасности информационных систем (ИС) можно рассматривать с учетом двух компонент – автоматизации обработки информации и общей безопасности.

Отметим, что основная аксиома защиты информации формулируется следующим образом: все вопросы безопасности информации описываются доступом субъектов к объектам. Поэтому политика безопасности задается в виде правил, в соответствии с которыми должно осуществляться взаимодействие между субъектами и объектами. Взаимодействия, приводящие к нарушениям этих правил, необходимо пресекать средствами контроля доступа. Среди моделей политик безопасности можно выделить два основных класса: дискреционные (произвольные) и мандатные (нормативные). В данной статье рассматривается фундаментальная нормативная модель Белла–Ла­Падулы [1].

При описании мандатной модели разграничения доступа будем использовать такой подход к формальному моделированию безопасности ИС, при котором исследуемая система представляется в виде абстрактной системы (автомата), каждое состояние которой описывается доступами, реализуемыми субъектами к сущностям, а переходы ИС из состояния в состояние – командами или правилами преобразования состояний, выполнение которых обычно инициируется субъектами [2].

Классическая модель Белла–ЛаПадулы, используемая, в частности, в Руководящем документе «Средства вычислительной техники…» (РД СВТ) (http://www. fstec.ru/_docs/doc_3_3_003.htm), является автоматной моделью, в которой моделируемая ИС представляется абстрактной системой, каждое ее состояние описывается с использованием следующих обязательных составляющих:

­      множества текущих доступов субъектов к объектам системы;

­      функций, задающих для каждого субъекта уровень доступа и текущий уровень доступа, для каждого объекта уровень конфиденциальности;

­      матрицы доступов, позволяющей в дополнение к мандатному управлению доступом использовать дискреционное управление им.

Приведем формальное описание мандатной модели разграничения доступа, которая должна быть реализована в АСУП в соответствии с требованиями РД СВТ: S – множество субъектов s1, s2, s3, …, sn; O – множество объектов o1, o2, o3, …, om, SÌO; R={r, w, d} – множество  прав  доступа,  где r – доступ на чтение, w – на запись, d – на удаление; L={U, SEC, TOPS, GRS} – множество уровней секретности (иерархических категорий), где U – несекретно, SEC – секретно, TOPS – совершенно секретно, GRS – особой важности; Λ={L,≤,·,} – решетка уровней секретности, где ≤ - оператор, определяющий частичное нестрогое отношение порядка для уровней секретности, · – оператор наименьшей верхней границы, Ä – оператор наибольшей нижней границы; V – множество состояний системы, представляемое в виде набора упорядоченных пар (F, M), где F : SÈO→L – функция уровней секретности, ставящая в соответствие каждому объекту и субъекту в системе определенный уровень секретности, M – матрица текущих прав доступа {Si, Oi}.

Таким образом, система S=(v0, R, T) в модели Белла–ЛаПадулы состоит из следующих элементов: v0 – начальное состояние системы, R – множество прав доступа, T: V´R→V – функция перехода, которая при выполнении запросов переводит систему из одного состояния в другое [2].

Рассмотрим реализацию модели Белла–Ла­Падулы на примере системы управления кон­тентом Oracle Enterprise Content Management Suite 11g (далее – ECM 11g). В ECM 11g для настройки мандатных правил разграничения доступа (ПРД) стандартными средствами в соответствии с требованиями РД СВТ необходимо выполнить следующие основные настройки.

1.    Прежде всего необходимо перейти в апплет «Управление пользователями» → «Защита» → «Предварительно определенные учетные записи», создать неиерархические и иерархические категории, указанные в таблице 1 (в ECM 11g категории называются учетными записями).

Таблица 1

Описание неиерархических и иерархических категорий

Категория

Примечание

grs

Иерархическая категория «Особой важности» внутри неиерархической категории grs

grs/tops

Иерархическая категория «Совершенно секретно» внутри неиерархической категории grs

grs/tops/sec

Иерархическая категория «Секретно» внутри неиерархической категории grs

test1

Неиерархическая категория test1, которая не содержит иерархических категорий

Графическое представление неиерархических и иерархических категорий в ECM 11g дано на рисунке 1.

2.    В LDAP-каталог сервера приложений Oracle Weblogic 11g следует добавить необходимые группы, соответствующие правам доступа пользователей к иерархическим категориям. Структура имен создаваемых групп следующая:

@[Имя категории из таблицы 1]([Права доступа к данной иерархической категории])

Примеры: @grs(W), @grs/tops/sec(RWD), где @ указывает на то, что данная группа в Weblogic соответствует категории в ECM 11g; имя категории между символами @ и ( должно точно совпадать с названием учетной записи в ECM11g; R, W, D – параметры полномочий пользователей к документам, относящимся к текущей иерархической категории (R – чтение, W – запись, D – удаление); права пользователей к категориям задаются в круглых скобках сразу после имени категории.

