Языки

Обеспечение мандатного контроля доступа в современных информационных системах

В настоящее время информационные системы получили широкое распространение во всех сферах деятельности человека. Это базы данных для обработки технической или экономической информации, это и геоинформационные системы, необходимые для обработки картографической информации и многие другие. Актуальность вопроса обеспечения мандатного доступа в такие системы обусловлена повышенными требованиями к безопасности хранимой информации, а так же отсутствием реализованных решений.
Предложен механизм внедрения мандатной политики доступа к данным, в котором, назначение мандатных прав пользователям (конфиденциально, секретно, сов.секретно и.т.д) осуществляет подсистема удостоверяющих центров. В результате пользователю выдается цифровой сертификат, содержащий помимо прочей информации значение доступа его владельца. Сертификат заверен электронно-цифровой подписью удостоверяющего центра, поэтому его фальсификация невозможна. Защищенная информационная система состоит из следующих подсистем:

  • существующая система; 
  • удостоверяющий центр;
  • диспетчер доступа.

Диспетчер доступа является промежуточным звеном между пользователями и системой. Он обеспечивает реализацию мандатной модели доступа, анализируя и модифицируя запросы пользователей. Использование сертификатов открытых ключей дает возможность решать следующие задачи информационной безопасности:

  • мандатный доступ;
  • двухсторонняя аутентификация;
  • шифрование передаваемой информации.

Результатом разработки является внедрение подсистемы мандатного доступа в существующую геоинформационную систему «Интеграция», где разграничение доступа реализовано на различных уровнях представления картографической информации: объекты, карты, районы работ. Помимо разграничение доступа, обеспечены аутентификация и шифрование трафика с помощью сертификатов открытых ключей и асимметричных методов шифрования.

Разработана модель мандатного доступа, специфичная для современных реляционных баз данных. Ведется работа по созданию программных средств, позволяющих внедрять мандатный доступ в известные системы управления базами данных, такие как MySQL, MS SQL Server и ряд других.
Одним из важных достоинств описанной разработки является возможность внедрения мандатного доступа в уже существующие и функционирующие системы их модификации, а так же использование их штатной дискреционной политики доступа в дополнение внедренной мандатной.