Достижения современных сложных систем, программно-технических средств (ПТС) и масштабы их распространения общеизвестны. Следствием развития и совершенствования таких систем является необходимость обеспечения их безопасности на всех этапах жизненного цикла. При этом выделяются области анализа и обеспечения информационной безопасности (защита от предумышленных, негативных воздействий на информационные ресурсы систем) и функциональной безопасности (обусловлено отказовыми ситуациями и потерей работоспособности систем и ПТС вследствие проявления дефектов программ, данных, аппаратуры и внешней среды).
Проблема обеспечения информационной безопасности функционирования информационных систем (ИС) в процессе разработки и эксплуатации возникла и развивается вследствие возрастания сложности задач, использования информационных ресурсов, увеличения их уязвимости от предумышленных внешних воздействий с целью незаконного использования или искажения информации и программ, которые по своему содержанию предназначены для применения ограниченным кругом лиц [1].
Задача обеспечения функциональной безопасности при случайных, дестабилизирующих воздействиях и отсутствии злоумышленного влияния на системы, ПТС или информацию существенно отличается от задач информационной безопасности [2]. При анализе функциональной безопасности рассматриваются опасные отказовые ситуации, приводящие к потере работоспособности систем, к авариям и катастрофам. При таких воздействиях внешняя функциональная работоспособность систем может разрушаться не полностью, однако невозможно полноценное выполнение заданных функций и требований к качеству информации для потребителей. В рассматриваемых ниже системах безопасность их функционирования определяется реализацией угроз и проявлениями дестабилизирующих факторов, приносящих значительный ущерб.
Также следует отметить, что исходя из современных концепций проектирования информационных систем следует, что любая ИС является социотехнической, причем отношения между субъектами в большей или меньшей степени могут быть недостаточно формализованы и, таким образом, иметь характер конфликта [3].
Социотехническая информационная система (СТИС) – совокупность информационно-технической и социальной инфраструктур ИС. Социотехнической является любая ИС, где социальная инфраструктура, то есть «человеческий фактор», оказывает непосредственное влияние на эффективность использования компьютерной техники. Человеческий фактор также затрагивает стадии функционирования всей ИС, такие как проектирование, разработка, внедрение, эксплуатация. Управляемость социальной среды, профессиональные навыки и квалификация специалистов, а также общее понимание поставленных задач являются важнейшими составляющими ИС и информационных технологий вообще. Представление ИС социотехнической системой предопределяет и подход к анализу ее безопасности [4].
Обеспечение безопасности функционирования таких систем вызывает серьезные трудности, связанные со сложностью информационных процессов и участием человека как неотъемлемого звена функционирования СТИС [2], которое характеризуется большой неполнотой и недостоверностью информации, множеством дестабилизирующих факторов, влияющих на СТИС, приводящих к поступлению в систему новой для нее информации. Причиной проявления дисфункционального поведения СТИС являются проблемы объединения решений технико-технологической и социальной системы в социотехническую и проблемы согласования организационно-управленческих задач.
Цель подхода СТИС – формировать организации на основе совместной оптимизации. Под этим подразумевается, что СТИС будут функционировать наилучшим образом только тогда, когда социальная и техническая системы построены так, чтобы служить потребностям друг друга, что обеспечит повышение устойчивости функционирования.
Исследованию безопасности СТИС посвящены работы С.В. Волобуева и П.В. Сундеева [2]. Безопасность устойчивого функционирования СТИС определяется наличием способности предотвращать или минимизировать последствия нарушения процесса нормального функционирования из-за деструктивных воздействий с целью избегания недопустимого ущерба внешней среде. Поддержание безопасных условий обеспечивается, во-первых, наличием механизмов сохранения способности нормального функционирования информационных систем в условиях деструктивных воздействий, а, во-вторых, организацией такого поведения системы, при котором блокируется её переход в состояния, соответствующие недопустимому ущербу внешней среде. Вопросы сохранения способности нормального функционирования ИС в условиях деструктивных воздействий традиционно решаются с использованием понятий информационной безопасности и надёжности, реже с учетом отказоустойчивости и живучести.
Для решения задач обеспечения безопасности информационных систем разработаны формальные модели безопасности. Данные модели представляют собой формальное описание политики безопасности информационной системы, которое задает условия, которым должно соответствовать поведение всей системы. Система должна соответствовать критерию безопасности и иметь формальное доказательство соответствия этому критерию при соблюдении установленных для нее правил и ограничений.
