Устройство мандатного доступа к электронным информационным ресурсам

Область техники.

Изобретение относится к области защиты информационных систем и может быть использовано для автоматизированного управления мандатным доступом пользователей к аннотированным электронным информационным ресурсам (ЭИР) различного уровня секретности с использованием цифровых моделей контроля доступа.

Уровень техники.

Способ разграничения доступа пользователей к ЭИР, основанный на назначении мандатной метки конфиденциальности пользователю и ЭИР и выдаче разрешения на чтение, запись и изменение информации с использованием модели доступа, является наиболее надежным с точки зрения защиты информации.

Известна классическая многоуровневая система безопасности, применяемая для обработки информации с множественными классификациями, предоставления доступа пользователям с различным мандатным уровнем и предотвращения доступа пользователей к информации, для которой у них нет авторизации. К таким многоуровневым системам безопасности относится модель Белла-ЛаПадуды [Bell D.E., LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. Bedford, Mass.: MITRE Corp., 1976. MTR-2997 Rev. 1.]. В указанной модели субъект с высоким уровнем доступа имеет право на запись и чтение объекта с высоким уровнем конфиденциальности. Он также может читать документы с более низким уровнем конфиденциальности, но не изменять. В свою очередь субъект с низким уровнем доступа может читать и записывать в объект с низким уровнем конфиденциальности. Чтение объектов с высоким уровнем конфиденциальности ему запрещено, но разрешена запись.

Также известна и более сложная, но и более надежная, система многосторонней безопасности (Multilateral security systems), которая учитывает и реализовывать различные и, часто, противоречивые требования к безопасности разных заинтересованных сторон и позволяет эти требования сбалансировать. В основе реализации многосторонней системы безопасности лежит принцип гранулирования (сегментирования) информации.

Данное изобретение может быть использовано в качестве автоматизированного диспетчера доступа как в многоуровневых системах безопасности, так и в системах многосторонней безопасности. При этом во втором случае технический эффект от применения изобретения будет выше за счет аппаратной реализации части основных функций, включая обработку сегментированной информации.

Известен способ обеспечения безопасности информационных потоков в защищенных информационных системах с мандатным и ролевым управлением доступом (см. патент RU 2525481).

Наиболее близким аналогом для изобретения является система постановки метки конфиденциальности в электронном документе, учета и контроля работы с конфиденциальными электронными документами (см. патент RU 2647643), содержащая подсистему маркирования, подсистему администрирования, подсистему хранения данных, подсистему обработки данных и подсистему мониторинга.

К недостаткам данного устройства относится отсутствие возможности работы с электронными информационными ресурсами, отличными от электронных документов Microsoft Office. Также данное устройство не позволяет формировать цифровых профилей пользователей и автоматизировать соотнесение субъектов и объектов данных для обеспечения доступа к ЭИР. Также данное устройство не позволяет передавать и хранить информацию в зашифрованном виде.

Техническим результатом изобретения является расширение функциональных возможностей устройства, а именно, автоматизация процесса идентификации, аутентификации и профилирования пользователей, классификация и категорирование ЭИР, формирование паспортов ЭИР, а также автоматическое сопоставление субъектов и объектов доступа на основании мандатных меток и профиля пользователя, шифрование ЭИР при передаче через телекоммуникационную сеть и хранении в блоке данных.

Техническая реализация устройства осуществляется на известной элементной базе компьютерной техники с помощью промышленных аппаратно-программных средств.

Устройство относится к классу автоматизированных интегрированных систем.

