Метод и механизмы защиты информационных систем уровневым контролем списков санкционированных событий тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Оголюк, Александр Александрович

Целью настоящей диссертационной работы является разработка метода и реализующих его механизмов добавочной защиты информационных систем.

В соответствии с поставленной целью основными задачами исследований являются:

- Исследование современных методов добавочной защиты информационных систем;

- Разработка и исследование метода уровневого контроля списков санкционированных событий;

- Разработка и исследование механизмов добавочной защиты, реализующих предлагаемый метод:

- Механизм противодействия ошибкам и закладкам;

- Механизм контроля встроенных средств защиты;

- Механизм распределения функций администрирования системы;

- Механизм объединения и синхронизации защитных механизмов в гетерогенной системе;

- Механизм контроля (мониторинга) активности системы добавочной защиты.

- Разработка метода синтеза расписаний реального времени для разработанных механизмов добавочной защиты;

- Исследование эффективности предложенных механизмов добавочной затциты, как систем, функционируюшцх в реальном масштабе времени, эффективности применения в них приоритетных расписаний реального времени.

Методы исследований основаны на теории вероятности, теории массового обслуживания, теории расписаний.

Научная новизна работы.

В ходе выполнения работы получены следующие новые на>Лные результаты:

• Предложен общий метод уровневого контроля списков санкционированньгх событий (МУКС), являюпщйся основой предлагаемого подхода к построению систем добавочной защиты защищенных информационных систем;

• На основе проведенных исследований показана эффективность МУКС в части полноты покрытия поля угроз для защиты информационных систем от несанкционированного доступа;

• Обоснована необходимость применения МУКС в реальном маспггабе времени, сформулирована задача синтеза приоритетньтх расписаний, на основе передачи управления между задачами контроля списков санкционированных собьггий;

• На основе предложенной графической интерпретации разработан метод синтеза приоритетных расписаний;

• Проведено исследование эффективности применения приоритетных расписаний для задач контроля списков санкционированных событий. Показан масштаб возможного выигрыша в производительности системы (десятки процентов);

• На основе проведенных исследований стохастических свойств МУКС определена область его эффективного использования в современных информационных системах.

Практическая ценность полученных результатов заключается в следующем:

• Разработаны механизмы добавочной защиты, реализующие предложенный метод уровневого контроля списков санкционированных событий и позволяющие решать широкий спектр задач обеспечения информационной безопасности современных информационных систем;

• Предложена методика синтеза расписаний для разработанных механизмов добавочной запщты;

• Определены условия эффективного применения метода уровневого контроля и основывающихся на нем механизмов защиты в современных информационных системах.

Основные результаты работы внедрены в комплексных системах защиты корпоративных сетей ЗАО "ПетерСтар", ОАО "Ленсвязь", и использованы в учебном процессе на кафедре ВТ ГИТМО(ТУ). Основные положения, выносимые на защиту:

- Общий метод уровневого контроля списков санкционированных событий являющийся основой добавочной запщты ИС;

- Механизмы добавочной затциты (в рамках общего метода);

- Графическая интерпретация и метод синтеза приоритетного расписания;

- Результаты исследований эффективности предложенного метода и механизмов уровневого контроля;

Апробация работы. Научные и практические результаты диссертации доложены и обсуждены на:

- межрегиональной конференции "Информационная безопасность 8 регионов России", 2001 г.

- ведомственной конференции "Проблемы обеспечения информационной безопасности на федеральном железнодорожном транспорте", 2001 г.

- международной научно-практической конференции "Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики", 1999 г.

Публикации. По теме диссертации опубликовано 9 работ, получено свидетельство о регистрации программы для ЭВМ.

Структура и объем диссертации.

Диссертация состоит из введения, пяти глав, заключения и списка литературы. Рукопись содержит 140 страниц текста, 27 рисунков и 16 таблиц. Список литературы включает 55 наименований.

ВЫВОДЫ:

Для процедур контроля целостности списков санкционированных событий целесообразно использовать приоритетные расписания.

- Более эффективным способом (по сравнению с циклическими проверками) составления расписания для процедур контроля целостности списков является предложенная методика синтеза приоритетного расписания.

- Синтезированные расписания могут быть реализованы в современных ОС, используя возможности передачи управления между задачами с разными уровнями приоритета.

- Уменьшение потерь производительности в случае применения приоритетного расписания по сравнению с бесприоритетным может составлять десятки процентов. Наиболее существенный въгигръпп в проБзводительности (по критерию среднего времени ожидания задачи в очереди) получается в случае увеличения степени загрузки системы (выигръпп растет пропорционально коэффициенту загрузки).

ЗАКЛЮЧЕНИЕ

К основным научным результатам диссертационной работы относятся:

- Предложен общий подход к обеспечению добавочной защиты ИС, характеризуемых развитыми средствами встроенной защиты -метод уровневого контроля списков санкционированных событий (МУКС);

- Разработаны и исследованы механизмы добавочной защиты, реализующие предложенный МУКС:

- Механизм противодействия ошибкам и закладкам;

- Механизм контроля встроенных средств защиты;

- Механизм распределения функций администрирования системы;

- Механизм объединения и синхронизации защитных механизмов в гетерогенной системе;

- Механизм контроля (мониторинга) функционирования добавочной защиты.

