Автоматизация настройки безопасности компьютерных систем на основе имитационного моделирования тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Москвин, Дмитрий Андреевич

Обеспечение безопасности компьютерных систем (КС) в наши дни становится, все более актуальным в связи с постоянным развитием информационных технологий и появлением, новых способов*; хищения^ искажения информации,, нарушения- работоспособности КС. При этом; штатное функционирование государственных и- коммерческих КС становится невозможным без постоянного поддержания их конфиденциальности и целостности. Наряду с развитием информационных технологий растут и требования к • поддержанию безопасности. Одновременно статистика свидетельствует о росте количества инцидентов, основными причинами которых являются недостатки в разработке и эксплуатации средств защиты. Эта проблема особенно* остро стоит в критических КС: в системах управления производством, движением, финансовыми операциями, обработки категорированной информации.

Настройка безопасности КС "вручную" влечет множество проблем. Количество конфигурационных параметров защиты в современных операционных системах (ОС) (пользователей, файлов, каталогов, ключей реестра и др.) исчисляется сотнями тысяч, а при настройке безопасности локальной сети — ещё многократно возрастает. Поэтому для задания всех необходимых параметров> "вручную" администратору требуется очень большое количество времени. Также в этом случае не существует механизма гарантии того, что администратор настроил систему в соответствии с предъявляемыми требованиями по безопасности (например, согласно корпоративной политике безопасности (ПБ)). Даже при высокой квалификации администратора безопасности сохраняется высокая вероятность возникновения ошибок, связанных с "человеческим фактором". Поэтому актуальна задача автоматизации процесса настройки безопасности КС.

Настройке безопасности КС посвящено множество исследований российский и иностранных ученых, таких как А. Ю. Щеглов, Д. П. Зегжда,

Л. М. Ухлинов, В. И. Будзко, Ф. Шнейдер, М. Сломан, Р. Сандху, В. Клиффорд. Также существуют различные программные средства для автоматизированного применения ПБ и проверки её выполнения (Microsoft Baseline Security Analyzer, Symantec Enterprise Security Manager, Positive Technologies MaxPatrol и др.) при настройке безопасности ОС. Основными недостатками существующих решений являются неполная (частичная) настройка ПБ и отсутствие комплексного подхода, учитывающего взаимоувязанность различных конфигурационных параметров защиты. Как правило, существующие средства лишь копируют настройки безопасности из собственных предустановленных шаблонов.

Таким образом, необходим автоматизированный подход к настройке безопасности ОС, применение которого позволит взаимоувязано настроить все правила ПБ и при этом исключить ошибки "человеческого фактора", существенно ускорить процесс настройки, сократить затраты на обслуживание и поддержание безопасности.

Целью работы является разработка подхода к автоматизации процесса настройки безопасности КС на основе моделей, обеспечивающих взаимосвязь требований по безопасности и конфигурационных параметров защиты ОС.

Для достижения поставленной цели в работе решались следующие задачи:

1. Разработка имитационной модели подсистемы контроля доступа КС, связывающей значения конфигурационных параметров защиты ОС и установленных требований по безопасности.

2. Построение алгоритма автоматизированной настройки безопасности КС, результаты которой удовлетворяют требованиям по безопасности.

3. Разработка подхода к оценке эффективности настройки безопасности КС путем вычисления сложности изменения » • конфигурационных параметров защиты, обеспечивающих выполнение требований по безопасности.

4. Разработка методики автоматизированной настройки, КС с соблюдением заданных требований по безопасности и эффективности на основе решения оптимизационной задачи.

5. Построение архитектуры и разработка прототипа системы, реализующей предложенную методику автоматизации настройки безопасности КС.

Научная новизна диссертационной работы состоит в следующем:

1. Предложен подход к автоматизации процесса настройки безопасности современных КС на основе имитационных моделей подсистем контроля доступа КС.

2. Построена имитационная модель подсистемы контроля доступа КС на базе ОС семейства Microsoft Windows, связывающая и формализующая представление значений конфигурационных параметров защиты ОС и заданных требований по безопасности.

3. Предложен подход к оценке эффективности настройки безопасности КС путем вычисления сложности изменения конфигурационных параметров защиты.