Сущность заявленного технического решения заключается в том, что устройство мандатного доступа к электронным информационным ресурсам содержит N абонентских модулей, где N = 1, 2, 3 …, связанных с телекоммуникационной сетью двунаправленной линией связи, сервер управления, интерфейс администратора, сервер информационной безопасности, интерфейс администратора информационной безопасности, блок данных ЭИР, блок данных пользователей, блок контроля доступа к ЭИР, блок регистрации событий и мониторинга, блок управления учетными записями пользователей, сервер шифрования/дешифрования, блок идентификации и аутентификации пользователей, блок аннотирования и атрибутирования ЭИР, блок модели предметной области, причем каждый из N абонентских модулей содержит последовательно соединенные двунаправленными линиями связи блок ввода/вывода, интерфейс пользователя, процессор, блок шифрования/дешифрования, приемопередатчик абонентского модуля, при этом телекоммуникационная сеть последовательно соединена двунаправленной линией связи с приемопередатчиком и с локальной телекоммуникационной сетью, при этом первый вход/выход которой двунаправленной линией связи соединена с первым входом/выходом сервера информационной безопасности, а второй вход/выход локальной телекоммуникационной сети соединен двунаправленными линиями связи с первым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход соединен двунаправленной линией связи соединен с первым входом/выходом сервера управления, а четвертый вход/выход ЛТС соединен двунаправленными линиями связи с первым входом/выходом сервером шифрования/дешифрования, второй вход/выход которого соединен со вторым входом/выходом сервера управления, входы/выходы которого с третьего по десятый соответственно соединены двойными линиями связи с блоком модели предметной области, блоком данных ЭИР, блоком управления уровнем секретности ЭИР, интерфейсом администратора ЭИР, блоком контроля доступа, блоком модели контроля доступа, со вторым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход которого соединен со вторым входом/выходом сервера информационной безопасности, а входы/выходы с третьего по девятый которого соответственно соединены двунаправленными линиями связи соединены со вторым входом/выходом блока моделей контроля доступа, вторым входом/выходом блока контроля доступа, интерфейсом администратора информационной безопасности, блоком управления учетными записями пользователей, блоком управления правами доступа пользователей, блоком идентификации и аутентификации и с блоком данных пользователей.

На Фиг. 1 представлена функциональная схема заявленного устройства мандатного доступа к ЭИР, включающая:

N абонентских модулей, каждый из которых включает в себя: блок ввода-вывода - 1.1, интерфейс абонента - 1.2, процессор - 1.3, блок шифрования/дешифрования - 1.4, приемо-передатчик - 1.5;

телекоммуникационную сеть - 2;

приемо-передатчик абонентского модуля - 3;

сервер шифрования/дешифрования - 4;

локальную телекоммуникационную сеть - 5;

сервер информационной безопасности - 6;

сервер управления - 7;

интерфейс администратора информационной безопасности - 8;

интерфейс администратора - 9;

блок данных пользователей - 10;

блок идентификации и аутентификации - 11;

блок управления правами доступа пользователей - 12;

блок управления учетными записями пользователей - 13;

блок контроля доступа - 14;

блок модели контроля доступа - 15;

блок регистрации событий и мониторинга - 16;

блок аннотирования и атрибутирования ЭИР - 17;

блок управления уровнем секретности ЭИР - 18;

блок данных ЭИР - 19;

блок модели предметной области - 20.

Устройство мандатного доступа к ЭИР позволяет реализовать следующие функции и меры защиты информации:

идентификация и аутентификация субъектов доступа и объектов доступа;

соотнесение конкретных значений классификационных меток с уровнем конфиденциальности (степенью секретности) и признаками классификации информации;

управление доступом субъектов к объектам; •регистрация событий, включая события безопасности;

контроль защищенности информации;

обеспечение целостности и доступности информации.

Выполнение автоматизированных функций устройства основано на обработке закодированных информационных объектов и описаний, относящихся к следующим субъектам и объектам контроля: мандатная метка, пользователь, учетная запись пользователя, эксперт, профиль пользователя, ЭИР, паспорт ЭИР, модель предметной области, модель контроля доступа, запрос информации, шаблон отчета, отчет.

Устройство может работать в следующих режимах:

идентификация пользователя;

аутентификация пользователя;

присвоение уровня конфиденциальности (мандатной метки) пользователю;

формирование профиля пользователя;

шифрование и загрузка ЭИР в базу данных;

формирование паспорта ЭИР и назначение владельца;

определение владельцем уровня конфиденциальности ЭИР и присвоение мандатной метки ЭИР;

прием и обработка запроса на доступ к ЭИР;

сопоставление мандатных меток пользователя и ЭИР;

предоставление доступа;

запрет доступа и формирование предупреждения;

формирование отчетов;

запись и контроль событий.

Реализация работы устройства показана на примере загрузки одним зарегистрированным ранее пользователем ЭИР в базу данных устройства.

