Abstract

W rozprawie dokonano analizy usługowych systemów internetowych pod względem bezpieczeństwa. Przedstawiono autorskie uniwersalne modele bezpieczeństwa CoRBAC oraz jego rozszerzenie TCoRBAC, będące rozwinięciem tradycyjnego modelu RBAC. Uwzględniono analizę szeroko rozumianego kontekstu funkcjonowania systemu oraz poziom jego zaufania do użytkownika. Opracowano metodę wyznaczania dwóch parametrów: zaufania do systemu (λ) będącego tożsamym z poziomem bezpieczeństwa (β) oraz użyteczność systemu (ε). Na podstawie zaproponowanych modeli zaimplementowano reprezentacyjne mechanizmy bezpieczeństwa zgodne z przyjętą polityką bezpieczeństwa. Przebadano właściwości tych rozwiązań w oparciu o modele, jak i dane eksperymentalne. Wykazano zauważalny wzrost poziomu bezpieczeństwa (β) systemu wykorzystującego modele CoRBAC i TCoRBAC w porównaniu do modelu RBAC. Co więcej jest to możliwe bez znaczącego spadku użyteczności systemu (ε). Analiza bezpieczeństwa może być wykonana na podstawie analizy ryzyka podatności wykrytych przez zewnętrzny audyt bezpieczeństwa, natomiast użyteczność na podstawie analizy logów działań użytkowników. Przyjęte rozwiązania jak i ich ocenę przeprowadzono poprzez przebadanie systemu Moja PG rozwijanego i używanego na Politechnice Gdańskiej od ponad 4 lat.

Author (1)