Подход к управлению доступом к информационным ресурсам на основе анализа активности приложений пользователей
ПОДХОД К УПРАВЛЕНИЮ ДОСТУПОМ К ИНФОРМАЦИОННЫМ РЕСУРСАМ НА ОСНОВЕ АНАЛИЗА АКТИВНОСТИ ПРИЛОЖЕНИЙ ПОЛЬЗОВАТЕЛЕЙ
Кий Андрей Вячеславович
В настоящее время в автоматизированных системах (АС) многих организаций осуществляется переход с программного обеспечения (ПО) компании Microsoft на свободное (ПО), базирующееся на операционной системе Linux. Причинами такого перехода является не только высокая стоимость ПО Microsoft, но и более высокая интенсивность компьютерных атак на это ПО. Однако проблема защиты информации в АС, базирующихся на Linux, также является достаточно актуальной [6, с. 298].
Наличие угроз несанкционированного доступа (НСД) к информации в Linux обусловлено многими факторами. Во-первых, в известных моделях управления доступом (дискреционной, мандатной и т. д.) полномочия доступа к ресурсам назначаются пользователям на весь этап функционирования системы вне зависимости от задач, решаемых этими пользователями в текущий момент. Это приводит к избыточности полномочий и увеличивает вероятность НСД к информации [1, с. 14]. Во-вторых, в процессе функционирования АС зачастую возникают ситуации, когда для обеспечения доступа к ресурсам необходимо обеспечить исполнение программ от имени суперпользователя или других привилегированных пользователей. Для этого в Linux реализован ряд команд, в которых в качестве аргумента передается имя или идентификатор пользователя [5, с. 921]. В-третьих, при выполнении критичных приложений для хранения временных файлов в Linux могут использоваться общедоступные или домашние директории пользователей. Наконец, угрозой безопасности информации является использование несертифицированного ПО, которое может обладать недекларированными возможностями [4, c. 28]. Наличие указанных угроз обусловливает необходимость совершенствования подходов к разграничению доступа к информации в системах, основанных на Linux, что и является целью настоящей работы.
Одним из важнейших понятий Linux является понятие процесса, под которым понимается программа, или приложение пользователя, выполняемое в данный момент. Так как Linux является многопользовательской и многозадачной системой, необходимо обеспечить управление доступом процессов к информационным ресурсам. Для этой цели, как правило, применяется подход, основанный на сокращении привилегий. Существуют следующие способы его реализации:
- - назначение разных привилегий для отдельных частей процесса (процесс разбивается на несколько частей, которым назначаются разные привилегии); - назначение только абсолютно необходимых привилегий (например, процессам назначаются собственные идентификаторы пользователей и связанные с ними привилегии); - ограничение времени, в течение которого действуют привилегии (процесс получает необходимые привилегии только на время, необходимое для выполнения привилегированного действия).
Реализация перечисленных способов в наибольшей степени возможна в тех АС, где существует строгая регламентация действий пользователей, например, в критически важных инфраструктурах [3, с. 22]. В этом случае пользователь решает ряд функциональных задач, для каждой из которых определяется перечень и последовательность выполняемых процессов. При этом каждый процесс, запускаемый пользователем, оперирует с определенным набором информационных ресурсов [2, с. 42]. Это позволяет сформировать для каждого пользователя совокупность частных матриц доступа (ЧМД), содержащих только те субъекты и объекты доступа, которые необходимы для выполнения соответствующих процессов. Частные матрицы доступа могут быть сформированы на основе анализа системных журналов регистрации.
Учет ЧМД позволяет предложить следующий подход к повышению качества контроля доступа пользователей в АС, основанных на Linux. Модули управления доступом ядраLinux будут принимать решение о доступе пользователя к информационным ресурсам на основе сформированных ЧМД, соответствующих активным в текущий момент времени пользовательским процессам. Переключение между ЧМД будет происходить в соответствии с изменением множества идентификаторов активных пользовательских процессов.
Реализация данного подхода возможна в соответствии с методикой, включающая следующие этапы.
Этап 1. Определение полномочий пользователей по доступу к ресурсам АС на основе дискреционной и мандатной моделей управления доступом.