В связи с тем, что механизмы управления доступом стали основой систем защиты информации, модели управления доступом выступили отдельным классом формальных моделей безопасности. Модели управления доступом предназначены для разработки систем разграничения доступа и их применение нацелено на определение формальных правил, регламентирующих схему информационных потоков и управление ими. Также на их основе строятся модели безопасности, которые задают жесткий порядок обработки информации [5].
Основными формальными моделями управления доступом (или политиками безопасности), используемыми в современных компьютерных системах, являются дискреционные модели, мандатные модели и ролевые модели [1, 6, 7].
Общим подходом в обеспечении безопасности информационных процессов для всех указанных моделей является разделение множеств сущностей в ИС на множества субъектов и объектов. Однако для каждой отдельной модели определения понятий объект и субъект могут значительно различаться [1]. Совокупность множеств субъектов, объектов и отношений между ними определяет состояние системы. Каждое состояние системы является либо безопасным, либо небезопасным в соответствии с предложенным в модели критерием безопасности. Для каждой модели проводится формальное доказательство ее безопасности.
С другой стороны, с начала 90-х годов начали активно развиваться модели семейства TBAC – Task Based Authorization Control [7], что было обусловлено необходимостью обеспечения безопасности информационных процессов систем, реализующих workflow. В моделях TBAC основным понятием является задача, причем полномочия не являются статичными и постоянными – они изменяются в соответствии с контекстом задачи.
Таким образом, согласно приведенной в литературе парадигме активного управления доступом, классический подход к управлению доступом можно расширить понятием потока задач – workflow. Если текущая задача учитывается при предоставлении прав доступа P(t), то из всего множества полномочий пользователя P, отражающих права доступа к объектам всей СТИС, ему доступны лишь те полномочия, которые необходимы для выполнения текущей задачи
P = p(t).
Выполнение задачи становится более безопасным, потому что возможности для несанкционированного доступа к данным и неправильного использования данных, например несанкционированное чтение неполных данных, уменьшены. Кроме того, авторы отмечают, что в таком механизме управления доступом учитывается правило минимальных привилегий, потому что субъектам будут предоставлены только те полномочия, которые необходимы для текущей работы.
Для того чтобы реализовать активные модели управления доступом в СТИС при решении задач наделения пользователей полномочиями, изменяющимися во времени, необходимо провести анализ языков моделирования динамических систем. С одной стороны, анализ литературных источников показал, что среди классических инструментов моделирования для решения задач информационной безопасности авторами используются сети Петри [8]. С другой стороны, для решения задач функциональной безопасности необходимо рассмотреть средства моделирования сложных эволюционирующих систем, представленных в математической информатике языком схем радикалов.
В соответствии с BPM (Business Performance Management) и workflow [7] поток задач может быть представлен в виде сети. Описание сетями Петри [8] дает следующие преимущества:
– сети Петри хорошо подходят для описания дискретных динамических моделей: процесс и его выполнение – это модель, потому что отсчеты во времени, соответствующие выполнению действий, формируют дискретный набор на оси времени;
– сети Петри – математический аппарат, синтаксис и семантика которого строго формализованы;
– если поток задач описан сетью Петри, такие свойства как достижимость конечного состояния и живучесть, математически доказуемы.
Сеть Петри – тройка N={P,T,F}.
P – множество позиций, Т
– множество переходов, причем
&#;.
Отношение потоков F описывается
следующим образом
.
Графическая интерпретация сети Петри – это двудольный граф. Позиции могут быть соединены только с переходами, переходы могут быть соединены только с позициями. Позиции в сетях Петри представлены графически как круги, переходы представлены как прямоугольники.
Поток задач характеризуется свойствами последовательности, параллельности и условности. Последовательность может быть смоделирована сетями Петри через переходы и позиции только с одной позицией входа и выхода или переходом. Параллельность базируется на переходах с множественными позициями выхода. Третье понятие – условность – основано на позициях с множественными переходами выхода. Поток задач характеризуется следующими характеристиками:
– действия в процессах соответствуют переходам в сетях Петри, выполнение действия соответствует срабатыванию перехода;
– маркировка сети Петри представляет текущее состояние процесса; маркеры представляют собой состояние процесса, то есть показывают, какие действия активизированы; отношения показывают, как маркеры могут двигаться в сети.
