Введение к работе
Актуальность темы исследования. Основу обеспечения безопасного функционирования современных информационных систем (ИС) составляют формальные модели разграничения доступа, которые реализуют субъектно-объектный подход в построении систем защиты информации. Вклад в развитие данного направления внесли многие отечественные и зарубежные исследователи, такие как В.А. Герасименко, А.А. Грушо, L.J. LaPadula, D.E. Bell, Hoffman J., Sandhu, Oilman J. и другие. Кроме того, разработаны международные и отечественные стандарты и нормативные документы, регламентирующие обеспечение информационной безопасности и эффективности функционирования ИС.
Характерной особенностью построения защищенных ИС, отвечающих установленным требованиям безопасного функционирования, является доминирование объектно-ориентированного и процессного подходов, которые отодвинули на задний план пользователя и решаемую им задачу как основную прагматически значимую единицу информационной деятельности. Вместо этого главное внимание аналитиков и разработчиков сконцентрировано на структурах и потоках данных, событиях, функциях и условиях их выполнения. Вопросы активности пользователей и их информационного поведения традиционно относятся только к сфере менеджмента и, как правило, остаются за рамками проектирования. Тем самым игнорируется социотехнический характер ИС.
Последние исследования, представленные в работах И.О. Скобелева, А.П. Столбова, Knorr К., Sandhu R., показывают, что процессы функционирования ИС все больше основываются на коллективных, субъектно-распределенных информационных задачах. Такие задачи для ИС являются критичными, ведь их невыполнение по времени накладывает серьезные ограничения на функционирование ИС в дальнейшем и приводит к появлению уязвимостей в информационных процессах при выполнении ИС своих функций в условиях неполной информации. Таким образом, участвуя в такого рода задачах, пользователи порождают новые виды угроз безопасности, решить которые классический субъект-объектный подход к управлению доступом не способен.
Как отмечают указанные ведущие специалисты, главная принципиальная трудность здесь заключается в необходимости исследования и проектирования информационных процессов одновременно на двух разных уровнях:
уровне выполнения субъектами операций над информационными объектами в процессе совместного выполнения задачи;
уровне взаимодействия между активными субъектами.
При этом появление отношений доступа между пользователями ИС на приведенном выше втором уровне в рамках решения ими коллективной задачи носит зачастую характер коллизии или конфликта, учесть которые классический субъектно-объектный подход не в состоянии. Таким образом, существует актуальная научная задача формализации и учета новых отноше-
ний доступа в динамичных процессах решения пользователями коллективных информационных задач для обеспечения безопасного выполнения функций социотехнической ИС.
Решение данной научной задачи предложено осуществить на основе разработки новой функционально-ролевой модели разграничения доступа, которая будет ограничивать во времени область конфликтного взаимодействия пользователей рамками выполняемой коллективной задачи с целью устранения угроз функциональной безопасности социотехнических ИС, а также отражать эффективность их функционирования в отношении полноты, целостности и доступности информации, своевременности выполнения задач и функций ИС.
Целью исследования является повышение функциональной безопасности социотехнических информационных систем на основе описания средой радикалов функционально-ролевой модели разграничения доступа.
Объектом исследования является социотехническая информационная система.
Предметом исследования является безопасность выполнения коллективной информационной задачи.
Для достижения цели исследования были поставлены следующие задачи:
Разработка функционально-ролевой модели разграничения доступа на основе среды радикалов.
Разработка методики оценки безопасного выполнения коллективных информационных задач в условиях диалектически конфликтного взаимодействия ролей.
Разработка практических рекомендаций по разработке функционально-ролевой политики безопасности социотехнической информационной системы в среде радикалов.
В рамках исследования использовались методы теории множеств, теории графов, сетей Петри, аппарата реляционной алгебры, языка схем радикалов. Основные положения, выносимые на защиту:
Формальное описание функционирования системы разграничения доступа социотехнической информационной системы, учитывающее информационные процессы выполнения пользователями коллективных информационных задач, которое достижимо на основе использования функционально-ролевой модели разграничения доступа, представленной на основе языка схем радикалов.
Модель активатора монитора безопасности, сочетающего в себе методы пассивного и активного предоставления полномочий, позволяет управлять информационным поведением диалектически конфликтных ролей через смену состояний пользователя.
Разработанная методика оценки безопасного выполнения коллективных информационных задач на основе понятия ресурсной координации пользователей позволяет оценивать угрозы образования неполной информации, угрозы целостности и несанкционированного доступа к неполной информации.
