RU2792790C1 - Устройство мандатного доступа к электронным информационным ресурсам - Google Patents

Устройство мандатного доступа к электронным информационным ресурсам Download PDF

Info

Publication number
RU2792790C1
RU2792790C1 RU2022105258A RU2022105258A RU2792790C1 RU 2792790 C1 RU2792790 C1 RU 2792790C1 RU 2022105258 A RU2022105258 A RU 2022105258A RU 2022105258 A RU2022105258 A RU 2022105258A RU 2792790 C1 RU2792790 C1 RU 2792790C1
Authority
RU
Russia
Prior art keywords
block
input
output
eir
access
Prior art date
Application number
RU2022105258A
Other languages
English (en)
Inventor
Феликс Семенович Кордыш
Валерий Алексеевич Степанов
Original Assignee
Феликс Семенович Кордыш
Валерий Алексеевич Степанов
Filing date
Publication date
Application filed by Феликс Семенович Кордыш, Валерий Алексеевич Степанов filed Critical Феликс Семенович Кордыш
Application granted granted Critical
Publication of RU2792790C1 publication Critical patent/RU2792790C1/ru

Links

Images

Abstract

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в повышении степени безопасности при доступе к электронным информационным ресурсам, а также в расширении функциональных возможностей за счёт автоматического сопоставлениия субъектов и объектов доступа на основании мандатных меток и профиля пользователя. Технический результат достигается за счёт того, что устройство мандатного доступа к электронным информационным ресурсам (ЭИР) содержит N абонентских модулей, каждый из которых включает в себя: блок ввода-вывода, интерфейс абонента, процессор, блок шифрования/дешифрования, приемо-передатчик; телекоммуникационную сеть; приемо-передатчик абонентского модуля; сервер шифрования/дешифрования; локальную телекоммуникационную сеть; сервер информационной безопасности; сервер управления; интерфейс администратора информационной безопасности; интерфейс администратора; блок данных пользователей; блок идентификации и аутентификации; блок управления правами доступа пользователей; блок управления учетными записями пользователей; блок контроля доступа; блок модели контроля доступа; блок регистрации событий и мониторинга; блок аннотирования и атрибутирования ЭИР; блок управления уровнем секретности ЭИР; блок данных ЭИР; блок модели предметной области. 1 ил.