Пользователь через блок ввода-вывода (1.1), интерфейс абонента (1.2), процессор (1.3), блок шифрования/дешифрования (1.4) и приемо-передатчик (1.5) абонентского модуля 1 (последовательно соединенные блоки абонентского модуля в дальнейшем не перечисляются) и далее через телекоммуникационную сеть (2) инициирует запрос на внесение в блок данных ЭИР нового ЭИР. При этом запрос включает в себя уникальный идентификатор пользователя и файл, содержащий ЭИР в одном из универсальных форматов. При этом содержательная часть запроса, включая ЭИР и метаданные, зашифрована с использованием закрытого ключа шифрования.

После получения сигнала на обработку приемо-передатчик (3) через ЛТС (5) передает идентификационную часть запроса на сервер ИБ (6), на котором выполняется процесс аутентификации пользователя, обеспечивающий опознавание субъекта доступа, запросившего доступ к БД ЭИР (19), по полученному идентификатору, а содержательная часть запроса передается на сервер шифрования/дешифрования (4). В процессе аутентификации для верификации данных сервер ИБ обменивается информацией с блоком идентификации и аутентификации (11), базой данных пользователей (10) и блоком управления правами доступа пользователей (12). При успешном выполнении процедуры аутентификации пользователя и проверки в блоке управления учетными записями пользователей (13) достоверности данных, включая мандатную метку, сервер ИБ (6) передает сигнал управления и закрытый ключ пользователя через блок контроля доступа (14) на сервер управления ЭИР (7). В противном случае сервер ИБ формирует и передает через ЛТС (5), приемо-передатчик (3) и телекоммуникационную сеть (2) в абонентский модуль отказ, включающий код с причиной отказа.

После получения сигнала управления Сервер управления ЭИР (7) передает закрытый ключ на сервер шифрования/дешифрования (4) и инициирует процесс дешифрования содержательной части запроса, после завершения, которого содержательная часть запроса передается на сервер управления ЭИР (7). Далее администратор ЭИР через интерфейс администратора ЭИР (9) формирует на сервере управления ЭИР (7) электронный паспорт ЭИР, используя функциональность блока аннотирования и атрибутирования (17) и модель предметной области, загруженную в блок (20). Далее администратор ЭИР, используя функциональность блока управления уровнем секретности (18), присваивает заявленному ЭИР мандатную метку, соответствующую уровню секретности ЭИР, определяемую моделью контроля доступа, загруженной в блок (15). Мандатная метка ЭИР включается в структуру электронного паспорта ЭИР.

Далее содержательная часть ЭИР шифруется на сервере шифрования/дешифрования (4) с использованием закрытого ключа, сгенерированного на сервере управления ЭИР, и записывается базу данных ЭИР (19). Паспорт ЭИР записывается в базу данных ЭИР без шифрования и дополнительно в него включается ссылка на логический адрес ЭИР в базе данных ЭИР.

После завершения записи ЭИР сервер управления ЭИР (7) через ЛТС (5), приемо-передатчик (3) и телекоммуникационную сеть (2) передает сигнал подтверждения записи и сформированный устройством паспорт ЭИР в абонентский модуль 1 и далее через последовательность блоков абоненту.

Все указанные выше действия регистрируются в блоке регистрации событий и мониторинга (16) и при возникновении внештатных ситуаций происходит прерывание процесса и через сервер ИБ (6) передается управляющий сигнал, код ситуации и дополнительная информация через интерфейс администратора ИБ (8) администратору ИБ для анализа и принятия решений.

Использование изобретения.

Использование изобретения позволяет преодолеть организационные, информационные и технологические барьеры для оптимального разрешения противоречия между общим автоматизированным доступом к защищаемой информации заинтересованных лиц при обеспечении режима секретности с соблюдением высоких норм информационной и экономической безопасности.

Изобретение может применяться и для построения многоуровневой системы защиты информации с использованием сертифицированных средств, создания информационных систем на основе автоматизированных технологий обработки, хранения, поиска и передачи информации, формирования среды общих данных и ее интеграцию с источниками с различными уровнями секретности.

Термины и определения

блок памяти: Функциональная часть системы обработки информации, предназначенная для приема, хранения и выдачи данных.