4. Разработан алгоритм и предложена методика автоматизированной настройки КС, обеспечивающая нахождение области устойчивых решений в отношении безопасности путем решения оптимизационной задачи.

Практическая ценность работы определяется возможностью использования полученных результатов для автоматизированной настройки современных ОС, согласно действующей ПБ и с учетом показателей качества настройки. Разработанные средства автоматизации используются во ФГУП "НИИ "Квант" и ЗАО "Голлард" для администрирования корпоративных сетей. Теоретические и экспериментальные результаты работы используются для подготовки специалистов в области защиты вычислительных систем по дисциплине

Безопасность современных информационных технологий" в ГОУ ВПО "СПбГПУ".

Апробация работы. Основные теоретические и практические результаты диссертационной работы доложены и обсуждены: на Российской научно-технической конференции "Методы и технические средства обеспечения безопасности информации" (СПбГПУ, 2004-2010 гг.), на Санкт-Петербургской межрегиональной конференции "Информационная безопасность регионов России (ИБРР)" (Институт информатики и автоматизации РАН, 2003-2009 гг.), на Межвузовской конкурс-конференции студентов, аспирантов и молодых ученых Северо-Запада "Технологии Microsoft в теории и практике программирования" (СПбГПУ, 2005-2009 гг.), на Всероссийской научной конференции "Проблемы информационной безопасности в системе высшей школы" (МИФИ, 2007-2009 гг.), на Международной научно-практической конференции "Информационная безопасность" (ТТИ ЮФУ, 2007, 2008 гг.), на Первой молодежной конференции по проблемам информационной безопасности "ПЕРСПЕКТИВА-2009" (ТТИ ЮФУ, 2009 г.), на Всероссийской межвузовской научно-технической конференции студентов и аспирантов (СПбГПУ, 2007 г.), на Седьмой общероссийской научной конференции "Математика и безопасность информационных технологий" (МГУ, 2008 г.), на международной конференции "Региональная информатика" (СПИИРАН, 2008, 2010 гг.). Результаты работы использовались при выполнении аналитической ведомственной целевой программы "Развитие научного потенциала высшей школы (2009-10 гг.)".

Основные положения, выносимые на защиту:

1. Имитационная модель подсистемы контроля доступа КС на базе ОС семейства Windows, позволяющая связать конфигурационные параметры защиты ОС и заданные требования по безопасности.

2. Решение оптимизационной задачи, позволяющей определить область конфигурационных параметров защиты, удовлетворяющих заданным требованиям по безопасности. 3. Методика автоматизированной настройки, КС, обеспечивающая , нахождение области, устойчивых: решений в отношении безопасности путем оптимизации- значения; показателя, эффективности настройки безопасности КС. ./• • X

41 Прототип системы автоматической настройки безопасности КС.

Диссертация состоит из введения, четырех глав, заключения и списка литературы.

Результаты исследования и анализа механизмов• контроля: доступа в: КС на базе ОС семейства1 Windows; приведенные в; первой главе, позволили выделить конфигурационные параметры, влияющие на безопасность ОС, определить степень их влияния, разработать форму представления критериев безопасности и задать их область определениям

Разработанная и описанная во второй главе имитационная модель КС на базе ОС семейства Windows позволила связать конфигурационные параметры защиты ОС и критерии безопасности и, предложить подход к оценке эффективности настройки безопасности КС.

Предложенная в третьей главе методика позволяет выполнять автоматизированную настройку безопасности КС, приводя её в устойчивое и удовлетворяющее критериям безопасности состояние.

Разработанный прототип; системы автоматизированной настройки безопасности КС на базе ОС семейства Windows и экспериментальные, результаты его применения, приведенные в четвертой главе, подтверждают эффективность основанного на имитационном моделировании подхода к настройке безопасности КС.

В работе получены следующие основные результаты:

1. Построена имитационная модель подсистемы контроля доступа КС на базе ОС семейства Microsoft Windows, связывающая значения конфигурационных параметров защиты ОС и установленных требований по безопасности.

2. Разработан алгоритм для. выполнения автоматизированной настройки безопасности КС.

3. Предложен подход к оценке эффективности настройки безопасности КС путем вычисления сложности изменения конфигурационных параметров защиты.

4. Разработана методика автоматизированной настройки КС с соблюдением заданных требований по безопасности и показателей эффективности на основе решения оптимизационной задачи.

