RU2207618C2 - Data resource access control system - Google Patents

Data resource access control system Download PDF

Info

Publication number
RU2207618C2
RU2207618C2 RU2001123739/09A RU2001123739A RU2207618C2 RU 2207618 C2 RU2207618 C2 RU 2207618C2 RU 2001123739/09 A RU2001123739/09 A RU 2001123739/09A RU 2001123739 A RU2001123739 A RU 2001123739A RU 2207618 C2 RU2207618 C2 RU 2207618C2
Authority
RU
Russia
Prior art keywords
input
output
block
access
unit
Prior art date
Application number
RU2001123739/09A
Other languages
Russian (ru)
Inventor
А.Ю. Щеглов
Original Assignee
Щеглов Андрей Юрьевич
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Щеглов Андрей Юрьевич filed Critical Щеглов Андрей Юрьевич
Priority to RU2001123739/09A priority Critical patent/RU2207618C2/en
Application granted granted Critical
Publication of RU2207618C2 publication Critical patent/RU2207618C2/en

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

FIELD: data computing systems and networks. SUBSTANCE: device has user authorization unit, rights-of-access differentiation unit, access rights storage unit, security administrator authorization unit, timer unit, additional access-rights differentiation unit, access-rights standard adjustment storage unit, unit affording comparison of rights of access with standard, and current access-rights generating and recovering unit. EFFECT: enhanced protection degree of workstations and servers. 1 cl, 3 dwg

Description

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано в части контроля доступа к информационным ресурсам рабочих станций и серверов в сложных информационных системах, отличающихся иерархией задач администрирования информационной безопасности. The invention relates to computer technology, and in particular to information computer systems and networks, and can be used to control access to information resources of workstations and servers in complex information systems that differ in the hierarchy of information security administration tasks.

Известна система контроля доступа к информационным ресурсам, в частности к таблицам данных, входящая в состав СУБД, например, Oracle, MS SQL (см. Галатенко В.А. Информационная безопасность - основы//СУБД, 1996, 1). Она представляет собой программный комплекс, входящий в состав ПО СУБД. A known system of access control to information resources, in particular data tables, which is part of a DBMS, for example, Oracle, MS SQL (see Galatenko V.A. Information security - the basics // DBMS, 1996, 1). It is a software package that is part of the DBMS software.

Наиболее близкой по технической сущности к заявляемой (прототипом) является система контроля доступа к информационным ресурсам, в частности к разделяемым ресурсам, используемая в составе ОС, в частности в ОС Windows 9x/NT (см. кн. Валда Хиллей "Секреты Windows NT Server 4.0". - К. "Диалектика", 1997, с. 14-15). Она представляет собой программный комплекс, выполненный для ОС Windows 9x/NT в виде отдельного драйвера, в ОС Unix входит в состав ядра. Closest to the technical nature of the claimed (prototype) is a system of access control to information resources, in particular to shared resources, used as part of the OS, in particular in Windows 9x / NT (see Prince Valda Hilly, "Secrets of Windows NT Server 4.0 ". - K." Dialectics ", 1997, p. 14-15). It is a software package designed for Windows 9x / NT as a separate driver; in Unix, it is part of the kernel.

Система контроля доступа к информационным ресурсам представлена на фиг. 1. Система содержит блок авторизации пользователя 1, блок разграничения прав доступа 2, блок хранения прав доступа 3, причем первый вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 4, второй вход/выход - с первым входом/выходом блока хранения прав доступа 3, второй вход/выход которого - со входом/выходом блока разграничения прав доступа 2, первый ход которого - с выходом блока авторизации пользователя 1, второй вход - со входом запроса доступа 5, первый выход - с выходом разрешения доступа 7, второй выход - с первым входом блока хранения прав доступа 3, второй вход которого - со входом задания параметров доступа 6. The access control system for information resources is shown in FIG. 1. The system comprises a user authorization unit 1, an access authorization block 2, an access rights storage unit 3, the first input / output of user authorization unit 1 being connected to user authorization input / output 4, and the second input / output being connected to the first input / output of the unit storage of access rights 3, the second input / output of which is with the input / output of the access rights delimiting unit 2, the first move of which is with the output of the user authorization unit 1, the second input is with the input of the access request 5, the first output is with the output of the access permission 7, second out d - the first input of access rights storage unit 3, the second input of which - to the input 6 define the access parameters.

Работает система следующим образом. Перед началом работы пользователь должен пройти авторизацию со входа 4, которая осуществляется блоком 1, параметры авторизации - имя и пароль пользователя блок 1 запрашивает и получает от блока 3. Данные текущего пользователя блоком 1 выдаются в блок 2, которым запрашиваются в блоке 3 таблица разграничения прав доступа зарегистрированного в системе пользователя. При запросе пользователем доступа к информационным ресурсам со входа 5 (запрашивается объект доступа, например, файл и действия, например, чтение или запись) блок 2 анализирует заданные для пользователя права доступа и запрашиваемые пользователем параметры доступа, если они не противоречивы - запрашиваемый доступ системой разрешен, вырабатывается сигнал разрешения доступа к информационному ресурсу, выдаваемый на выход 7. Со входа 6 задаются параметры прав доступа, изменять данные права разрешается пользователю, имеющему соответствующие полномочия - если выдается соответствующий сигнал со второго выхода блока 2, формируемый после авторизации пользователя и его запроса (со входа 5) на получение доступа к блоку 3 (блок 3 в общем случае также является файловым объектом). The system works as follows. Before starting work, the user must pass authorization from input 4, which is carried out by block 1, authorization parameters - the name and password of the user, block 1 requests and receives from block 3. The data of the current user by block 1 is issued to block 2, which is requested in block 3, the rights distribution table access of the user registered in the system. When a user requests access to information resources from input 5 (an access object is requested, for example, a file and actions, for example, read or write), block 2 analyzes the access rights set for the user and the access parameters requested by the user, if they are not inconsistent - the requested access by the system is allowed , a permission signal for access to the information resource is generated, which is issued to output 7. From input 6, access rights are set, the rights are allowed to change these rights olnomochiya - if appropriate signal issued from the second output unit 2, which is formed after the user authorization and his request (from the input terminal 5) for access to the block 3 (Block 3 in the general case is also a file object).