Description

Область техники.
Изобретение относится к области защиты информационных систем и может быть использовано для автоматизированного управления мандатным доступом пользователей к аннотированным электронным информационным ресурсам (ЭИР) различного уровня секретности с использованием цифровых моделей контроля доступа.
Уровень техники.
Способ разграничения доступа пользователей к ЭИР, основанный на назначении мандатной метки конфиденциальности пользователю и ЭИР и выдаче разрешения на чтение, запись и изменение информации с использованием модели доступа, является наиболее надежным с точки зрения защиты информации.
Известна классическая многоуровневая система безопасности, применяемая для обработки информации с множественными классификациями, предоставления доступа пользователям с различным мандатным уровнем и предотвращения доступа пользователей к информации, для которой у них нет авторизации. К таким многоуровневым системам безопасности относится модель Белла-ЛаПадуды [Bell D.E., LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976. MTR-2997 Rev. 1.]. В указанной модели субъект с высоким уровнем доступа имеет право на запись и чтение объекта с высоким уровнем конфиденциальности. Он также может читать документы с более низким уровнем конфиденциальности, но не изменять. В свою очередь субъект с низким уровнем доступа может читать и записывать в объект с низким уровнем конфиденциальности. Чтение объектов с высоким уровнем конфиденциальности ему запрещено, но разрешена запись.
Также известна и более сложная, но и более надежная, система многосторонней безопасности (Multilateral security systems), которая учитывает и реализовывать различные и, часто, противоречивые требования к безопасности разных заинтересованных сторон и позволяет эти требования сбалансировать. В основе реализации многосторонней системы безопасности лежит принцип гранулирования (сегментирования) информации.
Данное изобретение может быть использовано в качестве автоматизированного диспетчера доступа как в многоуровневых системах безопасности, так и в системах многосторонней безопасности. При этом во втором случае технический эффект от применения изобретения будет выше за счет аппаратной реализации части основных функций, включая обработку сегментированной информации.
Известен способ обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом (см. патент RU 2525481).
Наиболее близким аналогом для изобретения является система постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами (см. патент RU 2647643), содержащая подсистему маркирования, подсистему администрирования, подсистему хранения данных, подсистему обработки данных и подсистему мониторинга.
К недостаткам данного устройства относится отсутствие возможности работы с электронными информационными ресурсами, отличными от электронных документов Microsoft Office. Также данное устройство не позволяет формировать цифровых профилей пользователей и автоматизировать соотнесение субъектов и объектов данных для обеспечения доступа к ЭИР. Также данное устройство не позволяет передавать и хранить информацию в зашифрованном виде.
Техническим результатом изобретения является расширение функциональных возможностей устройства, а именно, автоматизация процесса идентификации, аутентификации и профилирования пользователей, классификация и категорирование ЭИР, формирование паспортов ЭИР, а также автоматическое сопоставление субъектов и объектов доступа на основании мандатных меток и профиля пользователя, шифрование ЭИР при передаче через телекоммуникационную сеть и хранении в блоке данных.
Техническая реализация устройства осуществляется на известной элементной базе компьютерной техники с помощью промышленных аппаратно-программных средств.
Устройство относится к классу автоматизированных интегрированных систем.
Сущность заявленного технического решения заключается в том, что устройство мандатного доступа к электронным информационным ресурсам содержит N абонентских модулей, где N = 1, 2, 3 …, связанных с телекоммуникационной сетью двунаправленной линией связи, сервер управления, интерфейс администратора, сервер информационной безопасности, интерфейс администратора информационной безопасности, блок данных ЭИР, блок данных пользователей, блок контроля доступа к ЭИР, блок регистрации событий и мониторинга, блок управления учетными записями пользователей, сервер шифрования/дешифрования, блок идентификации и аутентификации пользователей, блок аннотирования и атрибутирования ЭИР, блок модели предметной области, причем каждый из N абонентских модулей содержит последовательно соединенные двунаправленными линиями связи блок ввода/вывода, интерфейс пользователя, процессор, блок шифрования/дешифрования, приемопередатчик абонентского модуля, при этом телекоммуникационная сеть последовательно соединена двунаправленной линией связи с приемопередатчиком и с локальной телекоммуникационной сетью, при этом первый вход/выход которой двунаправленной линией связи соединена с первым входом/выходом сервера информационной безопасности, а второй вход/выход локальной телекоммуникационной сети соединен двунаправленными линиями связи с первым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход соединен двунаправленной линией связи соединен с первым входом/выходом сервера управления, а четвертый вход/выход ЛТС соединен двунаправленными линиями связи с первым входом/выходом сервером шифрования/дешифрования, второй вход/выход которого соединен со вторым входом/выходом сервера управления, входы/выходы которого с третьего по десятый соответственно соединены двойными линиями связи с блоком модели предметной области, блоком данных ЭИР, блоком управления уровнем секретности ЭИР, интерфейсом администратора ЭИР, блоком контроля доступа, блоком модели контроля доступа, со вторым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход которого соединен со вторым входом/выходом сервера информационной безопасности, а входы/выходы с третьего по девятый которого соответственно соединены двунаправленными линиями связи соединены со вторым входом/выходом блока моделей контроля доступа, вторым входом/выходом блока контроля доступа, интерфейсом администратора информационной безопасности, блоком управления учетными записями пользователей, блоком управления правами доступа пользователей, блоком идентификации и аутентификации и с блоком данных пользователей.
На Фиг. 1 представлена функциональная схема заявленного устройства мандатного доступа к ЭИР, включающая:
N абонентских модулей, каждый из которых включает в себя: блок ввода-вывода - 1.1, интерфейс абонента - 1.2, процессор - 1.3, блок шифрования/дешифрования - 1.4, приемо-передатчик - 1.5;
телекоммуникационную сеть - 2;
приемо-передатчик абонентского модуля - 3;
сервер шифрования/дешифрования - 4;
локальную телекоммуникационную сеть - 5;
сервер информационной безопасности - 6;
сервер управления - 7;
интерфейс администратора информационной безопасности - 8;
интерфейс администратора - 9;
блок данных пользователей - 10;
блок идентификации и аутентификации - 11;
блок управления правами доступа пользователей - 12;
блок управления учетными записями пользователей - 13;
блок контроля доступа - 14;
блок модели контроля доступа - 15;
блок регистрации событий и мониторинга - 16;
блок аннотирования и атрибутирования ЭИР - 17;
блок управления уровнем секретности ЭИР - 18;
блок данных ЭИР - 19;
блок модели предметной области - 20.
Устройство мандатного доступа к ЭИР позволяет реализовать следующие функции и меры защиты информации:
идентификация и аутентификация субъектов доступа и объектов доступа;
соотнесение конкретных значений классификационных меток с уровнем конфиденциальности (степенью секретности) и признаками классификации информации;
управление доступом субъектов к объектам; •регистрация событий, включая события безопасности;