Для описания системы управления доступом необходимо указать, какие субъекты могут выполнять действия, и какие для этого данные необходимы и будут созданы при выполнении действий. Это осуществляется тремя функциями Sbj, Din и Dout [8].
Функция Sbj отображает множество переходов на множество субъектов. Эти субъекты могут выполнять действия, связанные с переходом:
,
где S – множество субъектов. С одной стороны, выполнение действия приводит к созданию данных. С другой стороны, чтобы выполнить действие, субъект использует данные, которые уже существуют. Множество входов данных и выходов перехода – описывается через эти функции Din и Dout :
,
где D – множество всех данных. Функции Din и Dout могут характеризоваться и пустыми множествами как допустимыми значениями. В этом случае никакие данные не являются необходимыми для выполнения, или никакие данные не созданы при выполнении действия.
На рисунке 1 два множества S, D
характеризуются следующим составом S={s1,
s2, s3},
D={d1,
d2, d3}.
Переход t1 может
быть выполнен только субъектом s1.
Нескольким субъектам можно назначить переход, например переход t4
может быть выполнен тремя субъектами s1,
s2, s3.
Субъекту s2
необходимы данные d2,
чтобы выполнить переход t3.
При выполнении перехода t3
субъект s2 создает
данные d3.
Значения функций Din
и Dout
могут быть пустыми множествами:
&#;.
В этом случае никакие данные не требуются, чтобы выполнить действия,
связанные с переходом.
Определить, выполнима ли функциональная сеть полностью, то есть, достижима ли конечная маркировка из маркировки начала, – нетривиальная задача. Она связана с проблемой достижимости в сетях Петри, для которой были введены такие понятия, как живучесть, инвариантность, тупиковые состояния [9].
Рисунок 1. Схема управления доступом на основе сетей Петри
Цель управления доступом состоит в том, чтобы предоставить доступ к данным только уполномоченным субъектам. Обычно используются права доступа на чтение (r) и запись (w)
.
Если права доступа предоставляют согласно текущему состоянию сети, то изменение прав доступа происходит при маркировке сети Петри. Права доступа, предоставляемые субъекту, теперь зависят от выполняемой задачи и называются динамическими полномочиями Pdyn:
.
Пусть субъект s запрашивает право на
чтение данных d. Модель управления
доступом проверяет текущую маркировку сети для всех задействованных
переходов. Пусть t является
задействованным переходом и
:
– если
,
право r предоставляется. Если t
более не задействован, то право r
отменяется;
– если
,
право r не предоставляется.
Таким образом, классическое и динамическое управление доступом связано следующим соотношением
.
Если имеет место применение rw-политики безопасности, правила управления доступом выражены следующим образом:
,
,
где
,
и
.
недопустимы, потому что данные должны быть записаны прежде, чем
прочитаны.
- В то же время следует выделить недостатки сетей Петри:
– отсутствие использования принципов объектно-ориентированного подхода;
- – низкая гибкость и трудоемкость описания систем в случае их декомпозиции до уровня некоторых элементарных операций.
Динамический подход к описанию системы управления доступом на основе сетей Петри позволяет описывать функционирование СТИС в режиме реального времени и обеспечивать разграничение доступа субъектов к данным согласно правилу минимальных привилегий.
Согласно математической информатике [10] понятие информационно-системной безопасности (ИСБ) сложной системы является главной ее характеристикой. В ИСБ авторы выделяют две составляющие – информационную безопасность и системную безопасность сложной системы.
Информационная безопасность является особого рода функциональной устойчивостью сложной системы, когда обеспечивается безусловное решение задач жизненного цикла системы вне зависимости от формы представления входной информации и от полноты этой информации. Обеспечение информационной безопасности сложной системы реализуется, главным образом, путем постоянного использования символьного моделирования проблемной области системы и методов логического вывода. В терминах математической информатики – это означает переход от операторов к ультра-операторам [11, 12].
Системная безопасность сложной системы – это безусловное сохранение ядра системы при решении любой частной задачи жизненного цикла. Другими словами, сохранение системообразующих составляющих системы и тех связей, которые обеспечивают полноценное функционирование сложной системы, ее системную целостность.