К недостаткам системы можно отнести следующее. The disadvantages of the system include the following.

В общем случае в сложной информационной системе может присутствовать несколько уровней иерархии, к которым можно отнести системный уровень, уровень СУБД и уровень приложений. На каждом уровне решаются задачи контроля доступа к информационным ресурсам, собственными средствами - для каждого уровня реализована собственная система, представленная на фиг.1, администрирование которыми осуществляется администраторами соответствующих уровней - системным администратором, администратором СУБД, администратором приложений (некоторые задачи, например, создание разделяемого ресурса для ОС Windows 95/98 вообще решаются пользователем). Для обеспечения информационной безопасности сложной системы должна обеспечиваться централизация администрирования средствами защиты информации. Однако в данном случае, это невозможно, ввиду того, что централизация может быть достигнута только в случае, если администратор безопасности будет сам осуществлять администрирование безопасностью системы на всех ее уровнях иерархии (это неприемлемо сложная задача и не всегда достигаемая в принципе, в частности разделяемые ресурсы для ОС Windows 95/98 управляются пользователем, даже не системным администратором). Другими словами, с использованием рассмотренной системы не может быть обеспечена централизация управления информационной безопасностью сложной системы, как следствие, снижается ее защищенность (администраторы соответствующих уровней иерархии имеют возможность управлять безопасностью на своих уровнях бесконтрольно со стороны администратора безопасности). In general, in a complex information system, several levels of hierarchy may be present, which include the system level, the DBMS level, and the application level. At each level, the tasks of controlling access to information resources are solved by one’s own means - for each level, its own system is presented, as shown in Fig. 1, which is administered by administrators of the corresponding levels - the system administrator, DBMS administrator, application administrator (some tasks, for example, creating a shared Resource for Windows 95/98 is generally decided by the user). To ensure the information security of a complex system, centralization of administration by means of information protection should be ensured. However, in this case, this is impossible, since centralization can only be achieved if the security administrator will administer the security of the system at all its hierarchy levels (this is an unacceptably difficult task and is not always achieved in principle, in particular shared resources for Windows 95/98 are managed by a user, not even a system administrator). In other words, with the use of the considered system, the centralization of information security management of a complex system cannot be ensured, as a result, its security is reduced (administrators of the corresponding hierarchy levels have the ability to manage security at their levels without any control from the security administrator).

Целью изобретения является повышение уровня защищенности рабочих станций и серверов за счет реализации централизованной системы администрирования информационной безопасностью сложной иерархической информационной системой. The aim of the invention is to increase the level of security of workstations and servers by implementing a centralized information security administration system with a complex hierarchical information system.

Достигается это тем, что в систему контроля доступа к информационным ресурсам, содержащую блок авторизации пользователя, блок разграничения прав доступа, блок хранения прав доступа, причем первый вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя, второй вход/выход - с первым входом/выходом блока хранения прав доступа, второй вход/выход которого - со входом/выходом блока разграничения прав доступа, первый ход которого - с выходом блока авторизации пользователя, второй вход - со входом запроса доступа, второй выход - с первым входом блока хранения прав доступа, второй вход которого - со входом задания параметров доступа, дополнительно введены: блок авторизации администратора безопасности, блок таймера, блок добавочного разграничения прав доступа, блок хранения эталонных настроек прав доступа, блок сравнения прав доступа с эталоном, блок формирования и восстановления текущих прав доступа, причем первый вход/выход блока авторизации администратора безопасности соединен со входом/выходом авторизации администратора безопасности, второй вход/выход - с первым входом/выходом блока хранения эталонных настроек, второй вход/выход которого - со входом/выходом блока добавочного разграничения прав доступа, первый вход которого - с первым выходом блока разграничения прав доступа, второй вход - с выходом блока авторизации администратора безопасности, третий вход - со входом запроса доступа администратором безопасности, второй выход - с третьим входом блока хранения эталонных настроек прав доступа, второй вход которого - с выходом блока хранения прав доступа, с первым входом блока сравнения прав доступа с эталоном, с первым входом блока формирования и восстановления текущих прав доступа, первый вход - со входом формирования эталонных настроек, с четвертым входом блока хранения прав доступа, с третьим входом блока сравнения прав доступа с эталоном, четвертый вход - со входом задания эталонных настроек, пятый вход - с выходом блока таймера, с пятым входом блока разграничения прав доступа, выход - со вторым входом блока сравнения прав доступа с эталоном, с третьим входом блока формирования и восстановления текущих прав доступа, второй вход которого - с выходом блока сравнения прав доступа с эталоном, выход - с третьим входом блока разграничения прав доступа, первый выход блока добавочного разграничения прав доступа - с выходом разрешения доступа, первый вход блока таймера - со входом задания режима таймера, второй вход - со входом запуска/останова таймера. This is achieved by the fact that in the access control system for information resources containing a user authorization block, a block for differentiating access rights, a block for storing access rights, the first input / output of the user authorization block is connected to the user authorization input / output, and the second input / output - with the first input / output of the access rights storage unit, the second input / output of which is with the input / output of the access rights delimiting unit, the first move of which is with the output of the user authorization unit, the second input is with the access request input stupid, the second output is with the first input of the access rights storage unit, the second input of which is with the input for setting access parameters, the following additionally entered: security administrator authorization unit, timer unit, additional access rights differentiation unit, storage unit for reference settings of access rights, rights comparison unit access with a standard, a unit for generating and restoring current access rights, the first input / output of the security administrator authorization block being connected to the security administrator authorization input / output, t the second input / output - with the first input / output of the reference settings storage unit, the second input / output of which - with the input / output of the additional access rights differentiation block, the first input of which - with the first output of the access rights delimitation unit, the second input - with the output of the authorization block security administrator, the third input - with the input of the access request by the security administrator, the second output - with the third input of the storage unit of the reference settings for access rights, the second input of which - with the output of the storage unit of access rights, with the first input and comparisons of access rights with the reference, with the first input of the unit for generating and restoring the current access rights, the first input with the input of forming the reference settings, with the fourth input of the storage unit for access rights, with the third input of the comparison unit for access rights with the reference, the fourth input with the input reference settings, the fifth input - with the output of the timer block, with the fifth input of the access rights delimiting block, the output - with the second input of the access rights comparison unit with the standard, with the third input of the current rights generation and recovery unit access, the second input of which is with the output of the unit for comparing access rights with the reference, the output is with the third input of the block for differentiating access rights, the first output of the block for additional differentiating access rights is with the output for access authorization, the first input of the timer block is with the input for setting the timer mode, input - with timer start / stop input.