3.    Далее необходимо включить пользователей в созданные на предыдущем шаге группы пользователей. Модель мандатных ПРД, согласно РД СВТ, запрещает нисходящий информационный поток в соответствии с моделью Белла–ЛаПадулы, то есть пользователю запрещается запись данных в объекты с более низким уровнем доступа, чем у него самого (уровень определяется набором неиерархической и иерархической категорий), а также чтение данных из объектов с более высоким уровнем доступа, чем у него.

Для обеспечения данного требования необходимо включить пользователей в группы, представленные в таблице 2.

Таблица 2

Настройка групп пользователей в соответствии с их уровнем доступа

Категория пользова- теля в ECM 11g

Группы Weblogic

Описание

grs/tops/sec

@grs(W)

@grs/tops/sec(RWD)

Ожидается, что пользователь с иерархической категорией «Секретно» имеет право на запись документов в объекты с более высокой меткой (в иерархические категории «Совершенно секретно» и «Особой важности») и в объекты с такой же меткой, как у него («Секретно»), а читать и удалять данные может только из объектов с категорией «Секретно»

grs/tops

@grs(W)

@grs/tops(RWD)

@grs/tops/sec(RD)

Ожидается, что пользователь с иерархической категорией «Совершенно секретно» имеет право на запись документов в объекты с более высокой меткой (категории «Особой важности») и в объекты с такой же меткой, как у него («Совершенно секретно»), а читать и удалять данные может из объектов с категориями «Секретно» и «Совершенно секретно»

grs

@grs(RWD)

@grs/tops(RD)

@grs/tops/sec(RD)

Ожидается, что пользователь с иерархической категорией «Особой важности» имеет право на запись данных только в объекты с такой же меткой, как у него («Особой важности»), а читать и удалять данные может из объектов с более низкими иерархическими категориями «Совершенно секретно» и «Секретно»

В действительности описанных выше настроек мандатных ПРД в ECM 11g недостаточно для реализации всех требований к мандатной модели согласно РД СВТ, поскольку иерархические категории в ECM устроены таким образом, что права, назначенные корневой категории (в данном случае корневой категорией является категория grs – «Особой важности»), автоматически назначаются всем вложенным категориям (в данном случае категориям grs/tops и grs/tops/se). При описанных выше настройках начальное состояние (F, M) мандатной модели разграничения доступа в ECM 11g будет безопасно по чтению: "sÎS, "oÎO, rÎM[s, o]®F(o)£F(s), но не будет безопасно по записи, то есть не будет соблюдаться следующее правило: "sÎS, "oÎO, wÎM[s, o]®F(s)£F(o). Таким образом, стандартная мандатная модель разграничения доступа в ECM 11g не соответствует требованиям РД СВТ.

Для обеспечения безопасности мандатной системы разграничения доступа в ECM 11g как по чтению, так и по записи необходимо модернизировать стандартную мандатную модель разграничения доступа в ECM 11g, добавив пользователям во встроенном LDAP-каталоге Weblogic дополнительный атрибут, имеющий условную метку и по сути дублирующий иерархическую категорию пользователя. Согласно этой метке, в профиле регистрации новых документов на контент-сервере ECM 11g по заданному алгоритму в списке выбора категорий для регистрируемого пользователем документа будут отображаться только те иерархические категории, которые не ниже иерархической категории пользователя.

Модернизация мандатной системы разграничения доступа в ECM 11g будет состоять из следующих основных этапов.

1.     Добавление и настройка пользовательского JPS-атрибута.

1.1.    Выбрать в LDAP-каталоге JPS-атрибут для пользователя, в котором будет храниться дублирующая информация об уровне доступа пользователя согласно мандатной модели разграничения доступа (комбинация неиерархической и иерархической категорий). В качестве примера возьмем пользовательский атрибут Employeenumber во встроенном LDAP-каталоге Weblogic (атрибут JPS).

1.2.    Создать новое информационное поле uEmployeenumber на вкладке «Информационные поля» апплета «Управление пользователями», который должен принимать значение пользовательского атрибута Employeenumber из встроенного LDAP-каталога Oracle Weblogic 11g. Для этого в настройках поставщика пользователей JPS (на вкладке «Поставщики» в ECM 11g) необходимо настроить соответствие между пользовательским атрибутом во встроенном LDAP-каталоге и информационным полем в апплете «Управление пользователями» в ECM 11g.

2.     Настройка соответствия значения пользо-вательского JPS-атрибута уровню доступа поль-зователя в мандатной модели разграничения доступа.

2.1. В апплете «Диспетчер конфигураций» ECM 11g необходимо создать таблицу Checklist, содержащую информационные поля, отраженные в таблице 3.

