Подход к управлению доступом к информационным ресурсам на основе анализа активности приложений пользователей
Исследование подхода к управлению доступом к информационным ресурсам автоматизированных систем, функционирующих в среде Linux, основанного на формировании и использовании частных матриц доступа. Особенности программной реализации исследуемого подхода.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 13.04.2016 |
Размер файла | 15,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ПОДХОД К УПРАВЛЕНИЮ ДОСТУПОМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ НА ОСНОВЕ АНАЛИЗА АКТИВНОСТИ ПРИЛОЖЕНИЙ ПОЛЬЗОВАТЕЛЕЙ
Кий Андрей Вячеславович
В настоящее время в автоматизированных системах (АС) многих организаций осуществляется переход с программного обеспечения (ПО) компании Microsoft на свободное (ПО), базирующееся на операционной системе Linux. Причинами такого перехода является не только высокая стоимость ПО Microsoft, но и более высокая интенсивность компьютерных атак на это ПО. Однако проблема защиты информации в АС, базирующихся на Linux, также является достаточно актуальной [6, с. 298].
Наличие угроз несанкционированного доступа (НСД) к информации в Linux обусловлено многими факторами. Во-первых, в известных моделях управления доступом (дискреционной, мандатной и т. д.) полномочия доступа к ресурсам назначаются пользователям на весь этап функционирования системы вне зависимости от задач, решаемых этими пользователями в текущий момент. Это приводит к избыточности полномочий и увеличивает вероятность НСД к информации [1, с. 14]. Во-вторых, в процессе функционирования АС зачастую возникают ситуации, когда для обеспечения доступа к ресурсам необходимо обеспечить исполнение программ от имени суперпользователя или других привилегированных пользователей. Для этого в Linux реализован ряд команд, в которых в качестве аргумента передается имя или идентификатор пользователя [5, с. 921]. В-третьих, при выполнении критичных приложений для хранения временных файлов в Linux могут использоваться общедоступные или домашние директории пользователей. Наконец, угрозой безопасности информации является использование несертифицированного ПО, которое может обладать недекларированными возможностями [4, c. 28]. Наличие указанных угроз обусловливает необходимость совершенствования подходов к разграничению доступа к информации в системах, основанных на Linux, что и является целью настоящей работы.
Одним из важнейших понятий Linux является понятие процесса, под которым понимается программа, или приложение пользователя, выполняемое в данный момент. Так как Linux является многопользовательской и многозадачной системой, необходимо обеспечить управление доступом процессов к информационным ресурсам. Для этой цели, как правило, применяется подход, основанный на сокращении привилегий. Существуют следующие способы его реализации:
· назначение разных привилегий для отдельных частей процесса (процесс разбивается на несколько частей, которым назначаются разные привилегии);
· назначение только абсолютно необходимых привилегий (например, процессам назначаются собственные идентификаторы пользователей и связанные с ними привилегии);
· ограничение времени, в течение которого действуют привилегии (процесс получает необходимые привилегии только на время, необходимое для выполнения привилегированного действия).
Реализация перечисленных способов в наибольшей степени возможна в тех АС, где существует строгая регламентация действий пользователей, например, в критически важных инфраструктурах [3, с. 22]. В этом случае пользователь решает ряд функциональных задач, для каждой из которых определяется перечень и последовательность выполняемых процессов. При этом каждый процесс, запускаемый пользователем, оперирует с определенным набором информационных ресурсов [2, с. 42]. Это позволяет сформировать для каждого пользователя совокупность частных матриц доступа (ЧМД), содержащих только те субъекты и объекты доступа, которые необходимы для выполнения соответствующих процессов. Частные матрицы доступа могут быть сформированы на основе анализа системных журналов регистрации.
Учет ЧМД позволяет предложить следующий подход к повышению качества контроля доступа пользователей в АС, основанных на Linux. Модули управления доступом ядраLinux будут принимать решение о доступе пользователя к информационным ресурсам на основе сформированных ЧМД, соответствующих активным в текущий момент времени пользовательским процессам. Переключение между ЧМД будет происходить в соответствии с изменением множества идентификаторов активных пользовательских процессов.
Реализация данного подхода возможна в соответствии с методикой, включающая следующие этапы.
Этап 1. Определение полномочий пользователей по доступу к ресурсам АС на основе дискреционной и мандатной моделей управления доступом.
Этап 2. Выделение идентификаторов пользовательских процессов на основе анализа журналов регистрации системных событий.
Этап 3. Формирование ЧМД пользователей к ресурсам.
Этап 4. Применение ЧМД пользователей для контроля их доступа к ресурсам.
На первом этапе на основе анализа политики безопасности, существующей в организации, формируется базовая матрица доступа (БМД), столбцы которой соответствуют пользователям, строки - ресурсам, а в ячейках БМД находятся списки разрешенных полномочий.