Схема системы контроля доступа к информационным ресурсам приведена на фиг.2, она содержит: блок авторизации пользователя 1, блок авторизации администратора безопасности 2, блок таймера 3, блок разграничения прав доступа 4, блок хранения прав доступа 5, блок хранения эталонных настроек прав доступа 6, блок добавочного разграничения прав доступа 7, блок сравнения прав доступа с эталоном 8, блок формирования и восстановления текущих прав доступа 9, причем первый вход/выход блока авторизации пользователя 1 соединен со входом/выходом авторизации пользователя 10, второй вход/выход - с первым входом/выходом блока хранения прав доступа 5, второй вход/выход которого - со входом/выходом блока разграничения прав доступа 4, первый ход которого - с выходом блока авторизации пользователя 1, второй вход - со входом запроса доступа 11, второй выход - с первым входом блока хранения прав доступа 5, второй вход которого - со входом задания параметров доступа 12, первый вход/выход блока авторизации администратора безопасности 2 соединен со входом/выходом авторизации администратора безопасности 13, второй вход/выход - с первым входом/выходом блока хранения эталонных настроек 6, второй вход/выход которого - со входом/выходом блока добавочного разграничения прав доступа 7, первый вход которого - с первым выходом блока разграничения прав доступа 4, второй вход - с выходом блока авторизации администратора безопасности 2, третий вход - со входом запроса доступа администратором безопасности 18, второй выход - с третьим входом блока хранения эталонных настроек прав доступа 6, второй вход которого - с выходом блока хранения прав доступа 5, с первым входом блока сравнения прав доступа с эталоном 8, с первым входом блока формирования и восстановления текущих прав доступа 9, первый вход - со входом формирования эталонных настроек 15, с четвертым входом блока хранения прав доступа 5, с третьим входом блока сравнения прав доступа с эталоном 8, четвертый вход - со входом задания эталонных настроек 14, пятый вход - с выходом блока таймера 3, с пятым входом блока разграничения прав доступа 5, выход - со вторым входом блока сравнения прав доступа с эталоном 8, с третьим входом блока формирования и восстановления текущих прав доступа 9, второй вход которого - с выходом блока сравнения прав доступа с эталоном 8, выход - с третьим входом блока разграничения прав доступа 5, первый выход блока добавочного разграничения прав доступа 7 - с выходом разрешения доступа 19, первый вход блока таймера 3 - со входом задания режима таймера 16, второй вход - со входом запуска/останова таймера 17. The scheme of the access control system for information resources is shown in figure 2, it contains: user authorization block 1, security administrator authorization block 2, timer block 3, access rights delimitation block 4, access rights storage unit 5, storage unit for reference access rights reference settings 6 , a block for additional delimitation of access rights 7, a block for comparing access rights with a reference 8, a block for generating and restoring current access rights 9, the first input / output of the authorization block of user 1 being connected to the input / output of authorization user 10, the second input / output - with the first input / output of the access right storage unit 5, the second input / output of which - with the input / output of the access right control unit 4, the first move of which - with the output of the user authorization unit 1, the second input - with the access request input 11, the second output - with the first input of the access storage unit 5, the second input of which is with the input of setting access parameters 12, the first input / output of the security administrator authorization unit 2 is connected to the security administrator authorization input / output 13, the second input d / output - with the first input / output of the reference settings storage unit 6, the second input / output of which is with the input / output of the access control additional block 7, the first input of which - with the first output of the access control device 4, the second input - with the output security administrator authorization unit 2, the third input - with the access request input by the security administrator 18, the second output - with the third input of the storage unit for reference settings of access rights 6, the second input of which - with the output of the storage unit for access rights 5, with the first input how to compare access rights with reference 8, with the first input of the unit for generating and restoring the current access rights 9, the first input - with the input of forming the reference settings 15, with the fourth input of the storage unit for access rights 5, with the third input of the comparison unit for access rights with reference 8, the fourth input - with the input of the reference settings task 14, the fifth input - with the output of the timer block 3, with the fifth input of the access rights delimitation block 5, the output - with the second input of the access rights comparison block with standard 8, with the third input of the formation and restoration block current access rights 9, the second input of which is with the output of the block for comparing access rights with reference 8, the output is with the third input of the block for differentiating access rights 5, the first output of the additional block for differentiating access rights 7 is with the output of access permission 19, the first input of timer block 3 - with the input of the timer mode 16 setting, the second input - with the start / stop input of the timer 17.

