Исследование методов разграничения прав доступа к данным в информационных системах на основе ранжирования субъектов и объектов доступа

Размещено на http://www.allbest.ru/

Исследование методов разграничения прав доступа к данным в информационных системах на основе ранжирования субъектов и объектов доступа

Развитие человеческого общества неразрывно связано с развитием процессов управления, накоплением информации, необходимостью систематизации уже имеющейся информации и данных. Соответственно, появляется необходимость в появлении и развитии информационных систем (ИС), способных обработать имеющуюся информацию и подготовить данные, необходимые для принятия управленческих решений. В данном случае использование термина «информация» предполагает, что собранные данные должны представлять определенную ценность для потребителя, быть для него понятными и полезными.

Термин «система» предполагает наличие множества отдельных объектов, имеющих между собой связи различного уровня. При этом объекты могут воспринимать поступающую информацию, обрабатывать ее, систематизировать, записывать на носители различного рода. Между собой в рамках системы объекты могут обмениваться необходимой для работы информацией.

Если объединить определения терминов «информация» и «система», то под информационной системой понимается некоторая система, способная удовлетворить требования и пожелания клиента к определенного рода информации.

Работа информационных систем строится на процессах производства, получения и обработки информации. Если для этого используются персональные или глобальные компьютеры, то системе присваивается название «автоматизированная информационная система (АИС). АИС - определенная совокупность обрабатываемой информации, компьютерной техники, необходимого персонала и операций, выполняемых с информацией.

Цель АИС - сбор, обработка, хранение, обеспечение доступа по запросу к данным, хранящимся в системе.

АИС в течение относительно короткого времени стали востребованы во всех сферах человеческой деятельности, где только возможно применение информационных технологий для организации коммуникаций между отдельными людьми, сообществами и организациями. В связи с этим разработчикам и пользователям АИС приходится находить ответы на множество задач и решать множество проблем [4].

Одна из наиболее важных проблем, возникающих в процессе использования АИС - предотвращение несанкционированного доступа к данным, обеспечение целостности, контроля над данными, обеспечения доступа по запросам.

Решить все эти задачи и проблемы помогают системы управления базами данных (СУБД) в рамках КИС. На СУБД возлагается решение следующих задач [1, 3]:

? хранение на носителях информации реляционной модели БД в виде таблиц, атрибутов. Сохранение команд, необходимых для создания и изменения БД. Все команды создаются с использованием SQL-языка;

? внесение изменений в БД по запросам пользователей с использованием SQLязыка, использование индексов для создания более оптимальной структуры БД;

? предоставлять пользователям по санкционированным запросам доступ к БД, ограничивать доступ при отсутствии разрешенного доступа.

При решении всех задач управления БД нужно исходить из следующих предпосылок:

• пользователь должен получать только минимально возможные и необходимые полномочия на изменение данных, содержащихся в БД;

• пользователь должен получать доступ к тем данным, которые ему необходимы.

В качестве примера можно удовлетворения первого запроса можно привести такой пример - БД «Университет» [1]. Ректор ВУЗа может видеть данные всех студентов, обучающихся в университете. Декану любого факультета предоставляется доступ только к данным студентов, обучающихся на вверенном ему факультете. Заведующий кафедрой получает доступ к данным студентов только одной кафедры и т. д.[2,4].

Второе требование к БД можно считать расширением первого. Соответственно, из всех сотрудников ВУЗа ректор имеет доступ к самым большим объемам данных, необходимых ему для полноценной работы.

Разграничение доступа к данным может происходить на аппаратном (физическом) или логическом (программном) уровнях. Второй вариант на данный момент времени является более востребованным и актуальным. Производится ранжирование доступа, используются наиболее современные алгоритмы и программы, способные предотвратить несанкционированный доступ.