5. Разработаны архитектура и прототип системы, реализующей предложенную методику автоматизации настройки безопасности КС.

Предложенный подход и разработанный прототип системы были применены для автоматизированной настройки безопасности корпоративной сети. Для компьютеров различных назначений были составлены критерии безопасности, выполнено построения множества векторов настроек, отвечающих требованиям этих критериев. Для каждого вектора был вычислен показатель устойчивости. Затем с помощью решения оптимизационной задачи выбран вектор с максимальным показателем устойчивости, по которому была выполнена настройка безопасности ОС. Верификация проведенной настройки подтвердила соответствие установленных значений конфигурационных параметров защиты критериям безопасности.

ЗАКЛЮЧЕНИЕ

Предложенный, подход позволяет; автоматизировать настройку безопасности^ КС, его применение обеспечивает взаимоувязанность настройки всех правил 11Б и при- этом: исключает ошибки; "человеческого; фактора", что существенно ускоряет процесс настройки и сокращает затраты на обслуживание и поддержание безопасности. ' •

1. Ресурсы Microsoft Windows NT Server 4.0. Книга 1 Текст. / Microsoft. — СПб.: БХВ-Петербург, 2001. — 408 с. — ISBN 5-7791-0049-7

2. Соломон, Д. Внутреннее устройство Microsoft Windows 2000. Мастер-класс Текст. / Д. Соломон; М. Руссинович. — М.: Изд. дом "Русская редакция"; Спб.: Питер, 2001. — 752 с. — ISBN 5-7502-0136-4; ISBN 5-318-00545-4.

3. Schultz, Е. Е. Windows NT/2000 Network Security Текст. / Е. Е. Schultz. — Macmillan Technical Publishing, 2000. — 437 p. — ISBN 1578702534.

4. Сорокина, С. И. Программирование драйверов и систем безопасности: учеб. пособие Текст. / С. И. Сорокина, А. Ю. Тихонов, А. Ю. Щербаков. — СПб.: БХВ-Петербург, 2003. — 256 с. — ISBN 5-94157263-8.

5. Таненбаум, Э. Современные операционные системы Текст. / Э. Таненбаум. — 2-е изд. — СПб.: Питер, 2002. — 1040 с. — ISBN 5-31800299-4.

6. Москвин, Д. А. Нахождение оптимального варианта настройки параметров безопасности в ОС Windows Текст. / Д. А. Москвин,

7. M. О. Калинин // Проблемы информационной безопасности. Компьютерные системы. — 2007. — №2. — С. 32-38.

8. Москвин, Д. А. Метод- оптимизации настройки безопасности ОС Windows Текст. / Д. А. Москвин // Материалы всероссийской конференции "Методы и технические средства обеспечения безопасности« информации". — 2007. — С. 27-28.

9. Зегжда, Д. П. Как построить защищенную информационную систему. Технология создания безопасных систем Текст. / Д. П. Зегжда; А. М. Ивашко. — СПб.: НПО "Мир и семья-95", ООО "Интерлайн", 1998.256 с.

10. Schneider, F. В. Enforceable Security Policies Текст. / F. В. Schneider // ACM Transactions on Information and System Security (TISSEC).2000. — Vol. 3 No. 1. — P. 30-50.

11. Ухлинов, JI. M. Принципы построения системы управления безопасностью данных в ИБС Текст.1 / Л. М. Ухлинов // Автоматика и вычислительная техника. — 1990. — № 4. С. 11-17.

12. Брагг, Р. Система безопасности Windows 2000 Текст. / Р. Брагг.

13. М.: Изд. дом "Вильяме", 2001. — 592 с. — ISBN 5-8459-0181-2.

14. Gollmann, D. Computer Security Текст. / D. Gollmann. — John Wiley and Sons, 1999. — 320 p. — ISBN 0471978442.

15. Smith, B. Microsoft Windows Security Resource Kit Текст. / В. Smith, В. Komar. — Microsoft Press, 2003. — 678 p. — ISBN 0-7356-1868-2.

16. Будзко, В. И. Современные подходы к обеспечению катастрофоустойчивости информационно-телекоммуникационных систем высокой доступности Текст. / В. И. Будзко, П. А. Кейер, М. Ю. Сенаторов // Наукоемкие технологии. — 2008. — Т. 9; N 5 — С. 14-24.