Системная безопасность сложной системы – это постоянный учет и устранение конфликтов между ее составляющими и их связями, которые появляются при решении задач жизненного цикла системы, а так же конфликтов между самой сложной системой и внешними к ней системами. Системная безопасность требует реализации системного подхода ко всей проблемной области сложной системы [13].
Разрушительные последствия нарушения функционирования сложных систем и человеческий фактор, приводят зачастую к непредсказуемым последствиям для такой системы, – это и многое другое говорят, что чем сложнее система, тем важнее для нее проблема обеспечения ИСБ в течение ее жизненного цикла.
Основным способом обеспечения ИСБ в условиях воздействия угроз и дестабилизирующих факторов является организация управления доступом к информационным ресурсам. Таким образом, для обеспечения безопасного выполнения информационных задач в СТИС существует необходимость учета в моделях разграничения доступа процессного подхода, на котором основывается динамика системы и ее жизненный цикл [14].
Внедрение процессного подхода на основе среды радикалов в системы безопасности требует пересмотра реализации моделей доступа, внедрение системного принципа, позволяет организовать доступ с учетом состояния и возможности реализации функций и задач системой. Рассмотрим понятие среды радикалов с целью использования основных положений данного математического инструмента как средства, которое можно использовать для обеспечения безопасного жизненного цикла информационной задачи и функции СТИС в целом.
Понятие радикала является главным понятием математической информатики [12]. Под радикалом понимается любая функциональная система, имеющая два доступных извне состояния: активное и пассивное. Активный радикал функционирует, согласно своему предназначению, а пассивный радикал нет. Множество радикалов со связями между собой является средой радикалов.
ИСБ системы обеспечивается нормализацией среды радикалов проблемной области. Нормализация проводится в три этапа. Первый этап нормализации состоит в разделении радикалов на два вида: уникумы и контейнеры.
С помощью понятия контейнера реализуется идея топологической фильтрации уникумов в среде радикалов. Если уникумы соответствуют компонентам проблемной области сложной системы, то контейнеры отвечают за их свойства. Контейнер может содержать только те уникумы, которые обладают выделенным свойством. В математической информатике контейнеру соответствует многоместное отношение или многоместный предикатный символ.
Второй этап нормализации состоит в ультра-оснащении среды радикалов. Ультра-среда образуется из ультра-радикалов. Ультра-радикалы – это продукции базы знаний проблемной области. Ультра среда определяет так называемое ультра-оснащение среды радикалов, предназначенное для ИСБ-решения задач жизненного цикла сложной системы, выявления и снятия конфликтов и системных нарушений целостности системы.
Третий этап нормализации состоит в эффективной организации среды радикалов по специальным принципам нормализации, обеспечивают корректное рассмотрение в стенде обеспечения комплексных разработок иерархических структур в проблемной области сложной системы, параметров составляющих системы, изменений проблемной области во времени, вариантность при построении отдельных составляющих и всей системы в целом, взаимодействие между составляющими системы и другое.
Таким образом, анализ среды радикалов позволяет выделить следующие положения в организации процессного подхода управления доступом в сложных СТИС:
– опорная среда представляет собой параметры функционирования системы, а ультра-среда определяет условия перехода системы из одного состояния в другое;
– опорная среда есть не что иное, как структура системы управления доступом, состоящая из пользователей (субъектов) и ресурсов (объектов);
– ультра-среда есть не что иное, как процесс развития и функционирования системы во времени, заключающийся в непрерывном порождении информационных потоков действиями пользователей, создании новых объектов доступа и, таким образом, росте (эволюции) системы.
Данное схематическое описание системы разграничения доступа (СРД) в терминах среды радикалов представлено на рисунке 2.
Рисунок 2. Описание системы разграничения доступа средой
радикалов
Процесс жизненного цикла системы предполагает последовательное совместное выполнение задач на основе порождения информационных потоков и, таким образом, – развитие системы. В процессе такого функционирования имеет место неполная информация в динамике выполнения пользователями задач, которая является в данном случае спорным ресурсом, причем сторонами, участвующими в конфликте по получению доступа к спорному ресурсу могут быть не только пользователи, но и задачи.
В понятиях среды радикалов конфликт в эволюционирующей системе возникает при появлении уникумов, одновременно принадлежащих, либо не принадлежащих конфликтующим контейнерам. Таким образом, действием или бездействием пользователи могут потенциально конфликтовать с требованиями процесса выполнения задачи. Так как процесс жизненного цикла системы предполагает последовательное совместное выполнение задач на основе порождения информационных потоков, и, следовательно, развитие системы, то возможно наличие следующих конфликтов:
– конфликты между задачами;
– конфликты между процессами.