На втором этапе осуществляется анализ записей системных журналов, отражающих действия пользователя по выполнению приложений, и формирование списков идентификаторов процессов, соответствующих приложениям пользователя. Один из сформированных списков в текущий момент времени является списком активных процессов пользователя. Его изменение свидетельствует о переходе пользователя к выполнению очередного приложения. Каждое приложение также получает свой идентификатор.
На третьем этапе формируются ЧМД. Для этой цели для каждого пользовательского процесса на основе анализа записей системных журналов формируется множество информационных ресурсов, к которым пользователь обращался в процессе выполнения этого процесса, т. е. множество объектов доступа процесса. ЧМД пользователя формируются путем выбора из БМД строк и столбцов, соответствующих отобранным объектам доступа процесса.
Наконец, на четвертом этапе осуществляется управление доступом к информационным ресурсам на основе анализа активности приложений пользователей. В каждый момент времени выполняется проверка идентификаторов списка активных процессов пользователя на предмет соответствия идентификатору выполняемого процесса. В случае выявления такого соответствия осуществляется переход в управлении доступом от БМД (в начале сеанса пользователя) либо от активированной ранее ЧМД к новой ЧМД, соответствующей идентификатору приложения. В результате в каждый момент времени пользователю предоставляется минимально необходимый набор полномочий по доступу к ресурсам АС, что, в конечном итоге, снижает вероятность реализации НСД к информации.
Программная реализация данного подхода предоставляет администратору безопасности АС дополнительные средства контроля над действиями пользователей. Однако она не требует значительных вычислительных затрат.
программный автоматизированный управление информационный
Список литературы
1. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для вузов. - М.: Изд-во «Горячая линия - Телеком», 2013. - 338 с.
2. Кий А.В., Копчак Я.М., Саенко И.Б., Козленко А.В. Динамическое управление доступом к информационным ресурсам в критически важных инфраструктурах на основе информационных профилей пользователей // Труды СПИИРАН. - 2012. - № 2. - С. 41-45.
3. Котенко И.В., Саенко И.Б. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах // Труды СПИИРАН. - 2013. - № 1. - С. 21-40.
4. Репин М., Саккулина А. Контроль недекларированных возможностей // Information Security / Информационная безопасность. - 2008. - № 7+8. - С. 28.
5. Таненбаум Э. Современные операционные системы. 3-е изд. - СПб.: Изд-во «Питер», 2010 г. - 1120 с.
6. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Изд-во «ДМК Пресс», 2012. - 592 с.
Размещено на Allbest.ru
Подобные документы
Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.
презентация [1,1 M], добавлен 25.05.2016Всемирная система объединённых компьютерных сетей. Коммерческие интернет-провайдеры. Языки в Интернете. Свобода доступа пользователей Интернета к информационным ресурсам. Интерактивные сайты и программы. Беспроводные системы доступа в сеть Интернет.
курсовая работа [182,9 K], добавлен 09.01.2014Анализ существующих систем контроля и управления доступом различных фирм-производителей. Анализ технических и эксплуатационных характеристик различных систем, разработка системы контроля и управления доступом. Предложение плана реализации системы.
дипломная работа [2,7 M], добавлен 07.06.2011Основные задачи защиты операционных систем: идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит. Проблема контроля доступа в компьютерную систему. Разработка программы управления матричным принтером.
курсовая работа [118,9 K], добавлен 22.06.2011Этапы загрузки Linux-системы, регистрация. Управление учетными записями пользователей. Принцип именования устройств, назначение и применение специальных файлов. Управление файлами, доступом к файловой системе, заданиями. Базовая файловая структура Linux.
методичка [1,6 M], добавлен 15.11.2014Способы и средства использования CD-ROM-дисков в качестве индентификатора (использование меток и серийного номера, физические метки и программы). Проблема защиты информации и ее программная реализация. Разграничение доступа к информационным ресурсам.
контрольная работа [27,5 K], добавлен 03.05.2010Структура, специфика и архитектура многопроцессорных систем; классификация Флинна. Организация взаимного исключения для синхронизации доступа к разделяемым ресурсам. Запрещение прерываний; семафоры с драйверами устройств. Кластеры распределения нагрузки.
курсовая работа [455,9 K], добавлен 07.06.2014Разработка подключаемых модулей аутентификации как средства аутентификации пользователей. Модуль Linux-PAM в составе дистрибутивов Linux. Принцип работы, администрирование, ограничение по времени и ресурсам. Обзор подключаемых модулей аутентификации.
курсовая работа [192,0 K], добавлен 29.01.2011Установка виртуальной компьютерной сети на основе операционных систем Windows. Установка и настройка домена. Управление группами, пользователями и компьютерами домена. Управление доступом к файловым ресурсам. Аудит безопасности. Настройка DHCP И DNS.
методичка [6,7 M], добавлен 05.06.2012Общая характеристика, состав и классификация систем управления доступом. Обеспечения сохранности информации. Составление рекомендации по наиболее рациональной организации и применению технических систем управления доступом в органах внутренних дел.
курсовая работа [46,3 K], добавлен 14.01.2012