Введение

В настоящее время, в условиях постоянных попыток получения несанкционированного доступа к конфиденциальным данным (взлом) и хакерских атак, существует необходимость во время моделирования конкретной системы обеспечивать не только целостное хранение информации, а также информационную безопасность хранимых данных.

То есть, существует необходимость обеспечивать возможность доступа к данным (объектам) и манипулирование ими субъектам, имеющим конкретные привилегии, и запретить любые манипуляции над данными тем субъектам, которые не обладают этими привилегиями. При этом объект и субъект, а также вид воздействия на информацию четко регламентируются с помощью некоторого набора правил.

Анализируя поставленную задачу, можно утверждать, что информационную безопасность хранимых данных можно обеспечить на всех трех уровнях функционирования информационной системы:

• Аппаратный;
• Программный;
• Коммуникационный.

Ниже приведем краткое рассмотрение каждого уровня обеспечения защиты данных. При этом основной акцент сделаем на программных средствах, а не стандартных (шифрование, криптография, администрирование пользователей, физическое ограничение доступа) способах.

1.      Понятие информационной безопасности

Информационная безопасность — состояние сохранности информационных ресурсов государства, предприятия или частного лица и защищенности законных прав личности и общества в информационной сфере[1].

Стандартизированные определения

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации[2].

• Конфиденциальность – обеспечение доступа к информации только авторизованным пользователям[2].
• Доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости[2].
• Целостность – обеспечение достоверности и полноты информации и методов ее обработки[3].

Безопасность информации — состояние защищённости информации, при котором обеспечиваются её конфиденциальность, доступность и целостность[4].

Уровень обеспечения безопасности информации четко определяется величиной недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные или другие ресурсы автоматизированной информационной системы. При этом, невозможно обеспечить полную информационную безопасность системы.

Безопасность информации (применимо к информационным технологиям) — состояние защищённости хранимых данных, обеспечивающее максимально-возможную безопасность информации и информационную безопасность автоматизированной информационной системы, в которой она реализована[4].

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность и подлинность её ресурсов, а также протоколирование доступа[4].

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Под поддерживающей инфраструктурой, здесь имеется в виду, инженерные системы, а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

2.      Уровни обеспечения информационной безопасности

Ниже приведем краткое описание трех основных уровней обеспечения информационной безопасности.

2.1.Аппаратный уровень

Информационную безопасность хранимых данных на данном уровне функционирования системы возможно обеспечить при помощи ограничения физического доступа к информационной системе.

Как правило, это обеспечивается путем организации локальных систем и включения в них только привилегированных пользователей, если система распределенная и имеет интерфейс доступа к хранимым данным, или же выборочный, четко регламентированный процесс распространения дистрибутивов программного комплекса и обновлений, если программный продукт консольный (стационарный).

На первый взгляд, данный уровень обеспечения информационной безопасности может показаться действенным и достаточным, но он обладает существенными недостатками.

Во-первых: технологическая сложность обеспечения конкретного доступа (например, доступ к чтению, но одновременно запрет изменения объекта для конкретного субъекта).

В-вторых, сложно реализуемо расширение системы (например, увеличение количества хранимых данных или пользователей системы).

А также данный способ невозможно применять на этапе разработки и тестирования системы.

Несмотря на недостатки аппаратного метода ограничения доступа, он применяется при обеспечении информационной безопасности, но, как правило, в совокупности с другими подходами.

2.2.Коммуникационный уровень

Основная задача коммуникационного уровня обеспечения безопасности состоит в защите передаваемой информации от перехвата и несанкционированного доступа к линиям передачи информации.

Как правило, данный уровень защиты информации применяется во всех крупных распределенных системах для защиты информации, передаваемой конкретному пользователю, а также между модулями распределенной системы.

Для обеспечения коммуникационного уровня защиты информации используются:

• Кодирование передаваемой информации;
• Цифровая подпись;
• Шифрование/Дешифрование при помощи специального оборудования;
• Защищенные каналы передачи данных.