Сравнительный анализ показывает, что динамическое моделирование СТИС на основе среды радикалов и сетей Петри позволяет осуществлять динамическое описание процессов, задавать права доступа, осуществлять смену состояний системы в целом.
Среда радикалов, в отличие от сетей Петри, позволяет описывать структуру информационных объектов, осуществлять смену состояний пользователя, выявлять конфликтные ситуации в динамичных процессах выполнения информационных задач.
Достоинства среды радикалов предопределяют ее использование при построении динамических систем разграничения доступа. Недостатки же сетей Петри не позволяют описывать сложные системы и в настоящее время используются для описания простейших операций. В сетях Петри вводятся определенные ограничения на структуру сети, что позволяет использовать более простые алгоритмы для ее анализа либо дополнительные элементы формальной системы с целью увеличения описательной мощности.
В итоге, объединив основные подходы описания систем управления (процессный, ситуационный, научный и системный) на основе ключевых понятий социотехнической системы (функции, ресурсы и полномочия, логические схемы), где нормализованная среда радикалов является основой решения, получим новый методологический подход в построении моделей безопасности критических информационных систем. На основе этого предлагаемого подхода, нормализованная среда радикалов позволяет:
– решать конфликты использования общих ресурсов в процессе функционирования системы, при этом учитывая возможные каналы утечки информации;
– реализовать построение динамических моделей разграничения доступа на основе функциональности социотехнической системы, фиксирующих взаимодействие ресурсов и полномочий их использования как внутри функции, так и на межфункциональном уровне в реальном масштабе времени.
Литература:
Гайдамакин Н.А. Разграничение доступа к информации в компьютерных системах. – Екатеринбург: Изд-во Уральского университета, 2003. – 328 с.
Волобуев С.В. Философия безопасности социотехнических систем: информационные аспекты. – М.: Вузовская книга, 2004. – 360 с.
Столбов А.П. Денотационные модели процессов коллективного решения информационных задач в социотехнических системах: Дис. д-ра техн. наук: 05.13.17. – М.: РГБ, 2006.
Морева О.Д. Разработка методики оценки информационной защищенности социотехнических систем с использованием функций чувствительности: дис. канд. техн. наук: 05.13.19 – Воронеж: РГБ, 2007.
Зегжда Д.П. Принципы и методы создания защищенных систем обработки информации: Дис. д-ра техн. наук : 05.13.19. – М.: РГБ, 2003.
Sandhu R.S. "The Typed Access Matrix Model" Proceedings of IEEE Symposium on Security and Privacy, Oakland, California, 1992, – P.122-136.
Thomas R.K. and Sandhu R.S. Task-based Authorization Controls (TBAC): Models For Active and Enterpriseoriented Authorization Management. In Proceedings of the 11th IFIP WG 11.3 Conference on Database Security, Lake Tahoe, CA, August 1997.
Konstantin Knorr. Dynamic Access Control through Petri NetWorkflows. In Proceedings of the 16th Annual Computer Security Applications Conference, pages 159-167, New Orleans, LA, December 2000.
Арьков П.А. Построение модели процесса реализации угрозы в информационной системе на основе сетей Петри // Обозрение прикладной и промышленной математики, 2008, том 15, Выпуск 4, М.: ООО Редакция журнала «ОПиПМ», 2008 – С. 655.
Чечкин А.В. Обеспечение информационно-системной безопасности сложной системы на основе среды нейрорадикалов ее проблемной области – Нейрокомпьютеры: разработка и применение. 2008, №7.
Соболева Т.С., Чечкин А.В. Дискретная математика с элементами математической информатики. Кн. I – общие вопросы / Под ред. Чечкина А.В. – М.: МО, 2005, С. 18-22.
Соболева Т.С., Чечкин А.В. Дискретная математика. – М.: Изд. "Академия", 2006.
Чечкин А.В. Математическая информатика. – М.: Наука, 1991.
Лепешкин О.М., Харечкин П.В. Анализ моделей разграничения доступа, реализованных в современных социотехнических системах. Инфокоммуникационные технологии – Самара, 2008. Т6. №2. – С 91-93.
