Термин «система» предполагает наличие множества отдельных объектов, имеющих между собой связи различного уровня. При этом объекты могут воспринимать поступающую информацию, обрабатывать ее, систематизировать, записывать на носители различного рода. Между собой в рамках системы объекты могут обмениваться необходимой для работы информацией.
Если объединить определения терминов «информация» и «система», то под информационной системой понимается некоторая система, способная удовлетворить требования и пожелания клиента к определенного рода информации.
Работа информационных систем строится на процессах производства, получения и обработки информации. Если для этого используются персональные или глобальные компьютеры, то системе присваивается название «автоматизированная информационная система (АИС). АИС – определенная совокупность обрабатываемой информации, компьютерной техники, необходимого персонала и операций, выполняемых с информацией. Цель АИС – сбор, обработка, хранение, обеспечение доступа по запросу к данным, хранящимся в системе.
АИС в течение относительно короткого времени стали востребованы во всех сферах человеческой деятельности, где только возможно применение информационных технологий для организации коммуникаций между отдельными людьми, сообществами и организациями. В связи с этим разработчикам и пользователям АИС приходится находить ответы на множество задач и решать множество проблем [4].
Одна из наиболее важных проблем, возникающих в процессе использования АИС – предотвращение несанкционированного доступа к данным, обеспечение целостности, контроля над данными, обеспечения доступа по запросам.
Решить все эти задачи и проблемы помогают системы управления базами данных (СУБД) в рамках КИС. На СУБД возлагается решение следующих задач [1, 3]:
хранение на носителях информации реляционной модели БД в виде таблиц, атрибутов. Сохранение команд, необходимых для создания и изменения БД. Все команды создаются с использованием SQL-языка;
внесение изменений в БД по запросам пользователей с использованием SQL-языка, использование индексов для создания более оптимальной структуры БД;
предоставлять пользователям по санкционированным запросам доступ к БД, ограничивать доступ при отсутствии разрешенного доступа.
При решении всех задач управления БД нужно исходить из следующих предпосылок:
пользователь должен получать только минимально возможные и необходимые полномочия на изменение данных, содержащихся в БД;
пользователь должен получать доступ к тем данным, которые ему необходимы.
В качестве примера можно удовлетворения первого запроса можно привести такой пример – БД «Университет» [1]. Ректор ВУЗа может видеть данные всех студентов, обучающихся в университете. Декану любого факультета предоставляется доступ только к данным студентов, обучающихся на вверенном ему факультете. Заведующий кафедрой получает доступ к данным студентов только одной кафедры и т. д.[2,4].
Второе требование к БД можно считать расширением первого. Соответственно, из всех сотрудников ВУЗа ректор имеет доступ к самым большим объемам данных, необходимых ему для полноценной работы.
Разграничение доступа к данным может происходить на аппаратном (физическом) или логическом (программном) уровнях. Второй вариант на данный момент времени является более востребованным и актуальным. Производится ранжирование доступа, используются наиболее современные алгоритмы и программы, способные предотвратить несанкционированный доступ.
Обеспечить выполнение всех поставленных задач, если найти решение для нижеперечисленных задач:
разработать и внедрить математическое описание методов, позволяющих разграничить для пользователей доступ к БД. В основе методов – ранжирование объектов и субъектов доступа;
разработка и внедрение модели, способствующей разграничению доступа на основе мандатов, выдаваемых каждому пользователю;
оценить на уровне экспериментов эффективность каждого из разработанных и предложенных методов.
Если разграничение права доступа пользователей к данным, хранящимся в БД, происходит на уровне программного кода, то можно использовать один из нижеперечисленных вариантов:
- на уровне прикладной программы, дающей доступ к БД;
- на уровне системного модуля непосредственно СУБД [6].
На рисунке ниже даны схемы поступления и обработки запросов при использовании каждого из вариантов.
В первом случае правила доступа к БД должны быть сформулированы и прописаны непосредственно в программе, которой пользуется клиент при организации доступа к БД.
Рисунок 1. Архитектура управления безопасно-фильтрующим доступом
В основе второго варианта обеспечения доступа – использование мандатов, выдаваемых самой СУБД. Второй вариант является более предпочтительным. В первом случае пользователь, обладая необходимым объемом знаний, может самостоятельно изменить тот кусок программного кода, в котором прописаны правила доступа к данным. Не стоит забывать и про то, что пользовательская программа может содержать недостоверные данные о правилах доступа к БД [2]. Второй вариант практически полностью позволяет оградить БД от несанкционированного доступа на любом уровне.
За основу при распределении прав доступа на предприятии можно брать организационную структуру, сложившуюся иерархию, отраженную в PAC-модели [5]. Использование УД позволило отказаться от использования настроек прав доступа к тем областям БД, которые применяются только с ручным управлением. Выбор путей доступа в запросах на доступ, созданных с использованием SQL-языка стал более автоматизированным. Это позволяет снизить количество ошибок, совершаемых при выборе пути в ручном режиме. Это стало возможным после проведения модификации графов модели, отражающей существующие связи на уровне иерархии предприятия.
Проведенные опыты и эксперименты показали, что для каждой используемой КИС можно выделить и определить минимально возможное значение выполняемых КИС функций и ее же характеристик, при снижении которого использование данной конкретной КИС становится неэффективным. Если количество пользователей будет снижаться по отношению к количеству ролей, исполняемых этими пользователями, то эффект от использования КИС будет возрастать. Это же будет наблюдаться, если возрастет соотношение между таблицами данных и атрибутами, их описывающими.
СПИСОК ЛИТЕРАТУРЫ
Мельников, В.П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков – М.: Издательский центр «Академия». – 2012 – 336 с.
Щеглов, К.А. Новый подход к защите данных в информационной системе / К.А. Щеглов, А.Ю. Щеглов // Известия высших учебных заведений. Приборостроение. - 2015. – Том 58 № 3. - С. 157-166.
Верзун, Н.А. Моделирование процесса передачи информации с разграничением прав доступа пользователей / Верзун Н.А., Воробьёв А.И., Пойманова Е.Д. // Известия высших учебных заведений. Приборостроение. – 2014. – № 9, том 57. – С. 33-37.
Марков, А.С. Методы оценки несоответствия средств защиты информации / Марков А.С., Цирлов В.Л., Баранов В.Л. – М.: Горячая линияТелеком – 2012. – С. 192.
Миронова, В.Г. Методология проведения анализа режимов разграничения прав доступов пользователей к конфиденциальной информации и возможности осуществления несанкционированного доступа / Миронова В.Г., Югов Н.Т, Мицель А.А. // Доклады Томского государственного университета систем управления и радиоэлектроники. – 2014. – № 2 (ч. 32). – С. 116-120.
Krotova, E.L. Detection of an intruder in an information system through the check of statistic hypotheses by certain statistic criteria / Krotova, E.L., Krotov, L.N., Gorbunov, J.A. // World Applied Sciences Journal. - 2014. - Vol. 29, No. 12.