Работает система следующим образом. Перед началом работы пользователь должен пройти авторизацию со входа 10, которая осуществляется блоком 1, параметры авторизации - имя и пароль пользователя блок 1 запрашивает и получает от блока 5. Данные текущего пользователя блоком 1 выдаются в блок 4, которым запрашиваются в блоке 5 таблица разграничения прав доступа, зарегистрированного в системе пользователя. При запросе пользователем доступа к информационным ресурсам со входа 11 (запрашивается объект доступа, например, файл и действия, например, чтение или запись) блок 4 анализирует заданные для пользователя права доступа и запрашиваемые пользователем параметры доступа, если они не противоречивы - запрашиваемый доступ системой разрешен, вырабатывается сигнал разрешения доступа к информационному ресурсу, который поступает в блок 7. Со входа 12 задаются параметры прав доступа, изменять данные права разрешается пользователю, имеющему соответствующие полномочия (в зависимости от иерархического уровня системы это может быть как собственно пользователь, так и один из администраторов: системный, СУБД, приложения) - если выдается соответствующий сигнал со второго выхода блока 4, формируемый после авторизации пользователя и его запроса (со входа 11) на получение доступа к блоку 5 (блок 5 в общем случае также является файловым объектом). Аналогично работает схема авторизации и разграничения доступа администратора безопасности. Перед началом работы администратор безопасности должен пройти авторизацию со входа 13, которая осуществляется блоком 2, параметры авторизации - имя и пароль администратора безопасности блок 2 запрашивает и получает от блока 6. Данные текущего пользователя (администратора безопасности) блоком 2 выдаются в блок 7, которым запрашиваются в блоке 6 таблица разграничения прав доступа, зарегистрированного в системе пользователя (администратора безопасности). При запросе пользователем (администратором безопасности) доступа к информационным ресурсам со входа 18 (запрашивается объект доступа, например, файл и действия, например, чтение или запись, способ задания эталонной таблицы настроек) блок 7 анализирует заданные для пользователя права доступа и запрашиваемые пользователем параметры доступа, если они не противоречивы - запрашиваемый доступ системой разрешен, вырабатывается сигнал разрешения доступа к блоку 6. Со входов 14, либо 15 задаются параметры прав доступа, изменять данные права разрешается пользователю (администратору безопасности), имеющему соответствующие полномочия - если выдается соответствующий сигнал со второго выхода блока 7, формируемый после авторизации пользователя (администратора безопасности) и его запроса (со входа 18) на получение доступа к блоку 6 (блок 6 в общем случае также является файловым объектом) Таким образом, блоки 1, 4, 5 служат для контроля доступа пользователей к файловым объектам, их администрирование осуществляется пользователем, либо соответствующим администратором (системным, СУБД, приложений). Администратор безопасности, пройдя авторизацию в блоке 2 в рамках своих полномочий (его доступ разграничивается блоком 7) создает в блоке 6 эталонные настройки, либо ограничения на настройки разграничений, заданных в блоке 5. Создание эталонных настроек предполагает, что администратором безопасности в блоке 6 задается таблица разграничений доступа, являющаяся эталоном для блока 5. Администратор безопасности имеет две возможности задания таких настроек, либо занесением их в блок 6 со входа 14 самостоятельно (например, с клавиатуры), либо копированием их из блока 5. При этом администратором выдается сигнал на вход 15, по которому настройки из блока 5 перезаписываются в блок 6, работа блока 8 на это время блокируется. Другой режим - это задание ограничений на возможные в блоке 5 настройки. Например, разрешить пользователю для разделения только какой-либо диск, каталог, файл, либо, наоборот, запретить пользователю для разделения диск, каталог, файл и т.д. Данные ограничения также в блок 6 выдаются со входа 14 после обработки соответствующего запроса администратора безопасности со входа 18 (соответственно, происходит авторизация администратора и контролируется его доступ блоком 7). Итак, администратором безопасности в блоке 6 создаются (с клавиатуры - со входа 14, либо копированием из блока 5 - со входа 15) эталонные настройки, либо ограничения на разграничения прав доступа, в соответствии с которыми должен обрабатываться доступ пользователей к информационным ресурсам со входа 11. Далее администратором безопасности со входа 16 задается режим контроля настроек (интервал выдачи сигналов контроля таймером) и со входа 3 запускается таймер - блок 3. Сигналами с выхода блока 3 в блок 8 с выхода блока 5 и с выхода блока 6 заносятся текущие параметры разграничения доступа (из блока 5) и эталонные настройки, либо ограничения (с блока 6). Блок 8 осуществляет сравнение текущих и эталонных настроек, либо выполнение текущими настройками ограничений, задаваемых в блоке 6. При обнаружении некорректности текущих настроек, блок 8 выдает об этом сигнал в блок 9, который, получая текущие настройки из блока 5 и эталонные настройки, либо ограничения на настройки из блока 6, корректирует текущие настройки в соответствии с разграничениями, задаваемыми администратором безопасности, и заносит их в блок 5 на место некорректных текущих настроек. При занесении настроек в блок 6 таймер (блок таймера 3) отключается со входа 17. Ввиду того, что блок 6 также представляет собой файловый объект, разрешение доступа пользователя к информационному ресурсу с первого выхода блока 4 походит дополнительное разграничение на блоке 7 (блок 7 запрещает корректировку информации в блоке 6 всем, кроме администратора безопасности). В случае корректного запроса доступа пользователем, блоком 7 вырабатывается сигнал на выход 19. The system works as follows. Before starting work, the user must pass authorization from input 10, which is carried out by block 1, authorization parameters - the name and password of the user, block 1 requests and receives from block 5. The data of the current user by block 1 is issued to block 4, which is requested in block 5, the rights distribution table access registered in the user system. When a user requests access to information resources from input 11 (an access object is requested, for example, a file and actions, for example, read or write), block 4 analyzes the access rights set for the user and the access parameters requested by the user, if they are not inconsistent - the requested access by the system is allowed , a permission signal for access to the information resource is generated, which goes to block 7. From input 12, access rights are set, the user who has the appropriate permissions is allowed to change these rights authorization (depending on the hierarchical level of the system, it can be either the user himself or one of the administrators: system, DBMS, applications) - if the corresponding signal is issued from the second output of block 4, which is generated after authorization of the user and his request (from input 11 ) to gain access to block 5 (block 5 in the general case is also a file object). Similarly, the security administrator authorization and access control scheme works. Before starting work, the security administrator must pass authorization from input 13, which is carried out by block 2, authorization parameters - the name and password of the security administrator, block 2 requests and receives from block 6. The data of the current user (security administrator) by block 2 is issued to block 7, which is requested in block 6, the table of differentiation of access rights registered in the system of the user (security administrator). When a user (security administrator) requests access to information resources from input 18 (an access object is requested, for example, a file and actions, for example, reading or writing, a method for setting a reference settings table), block 7 analyzes the access rights set for the user and the access parameters requested by the user if they are not inconsistent - the requested access is allowed by the system, an access permission signal is generated to block 6. From the inputs 14 or 15 the parameters of access rights are set, permissions are changed it is given to the user (security administrator) with the appropriate authority - if the corresponding signal is issued from the second output of block 7, generated after authorization of the user (security administrator) and his request (from input 18) to gain access to block 6 (block 6 in the general case also is a file object) Thus, blocks 1, 4, 5 serve to control user access to file objects, their administration is carried out by the user or by the appropriate administrator (system, DBMS, applications ) The security administrator, having passed authorization in block 2, within his authority (his access is delimited by block 7), creates the reference settings in block 6, or the restrictions on the delimitation settings specified in block 5. Creating the reference settings assumes that the table is set by the security administrator in block 6 access control, which is the standard for block 5. The security administrator has two options for setting such settings, either by entering them into block 6 from input 14 independently (for example, from the keyboard), or copy Hovhan them from the unit 5. In this case, the administrator is given to the input signal 15, by which the settings of the unit 5 is overwritten in block 6, the block is 8 at this time is blocked. Another mode is to set restrictions on the possible settings in block 5. For example, to allow the user to partition only any drive, directory, file, or, conversely, to prohibit the user to separate the drive, directory, file, etc. These restrictions are also issued to block 6 from input 14 after processing the corresponding request from the security administrator from input 18 (accordingly, the administrator is authorized and access is controlled by block 7). So, the security administrator in block 6 creates (from the keyboard - from input 14, or by copying from block 5 - from input 15) reference settings, or restrictions on the delimitation of access rights, according to which user access to information resources from input 11 should be processed Next, the security administrator sets input control mode from input 16 (the interval for issuing control signals by a timer) and starts timer 3 from input 3 — block 3. The signals from the output of block 3 to block 8 are output from block 5 and the output of block 6 Suitable access control parameters (block of 5) and the reference settings, or constraints (from block 6). Block 8 compares the current and reference settings, or the current settings fulfill the restrictions specified in block 6. If the current settings are detected incorrectly, block 8 gives a signal about this to block 9, which, receiving the current settings from block 5 and the reference settings, or restrictions to the settings from block 6, corrects the current settings in accordance with the boundaries set by the security administrator, and puts them in block 5 in place of the incorrect current settings. When the settings are entered in block 6, the timer (timer block 3) is disabled from input 17. Due to the fact that block 6 is also a file object, allowing user access to the information resource from the first output of block 4 is like an additional delimitation on block 7 (block 7 forbids updating information in block 6 to everyone except the security administrator). In the case of a correct access request by the user, block 7 generates a signal to output 19.