контроль защищенности информации;
обеспечение целостности и доступности информации.
Выполнение автоматизированных функций устройства основано на обработке закодированных информационных объектов и описаний, относящихся к следующим субъектам и объектам контроля: мандатная метка, пользователь, учетная запись пользователя, эксперт, профиль пользователя, ЭИР, паспорт ЭИР, модель предметной области, модель контроля доступа, запрос информации, шаблон отчета, отчет.
Устройство может работать в следующих режимах:
идентификация пользователя;
аутентификация пользователя;
присвоение уровня конфиденциальности (мандатной метки) пользователю;
формирование профиля пользователя;
шифрование и загрузка ЭИР в базу данных;
формирование паспорта ЭИР и назначение владельца;
определение владельцем уровня конфиденциальности ЭИР и присвоение мандатной метки ЭИР;
прием и обработка запроса на доступ к ЭИР;
сопоставление мандатных меток пользователя и ЭИР;
предоставление доступа;
запрет доступа и формирование предупреждения;
формирование отчетов;
запись и контроль событий.
Реализация работы устройства показана на примере загрузки одним зарегистрированным ранее пользователем ЭИР в базу данных устройства.
Пользователь через блок ввода-вывода (1.1), интерфейс абонента (1.2), процессор (1.3), блок шифрования/дешифрования (1.4) и приемо-передатчик (1.5) абонентского модуля 1 (последовательно соединенные блоки абонентского модуля в дальнейшем не перечисляются) и далее через телекоммуникационную сеть (2) инициирует запрос на внесение в блок данных ЭИР нового ЭИР. При этом запрос включает в себя уникальный идентификатор пользователя и файл, содержащий ЭИР в одном из универсальных форматов. При этом содержательная часть запроса, включая ЭИР и метаданные, зашифрована с использованием закрытого ключа шифрования.
После получения сигнала на обработку приемо-передатчик (3) через ЛТС (5) передает идентификационную часть запроса на сервер ИБ (6), на котором выполняется процесс аутентификации пользователя, обеспечивающий опознавание субъекта доступа, запросившего доступ к БД ЭИР (19), по полученному идентификатору, а содержательная часть запроса передается на сервер шифрования/дешифрования (4). В процессе аутентификации для верификации данных сервер ИБ обменивается информацией с блоком идентификации и аутентификации (11), базой данных пользователей (10) и блоком управления правами доступа пользователей (12). При успешном выполнении процедуры аутентификации пользователя и проверки в блоке управления учетными записями пользователей (13) достоверности данных, включая мандатную метку, сервер ИБ (6) передает сигнал управления и закрытый ключ пользователя через блок контроля доступа (14) на сервер управления ЭИР (7). В противном случае сервер ИБ формирует и передает через ЛТС (5), приемо-передатчик (3) и телекоммуникационную сеть (2) в абонентский модуль отказ, включающий код с причиной отказа.
После получения сигнала управления Сервер управления ЭИР (7) передает закрытый ключ на сервер шифрования/дешифрования (4) и инициирует процесс дешифрования содержательной части запроса, после завершения, которого содержательная часть запроса передается на сервер управления ЭИР (7). Далее администратор ЭИР через интерфейс администратора ЭИР (9) формирует на сервере управления ЭИР (7) электронный паспорт ЭИР, используя функциональность блока аннотирования и атрибутирования (17) и модель предметной области, загруженную в блок (20). Далее администратор ЭИР, используя функциональность блока управления уровнем секретности (18), присваивает заявленному ЭИР мандатную метку, соответствующую уровню секретности ЭИР, определяемую моделью контроля доступа, загруженной в блок (15). Мандатная метка ЭИР включается в структуру электронного паспорта ЭИР.
Далее содержательная часть ЭИР шифруется на сервере шифрования/дешифрования (4) с использованием закрытого ключа, сгенерированного на сервере управления ЭИР, и записывается базу данных ЭИР (19). Паспорт ЭИР записывается в базу данных ЭИР без шифрования и дополнительно в него включается ссылка на логический адрес ЭИР в базе данных ЭИР.
После завершения записи ЭИР сервер управления ЭИР (7) через ЛТС (5), приемо-передатчик (3) и телекоммуникационную сеть (2) передает сигнал подтверждения записи и сформированный устройством паспорт ЭИР в абонентский модуль 1 и далее через последовательность блоков абоненту.
Все указанные выше действия регистрируются в блоке регистрации событий и мониторинга (16) и при возникновении внештатных ситуаций происходит прерывание процесса и через сервер ИБ (6) передается управляющий сигнал, код ситуации и дополнительная информация через интерфейс администратора ИБ (8) администратору ИБ для анализа и принятия решений.
Использование изобретения.
Использование изобретения позволяет преодолеть организационные, информационные и технологические барьеры для оптимального разрешения противоречия между общим автоматизированным доступом к защищаемой информации заинтересованных лиц при обеспечении режима секретности с соблюдением высоких норм информационной и экономической безопасности.
Изобретение может применяться и для построения многоуровневой системы защиты информации с использованием сертифицированных средств, создания информационных систем на основе автоматизированных технологий обработки, хранения, поиска и передачи информации, формирования среды общих данных и ее интеграцию с источниками с различными уровнями секретности.
Термины и определения
блок памяти: Функциональная часть системы обработки информации, предназначенная для приема, хранения и выдачи данных.
диспетчер доступа (монитор обращений): Аппаратные и программные элементы средства защиты от несанкционированного доступа, осуществляющие контроль доступа субъектов к объектам. [ГОСТ Р 58256-2018]
интегрированная система: Совокупность двух или более взаимоувязанных систем, в которой функционирование одной из них зависит от результатов функционирования другой (других) так. что эту совокупность можно рассматривать как единую систему.
интерфейс: Совокупность средств и правил, обеспечивающих взаимодействие устройств системы обработки информации и (или) программ.
канал ввода-вывода: Устройство, обеспечивающее пересылку данных между основной памятью ЭВМ и периферийными устройствами.
классификационная (мандатная) метка: Служебный атрибут безопасности единицы информационного ресурса, представляющий собой комбинацию иерархических классификационных уровней (степеней секретности) и неиерархических классификационных признаков (категорий) [ГОСТ Р 58256-2018].
мандатное управление доступом: Система разграничения доступа на основе уровня доступа субъекта (конфиденциально, секретно, совершенно секретно) и защитной метки объекта.
модель контроля доступа: Информационная структура, определяющая порядок доступа пользователей к электронным информационным ресурсам.
модель предметной области: Информационная модель знаний о предметной области, полученная путем формального и согласованного представления понятий области (домена) в терминах идентифицированных классов, соотношений классов и идентифицированных свойств.
объект доступа (объект): Единица электронного информационного ресурса, доступ к которой регламентируется правилами разграничения доступа [ГОСТ Р 58256-2018].
субъект доступа (субъект): Лицо или процесс, действия которого регламентируются правилами разграничения доступа [ГОСТ Р 58256-2018].
электронные информационные ресурсы (ЭИР): документы и информационные объектов, объединенные единым назначением, обеспечивающие выполнение определенных задач.
Библиография
1. ГОСТ Р 59798-2021 Онтологии высшего уровня. Базисная формальная онтология.
2. ГОСТ Р 58256-2018 Управление потоками информации в информационной системе. Формат классификационных меток.
3. ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения.

