CC BY
45
УДК 681.3
АЛГОРИТМ ПРОЦЕССА ИНТЕЛЛЕКТУАЛЬНОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ОСНОВЕ ПРИМЕНЕНИЯ ДОПОЛНИТЕЛЬНЫХ ФУНКЦИЙ В СИСТЕМАХ ЗАЩИТЫ
ИНФОРМАЦИИ ОТ НСД
О.В. Ланкин, В.И. Сумин, Е.В. Воронова
В данной работе в состав СИЗИ, кроме стандартных сервисных функций, включены перспективные функции по ЗИ от НСД, реализуемые с помощью подсистемы многоуровневого управления доступом пользователей к информации в АСК. Алгоритм процедуры многоуровневого управления доступом пользователей к информационным ресурсам АСК в соответствии с уровнями конфиденциальности обрабатываемой информации
Ключевые слова: система интеллектуальной защиты информации, кибернетика, несанкционированный доступ
В данной работе в состав СИЗИ, кроме стандартных сервисных функций, включены перспективные функции по ЗИ от НСД, реализуемые с помощью подсистемы многоуровневого управления доступом пользователей к информации в АСК. Алгоритм процедуры многоуровневого управления доступом пользователей к информационным ресурсам АСК в соответствии с уровнями конфиденциальности обрабатываемой информации представлен на рисунке [1].
Особенность этого алгоритма заключается в том, что он включает в свой состав три различных алгоритма управления доступом пользователей в систему, обеспечивающих доступ к информации соответственно низкого (блоки 24, 25), среднего (блоки 8, 16, 17-23) и высокого (блоки 1-16) уровней конфиденциальности через соответствующие группы терминалов АСК. При этом распределение терминалов по доступу к информационным ресурсам осуществляется таким образом, что каждый терминал АСК имеет доступ к информации установленного (заданного) для него и более низкого уровня конфиденциальности. В третьей группе терминалов АСК, обеспечивающих доступ к информации низкого уровня конфиденциальности, управление доступом пользователей в систему организуется на основе типового алгоритма идентификации и аутентификации (блок 24) [1]. Через терминалы второй группы, обеспечивающие доступ к информации среднего уровня конфиденциальности, реализуется алгоритм управления доступом пользователей в систему, созданный на основе типового алгоритма идентификации и аутентификации пользователей (блок 17), дополненного процедурой мониторингового контроля подлинности пользователей в процессе их работы в АСК (блоки 8, 16, 18-22). В первой группе терминалов АСК, обеспечивающих доступ к информации высокого уровня конфиденциальности, организуется управление доступом пользователей в систему в соответствии с алгоритмом, аналогичным алгоритму
Ланкин Олег Викторович- ВГТА, канд. техн. наук, доцент, тел. 8-910-240-67-60
Сумин Виктор Иванович- ВГТА, д-р техн. наук, профессор, тел. (473)238-80-77
Воронова Елена Васильевна - ВГТА, канд. техн. наук, тел. 8-903-656-85-81
для второй группы терминалов АСК (блоки 8, 10-16), дополненному процедурой дополнительной аутентификации пользователей при обращении к особо важному информационному ресурсу (ресурсу 0) (блоки 2-8, 16). Содержание блоков алгоритма многоуровневого управления доступом пользователей к информации в АСК следующее.
Блок 1. Проведение типовой процедуры идентификации и аутентификации пользователей через терминалы АСК первой группы осуществляется в соответствии с алгоритмом, приведенным в [1]. При реализации этого алгоритма целесообразно использовать более сложные процедуры идентификации и аутентификации, обеспечивающие определение пользователя с высокой достоверностью. Для этого используются комбинированные пароли с большой длиной части пароля (ключа-пароля,) помещаемого на физические носители (ключи, карты) и достаточно большим значением минимальной длины части пароля, вводимого вручную, задаваемой администратором ЗИ.
Блок 2. Обращение пользователя к особо важному информационному ресурсу (ресурсу 0) -функция, обеспечивающая возможность запуска процедуры дополнительной аутентификации пользователя, проводимой после его доступа в систему. Возможность запуска процедуры дополнительной аутентификации при обращении к особо важному информационному ресурсу предоставляется только пользователям, имеющим на это полномочия, и только через терминалы первой группы.
Блок 3. Вызов процедуры дополнительной аутентификации пользователя - запускает процедуру дополнительной аутентификации пользователя, имеющего на это полномочия, после его обращения к особо важному информационному ресурсу.