Таким образом, заявляемая система позволяет реализовать различные уровни компромисса в централизации администрирования информационной безопасностью в иерархической информационной системе. Thus, the claimed system allows you to implement various levels of compromise in the centralization of information security administration in a hierarchical information system.

Возможны следующие режимы функционирования системы:
1. Все управление безопасностью осуществляется администратором безопасности. В этом случае он самостоятельно (со входа 14) заносит в блок 6 эталонные настройки доступа. После этого запускает таймер (блок 3) со входа 17. Система переходит в режим контроля текущих настроек разграничения доступа в блоке 5 - заносит туда настройки из блока 6 при первом обнаружении несовпадения, фиксируемом блоком 8. При этом любые изменения настроек блока 5, вносимые пользователем, либо администратором соответствующего уровня иерархии системы после их соответствующей авторизации блоком 1 в рамках разграничений, задаваемых блоком 5 (системным администратором, администратором СУБД, администратором приложения), с интервалом времени, задаваемым со входа 16, будут восстановлены. При незначительном интервале данные настройки не успеют вступить в действие.The following system operation modes are possible:
1. All security management is performed by the security administrator. In this case, he independently (from input 14) enters the reference access settings in block 6. After that, it starts the timer (block 3) from input 17. The system goes into the control mode of the current access control settings in block 5 - enters the settings from block 6 there upon the first detection of a mismatch recorded by block 8. In this case, any changes to the settings of block 5 made by the user , or by the administrator of the corresponding level of the system hierarchy after their corresponding authorization by block 1 within the boundaries defined by block 5 (system administrator, DBMS administrator, application administrator), with an interval of time and, from the input given by 16, they will be restored. With a small interval, these settings do not have time to take effect.