17. Bell, D. E. Secure Computer Systems: Mathematical: Foundations/ Текст.:/ D. E. Bell, L. J. EaPadula // MITRE Technical Report 2547. — Vol. II.

18. MITRE, Bedford, 1973. — 31 p.19.1-Iarrison, M. A. Protection; in operating systems Текст.; / M. A. Harrison, W. L. Ruzzoj J. D- lilllman // Communications of the; ACMi — 19(8)i 1976. —P. 461-471. • •.•■•." .

19. Будзко, В. И. Организационное обеспечение АИС фактор риска Текст. / В; И. Будзко // Наукоемкие,технологии. — 2008; — Т. 9. — N 11. •1. С. 4-11.

20. Зегжда, П. Д. Математические основы информационной безопасности Текст. / П. Д. Зегжда, А. П. Баранов, Н. П. Борисенко и др.

21. Орел: ВИПС, 1997. — 354 с.

22. Шрайбер, С. Недокументированные возможности Windows 2000. Библиотека программиста Текст. / С. Шрайбер: — СПб.: Питер, 2002. — 544 е. — ISBN 5-318-00487-3:

23. Солдатов, В. П. Программирование драйверов Windows^ Текст. / В.'П: Солдатов. — 2-е изд., перераб. и доп. — М.: ООО "Бином-Пресс", 2004. — 432 с. — ISBN 5-9518-0099-4.

24. Москвин, Д. А. Инструментарий для профилирования, безопасности современных-информационных систем Текст. // Сборник материалов XII) Санкт-Петербургской международной конференции «Региональная информатика (РИ-2010)» 20-22.10.2010 г. — 2010.

25. Sloman, М. Engineering Policy-Based Ubiquitous Systems Текст. / M. Sloman, Е. С. Lupu // Computer Journal. — 53(7) — 2010. —P. 1113-1127.

26. Москвин, Д. А. Автоматизация настроек безопасности информационных систем Текст. / Д. А. Москвин, М. О. Калинин // Сборник материалов XII Санкт-Петербургской международной конференции "Региональная информатика (РИ-2010)". —2010. — С. 42-43.

27. Брукс Мл, Ф. П. Как проектируются и создаются программные комплексы. Мифический человеко-месяц Текст. / Ф. П. Брукс Мл. —М.: 1979,-150 с.

28. Booch, G. Object-oriented analysis and design with application Текст. / G. Booch. — 2nd ed. — The Benjamin/Cummings Publishing Company, Inc. 1994. — 589 p.

29. Чеппел, Д. Технологии ActiveX и OLE Текст. / Д. Чеппел. — М.: Издательский отдел "Русская редакция" ТОО "Channel Trading Ltd.", 1997. — 320 с. — ISBN 5-7502-0029-9.

30. Rumbaugh, J. The unified modeling language reference manual Текст. / J. Rumbaugh, I. Jacobson, G. Booch. — Addison-Wesley, 1999. — 550 p. — ISBN 0-201-30998-X.

31. Selic, В. Real-Time Object-Oriented Modeling Текст. / В: Selic, G. Gullekson, P: T. Ward. — John Wiley & Sons. Inc., 1994. — 525 p. —ISBN 0471-59917-4. ' ' v ' ■ . .

32. ITU Recommendation Z. 100: Speciflcatibn and' Description?Eanguage ■ Тёкст^?/Intemationalitelecommunicatiomunion;—-1993. —204 p.

33. Harel, D. Modeling Reactive Systems with Statecharts: statemate approacli Текст.? / D. Harel, M. Politi. — McGraw-Hill, 1998. — 258 p. -— ISBN 0070262055.

34. Sloman, MlDecomposition techniques for policy refinement Текст. / Robert Craven, Jörge Lobo, Emil С. Lupu, Alessandra Russo, Morris Sloman // CNSM. —2010. —P. 72-79.

35. Терехов, ä.H;, Объектно-ориентированная методология разработки информационных систем и систем реального времени Текст.-/ А Н: Терехов, К. Ю. Романовский^ Дм. В. Кознов, П. С. Долгов, А. II.

36. Иванов // Объектно-ориентированное визуальное моделирование.--подред. Проф. А; Н. Терехова — СПб.: Издательство С.-Петербургского университета.— 1999.:—-С.4-20.

