Современные информационные технологии/Информационная безопасность
К.э.н., Кирилишен Ярослав Викторович
Донецкий национальный университет
Внедрение механизмов групповой динамики
пользователей в систему контроля доступа информационной системы управления
С переходом к рыночным отношениям наиболее значимой характеристикой экономики Украины становится высокая динамика изменения ее составляющих. Успешное функционирование предприятия в таких условиях достигается за счет организации системы управления, использующей информацию, накапливаемую и обрабатываемую при помощи современных информационных систем управления.
Ключевым шагом этого подхода
является создание системы управления доступом к объектам информационной системы
масштаба предприятия. Эта система позволит сотрудникам, ответственным за
соблюдение политики доступа к информации и за сами данные, видеть полную
картину существующих разрешений, а также получить контроль над правами доступа
персонала – пользователей информационной системы. Такой подход будет гарантировать,
что назначение прав доступа находится под контролем во всей организации,
производится вовремя и без ошибок, а также существенное снижение рисков
компании, связанных с неправомерным использованием информации [1].
В
настоящее время наиболее распространенной моделью контроля доступа в информационной
системе является ролевая модель (Role-Based Access Control - RBAC), которая основана на максимальном приближении логики
работы системы к реальному разделению функций персонала в организации. Этот метод
управления доступом контролирует доступ пользователей к информации на основе
типов их активностей в системе [4].
Несмотря
на наличие многочисленных примеров информационных систем с реализованной системой
доступа, основанной на использовании механизма RBAC, приходится констатировать,
что структура ролей и привязанных к ним объектов статична, и предопределена на
этапе создания информационной системы. Статичная структура объектов встроена в
реализацию программных модулей информационной системы [2, 3].
Описанная
организация системы разграничения доступа не позволяет использовать эффективно ее
для разграничения доступа к данным информационной системы. Основной причиной
этого могут являться реализованные в
информационной системе механизмы изменения данных, все результаты работы
которых не могут быть заранее продуманы с точки зрения статичной структурой
объектов и ролей.
В ходе проведенного исследования,
которое осуществлялось в рамках процесса разработки в Донецком национальном
университете «Системы финансового менеджмента ВУЗа», была синтезирована концепция
системы разграничения доступом к информационной системы с использованием RBAC,
в основу которой положен механизм групповой динамики пользователей наряду с
использованием статичных ролей и объектов.
В основе разработанной
концепции лежит алгоритм динамической генерации ролей, объектов и связанных с
ними групп пользователей, при изменении информационного наполнения информационной
системы. Примерами использования этого механизма в рамках «Системы финансового
менеджмента ВУЗа» является разграничение доступа пользователей к отдельным
типам договорам финансово-хозяйственной деятельности, бюджетам и группам
бюджетов, а также другой информации.
При добавлении нового значения в справочник осуществляется автоматическое
создание ассоциированных с этими данными объекта системы безопасности и
связанных с ним действий, которые разрешены для созданной автоматически группы
пользователей.
Реализация
предложенного взаимодействия между механизмами динамического изменения данных
системы и механизмом RBAC позволяет
существенно увеличить гибкость подсистемы безопасности информационной
системы. Получаемая в результате структура объектов системы безопасности информационной
системы позволяет разграничивать доступ к отдельным записям в таблице ее
интегрированной базы данных.
Использование
предложенной концепции при реализации информационных систем повышает степень
интеграции и позволяет осуществлять процесс администрирования максимально
приближенным к области ответственности конкретного пользователя, а также
улучшает качество распределения прав и полномочий и мониторинга их
использования, что существенно повышает эффективность выполнения управленческих
функций на предприятии.
Литература:
1. Баранов А.П. Зегжда Д.П., Зегжда П.Д., Ивашко А.М.,
Корт С.С. Теоретические основы информационной безопасности СПб.: СПбГТУ. 1998.
2. Демурчев Н.Г. Применение формальных моделей управления
доступом при проектировании автоматизированных информационных систем вузов. //
Образовательная среда сегодня и завтра: Материалы II Всероссийской
научно-практической конференции. – М.: Рособразование, 2005. – с. 234-236.
3. Демченко Ю.В. Обеспечение гибкой системы контроля
доступа в Web-сервисах и Grid-системах. Тезисы докладов конференции "Relarn 2005", http://www.relarn.ru/conf/conf2005/section5/5_04.html
4.
Role Based Access Control and Role Based Security. NIST, http://csrc.nist.gov/groups/SNS/rbac/