Блок 4. Ввод аутентификационных данных пользователя - функция, обеспечивающая получение аутентификационных данных пользователя для его дополнительного опознания при обращении к особо важному информационному ресурсу. В случае использования метода разделенных привилегий производится одновременный ввод дополнительных аутентификационных данных всеми членами некоторой группы, например пользователь, представитель службы безопасности и администратор.
Первая группа терминалов Вторая группа терминалов Третья группа терминалов
1
^ Начало ^
17
24
^ Начало ^
Проведение типовой процедуры идентификации и аутентификации пользователей
Проведение типовой процедуры идентификации и аутентификации пользователей
Проведение типовой процедуры идентификации и аутентификации пользователей
Доступ к инфор- Доступ к инфор- Доступ к инфор- Доступ к инфор-
мационным ре- мационным ре- • • • мационным ре- • • • мационным ре-
сурсам 0 сурсам 1 сурсам K сурсам N
( Конец 3 с Конец )
( Конец 3 с Конец )
Рис. 1. Блок-схема алгоритма многоуровневого управления доступом пользователей к
информационным ресурсам АСК
Блок 5. Проверка подтверждения подлинности (аутентификация) пользователя - функция, производящая непосредственное сравнение введенного и эталонного значений аутентификационных данных пользователя (при использовании метода разделенных привилегий производится одновременная аутентификация всех членов группы).
При положительном результате сравнения его аутентификационных данных организуется допуск пользователя к особо важному ресурсу (при использовании метода разделенных привилегий допуск пользователя к данному ресурсу производится только при положительном результате аутентификации всех членов группы). В случае отрицательного результата сравнения обращающемуся отказывается в доступе к данному ресурсу (при использовании метода разделенных привилегий в доступе отказывается в случае отрицательного результата сравнения аутентификационных данных хотя бы одного из членов группы), о чем он оповещается, а также регистрируется неудовлетворительная попытка аутентификации.
Блок 6. Проверка выполнения условия, что число неудовлетворительных попыток аутентификации пользователя больше заданного. В случае невыполнения данного условия пользователю отказывается в доступе к особо важному информационному ресурсу, о чем он оповещается, а также регистрируется неудовлетворительная попытка аутентификации. При выполнении данного условия блокируется терминал и оповещается администратор службы безопасности о НСД.
Блок 7. Блокировка терминала - функция, производящая отключение клавиатуры и монитора от пользователя в случае превышении количества неудовлетворительных попыток аутентификации пользователя заданного числа.
Блок 8. Сигнализация о НСД - функция, производящая оповещение администратора службы безопасности о НСД для принятия оперативных мер по ЗИ.
Блок 9. Доступ пользователя к особо важному информационному ресурсу (ресурсу 0) - функция, производящая допуск пользователя к особо важному ресурсу в соответствии с ПРД при положительном результате его аутентификации. При использовании метода разделенных привилегий допуск пользователя к данному ресурсу производится только при положительном результате аутентификации всех членов группы.
Блок 10. Доступ пользователя к информационному ресурсу высокого уровня конфиденциальности (ресурсу 1) - функция, производящая допуск пользователя в соответствии с предоставленными ему полномочиями к информационному ресурсу высокого уровня конфиденциальности (ресурсу 1) с соблюдением ПРД. Доступ пользователей к данному ресурсу осуществляется при положительном результате их аутентификации с помощью типовой процедуры аутентификации пользователей через терминалы АСК первой группы (блок 1).
Блок 11. Вызов процедуры мониторингового
контроля подлинности пользователя - запускает процедуру мониторингового контроля подлинности пользователя. Данная функция определяет время начала проведения контроля, который может проводиться непрерывно (сразу же после окончания контроля запускается новая процедура контроля) или в дискретные моменты времени - периодически или в случайно выбранные моменты времени. При каждом запуске целесообразно менять контролируемые биометрические параметры пользователя (возможен случайный выбор из перечня контролируемых параметров).
Блок 12. Считывание аутентификационных данных пользователя - функция, производящая определение значения контролируемого биометрического параметра пользователя, выбранного из перечня контролируемых параметров. При этом считывание биометрических параметров пользователя производится во время его работы в системе и без его ведома для мониторингового контроля подлинности пользователя и его физического состояния.
Блок 13. Проверка подтверждения подлинности (аутентификация) пользователя - функция. производящая непосредственное сравнение измеренного и эталонного значений контролируемого параметра пользователя (с заданным допуском). При положительном результате сравнения его аутентификационных данных процесс мониторингового контроля подлинности пользователя возвращается в исходное состояние - к блоку 11. В случае отрицательного результата сравнения формируется сигнал непод-тверждения подлинности пользователя или его физического состояния.