Claims (1)

  1. Устройство мандатного доступа к электронным информационным ресурсам, содержащее N абонентских модулей, где N = 1, 2, 3 …, связанных с телекоммуникационной сетью двунаправленной линией связи, сервер управления, интерфейс администратора, сервер информационной безопасности, интерфейс администратора информационной безопасности, блок данных ЭИР, блок данных пользователей, блок контроля доступа к ЭИР, блок регистрации событий и мониторинга, блок управления учетными записями пользователей, отличающееся тем, что в него дополнительно введены сервер шифрования/дешифрования, блок идентификации и аутентификации пользователей, блок аннотирования и атрибутирования ЭИР, блок модели предметной области, причем каждый из N абонентских модулей содержит последовательно соединенные двунаправленными линиями связи блок ввода/вывода, интерфейс пользователя, процессор, блок шифрования/дешифрования, приемо-передатчик абонентского модуля, при этом телекоммуникационная сеть последовательно соединена двунаправленной линией связи с приемо-передатчиком и с локальной телекоммуникационной сетью, при этом первый вход/выход которой двунаправленной линией связи соединена с первым входом/выходом сервера информационной безопасности, а второй вход/выход локальной телекоммуникационной сети соединен двунаправленными линиями связи с первым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход соединен двунаправленной линией связи соединен с первым входом/выходом сервера управления, а четвертый вход/выход ЛТС соединен двунаправленными линиями связи с первым входом/выходом сервером шифрования/дешифрования, второй вход/выход которого соединен со вторым входом/выходом сервера управления, входы/выходы которого с третьего по десятый соответственно соединены двойными линиями связи с блоком модели предметной области, блоком данных ЭИР, блоком управления уровнем секретности ЭИР, интерфейсом администратора ЭИР, блоком контроля доступа, блоком модели контроля доступа, со вторым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход которого соединен со вторым входом/выходом сервера ИБ, а входы/выходы с третьего по девятый которого соответственно соединены двунаправленными линиями связи соединены со вторым входом/выходом блока моделей контроля доступа, вторым входом/выходом блока контроля доступа, интерфейсом администратора информационной безопасности, блоком управления учетными записями пользователей, блоком управления правами доступа пользователей, блоком идентификации и аутентификации и с блоком данных пользователей.
RU2022105258A 2022-02-28 Устройство мандатного доступа к электронным информационным ресурсам RU2792790C1 (ru)

