Недайвода В. А.

Национальный горный университет, Украина

Применение матрицы доступа для систем контроля и управления доступом

 

Аннотация

В работе предложено использование матрицы доступа в области систем контроля и управления доступом путём реализации логических функций арифметическими полиномами. Произведено сравнение нормативной базы Украины и Российской федерации в области систем контроля и управления доступом и автоматизированных систем для обоснования применения матрицы доступа.

 

Сложность современных информационных систем определяет разнообразие современных информационных моделей безопасности. Каждая из таких моделей описывает определённые аспекты информационного взаимодействия. К сожалению, на сегодня не существует единой модели, которая учитывает все нюансы. Эксперт, который оценивает ту или иную систему  с  точки зрения безопасности, встаёт перед проблемой выбора метода моделирования для получения адекватного результата. Моделью политики безопасности принято называть формальное описание политики безопасности для заданной системы. Но так как системы существенно отличаются одна от другой, то и модели должны использоваться соответствующие.

Одной из основных моделей безопасности информационных систем есть модель Харрисона-Руззо-Ульмана, которая относится к моделям систем дискретного разграничения доступа. Данная модель реализует произвольное управление доступом субъектов к объектам и контроль за распространением прав доступа. Метод представления данных – матрица доступа. Цель моделирования – представление прав доступа.

Матрицы доступа содержат набор прав доступа субъектов к объектам и являются основным элементом дискретной модели разграничения доступа. Руководящие документы РФ требуют осуществлять контроль доступа субъектов к защищённым ресурсам в соответствии с матрицей доступа в автоматизированных системах (АС) с классами защиты 1А, 1Б, 1В, 1Г [1]. Матрицу доступа можно свести к таблице истинности и представить системой логических функций. В научной литературе описаны способы реализации логических функций арифметическими полиномами [2,3]. Такое представление, при программной реализации, отличается от традиционного большей гибкостью, производительностью, достоверностью и, в некоторых случаях, более компактным представлением. Сама реализация матрицы доступа уже описана к. т. н., доцентом А. Б. Сизоненко [4].

 В пределах данной работы сравнение нормативных документов в области систем контроля и управления доступа (СКУД) и АС, таких стран как Украина и Российская Федерация (РФ) в виду недостатка в Украине нормативных документов в области СКУД. Результатом есть обоснование использования для нормативной базы Украины реализации матрицы доступа путем представления логических функций арифметическими полиномами. Целью является достижение более компактного представления матрицы доступа по сравнению с традиционным табличным представлением путём её реализации арифметическими полиномами и рассмотрение данного метода для использования в сфере СКУД.

Предположим, что разрабатываемая СКУД относится к АС класса 2, тогда она есть – локализованный многомашинный многопользовательский комплекс, который обрабатывает информацию разных категорий конфиденциальности. Существенное отличие от АС класса 1 – наличие пользователей с разными полномочиями доступа и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности.

Зададим для СКУД повышенные требования к конфиденциальности и целостности. В НД ТЗИ 2.5-004-99 [5], приложение А, разделы: А.1.1 (доверительная конфиденциальность) и А.2.1 (доверительная целостность), предполагается использование концепции матрицы доступа для построения как частичной, так и полной матриц доступа. В большей степени матрица доступа в АС класса 2 используется для стандартного функционального профиля защищённости в КС 2.КЦ [6], что соответствует заданным требованиям.

Несмотря на то, что руководящие документы РФ требуют осуществлять контроль доступа субъектов к защищённым ресурсам в соответствии с матрицей доступа в АС с классами защиты 1А, 1Б, 1В, 1Г – дискреционную модель доступа будем рассматривать для АС второй группы, класс 2Б.

Классификацию СКУД, в частности для СКУД универсальных и с централизованным управлением, для систем повышенной и высокой устойчивости требования к защите от несанкционированного доступа (НСД) к информации, устанавливают как для АС в соответствии с [1] по приложению А, таблица А.1 [7]. При этом классы защиты системы от НСД к информации должны соответствовать: 3А, 3Б, 2Б – для систем повышенной устойчивости. Исходя из выше сказанного просматривается соответствие разрабатываемой СКУД к АС второй группы [1] класса 2Б. То есть, можно использовать дискретную модель доступа.

В результате сравнения нормативной базы приходим к выводу, что для СКУД (основываясь нормативных документах РФ и Украины) целесообразно использовать матрицу доступа. Практическая значимость заключается в упрощении представления данных о правах доступа субъектов к объектам. Дальнейшие работы будут продолжены в сфере повышения безопасности систем контроля и управления доступом на основе вышеописанных методов.

 

Список литературы

1.                  Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Утвержден решением председателя ГТК при Президенте РФ от 30 марта 1992 г.

2.                  Малюгин В.Д. Параллельные логические вычисления посредством арифметических полиномов. – М.: Наука. Физматлит, 1997. – 192 с.

3.                  Финько О.А. Модулярная арифметика параллельных логических вычислений: Монография/ под ред. В.Д. Малюгина. — М.: Институт проблем управления им. В.А. Трапезникова РАН; Краснодар: КВИ, 2003. — 224с.

4.                  Реализация матрицы доступа путем представления логических функций арифметическими полиномами, к.т.н., доцент Сизоненко А. Б., Краснодарский университет МВД России. – URL: http://www.rusnauka.com/16_ADEN_2011/Informatica/4_88473.doc.htm – Дата обращения: 01.03.2012.

5.                  НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. №22.

6.                  НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу». Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня 1999 р. №22.

7.                  ГОСТ Р 51241-2008 Средства и системы контроля управления доступом. Классификация. Общие технические требования. Методы испытаний.