Блок 14. Проверка выполнения условия, что число последовательных событий, неподтверждений подлинности пользователя или плохого его физического состояния, больше заданного. В случае невыполнения данного условия регистрируется непод-тверждение подлинности пользователя или плохое его физическое состояние, а также осуществляется повторная аутентификация пользователя. При выполнении данного условия блокируется терминал и оповещается администратор службы безопасности о НСД.
Блок 15. Блокировка терминала - функция, производящая отключение клавиатуры и монитора от пользователя в случае превышения количества последовательных событий, неподтверждения подлинности пользователя или плохого его физического состояния, заданного числа.
Блок 16. Регистрация попыток НСД - функция, производящая регистрацию неудовлетворительных попыток аутентификации пользователя или плохого его физического состояния с фиксацией вводимых или измеренных значений параметров аутентификации пользователя. Регистрация осуществляется с помощью регистрирующих средств АРМ администратора ЗИ (службы безопасности) АСК.
Блок 17. Проведение типовой процедуры идентификации и аутентификации пользователей через терминалы АСК второй группы осуществляется аналогично блоку 1. Но при реализации данного
алгоритма целесообразно использовать менее сложные процедуры идентификации и аутентификации пользователя. Для этого используются комбинированные пароли со средней длиной части пароля (ключа-пароля), помещаемого на физические носители (ключи, карты), и небольшим значением минимальной длины части пароля, вводимого вручную, задаваемой администратором ЗИ.
Блоки 18-22. Блоки процедуры мониторингового контроля подлинности пользователя через терминалы АСК второй группы аналогичны соответствующим блокам 11-15 процедуры мониторингового контроля подлинности пользователя через терминалы АСК первой группы. Но при реализации данного алгоритма целесообразно использовать менее сложные процедуры аутентификации пользователя или контролировать один биометрический параметр пользователя.
Блок 23. Доступ пользователя к информационному ресурсу среднего уровня конфиденциальности (ресурсу К) - функция, производящая допуск пользователя в соответствии с предоставленными ему полномочиями к информационному ресурсу среднего уровня конфиденциальности (ресурсу К) с соблюдением ПРД. Доступ пользователей к данному ресурсу осуществляется при положительном результате их аутентификации с помощью типовой процедуры аутентификации пользователей через терминалы АСК второй группы (блок 17).
Блок 24. Проведение типовой процедуры идентификации и аутентификации пользователей через терминалы АСК третьей группы осуществля-
Воронежская государственная технологическая академия
ется аналогично блокам 1, 17. Но при реализации данного алгоритма целесообразно использовать простые процедуры идентификации и аутентификации пользователя. Для этого обычно используются небольшой длины пароли, вводимые вручную.
Блок 25. Доступ пользователя к информационному ресурсу низкого уровня конфиденциальности (ресурсу К) - функция, производящая допуск пользователя в соответствии с предоставленными ему полномочиями к информационному ресурсу низкого уровня конфиденциальности (ресурсу К) с соблюдением ПРД. Доступ пользователей к данному ресурсу осуществляется при положительном результате их аутентификации с помощью типовой процедуры аутентификации пользователей через терминалы АСК третьей группы (блок 24).
Таким образом, разработан алгоритм многоуровневого управления доступом пользователей к информационным ресурсам АСК в соответствии с уровнями конфиденциальности обрабатываемой информации на основе дифференцированного подхода к решению проблемы защищенного доступа пользователей к информации АСК.
Литература
1. Ланкин О.В., Рогозин Е.А., Макаров О.Ю., Тюхов А.В. Проблема оценки эффективности систем защиты информации на этапе их сертификации // Проблемы обеспечения надежности и качества приборов, устройств и систем: Межвуз. сб. науч. тр. Воронеж: ВГТУ, 2006. - С. 78-80.
ALGORITHM OF PROCESS OF INTELLECTUAL PROTECTION OF THE INFORMATION ON THE BASIS OF APPLICATION OF ADDITIONAL FUNCTIONS IN SYSTEMS OF PROTECTION OF THE INFORMATION FROM NOT AUTHORIZED ACCESS
O.V. Lankin, V.I. Sumin, E.V. Voronova
In the given work in structure of system of intellectual protection of the information, except for standard service functions, perspective functions on protection of the information against not authorized access, sold by means of a subsystem of multilevel management by access of users to the information in the automated system of critical application are included. Algorithm of procedure of multilevel management of access of users to information resources of the automated system of critical application according to levels of confidentiality of the processable information
Key words: system of intellectual protection of the information, the cybernetics, not authorized access