Недостатком данной методики обеспечения информационной безопасности является тот фактор, что при его применении защита данных производится только на этапе их передачи.

Поэтому коммуникационной уровень защиты информации целесообразно использовать, также как и аппаратный, в совокупности с другими методиками обеспечения информационной безопасности.

2.3.Программный уровень

Данная методика является наиболее распространенным способом защиты информации от несанкционированного доступа и манипулирования.

Основными преимуществами данного метода являются:

• Гибкость настройки;
• Легкость изменения набора привилегий пользователей;
• Минимальные затраты при использовании данного подхода (не требуется дополнительных ресурсов и оборудования, а также больших трудозатрат).

Реализация данного метода производиться на этапе создания программного продукта, а также на этапе заполнения и администрирования данных.

Рассмотрим подробнее возможность реализации программного метода обеспечения информационной безопасности, при моделировании системы используя онтологический подход.

3.        Обеспечение информационной безопасности при помощи онтологий

Применение онтологической модели, позволяет использовать единую базу знаний, хранящую в себе понятийную систему управления доступом к информационным ресурсам, а также формальную семантику моделируемой системы. В этом случае, благодаря комбинации такой модели с онтологической моделью предметной области станет возможным  определять правила доступа в терминах предметной области с учетом их  семантики, а также принимать решение о предоставлении или отказе в доступе на основе результатов логического вывода, что невозможно сделать при помощи баз данных.

Поэтому, в настоящее время идет достаточно активное применение онтологических моделей, дескриптивных логик и логического вывода в различных аспектах информационной безопасности.

В основном можно выделить следующие направления исследований в данной сфере:

• Формализация подмножеств языка XACML и использования логического вывода для проверки сформулированных администратором политик безопасности[5];
• Использование логического вывода в существующих моделях контроля доступа, таких как RBAC (Role Based Access Control) и ABAC (Attributes Based Access Control)[6];
• Создание онтологий, определяющих понятийную систему предметной области информационной безопасности General Privacy Ontology, Security Ontology, NRL Security Ontology.

При этом наибольший интерес для рассмотрения представляют работы, связанные с третьим направлением, потому что модели, описанные в них, могут служить источниками необходимых понятий, которые в сочетании с понятиями предметной области позволяют создать предметно-ориентированную онтологию для решения задачи управления доступом.

Если рассматривать более подробно виды онтологий, перечисленные выше, то можно сказать, что General Privacy Ontology (GPO) содержит понятия, представляющие различные аспекты управления доступом к информации и персональным данным. NRL Security Ontology, в свою очередь включает в себя несколько модулей-онтологий, которые содержат понятия, представляющие средства, сущности, протоколы и алгоритмы, применяемые на уровне средств передачи данных в информационной системе. А онтология Security Ontology, при этом, применяется для представления угроз, уязвимостей и определения на их основе требуемого уровня защиты данных.

При этом разрабатываемая онтология, обеспечивающая семантическое управление доступом, помимо понятий безопасности должна хранить некоторую точку зрения на сам процесс доступа и правила его выполнения. Для решения данной задачи многими специалистами отрасли было предложено использовать онтологию под названием Descriptions and Situations (DnS)[7].

4.        Онтология Descriptions and Situations

Основным отличием данного вида онтологии, от других, является  направленность DnS на овеществление нематериальных объектов, процессов или понятий. При этом, под овеществлением, здесь имеется ввиду представление некоторого факта в виде именованного концепта онтологии.

Основными сущностями DnS являются:

• Пространства явлений;
• Описания;
• Ситуации.

Под пространством явлений понимается набор утверждений, каждое из которых удовлетворяет некоторое логической теории T. Описание, при этом, является логической теорией O, подразумеваемой конкретным субъектом. А ситуация S – это некоторый набор сущностей, описывающих пространство явлений и определяющих некоторую модель для теории конкретного субъекта, в соответствии с терминологией модели T.