Таблица 3

Информационные поля таблицы Checklist

Имя

Тип

Длина

Первичный

docAccount

varchar

50

 

ID

int

 

Да

employeenumber

varchar

50

 

2.2. Создать представление Checklist для таблицы Checklist и заполнить его данными, приведенными в таблице 4.

Таблица 4

Содержание представления Checklist

ID

docAccount

employeenumber

1

grs

0

2

grs/tops

0

3

grs/tops/sec

0

4

grs

1

5

grs/tops

1

6

grs

2

7

test1

3

2.3. Перейти на вкладку «Сервер администратора» → «Диспетчер компонентов» → «Расширенный диспетчер компонентов» и установить новые компоненты RemoveProfileStandardMenus.zip для удаления стандартного профиля регистрации документов и UserDataSecurityFilter.zip для пользовательского модуля реализации безопасности с целью обеспечения фильтрации доступных пользователям категорий безопасности при регистрации документов на контент-сервере согласно значению атрибута Employeenumber.

2.4. Открыть вкладку «Защита» созданного ранее представления Checklist и указать имя пользовательского класса intradoc.server.schema.UserData­SecurityFilter.

2.5. Найти файл [cs_home]/data/schema/views/ CheckList.hda и добавить строчки:

-    schSecurityImplementorUserDataField = employeenumber;

-    schSecurityImplementorUserDataValue = uEmployeenumber.

3.     Настройка профиля для регистрации документов согласно заданным на предыдущих шагах правилам.

3.1. Создать информационное поле xwCategory на вкладке «Информационные поля» апплета «Диспетчер конфигураций» и настроить для данного информационного поля список вариантов со ссылкой на представление Checklist.

3.2. В правиле gStandardFields, отвечающем за отображение и обработку стандартных атрибутов для загружаемых на сервер документов, обязательному атрибуту xwCategory необходимо указать следующее значение для параметра «Является производным полем» - <$dprDerivedValue=#xw­Category.docAccount$> и скрытому атрибуту dDocAccount указать следующее значение для параметра «Является производным полем» - <$dpr­DerivedValue=#getFieldViewValue(“xwCategory”,#active.xwCategory,”docAccount”)$>.

Схема работы модернизированной мандатной модели разграничения доступа в ECM 11g при выполнении регистрации документов пользователями на контент-сервере представлена на рисунке 2.

Таким образом, начальное состояние (F, M) модернизированной мандатной модели разграничения доступа в ECM 11g будет безопасно как по чтению: "sÎS, "oÎO, rÎM[s, o]®F(o)£F(s), так и по записи: "sÎS, "oÎO, wÎM[s, o]®F(s)£F(o) [2]. Безопасность всех остальных состояний модернизированной системы S=(v0, R, T) мандатного принципа разграничения доступа в ECM 11g будет обеспечиваться тем, что в ECM 11g изменять уровни безопасности пользователей – группы и значения служебных атрибутов пользователей в LDAP-каталоге Weblogic – разрешено только пользователям, играющим роль администратора Weblogic, другие пользователи ECM не имеют прав доступа к консоли администрирования Weblogic. Доступ к апплетам администрирования ECM 11g также разрешен только пользователям, играющим роль администрирования ECM 11g. Следовательно, можно утверждать, что модернизированная система S=(v0, R, T) мандатного принципа разграничения доступа в ECM 11g является безопасной, поскольку ее начальное состояние v0 и другие состояния системы, достижимые из начального состояния v0 путем применения конечной последовательности запросов из R, безопасны. Практическое применение модернизированной мандатной модели разграничения доступа в ECM 11g, несмотря на наличие сертификата безопасности, требует, чтобы модель безопасности на аттестуемых АСУП также была настроена в соответствии с разработанными в данной статье требованиями.

Литература

1.     Палюх Б.В., Котов С.Л., Демирский А.А. Тестирование ПС: учеб. пособие. Тверь: ТГТУ, 2011. 134 с. 

2.     Девянин П.Н. Модели безопасности компьютерных систем: учеб. пособие для вузов. М.: Изд-во «Академия», 2005. 144 с.

3.     Игнатьев В.А. Информационная безопасность современного коммерческого предприятия : монография. Старый Оскол: ООО «ТНТ», 2005. 448 с.

4.     Котов С.Л., Палюх Б.В., Федченко С.Л. Методы оценки, тестирования и выбора рациональных характеристик корпоративных информационных систем: учеб. пособие. Тверь: ТГТУ, 2008.


Permanent link:
http://swsys.ru/index.php?page=article&id=3031&lang=&lang=en&like=1
Print version
Full issue in PDF (5.33Mb)
Download the cover in PDF (1.08Мб)
The article was published in issue no. № 1, 2012 [ pp. 115 - 118 ]

Perhaps, you might be interested in the following articles of similar topics: