БЛАЖКО С.В., аспирант кафедры информационных технологий и вычислительных систем Московского государственного технологического университета «СТАНКИН», г. Москва, blazhko@sergei.by

Разработка метода защиты электронных документов 
путем конвергенции подходов делегированного администрирования, разграничения прав доступа к содержимому и облачных вычислений

В статье представлен метод защиты информации, содержащейся в электронных документах, при помощи объединения подходов Identity Manager (IdM), Information Rights Management (IRM) и применения модели облачных вычислений (ОВ). Основой метода является концептуальная изоляция контекста защиты от субъекта доступа, выделение интероперабельных компонентов и четкая сегментация целевых модулей с сохранением требования постоянной защиты (always-on DRM)

Документооборот в цифровом предприятии

Ввиду увеличения скорости ввода и обработки информации необходимо отметить также увеличение непосредственно объема обрабатываемых данных как в рамках конкретного предприятия, так и в мировом масштабе. Начало XXI века ознаменовало появление четвертой промышленной эволюции (Industry 4.0), которая характеризуется такими подходами и принципами, как: применение киберфизических систем; тесное взаимодействие приборов (IoT) и людей (IoP); информационная прозрачность и большие объёмы данных (big data); облачные вычисления и пр.

Индустрия 4.0 представляет собой очередной этап развития промышленности в мировом масштабе, в основу которого заложен принцип конвергенции технологий. Одним из результатов развития данной концепции стал переход от цифрового производства к полностью цифровому предприятию, которое предполагает полную взаимную интеграцию всех средств автоматизации производства. С точки зрения теории управления в применении к корпоративным реалиям взаимодействующие информационные системы представляют собой не что иное, как информационные ресурсы предприятия, формируя при этом необходимость в организации защиты передаваемых данных между системами [3, 4].

Несмотря на то что на производственных предприятиях большее внимание уделяется непосредственно поддержанию процесса производства, немаловажным фактором является организация оптимального электронного документооборота.

Электронный документооборот – это проектирование рабочих процессов с учетом принятия в качестве носителя информации так называемого электронного документа. Системы автоматизации документов, также известные как системы электронного документооборота, на данный момент используются повсеместно, постепенно вытесняя устаревшие подходы, предполагающие использование печатных носителей информации. На данный момент, электронный документооборот является незаменимым компонентом цифрового предприятия.

Немаловажным фактором при выборе и организации документооборота является непосредственно защита данных. В отличие от информации, которую хранят и обрабатывают банковские, государственные или информационные предприятия (IT), информационный «баланс» технологических компаний имеет большую прикладную и практическую ценность. Примерами такой информации могут являться: чертежи, робототехническая конфигурация, банковские реквизиты и т.д. Недооценка рисков, неверная конфигурация программного обеспечения и случайные человеческие ошибки могут стать причиной утечек порой большого объема важной информации с последующей потерей престижа предприятия и потенциальными убытками [5].

Использование IRM для защиты электронных документов

Несмотря на высокий уровень защищенности современных реализаций СЭД, а также эффективность текущих исследований по теме эффективности защиты, непосредственно система документооборота не способна осуществлять защиту информации внутри документа, предоставляя лишь возможности по организации безопасных потоков исполнения и распространения, гарантию неизменяемости и неотказуемости изменений при помощи средств электронной цифровой подписи. В случае если документ с важной информацией попал за пределы контура безопасности, осуществить защиту такого документа не представляется возможным. Длярешения данной проблемы применяются системы типа IRM. Семейство IRM является подмножеством E-DRM (англ. Enterprise Digital Rights Management) систем, то есть систем управления корпоративными цифровыми правами. Ключевая особенность IRM заключается в том, что пользователь не является источником ключевой информации, необходимой для проведения криптографических действий. Неудачная авторизация в рамках конкретного типа документов приводит к тому, что сервер прав отказывает в выдаче ключа, и, таким образом, даже имея файл на локальном устройстве, а также аналогичный криптографический провайдер, пользователь не сможет получить доступ к информации. Помимо непосредственно доступа и отсутствия доступа к конкретной информации, IRM-системы могут осуществлять контроль дополнительных атомарных операций при помощи специальных агентов.

Таким образом, при правильно настроенных политиках возможность получения несанкционированного доступа к информации существенно снижается [6].

В ходе исследования был обнаружен явный недостаток, который способен существенно снизить уровень защиты. Проблема заключается в том, что, несмотря на постоянное нахождение информации в защищенном контейнере, конкретные данные (а также данные аналогичного типа) могут быть нестандартным способом извлечены из него следующими методами:

• модификация памяти и установка положительного флага экспортирования данных;
• чтение ключа из памяти и распаковка модифицированным средством;
• связан с предыдущим, разработка модифицированного агента и игнорирование всех локальных ограничений безопасности, за исключением получения ключа [2].

Как видно из представленного, получить доступ к данным возможно лишь в том случае, если субъект авторизован для доступа к конкретной группе документов, однако ввиду того, что ключи для расшифровки являются одинаковыми в пределах группы документов, субъект также может получить доступ ко всей информации, которая так или иначе попала к нему. Для того чтобы произвести штатные, документированные операции над защищенной информацией, IRM в любом случае предоставляет секрет, который может быть использован недокументированным способом в дальнейшем.

Дополнительной проблемой такого рода систем является их функциональная закрытость, то есть невозможность организации взаимодействия с другими системами предприятия. Данный фактор в целом негативно сказывается как на успешности внедрения решений типа IRM, так на уровне концептуальной целостности корпоративной инфраструктуры и принципа прозрачности информации, заложенного в определении Индустрии 4.0 [7]. Потенциально такие системы, как IRM, должны осуществлять возможность взаимодействия как минимум с SOA-подобными механизмами, например, для организации потоков согласования в рамках оперируемых и запрашиваемых контекстов.

Применение подходов делегированного администрирования для защиты электронных документов

Для решения проблемы интероперабельности было произведено создание гибридной модели на базе IRM с включением особенностей такого подхода, как делегированное администрирование (IdM). IdM – это подход и набор практик, заключающийся в том, чтобы делегировать задачи управления учетными данными с обслуживающего персонала на специализированное программное решение. Метаобъектом данного подхода является идентичность (англ. Identity), которая представляет собой виртуальный образ некой организационной сущности (сотрудник, организация, должность) и на аспектном уровне связывается с ресурсами (объектами корпоративных информационных систем) при помощи политик и/или ролей. Согласно заданным политикам при наличии у идентичности определенных признаков происходит некая операция, связанная с информационными ресурсами предприятия. В случае необходимости производится инициация запросных механизмов, которые по заранее задаваемым потокам исполнения производят согласование тех или иных фактов/действий [8].

В качестве управляемых ресурсов рассматриваются решения, построенные согласно модели облачных вычислений вида SaaS. Использование подобных сервисов совместно с IRM позволит избежать необходимости передачи секрета непосредственно в контекст субъекта доступа, предоставляя его доверенной исполняемой среде, которая представляет собой некий сервис корпоративного приложения (СП). Таким образом, получение доступа к информации, находящейся внутри защищенного контейнера, становится затруднительным по причине необходимости проведения атаки на исполняемую среду.

Предполагается выделение трех центральных компонентов, которые представляют собой ядро модели: сервер прав, сервер и агент рабочего места. Сервисы приложений представляются в рамках концепта информационными ресурсами, таким образом, осуществляется сегментное и компонентное разделение контекстов исполнения (см. рис. 1). «Источники достоверных данных», системы согласования и иные подключаемые решения (АА-системы) в данном случае идентифицируются аналогичным образом, представляя собой абстрактные решения, являющиеся по отношению к модели некоторыми узлами третьих сторон (англ. Third Party, 3P).

Рисунок 1. Компонентная схема модели

Реализация модели должна представлять собой легковесную модульную систему с возможностью взаимозаменяемости компонентов. Данное решение объясняется тем фактом, что целевая инфраструктура конкретного предприятия является гетерогенной, а также имеет распределенный характер, что накладывает требование связности не только разнородных компонентов, но также и однородных, в случае если различные организационные единицы ввиду локальных нормативов обязаны использовать собственную платформу.

Оценка полезности

Реализация и аналитическое обследование модели производятся в рамках проекта SENU (Segregation of duties of electronic documents non-profit organization and union of specialists, Uppsala, Sweden). Полезность модели оценивается исходя из таких критериев, как: увеличение фактора логической связности систем и узлов обработки конфиденциальных документов и систем ведения организационной структуры, уменьшение вероятности несанкционированного доступа (НСД) к информации внутри КД [1].

Фактор логической связности систем рассчитывается исходя из количества взаимно интегрированных систем по отношению к общему числу систем. Обозначим общее число компонентов связности как N={n_i}, при этом n_i отражает единицу данных, нетранзитивно связанную с идентичностью. Очевидно, в данном случае система выражается в виде графа, а также что данный фактор логической связности является отношением количества связных (помеченных) графов к общему числу графов. Поскольку множество всех возможных ребер графа имеет мощность С_N2, тогда общее количество доменов G_N выражается тем же значением.

где K – количество консолидированных атрибутов в пределах одной системы.

Исходя из того факта, что задача подхода IdM заключается именно в организации консолидации и синхронизации ресурсов, а также что разрабатываемая модель в данном случае принимает практики данного подхода, применение разрабатываемой модели в случае отсутствие полной интеграции корпоративных систем приведет к увеличению значения заданного фактора.

Вероятность НСД в общем случае представляет собой случайную величину, закон распределения которой сложно вычислить, так как он будет меняться в зависимости от возможностей нарушителя [9]. Ввиду данного факта наиболее оптимальным способом оценки данного критерия принимается расчет получения НСД со стороны внутреннего нарушителя. В базовой модели IRM исполняемая среда не вычленена в качестве отдельного сегмента, предоставляя конечному субъекту полный контроль над контекстом исполнения. Структурно набор полномочий состоит из тркхэлементного кортежа <u, d, r>, где u – идентификатор пользователя, d – типа документа, r – роли. Непосредственную роль при формировании матрицы доступа к содержимому играет пара <u, d>, роль в данном случае ограничивает выполнение операций непосредственно в исполняемом контексте, ввиду чего ею можно пренебречь. Потенциально злоумышленник в данном случае получает права, выражаемые как отношение объема документов заданного типа к общему числу документов в разрезе системы:

В разрабатываемой модели исполняемая среда (сервис приложений) отделена от контекста исполнения (агента), а также представляет собой еще один элемент в рамках матрицы доступа, таким образом формируя кортеж <u, d, r <e, p>>, где e – исполняемая среда, p – полезная нагрузка (временна́я метка доступа, источник, назначение и т.п.).

Таким образом, для получения секрета даже для одного типа документа злоумышленнику необходимо, во-первых, обладать ультимативным набором ролей для конкретного типа, во-вторых, доступ к такому количеству сред исполнения, которое бы обеспечило выполнение операций в рамках всего набора ролей, в-третьих, иметь возможность доступа в рамках неограниченного периода времени:

Несложно заметить, что мощность знаменателя U_l равна или превышает таковую у U₀, что подразумевает теоретически более высокую сложность получения НСД в рамках одного типа документов.

1. Armando A., Ponta S.E. Model checking authorization requirements in business processes // Computers & security. doi: 10.1016/j.cose.2013.10.002. Р. 1-22.
2. Doctorow C. At the end of the day, all DRM systems share a common vulnerability: they provide their attackers with ciphertext, the cipher and the key. At this point, the secret isn't a secret anymore // Microsoft Research DRM Talk. 06.01.2019. URL: https://www.changethis.com/4.DRM.
3. Leitao P., Colombo A.W., Karnouskos S. Industrial automation based on cyber-physical systems technologies: prototype implementations and challenges // Computers in industry: doi: 10.1016/j.compind.2015.08.004. Р. 11-25.
4. Lezzi M., Lazoi M., Corallo A. Cybersecurity for industry 4.0 in the current literature: a reference framework // Computers in industry. doi: 10.1016/j.compind.2018.09.004. Р. 97-110.
5. Short Circuit: How a Robotics Vendor Exposed Confidential Data for Major Manufacturing Companies // UpGuard, Inc. 11.01.2019. URL: https://www.upguard.com/breaches/short-circuit-how-a-robotics-vendor-exposed-confidential-data-for-major-manufacturing-companies.
6. Блажко С.В. Особенности использования IRM-систем для защиты документов в гетерогенной корпоративной среде. // «Системный администратор», № 11, 2018 г. – С.76-79. URL: http://samag.ru/archive/article/3766.
7. Гурьянов А.В., Заколдаев Д.А., Жаринов И.О., Нечаев В.А. Принципы организации цифровых проектных и производственных предприятий индустрии 4.0. // «Научно-технический вестник информационных технологий, механики и оптики», № 3, 2018 г. – С. 421-427.
8. Самков Д.Б., Гаврикова Ю.В. Автоматизация процесса управления идентификационными данными пользователей промышленного предприятия // Информационные технологии. Проблемы и решения: материалы всероссийской научно-практической конференции. – Салават: 2016. – С. 129-132.
9. Хисамов Ф.Г., Жук А.С. Математическая модель оценки защищенности информации от несанкционированного доступа при проектировании автоматизированных систем в защищенном исполнении // Известия Южного федерального университета. Технические науки. 2017. – С. 91-102.

Ключевые слова: idm, irm, делегированное администрирование, разграничение прав доступа, конвергенция.

Development of a method for protecting electronic documents by converging identity management approaches, information rights management and cloud computing

Blazhko S.V., Postgraduate, Department of Information Technologies and Computing Systems, Moscow State Technological University "STANKIN", Moscow, blazhko@sergei.by

Abstract: The article presents a method of protecting information contained in electronic documents by combining the approaches of the Identity Manager (IdM), Information Rights Management (IRM) and applying the cloud-computing model. The method based on the conceptual isolation of the protection context from the access subject, the allocation of interoperable components and the precise segmentation of the target blocks and maintaining the always-on DRM requirement.

Keywords: idm, irm, identity manager, information rights management, convergence.

Комментарии могут оставлять только зарегистрированные пользователи