При этом авторы DnS называют логическую теорию базисом, и рекомендуют использовать в качестве базиса онтологию Descriptive Ontology for Linguistic and Cognitive Engineering (DOLCE)[7].

Также, помимо рекомендуемой, в качестве базисной онтологии в DnS может выступать и онтология предметной области, построенная с использований  основных классов DOLCE.

При таком применении политика доступа к данным должна рассматриваться как совокупность правил оперирования объектами, представленными в онтологии предметной области. Причем данные правила не составляют суть самих объектов, а являются лишь однозначными представлениями корректных действий субъекта по отношению к объекту доступа.

В итоге можно сделать следующие выводы:

Во-первых, согласно онтологии DnS политику доступа можно представить как описание некоторой ситуации доступа. Причем сама ситуация доступа формируется из понятий онтологии предметной области;

Во-вторых, для создания онтологической модели семантического управления доступом к ресурсам необходимо дополнить онтологию DnS элементами, представляющими различные понятия и отношения из сферы информационной безопасности и управления доступом.

Для этого целесообразно повторно использовать некоторую онтологию, описывающую данную предметную область. Выбор такой онтологии  следует производить с учетом следующих требований:

• Ориентация онтологии на представление основных элементов  ситуации доступа к ресурсу – процесс доступа, объект и субъект доступа;
• Наличие в онтологии понятий, выделяющих персональную информацию, а также различные аспекты работы с нею. Данное требование обусловлено тем, что, как правило, персональная информация присутствует в информационных ресурсах организаций и требует соблюдения особых правил обращения;
• Возможность рассмотрения понятий и отношений онтологии в контексте онтологии DnS.

Среди рассмотренных нами онтологий, таких как General Privacy Ontology, Security Ontology, NRL Security Ontology данным требованиям удовлетворяет General Privacy Ontology (далее GPO). Она содержит понятия, представляющие различные аспекты управления доступом к информации, в том числе и персональной. Данные понятия можно использовать как составляющие описаний ситуаций доступа в онтологии DnS.

Другие онтологии использовать в данном случае затруднительно, так как они рассматривают информационную безопасность с иных позиций.

Заключение

В данной работе были рассмотрены основные существующие направления в обеспечении информационной безопасности при использовании онтологического моделирования реальных объектов.

К итогам данной статьи можно отнести следующее:

• Проведено краткое описание существующих уровней защиты конфиденциальных данных от несанкционированного доступа;
• Проведено рассмотрение существующих онтологий, регламентирующих основные понятия информационной безопасности и описания правил доступа к хранимым данным;
• Рассмотрены возможности реализации семантического управления доступом при онтологическом подходе на примере онтологии DnS.

К основным плюсам организации семантического доступа на основе онтологий можно отнести:

• Возможность проведения логического вывода в процессе выработки решения о предоставлении или отказе в доступе. Следовательно, реализация основной части механизма выработки данного решения описана непосредственно в самой онтологической модели, тогда как обычно она определяется различными способами в приложениях, играющих роль менеджеров доступа;
• Возможность определения прав доступа к хранимой информации в терминах предметной области, без привлечения дополнительных специалистов.

Библиографический список

1. Пилипенко В. Ф. Безопасность: теория, парадигма, концепция, культура. 2-е изд. — М.: ПЕР СЭ-Пресс, 2005.
2. Национальный стандарт РФ «Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1-2006).
3. Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи.
4. Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005).
5.  XACML for authorization [Электронный ресурс] URL: http://xacmlinfo.org/.
6. ROLE BASED ACCESS CONTROL (RBAC) AND ROLE BASED SECURITY [Электронный ресурс] URL: http://csrc.nist.gov/groups/SNS/rbac/index.html.
7. Upper ontology [Электронный ресурс] URL: http://en.wikipedia.org/wiki/Upper_ontology.

---

Количество просмотров публикации: Please wait

Все статьи автора «Гончар Алексей Дмитриевич»