Этап 2. Выделение идентификаторов пользовательских процессов на основе анализа журналов регистрации системных событий.
Этап 3. Формирование ЧМД пользователей к ресурсам.
Этап 4. Применение ЧМД пользователей для контроля их доступа к ресурсам.
На первом этапе на основе анализа политики безопасности, существующей в организации, формируется базовая матрица доступа (БМД), столбцы которой соответствуют пользователям, строки - ресурсам, а в ячейках БМД находятся списки разрешенных полномочий.
На втором этапе осуществляется анализ записей системных журналов, отражающих действия пользователя по выполнению приложений, и формирование списков идентификаторов процессов, соответствующих приложениям пользователя. Один из сформированных списков в текущий момент времени является списком активных процессов пользователя. Его изменение свидетельствует о переходе пользователя к выполнению очередного приложения. Каждое приложение также получает свой идентификатор.
На третьем этапе формируются ЧМД. Для этой цели для каждого пользовательского процесса на основе анализа записей системных журналов формируется множество информационных ресурсов, к которым пользователь обращался в процессе выполнения этого процесса, т. е. множество объектов доступа процесса. ЧМД пользователя формируются путем выбора из БМД строк и столбцов, соответствующих отобранным объектам доступа процесса.
Наконец, на четвертом этапе осуществляется управление доступом к информационным ресурсам на основе анализа активности приложений пользователей. В каждый момент времени выполняется проверка идентификаторов списка активных процессов пользователя на предмет соответствия идентификатору выполняемого процесса. В случае выявления такого соответствия осуществляется переход в управлении доступом от БМД (в начале сеанса пользователя) либо от активированной ранее ЧМД к новой ЧМД, соответствующей идентификатору приложения. В результате в каждый момент времени пользователю предоставляется минимально необходимый набор полномочий по доступу к ресурсам АС, что, в конечном итоге, снижает вероятность реализации НСД к информации.
Программная реализация данного подхода предоставляет администратору безопасности АС дополнительные средства контроля над действиями пользователей. Однако она не требует значительных вычислительных затрат.
Программный автоматизированный управление информационный
Список литературы
- 1. Девянин П. Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками: учеб. пособие для вузов. - М.: Изд-во "Горячая линия - Телеком", 2013. - 338 с. 2. Кий А. В., Копчак Я. М., Саенко И. Б., Козленко А. В. Динамическое управление доступом к информационным ресурсам в критически важных инфраструктурах на основе информационных профилей пользователей // Труды СПИИРАН. - 2012. - № 2. - С. 41-45. 3. Котенко И. В., Саенко И. Б. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах // Труды СПИИРАН. - 2013. - № 1. - С. 21-40. 4. Репин М., Саккулина А. Контроль недекларированных возможностей // Information Security / Информационная безопасность. - 2008. - № 7+8. - С. 28. 5. Таненбаум Э. Современные операционные системы. 3-е изд. - СПб.: Изд-во "Питер", 2010 г. - 1120 с. 6. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. - М.: Изд-во "ДМК Пресс", 2012. - 592 с.
Похожие статьи
-
Значительное влияние на процесс дифференциации и интеграции управленческого труда оказывает возрастание сложности и масштабов решаемых управленческих...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается...
-
В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования...
-
Информационное обеспечение, информационный фонд, информационная база, автоматический банк данных, система информации -- далеко не полный перечень...
-
Определение методов реинжиниринга информационных систем Основные задачи, которые стоят перед проектировщиком, занимающимся реинжинирингом информационных...
-
После того, как был реализован процесс карьерного планирования в информационной системе, можно сделать выводы о том, что внедрение информационной системы...
-
Понятие модели нарушителя. Типы моделей - Угрозы информационным ресурсам
Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба...
-
ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ База данных как основа информационного обеспечения В состав информационного, программного и математического обеспечения...
-
Если множество элементов объединено в систему по определенному признаку, то всегда можно ввести некоторые дополнительные признаки для разделения этого...