Publications (1)

Publication Number Publication Date
RU2792790C1 true RU2792790C1 (ru) 2023-03-24

Family

ID=

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069437B2 (en) * 1998-08-06 2006-06-27 Cryptek, Inc. Multi-level security network system
US7600117B2 (en) * 2004-09-29 2009-10-06 Panasonic Corporation Mandatory access control scheme with active objects
CN103701801B (zh) * 2013-12-26 2015-07-15 四川九洲电器集团有限责任公司 一种资源访问控制方法
CN103430183B (zh) * 2010-11-04 2016-04-20 思飞信智能电网公司 用于公用事业应用的物理安全授权
US9917863B2 (en) * 2007-02-08 2018-03-13 Mcafee, Llc Method and system for implementing mandatory file access control in native discretionary access control environments
RU2647643C1 (ru) * 2017-01-25 2018-03-16 Акционерное общество "Кросс технолоджис" Система постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7069437B2 (en) * 1998-08-06 2006-06-27 Cryptek, Inc. Multi-level security network system
US7600117B2 (en) * 2004-09-29 2009-10-06 Panasonic Corporation Mandatory access control scheme with active objects
US9917863B2 (en) * 2007-02-08 2018-03-13 Mcafee, Llc Method and system for implementing mandatory file access control in native discretionary access control environments
CN103430183B (zh) * 2010-11-04 2016-04-20 思飞信智能电网公司 用于公用事业应用的物理安全授权
CN103701801B (zh) * 2013-12-26 2015-07-15 四川九洲电器集团有限责任公司 一种资源访问控制方法
RU2647643C1 (ru) * 2017-01-25 2018-03-16 Акционерное общество "Кросс технолоджис" Система постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами

Similar Documents

Publication Publication Date Title
van Beek et al. Digital forensics as a service: Game on
CN102176226B (zh) 安全授权查询
US9411977B2 (en) System and method for enforcing role membership removal requirements
Erickson Fair use, DRM, and trusted computing
TWI523475B (zh) 通過封套資料組合之資料可驗證信賴
CN106534199B (zh) 大数据环境下基于xacml和saml的分布式***认证与权限管理平台
CN110957025A (zh) 一种医疗卫生信息安全管理***
US20200358759A1 (en) Access to data stored in a cloud
US20210297236A1 (en) Data processing permits system with keys
Viega Building security requirements with CLASP
CN1585325B (zh) 对数据项目的基于区域的安全管理
US11611587B2 (en) Systems and methods for data privacy and security
JP2002351661A (ja) セキュア・ソリューションを体系化する方法及びシステム
CN113067871B (zh) 一种基于区块链技术的数字档案管理方法
CN100574210C (zh) 一种基于无等级角色间映射的访问控制方法
Mythili et al. Trust management approach for secure and privacy data access in cloud computing
US8132261B1 (en) Distributed dynamic security capabilities with access controls
CN116090000A (zh) 文件安全管理方法、***、设备、介质和程序产品
Hu et al. Attribute considerations for access control systems
RU2311676C2 (ru) Способ обеспечения доступа к объектам корпоративной сети
RU2792790C1 (ru) Устройство мандатного доступа к электронным информационным ресурсам
US11507686B2 (en) System and method for encrypting electronic documents containing confidential information
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
Basso et al. Requirements, design and evaluation of a privacy reference architecture for web applications and services
RU2130643C1 (ru) Способ обеспечения доступа к данным в системе управления базами данных "линтер-вс"