диспетчер доступа (монитор обращений): Аппаратные и программные элементы средства защиты от несанкционированного доступа, осуществляющие контроль доступа субъектов к объектам. [ГОСТ Р 58256-2018]

интегрированная система: Совокупность двух или более взаимоувязанных систем, в которой функционирование одной из них зависит от результатов функционирования другой (других) так. что эту совокупность можно рассматривать как единую систему.

интерфейс: Совокупность средств и правил, обеспечивающих взаимодействие устройств системы обработки информации и (или) программ.

канал ввода-вывода: Устройство, обеспечивающее пересылку данных между основной памятью ЭВМ и периферийными устройствами.

классификационная (мандатная) метка: Служебный атрибут безопасности единицы информационного ресурса, представляющий собой комбинацию иерархических классификационных уровней (степеней секретности) и неиерархических классификационных признаков (категорий) [ГОСТ Р 58256-2018].

мандатное управление доступом: Система разграничения доступа на основе уровня доступа субъекта (конфиденциально, секретно, совершенно секретно) и защитной метки объекта.

модель контроля доступа: Информационная структура, определяющая порядок доступа пользователей к электронным информационным ресурсам.

модель предметной области: Информационная модель знаний о предметной области, полученная путем формального и согласованного представления понятий области (домена) в терминах идентифицированных классов, соотношений классов и идентифицированных свойств.

объект доступа (объект): Единица электронного информационного ресурса, доступ к которой регламентируется правилами разграничения доступа [ГОСТ Р 58256-2018].

субъект доступа (субъект): Лицо или процесс, действия которого регламентируются правилами разграничения доступа [ГОСТ Р 58256-2018].

электронные информационные ресурсы (ЭИР): документы и информационные объектов, объединенные единым назначением, обеспечивающие выполнение определенных задач.

Библиография

1. ГОСТ Р 59798-2021 Онтологии высшего уровня. Базисная формальная онтология.

2. ГОСТ Р 58256-2018 Управление потоками информации в информационной системе. Формат классификационных меток.

3. ГОСТ Р 58833-2020 Защита информации. Идентификация и аутентификация. Общие положения.

Устройство мандатного доступа к электронным информационным ресурсам, содержащее N абонентских модулей, где N = 1, 2, 3 …, связанных с телекоммуникационной сетью двунаправленной линией связи, сервер управления, интерфейс администратора, сервер информационной безопасности, интерфейс администратора информационной безопасности, блок данных ЭИР, блок данных пользователей, блок контроля доступа к ЭИР, блок регистрации событий и мониторинга, блок управления учетными записями пользователей, отличающееся тем, что в него дополнительно введены сервер шифрования/дешифрования, блок идентификации и аутентификации пользователей, блок аннотирования и атрибутирования ЭИР, блок модели предметной области, причем каждый из N абонентских модулей содержит последовательно соединенные двунаправленными линиями связи блок ввода/вывода, интерфейс пользователя, процессор, блок шифрования/дешифрования, приемо-передатчик абонентского модуля, при этом телекоммуникационная сеть последовательно соединена двунаправленной линией связи с приемо-передатчиком и с локальной телекоммуникационной сетью, при этом первый вход/выход которой двунаправленной линией связи соединена с первым входом/выходом сервера информационной безопасности, а второй вход/выход локальной телекоммуникационной сети соединен двунаправленными линиями связи с первым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход соединен двунаправленной линией связи соединен с первым входом/выходом сервера управления, а четвертый вход/выход ЛТС соединен двунаправленными линиями связи с первым входом/выходом сервером шифрования/дешифрования, второй вход/выход которого соединен со вторым входом/выходом сервера управления, входы/выходы которого с третьего по десятый соответственно соединены двойными линиями связи с блоком модели предметной области, блоком данных ЭИР, блоком управления уровнем секретности ЭИР, интерфейсом администратора ЭИР, блоком контроля доступа, блоком модели контроля доступа, со вторым входом/выходом блока регистрации событий и мониторинга, а третий вход/выход которого соединен со вторым входом/выходом сервера ИБ, а входы/выходы с третьего по девятый которого соответственно соединены двунаправленными линиями связи соединены со вторым входом/выходом блока моделей контроля доступа, вторым входом/выходом блока контроля доступа, интерфейсом администратора информационной безопасности, блоком управления учетными записями пользователей, блоком управления правами доступа пользователей, блоком идентификации и аутентификации и с блоком данных пользователей.