4. Предложенное ультра-оснащение системы разграничения доступа позволяет выявлять конфликты в функциональной безопасности социотехниче-ской информационной системы по полноте информации через своевременность информационных потоков и время выполнения коллективных информационных задач.
Научная новизна работы заключается в следующем.
Разработана функционально-ролевая модель разграничения доступа на основе языка схем радикалов, которая в отличие от существующих моделей позволит обеспечивать безопасное выполнение коллективных задач пользователями, находящимися в диалектически конфликтных парах ролей.
Разработана модель активатора монитора безопасности, которая позволит на основе новой модели разграничения доступа обеспечивать динамическое изменение наборов активных полномочий пользователей при выполнении итераций коллективных информационных задач.
Разработана методика оценки безопасного выполнения коллективных информационных задач на основе понятия ресурсной координации пользователей, которая позволит получать численные характеристики целостности и полноты информационных объектов коллективных информационных задач при активном назначении полномочий пользователям.
Разработано ультра-оснащение системы разграничения доступа, которое позволит на основе новой методики оценки безопасного выполнения коллективных информационных задач выявлять конфликтные ситуации в динамике выполнения коллективных информационных задач.
Достоверность полученных результатов подтверждается корректным использованием известного математического аппарата и строгостью проведенных математических выкладок, а также сведением полученных результатов при ограничениях на функциональность объектов к известным моделям.
Практическая значимость исследования заключается в следующем.
Разработанная модель функционально-ролевого разграничения доступа может использоваться для проектирования и реализации эффективных систем разграничения доступа социотехнических информационных систем в случае выполнения ими коллективных задач.
Предложенная методика оценки безопасного выполнения коллективных задач может использоваться для оценки информационной и функциональной безопасности социотехнических информационных систем.
Основные положения исследования могут быть применены при проектировании защищенных ИС, носящих социотехнический характер.
Реализация и внедрение результатов. Основные результаты исследования были использованы при проведении следующих научно-исследовательских работ по заказу Министерства образования и науки РФ, что подтверждено актами о внедрении:
- «Разработка методологии оценки функциональной безопасности критических социотехнических систем на основе теории радикалов для повыше-
ния безопасности информационных систем государственного управления» в рамках аналитической ведомственной целевой программы «Развитие научного потенциала высшей школы (2009-2010 годы)», ГК №2.1.2/4196;
«Разработка технологий проектирования эволюционирующих информационных систем на основе моделирования регламентов в специальных средах» в рамках федеральной целевой программы «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы, ГК №02.740.11.0832;
«Разработка методики оценки функциональной безопасности динамических социотехнических информационных систем на основе модели функционально-ролевого управления доступом» в рамках федеральной целевой программы «Научные и научно-педагогические кадры инновационной России» на 2009-2013 годы, ГК №2010-1.3.2-214-005-002;
-Разработка программного комплекса «Объединенная система оперативного диспетчерского управления», договор на выполнение НИОКР №10/10-1 от 22.10.2010 между ООО "СГУ-Инфоком" и ООО "НПО Инженерные системы".
Кроме того, результаты исследования использовались в учебном процессе на кафедре организации и технологии защиты информации Ставропольского государственного университета.
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на 50-55 юбилейной научно-методической конференции преподавателей и студентов Ставропольского государственного университета «Университетская наука - региону» (Ставрополь, 2007-2010 г.); IX-XI международной научно-практической конференции «Информационная безопасность» (Таганрог, 2008-2010 г.); II международной научно-практической конференции (Москва, 2007 г.); XII Международной научно-практической конференции (Тамбов, 2008 г. ); Первой всероссийской молодежной конференции по проблемам информационной безопасности «ПЕРСПЕКТИВА - 2009» (Таганрог, 2009 г.); III Всероссийской научной конференции молодых ученых, аспирантов и студентов «Роль системотехники в инженерных исследованиях» (Таганрог, 2009 г.); Международной научно-технической и научно-методической интернет-конференции в режиме offline «Проблемы современной системотехники» (Таганрог, 2009 г.); III Международной научно-практической конференции (Невинномысск, 2010 г.).
Публикации. По теме диссертации опубликовано 20 научных статей и тезисов докладов, в том числе 4 статьи в журналах из перечня ВАК. Получено свидетельство о регистрации программы для ЭВМ №2010617763 «Инструментальная среда визуализации моделей информационных процессов на основе языка схем радикалов».
Структура и объем диссертации. Диссертация включает введение, четыре раздела, заключение, библиографический список, содержащий 117 наименований, и 1 приложение. Основной текст диссертации изложен на 139 страницах, включая 35 рисунков и 4 таблицы.