2. Администратором безопасности решаются задачи контроля и противодействия несанкционированному изменению настроек безопасности. В этом режиме администратор безопасности, после соответствующего визуального контроля настроек, заданных пользователем, либо соответствующим администратором, в блоке 5, переносит данные настройки сигналом со входа 15 в блок 6 - эти настройки считаются корректными (эталонными). Затем запускает подсистему контроля настроек, запустив блок таймера 3 со входа 17. Система переходит в режим контроля, при котором без участия администратора безопасности невозможно изменить настройки разграничения доступа к информационным ресурсам, хранящиеся в блоке 5, в том числе и легальным пользователем, либо администратором в рамках разграничений, задаваемых блоками 1 и 4 (т.е. любые изменения, проводимые без ведома администратора безопасности будут немедленно устранены). Для изменения эталонных настроек необходимо отключить блок таймера 3 (со входа 17), изменить настройки таблицы разграничений прав доступа в блоке 5 (соответствующим пользователем или администратором, в рамках полномочий, заданных блоками 1 и 4, в случае необходимости, при визуальном контроле со стороны администратора безопасности) администратором безопасности, после его (блоком 2) со входа 15 переписать в блок 6 новые корректные настройки. Затем запускается блок 3, система переходит в штатный режим. 2. The security administrator solves the tasks of monitoring and counteracting unauthorized changes to security settings. In this mode, the security administrator, after appropriate visual control of the settings specified by the user or the relevant administrator, in block 5, transfers the settings data with a signal from input 15 to block 6 - these settings are considered correct (reference). Then it starts the settings control subsystem by running the timer 3 block from input 17. The system goes into the control mode, in which without the participation of the security administrator it is impossible to change the settings for restricting access to information resources stored in block 5, including by the legal user or by the administrator in the boundaries defined by blocks 1 and 4 (i.e. any changes made without the knowledge of the security administrator will be immediately eliminated). To change the reference settings, it is necessary to disable the timer block 3 (from input 17), change the settings of the access rights delimitation table in block 5 (by the corresponding user or administrator, within the authority given by blocks 1 and 4, if necessary, during visual control by the administrator security) by the security administrator, after it (in block 2) from input 15, rewrite new correct settings in block 6. Then block 3 starts, the system goes into normal mode.

3. Администратором безопасности вносятся ограничения на возможности задания параметров безопасности. В этом режиме предполагается, что администратором безопасности в блоке 6 задаются не эталонные таблицы настроек для блока 5, а ограничения на настройки. Возможны два режима ограничений - запреты и разрешение. При реализации режима запретов, вносятся запреты на какие-либо действия, связанные с доступом к информационным ресурсам, например, запретить доступ к какому-нибудь файловому объекту, запретить возможность разделения какого-либо ресурса (например, создать общую папку) запретить доступ к файловому объекту на запись и т.д. Т.е. данный режим реализует правило, все, что не запрещено администратором безопасности - разрешено в системе. Другой режим реализует альтернативное правило - все, что не разрешено администратором безопасности, запрещено в системе. В этом случае администратором безопасности задаются разрешения, в рамках которых уже может осуществлять свои разграничения пользователь или иной администратор. Например, администратор безопасности может разрешить доступ только к одному логическому диску. Уже к каталогам и файлам, расположенным на этом диске, может разграничивать доступ соответствующий пользователь или администратор со входа 12. В данном режиме ограничения заносятся администратором безопасности (после его авторизации блоком 2) в блок 6, после чего со входа 17 запускается блок таймера 3. Текущие настройки, расположенные в блоке 5, и ограничения из блока 6 с интервалом, заданным со входа 16, поступают в блок 8, который анализирует, не противоречат ли настройки в блоке 5 ограничениям, задаваемым блоком 6. Если противоречат, то блок 9 осуществляет их корректировку и заносит в блок 5 корректные настройки. 3. The security administrator introduces restrictions on the ability to set security parameters. In this mode, it is assumed that the security administrator in block 6 sets not the reference settings tables for block 5, but the restrictions on the settings. There are two restriction modes - prohibitions and permission. When implementing the prohibition mode, prohibitions are made on any actions related to access to information resources, for example, to prohibit access to some file object, to prohibit the possibility of sharing any resource (for example, to create a shared folder), to block access to the file object for recording, etc. Those. This mode implements the rule; everything that is not prohibited by the security administrator is allowed in the system. Another mode implements an alternative rule - everything that is not allowed by the security administrator is prohibited in the system. In this case, the security administrator sets permissions, within which the user or another administrator can already make his delineations. For example, a security administrator can only allow access to one logical drive. Already access to directories and files located on this disk can be restricted by the corresponding user or administrator from input 12. In this mode, restrictions are entered by the security administrator (after authorization by block 2) into block 6, after which timer 3 starts from input 17. The current settings located in block 5 and the restrictions from block 6 with the interval specified from input 16 are sent to block 8, which analyzes whether the settings in block 5 do not contradict the restrictions set by block 6. If they contradict, then block 9 estvlyaet their adjustment and logs in unit 5 the correct settings.

Иллюстрация использования заявляемой системы в иерархической информационной системе приведена на фиг.3. Здесь выделены три уровня иерархии информационной системы - системный (ОС), СУБД, приложения, каждый из которых управляется соответствующим администратором. В систему устанавливается заявляемая система контроля доступа к информационным ресурсам (СКД к ИР), управляемая администратором безопасности. Каждый уровень иерархии системы имеет свою систему контроля доступа (прототип) к информационным ресурсам. Настройки всех этих систем в одном их трех, рассмотренных выше режимов, ставятся на контроль администратором безопасности. Это позволяет реализовать в иерархической информационной системе схему централизованного администрирования информационной безопасностью с выделением в качестве структурообразующего элемента данной схемы - администратора безопасности. В качестве замечания отметим, что функции администратора безопасности могут быть совмещены с функциями системного администратора. An illustration of the use of the inventive system in a hierarchical information system is shown in Fig.3. Three levels of the hierarchy of the information system are distinguished here - system (OS), DBMS, applications, each of which is managed by the corresponding administrator. The system installs the claimed access control system for information resources (ACS to IR), managed by a security administrator. Each level of the hierarchy of the system has its own access control system (prototype) to information resources. The settings of all these systems in one of the three modes discussed above are put under the control of the security administrator. This makes it possible to implement a centralized information security administration scheme in a hierarchical information system with a security administrator highlighted as a structure-forming element of this scheme. As a remark, we note that the functions of a security administrator can be combined with the functions of a system administrator.