37. Ухлинов, Л. М. Управление безопасностью информации: в автоматизированных системах Текст. / Л. М. Ухлинов. — М.: МИФИ; 1996. — 112 с. — ISBN 5-7262-0036-5.

38. Дейтел, Г. Введение в операционные системы Текст. в 2 т. / Г. Дейтел. — М.: Мир, 1987.

39. Оголюк, А. А. Технологии построения системы защиты сложных информационных систем Текст. / А. А. Оголюк, А. Ю. Щеглов // Экономика и производство. — №3. — 2001.

40. Щеглов, А. Ю. Технология защиты рабочих станций в сетевых архитектурах "клиент-сервер" / А. Ю. Щеглов, М. В. Тарасюк // BYTE. Россия — №1. — 2000.

41. Щеглов, А. Ю. Защита компьютерной информации от несанкционированного доступа Текст. / А. Ю. Щеглов. — СПб.: Наука и Техника, 2004. — 384 с.

42. Integration Definition For Function Modeling (IDEF0) Текст. / Draft Federal Information Processing Standards Publication 183. — 1993. — 79 p.

43. Clifford, R. Fast Approximate Point Set Matching for Information Retrieval Текст. / SOFSEM. — (1) — 2007. — P. 212-223.

44. Rumbaugh, J. Object-oriented modeling and design Текст. / J. Rumbaugh, M. Blaha, W. Premerlani et al. — Prentice-Hall, 1991. — 500 p. — ISBN 0136298419.

45. Поттосин, И.В. Программная инженерия: содержание, мнения и тенденции Текст. / И. В. Поттосин // Программирование. — 1997. — N 4. — с. 26-37.

46. Sandhu, R. S. Group-Centric Models for Secure and Agile Information Sharing Текст. / Ravi S. Sandhu, Ram Krishnan, Jianwei Niu, William H. Winsborough // MMM-ACNS. — 2010. — P. 55-69.

47. Карабегов, А. В. Введение в язык SDL Текст. I А. В. Карабегов, Т. М. Тер-Микаэлян. — М.: Радио и связь, 1993. — 184 с. — ISBN 5-25600578-2.• ' 139 ' .

48. Карпенко, А. П. Обзор программных системмногокритериальной;оптимизации. Отечественные системы Текст. 7 А. 11. Карпенко, В. F. Федорук // Информационные технологии. — 2008. — №1.1. С. 15-22. •

49. Лотов, А. В. Введение в экономико-математическое моделирование Текст. / А. В. Лотов.— М.: Наука, 1984. — 392 с.

50. Штойер, Р. Многокритериальная оптимизация: Теория, вычисления и приложения Текст. / Р. Штойер: —пер. с англ. — М.: Радио, и связь, 1992. —504с. —ISBN5-256-01016-6. .

51. Ларичев, О. И. Теория и методы принятия решений; Текст. / О. И. Ларичев. — М.: Логос, 2000.

52. Лотов, А. В. Компьютер и поиск компромисса. Метод достижимых целей Текст. / А. В. Лотов, В. А. Бушенков, В1 А. Каменев, О. Л. Черных:.—М.: Наука, 1997.— 239 с. — ISBN 5-02-013536-4.

53. Хопкрофт, Д. Э. Введение в теорию автоматов, языков и вычислений Текст. / Д. Э. Хопкрофт, Р. Мотвани, Д. Д. Ульман. — пер. сангл. — 2-е изд. — M.: Изд. дом "Вильяме", 2002. — 528 с. — ISBN 58459-0261-4.

54. Bratko, I. Prolog programming for artificial intelligence. Текст. /1. Bratko. —Addison-Wesley Pub Co. — 2000. — 678 p.

55. Стобо, Д. Ж. Язык программирования Пролог Текст. / Д. Ж. Стобо. — пер. с англ. — М.: Радио и связь, 1993. — 368 с. — ISBN 5-25600921-4.

56. Малпас, Дж. Реляционный язык Пролог и его применение Текст. / Дж. Малпас; под редакцией В. Н. Соболева. — пер. с англ. —М.: Наука: Гл. ред. физ.-мат. лит., 1990. — 464 с. — ISBN 5-02-014509-2.