Обеспечить выполнение всех поставленных задач, если найти решение для нижеперечисленных задач:

1. разработать и внедрить математическое описание методов, позволяющих разграничить для пользователей доступ к БД. В основе методов - ранжирование объектов и субъектов доступа;

2. разработка и внедрение модели, способствующей разграничению доступа на основе мандатов, выдаваемых каждому пользователю;

3. оценить на уровне экспериментов эффективность каждого из разработанных и предложенных методов.

Если разграничение права доступа пользователей к данным, хранящимся в БД, происходит на уровне программного кода, то можно использовать один из нижеперечисленных вариантов:

- на уровне прикладной программы, дающей доступ к БД;

- на уровне системного модуля непосредственно СУБД [6].

На рисунке ниже даны схемы поступления и обработки запросов при использовании каждого из вариантов.

В первом случае правила доступа к БД должны быть сформулированы и прописаны непосредственно в программе, которой пользуется клиент при организации доступа к БД.

Рисунок 1. Архитектура управления безопасно-фильтрующим доступом

В основе второго варианта обеспечения доступа - использование мандатов, выдаваемых самой СУБД. Второй вариант является более предпочтительным. В первом случае пользователь, обладая необходимым объемом знаний, может самостоятельно изменить тот кусок программного кода, в котором прописаны правила доступа к данным. Не стоит забывать и про то, что пользовательская программа может содержать недостоверные данные о правилах доступа к БД [2]. Второй вариант практически полностью позволяет оградить БД от несанкционированного доступа на любом уровне.

За основу при распределении прав доступа на предприятии можно брать организационную структуру, сложившуюся иерархию, отраженную в PAC-модели [5]. Использование УД позволило отказаться от использования настроек прав доступа к тем областям БД, которые применяются только с ручным управлением. Выбор путей доступа в запросах на доступ, созданных с использованием SQL-языка стал более автоматизированным. Это позволяет снизить количество ошибок, совершаемых при выборе пути в ручном режиме. Это стало возможным после проведения модификации графов модели, отражающей существующие связи на уровне иерархии предприятия.

Проведенные опыты и эксперименты показали, что для каждой используемой КИС можно выделить и определить минимально возможное значение выполняемых КИС функций и ее же характеристик, при снижении которого использование данной конкретной КИС становится неэффективным. Если количество пользователей будет снижаться по отношению к количеству ролей, исполняемых этими пользователями, то эффект от использования КИС будет возрастать. Это же будет наблюдаться, если возрастет соотношение между таблицами данных и атрибутами, их описывающими.

Список литературы

автоматизированный информационный доступ право

1. Мельников, В.П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков - М.: Издательский центр «Академия». - 2012 - 336 с.

2. Щеглов, К.А. Новый подход к защите данных в информационной системе / К.А. Щеглов, А.Ю. Щеглов // Известия высших учебных заведений. Приборостроение. - 2015. - Том 58 № 3. - С. 157-166.

3. Верзун, Н.А. Моделирование процесса передачи информации с разграничением прав доступа пользователей / Верзун Н.А., Воробьёв А.И., Пойманова Е.Д. // Известия высших учебных заведений. Приборостроение. - 2014. - № 9, том 57. - С. 33-37.

4. Марков, А.С. Методы оценки несоответствия средств защиты информации / Марков А.С., Цирлов В.Л., Баранов В.Л. - М.: Горячая линияТелеком - 2012. - С. 192.

5. Миронова, В.Г. Методология проведения анализа режимов разграничения прав доступов пользователей к конфиденциальной информации и возможности осуществления несанкционированного доступа / Миронова В.Г., Югов Н.Т, Мицель А.А. // Доклады Томского государственного университета систем управления и радиоэлектроники. - 2014. - № 2 (ч. 32). - С. 116-120.

6. Krotova, E.L. Detection of an intruder in an information system through the check of statistic hypotheses by certain statistic criteria / Krotova, E.L., Krotov, L.N., Gorbunov, J.A. // World Applied Sciences Journal. - 2014. - Vol. 29, No. 12.

Размещено на Allbest.ru