Отличие использования системы с различными объектами - системный уровень, СУБД, приложения, состоит в реализации блоков 5 и 6, доступа к ним, способов чтения и записи информации. Для СУБД - это служебные таблицы, размещаемые в файле, для системного уровня и приложений это могут быть различные файлы (например, реестр, для ОС Windows). Чтение и запись информации для данных блоков осуществляется соответственным системным средством - ОС или СУБД. The difference between using a system with various objects - the system level, DBMS, applications, consists in the implementation of blocks 5 and 6, access to them, methods of reading and writing information. For a DBMS, these are service tables placed in a file; for the system level and applications, these can be various files (for example, the registry, for Windows). Reading and writing information for these blocks is carried out by the corresponding system tool - OS or DBMS.

Блоки, используемые в заявляемой системе, могут быть реализованы следующим образом. The blocks used in the inventive system can be implemented as follows.

Блоки 2, 6, 7 реализованы аналогично соответствующим блокам 1, 5, 4 прототипа (единственное отличие блока 6 от блоки 5 состоит в том, что он содержит как учетные параметры доступа администратора безопасности - данные авторизации и разграничения доступа, так и эталонные настройки, либо ограничения). Blocks 2, 6, 7 are implemented similarly to the corresponding blocks 1, 5, 4 of the prototype (the only difference between block 6 and blocks 5 is that it contains both security administrator access credentials - authorization and access control data, and reference settings, or restrictions).

Блок 3 - это таймер, программным образом вырабатывающий меандр сигналов задаваемой частоты. Block 3 is a timer that programmatically generates a meander of signals of a given frequency.

Блок 8 - это программное средство сравнения таблиц (таблицы текущих разграничений с эталоном, либо текущей таблицы разграничений с заданными ограничениями). Block 8 is a software tool for comparing tables (tables of current demarcations with a standard, or of the current demarcation table with specified restrictions).

Блок 9 - это программное средство формирования корректной таблицы разграничений по результатам сравнения (несовпадениям) текущей таблицы с эталонной - за основу берется эталонная, либо с ограничениями - удаляются или заменяются строки таблицы, некорректные с точки зрения заданных ограничений. Block 9 is a software tool for generating the correct demarcation table based on the results of comparing (discrepancies) of the current table with the reference one — the reference is taken as the basis, or with restrictions — the rows of the table that are incorrect from the point of view of the specified restrictions are deleted or replaced.

Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических основах вычислительной техники. Thus, the implementation of all used blocks is achieved by standard means based on the classical foundations of computer technology.

К достоинствам предлагаемой системы может быть отнесено следующее. The advantages of the proposed system may include the following.

1. Система позволяет реализовать централизованную схему администрирования информационной безопасностью иерархической информационной системы с использованием в качестве структурообразующего звена данной схемы выделенного администратора безопасности. 1. The system allows you to implement a centralized information security administration scheme of a hierarchical information system using a dedicated security administrator as the structure-forming link of this scheme.

2. Система позволяет реализовать различные варианты централизации решения задачи администрирования информационной безопасностью - с возложением на администратора безопасности всей совокупности задач администрирования, задач по контролю и противодействию несанкционированному изменению настроек безопасности иными администраторами и пользователями системы, задач по заданию ограничений на возможности осуществления настроек информационной безопасности иными администраторами и пользователями системы. 2. The system allows you to implement various options for centralizing the solution to the task of administering information security — entrusting the security administrator with the entire set of administration tasks, tasks to control and counteract unauthorized changes to security settings by other administrators and users of the system, tasks to set restrictions on the ability to make information security settings by other Administrators and users of the system.

Claims (1)

