Спосіб забезпечення управління доступом у захищених багатомашинних автоматизованих системах

Реферат: Спосіб централізованого управління безпекою багатомашинних автоматизованих системах. Застосовують мандатний контроль доступу SElinux, використовують загальну комплексну політику безпеки, що зберігають у виділеному сховищі, модифікують за допомогою серверу керування політиками, оновлюють, синхронізують та передають до вузлів мережі за допомогою сервера безпеки. UA 73446 U (12) UA 73446 U UA 73446 U 5 10 15 20 25 30 35 40 45 50 55 60 Корисна модель належить до методу використання системи мандатного управління доступом та політик безпеки в мережі із підвищеним рівнем захисту, зокрема до методу встановлення та розподілу політик безпеки між елементами багатомашинних автоматизованих систем. Відомий спосіб впровадження мандатного контролю доступу в автоматизованій системі із забезпеченням генератора політик безпеки, що формує файли політик для одного чи більше комп'ютерів в мережі на основі єдиного конфігураційного набору [Mayer L. Frank, US2008/0209501 А1, кл. G06F17/00, 2008]. Даний набір може визначати IP-адресу, порти, мережеві інтерфейси відповідно до оточення, що розгортається. На основі аналізу та злиття визначеного адміністратором такого набору, файлу попередньої політики для систем та еталонної політики на виході генератора формується готовий до встановлення на цільовій системі бінарний файл політики безпеки. В основу корисної моделі поставлена задача підвищити ефективність використання мандатного контролю доступу в багатомашинних автоматизованих системах. Поставлена задача вирішується тим, що для ефективного застосування мандатного контролю доступу в мережах та розподілених системах вдосконалюють систему опису та встановлення політик безпеки для одно-системного комплексу. Цілісна та послідовна політика безпеки розроблюється для всіх вузлів мережі. Єдина політика безпеки розподіляється між елементами мережі таким чином, щоб зменшити навантаження на інфраструктуру мережі. Розподілена політика безпеки синхронізовано оновлюється відповідно до загальної політики безпеки. Суть корисної моделі пояснює креслення. Запропонований спосіб централізованого управління безпекою багатомашинної автоматизованої системи 1, що складається із автоматизованих робочих місць 2, веб -серверу 3 та елементів мережі 4 із застосуванням мандатного контролю доступу SElinux та використання загальної політики безпеки (див. креслення). Даний спосіб реалізується за допомогою використання серверу керування політиками 5, виділеного сховища політик безпеки 6 та серверу безпеки 7. У способі сервер 5 містить блок генерації політик на основі шаблонів політик безпеки. Замість відтворення цілої політики у ручному режимі, генератор політик надає інструмент для їх автоматизованого створення за попередньо сформованими шаблонами (наборами суб'єктів, об'єктів та правами доступу у відповідності до певного програмного додатку). На вхід генератора подається інформація про характеристику інтерфейсу доступу до окремих вузлів мережі (ІР-адреса, МАС-адреса та мережевий порт), шаблон політики безпеки та еталонна політика безпеки. За результатами аналізу вхідних даних на виході генератора формується необхідна політика. Для розподілу загальної політики між окремими елементами мережі сервер 5 забезпечує механізм розбиття та доставки необхідних частин політики безпеки. Розбиття політики відбувається відповідно до функціональних особливостей кожного з компонентів 2-4 багатомашинної автоматизованої системи. Таким чином, автоматизоване робоче місце 2 не потребує встановлення правил, що відповідають за функціонування вебсерверу 3. Локальні менеджери безпеки, що встановлені на кожному вузлі мережі, звертаються за рішенням контролю доступу до серверу безпеки 7, який посилає запити до бази політик у режимі черги. Для зменшення кількості запитів сервер 7 містить таблицю керованих правил, за якими часто виконують запити. Запропонований спосіб дає можливість позбавитися надлишкового використання ресурсів кожного елементу мережі завдяки усуненню непризначених для цільової системи правил політики безпеки. Разом з цим, більшість систем матимуть спільні класи об'єктів, такі як, socket, file, ipc та інші. Проблема визначення типів, які мають відношення до певної системи, вирішується застосуванням конструктивного доповнення до політики у вигляді певного оператора - символу, чи сполучення символів. Такий підхід вимагає впровадження додаткового механізму управління політикою для серверів 5 та 7. Для позначення приналежності правила до індивідуальної системи або групи систем вслід за оператором розподілу прописуються мітки із відповідною назвою, які є аналогом типів у SElinux. У разі поширення правила на всі системи оператор та мітка приналежності опускаються. Для забезпечення цілісності загальної політики безпеки модель припускає механізм синхронізації усіх залежних частин загальної політики, розподілених між елементами автоматизованої системи. При оновленні або створенні нової політики сервер політик 5 інформує сервер безпеки 7, який в свою чергу оновлює поточні політики на цільових машинах. 1 UA 73446 U ФОРМУЛА КОРИСНОЇ МОДЕЛІ 5 Спосіб забезпечення централізованого управління безпекою багатомашинної автоматизованої системи, який відрізняється тим, що застосовують мандатний контроль доступу SElinux, використовують загальну комплексну політику безпеки, що зберігають у виділеному сховищі, модифікують за допомогою сервера керування політиками, оновлюють, синхронізують, та передають до вузлів мережі за допомогою сервера безпеки. Комп’ютерна верстка В. Мацело Державна служба інтелектуальної власності України, вул. Урицького, 45, м. Київ, МСП, 03680, Україна ДП “Український інститут промислової власності”, вул. Глазунова, 1, м. Київ – 42, 01601 2