-
СТРУКТУРА И СОДЕРЖАНИЕ ИНФОРМАЦИОННОЙ МОДЕЛИ ОБЪЕКТА УПРАВЛЕНИЯ Своевременно получать информацию о ходе перевозочного процесса, расходе горючесмазочных...
-
Понятие "информационные технологии управления" Управление - важнейшая функция, без которой немыслима целенаправленная деятельность любой...
-
Для достижения цели, поставленной в данной работе, необходимо проанализировать текущую ситуацию в области информационных систем, сравнить информационные...
-
ОСНОВНЫЕ ПОЛОЖЕНИЯ, ОПРЕДЕЛЕНИЯ И ПОНЯТИЯ Совокупность управляющих воздействий, направленных на то, чтобы действительный ход процесса соответствовал...
-
В данной дипломной работе будут предложены различные системы организации абонентского доступа. Предлагается строить КС с применением базовых...
-
Назначение и технологические функции автоматизированной системы оперативного управления перевозками Автоматизированная система оперативного управления...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
Возрастающая сложность современных автоматизированных систем управления и повышение требовательности к ним обуславливает применение эффективных...
-
Сбор и регистрация информации - Теоретические основы информационных технологий
Сбор и регистрация информации происходят по-разному и в различных объектах. Процесс перевода информации в выходные данные в технологических системах...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Системный подход к анализу информационной сферы предприятия Сущность системного подхода может быть определена путем обобщения его свойств и...
-
Автоматизированный управление финансы В динамичных условиях развития потребительского спроса в сфере информационных технологий (далее ИТ), создается...
-
Внутреннее строение автоматизированных информационных технологий управления - Управление по функциям
В процессе создания и в ходе функционирования автоматизированных информационных технологий управления выделяют некоторые аспекты внутреннего строения...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
Информационный безопасность программный сеть Информационная система ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет"...
-
В условиях обогащения данными современного общества, где информация является основой экономической деятельности, значительно изменились роль и функции...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Заключение - Информационные технологии в управлении персоналом на примере компании ООО "Аксис ПРО"
В результате проделанной работы была достигнута цель исследования - повышение качества функционирования компании путем использования информационной...
-
Управление человеческими ресурсами компании является ключевым процессом деятельности компании, который управляет подбором, взаимодействием всех...
-
Определения метаданных - Метаданные как вид информационных ресурсов
Много различных трактовок в литературе, большинство не являются достаточно полными или даже ошибочны. Распространенное определение "Метаданные - это...
-
Известно, что схемы процессов являются основой для настройки процесса в информационных системах. Схемы процессов легли в основу настройки процесса...
-
Теоретические предпосылки исследования Системы поддержки принятия решений Системы поддержки принятия решений (СППР), представляют собой приложения узкого...
-
Как известно, реализация каждого основного технологического процесса требует наличия вспомогательных (второстепенных) процессов, обеспечивающих...
-
ВВЕДЕНИЕ - Автоматизированные системы обработки информации и управления на автомобильном транспорте
Автоматизированные системы управления нашли широкое применение во всех отраслях экономики. Создано и функционирует несколько тысяч АСУ различного класса...
-
Применение управления проектами при изучении курса информатики
ПРИМЕНЕНИЕ УПРАВЛЕНИЯ ПРОЕКТАМИ ПРИ ИЗУЧЕНИИ КУРСА ИНФОРМАТИКИ Грызлова М. С. Новикова И. Н. Решение научно-технической и социально-экономической задачи...
-
Инструментарий технологии программирования - программные продукты поддержки (обеспечения) технологии программирования. В рамках этого направления...
-
Модель сервера приложений - Теоретические основы информационных технологий
Чтобы разнести требования к вычислительным ресурсам сервера в отношении быстродействия и памяти по разным вычислительным установкам, используется модель...
-
Технологии распределенных вычислений (РВ) Современное производство требует высоких скоростей обработки информации, удобных форм ее хранения и передачи....
-
Хранение и накопление информации - Теоретические основы информационных технологий
Хранение и накопление информации вызвано многократным ее использованием, применением условно-постоянной, справочной и других видов информации,...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
Подход к управлению доступом к информационным ресурсам на основе анализа активности приложений пользователей