Система контроля доступа к информационным ресурсам, содержащая блок авторизации пользователя, блок разграничения прав доступа, блок хранения прав доступа, причем первый вход/выход блока авторизации пользователя соединен со входом/выходом авторизации пользователя системы, второй вход/выход - с первым входом/выходом блока хранения прав доступа, второй вход/выход которого - со входом/выходом блока разграничения прав доступа, первый вход которого соединен с выходом блока авторизации пользователя, второй вход - со входом запроса доступа системы, второй выход - с первым входом блока хранения прав доступа, второй вход которого соединен со входом задания параметров доступа системы, отличающаяся тем, что дополнительно введены блок авторизации администратора безопасности, блок таймера, блок добавочного разграничения прав доступа, блок хранения эталонных настроек прав доступа, блок сравнения прав доступа с эталоном, блок формирования и восстановления текущих прав доступа, причем первый вход/выход блока авторизации администратора безопасности соединен со входом/выходом авторизации администратора безопасности системы, второй вход/выход - с первым входом/выходом блока хранения эталонных настроек, второй вход/выход которого соединен со входом/выходом блока добавочного разграничения прав доступа, первый вход которого соединен с первым выходом блока разграничения прав доступа, второй вход - с выходом блока авторизации администратора безопасности, третий вход - со входом запроса доступа администратором безопасности системы, второй выход - с третьим входом блока хранения эталонных настроек прав доступа, второй вход которого соединен с выходом блока хранения прав доступа, с первым входом блока сравнения прав доступа с эталоном, с первым входом блока формирования и восстановления текущих прав доступа, первый вход - со входом формирования эталонных настроек системы, с четвертым входом блока хранения прав доступа, с третьим входом блока сравнения прав доступа с эталоном, четвертый вход - со входом задания эталонных настроек системы, пятый вход - с выходом блока таймера, с пятым входом блока хранения прав доступа, выход - со вторым входом блока сравнения прав доступа с эталоном, с третьим входом блока формирования и восстановления текущих прав доступа, второй вход которого соединен с выходом блока сравнения прав доступа с эталоном, выход - с третьим входом блока хранения прав доступа, первый выход блока добавочного разграничения прав доступа - с выходом разрешения доступа системы, первый вход блока таймера - со входом задания режима таймера системы, второй вход - со входом запуска/останова таймера системы. A system for controlling access to information resources, comprising a user authorization block, an access rights delimiter, an access rights storage unit, the first input / output of the user authorization block being connected to the system user authorization input / output, and the second input / output to the first input / output of the block storage of access rights, the second input / output of which is with the input / output of the access rights delimiting unit, the first input of which is connected to the output of the user authorization block, the second input is with the input of the access system the second output - with the first input of the access rights storage unit, the second input of which is connected to the input of the system access settings task, characterized in that the security administrator authorization unit, a timer unit, an additional access rights differentiation block, a storage unit for access rights reference settings are additionally introduced , a unit for comparing access rights with a standard, a unit for generating and restoring current access rights, wherein the first input / output of the security administrator authorization unit is connected to the input / output authorization the administrator of the system security, the second input / output - with the first input / output of the reference settings storage unit, the second input / output of which is connected to the input / output of the additional access rights differentiation unit, the first input of which is connected to the first output of the access rights differentiation unit, second input - with the output of the security administrator authorization block, the third input - with the input of the access request by the system security administrator, the second output - with the third input of the storage block of the reference settings for access rights, the second input which is connected to the output of the access rights storage unit, with the first input of the access rights comparison unit with the standard, with the first input of the current access rights generation and recovery unit, the first input - with the input of the system’s standard settings formation, with the fourth input of the access rights storage unit, with the third the input of the access rights comparison unit with the reference, the fourth input - with the input of the reference system settings, the fifth input - with the output of the timer unit, with the fifth input of the access rights storage unit, the output - with the second input of the comparison unit av access with a reference, with the third input of the current authorization generation and recovery unit, the second input of which is connected to the output of the access rights comparison unit with the reference, the output - with the third input of the access rights storage unit, the first output of the access control additional division block - with the permission output system access, the first input of the timer block - with the input of the system timer mode setting, the second input - with the start / stop input of the system timer.
RU2001123739/09A 2001-08-27 2001-08-27 Data resource access control system RU2207618C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2001123739/09A RU2207618C2 (en) 2001-08-27 2001-08-27 Data resource access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2001123739/09A RU2207618C2 (en) 2001-08-27 2001-08-27 Data resource access control system

Publications (1)

Publication Number Publication Date
RU2207618C2 true RU2207618C2 (en) 2003-06-27

Family

ID=29210299

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2001123739/09A RU2207618C2 (en) 2001-08-27 2001-08-27 Data resource access control system

Country Status (1)

Country Link
RU (1) RU2207618C2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2500075C2 (en) * 2007-07-13 2013-11-27 Майкрософт Корпорейшн Creating and validating cryptographically secured documents
RU2562410C2 (en) * 2013-12-10 2015-09-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for session-based file object access control
US9189605B2 (en) 2005-04-22 2015-11-17 Microsoft Technology Licensing, Llc Protected computing environment
RU2571372C1 (en) * 2014-07-17 2015-12-20 Российская Федерация, от имени которой выступает государственный заказчик Министерство промышленности и торговли Российской Федерации (Минпромторг России) System for protecting information containing state secrets from unauthorised access
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Валда Хиллей "Секреты WINDOWS NT SERVER 4.0"-Киев, Диалектика, 1997. *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9189605B2 (en) 2005-04-22 2015-11-17 Microsoft Technology Licensing, Llc Protected computing environment
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
RU2500075C2 (en) * 2007-07-13 2013-11-27 Майкрософт Корпорейшн Creating and validating cryptographically secured documents
RU2562410C2 (en) * 2013-12-10 2015-09-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" System for session-based file object access control
RU2571372C1 (en) * 2014-07-17 2015-12-20 Российская Федерация, от имени которой выступает государственный заказчик Министерство промышленности и торговли Российской Федерации (Минпромторг России) System for protecting information containing state secrets from unauthorised access

Similar Documents

Publication Publication Date Title
US6122631A (en) Dynamic server-managed access control for a distributed file system
US7290279B2 (en) Access control method using token having security attributes in computer system
McIlroy et al. Multilevel security in the UNIX tradition
US6792424B1 (en) System and method for managing authentication and coherency in a storage area network
US5564016A (en) Method for controlling access to a computer resource based on a timing policy
Zayas AFS-3 Programmer's Reference: Architectural Overview
US7827403B2 (en) Method and apparatus for encrypting and decrypting data in a database table
US4135240A (en) Protection of data file contents
US7861091B2 (en) Smart card enabled secure computing environment system
US7058630B2 (en) System and method for dynamically controlling access to a database
US7028090B2 (en) Tokens utilized in a server system that have different access permissions at different access times and method of use
Bertino Data security
US20030081784A1 (en) System for optimized key management with file groups
JPH04310188A (en) Library service method for document/image library
CA2533864A1 (en) Discoverability and enumeration mechanisms in a hierarchically secure storage system
US20060059117A1 (en) Policy managed objects
WO2003044712A1 (en) Smart card enabled secure computing environment system
US8132261B1 (en) Distributed dynamic security capabilities with access controls
RU2207618C2 (en) Data resource access control system
US7890990B1 (en) Security system with staging capabilities
Jordan Guide to Understanding Discretionary Access Control in Trusted Systems
US20180083954A1 (en) Method, system, login device, and application software unit for logging into docbase management system
Cisco Using Security Manager Tools
Cisco Setting Up Domains and Securing Applications
Cisco Setting Up Domains and Securing Applications

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20060828