- Исследована эффективность МУКС и разработанных механизмов добавочной защиты ИС в части полноты покрытия поля угроз для защиты ИС от ПСД;

0боснована целесообразность применения МУКС в реальном масштабе времени при обслуживании по приоритетным расписаниям. Предложена графическая интерпретация задачи синтеза расписаний, разработана методика синтеза расписаний реального времени для разработанных механизмов добавочной защиты;

Исследована эффективность применения приоритетных расписаний в решении задач добавочной защиты ИС при

134 использовании предложенного подхода. Показан маспггаб возможного выигрыша (десятки процентов);

Исследованы стохастические свойства системы добавочной запщгы ИС, реализующей предложенный подход. 0пределены условия и область эффективного использования предложенного метода.

1. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.

2. Гостехкомиссия России. Руководяпщй документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели запщщенности от НСД к информации. Москва, 1992.

3. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Москва, 1992.

4. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Москва, 1992.

5. Федеральный Закон "Об информации, информатизации и запщте информации". "Российская газета", 22 февраля, 1995.

6. Президент Российской Федерации. Указ от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации пшфровальньгх средств, а также предоставления услуг в области шифрования информации".

7. Гайкович В., Першин А. "Безопасность электронных банковских систем". Москва, "Единая Европа", 1994.

8. Герасименко В.А. "Запргга информации в автоматизированных системах обработки данных", в 2х кн. -Москва, "Энергоатомиздат", -1994

9. Ю.Левин В.К. "Защита информации в информационно-вычислительных системах и сетях", "Программирование", 5, 1994, с. 5-16.

10. П.Люцарев B.C., Ермаков К.В., Рудный Е.Б., Ермаков И.В., "Безопасность компьютерных сетей на основе Windows NT", Москва, "Русская редакция", 1998

11. Продукты года. LAN - русское издание, апрель 1995, том 1, номер 1, с. 6-25.

12. Медведовский И.Д., Семьянов П.В., Платонов В.В. "Атака через bitemet"

13. Медведовский И.Д., Семьянов П.В., Платонов В.В. "Атака через Internet" (книга 2)

14. И.Кофман А., Крюон Р., "Массовое обслуживание. Теория и приложения", Москва, "Мир" ,1965.

15. Коберниченко A.B. "Недокументированные возможности Windows NT", Москва, "Нолидж", 1998

16. Рихтер , "Windows для профессионалов", Москва, "MS Пресс", 1999

17. Петцзольд, "Недокументированная Windows 95", Москва, "Мир", 1999

18. Стенг Д., Мун С. "Секреты безопасности сетей", Киев: "Диалектика", 1995

19. Фролов A.B., Фролов Г.В., "Программирование Windows NT", Москва, "Диалог-МИФИ", 1996

20. Щеглов А.Ю., "Методы диспетчеризации заявок на обслуживание в ЛВС реального времени", СПб.,Л:ЛИТМО, 1997

21. Щеглов А.Ю., Оголюк A.A., "Технология и программный комплекс загциты рабочих станций информационных серверов в Intranet сетях". Журнал "Информационные технологии", №1 январь 2000г., Машиностроение Информационные системы, стр. 39-48.

22. Щеглов А.Ю., Оголюк A.A., "Технология оптимизации структуры ядра открытых операционных систем по требованиям информационной безопасности",Журнал "Информационные технологии", №4 апрель 2000г., Машиностроение Информационные системы, стр. 11-16.

23. Щеглов А.Ю., Тарасюк М.В., Оголюк A.A., "Технология защиты рабочих станций в сетевых архитектурах клиент-сервер". Журнал "BYTE Россия" Ш январь 2000 г. Издательский Дом Питер, стр. 50-55.

24. Щеглов А.Ю., Оголюк A.A., "Intranet и проблемы безопасности". Журнал "Безопасность On line" №1 январь 2000 г. Издательство "Техно-Пресс", стр.28-29.

25. Щеглов А.Ю., Оголюк A.A., "Проблемы безопасности информациошшх технологий". Журнал "Экономика и производство" №3 сентябрь 2001 г. Издательство "МТБ", стр.25-29.

26. Щеглов А.Ю., Оголюк A.A., Технология построения системы защиты сложных информационных систем. Материалы П межрегиональной конференции "Информационная безопасность регионов России. ИБРР - 2001", СПб., Санкт

27. Петербургское Общество информатики, вычислительной техники и систем управления, стр. 83.

28. Department of Defense Trusted Computer System Evaliation Criteria. DoD 5200.28-STD, 1993.

29. National Compnter SecOTity Center. A Guide to Understanding Audit in Trusted Systems. NCSC-TG-001, 1987.

30. National Compnter Security Center. A Gnide to Understanding Discretionary Access Control in Trusted Systems. NCSC-TG-003,1987.

31. National Computer Security Center. Trusted Network Interpretation. -NCSC-TG-005,1987.

32. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France Germany - the Netherlands - the United Kingdom. - Department of Trade and Industry, London, 1991.

33. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800. CCITT, Geneva, 1991.

34. Announcing the Standard for Automated Password Generator. -Federal Information Processing Standards Publication 181,1993.

35. Escrowed Encryption Standard. Federal Information Processing Standards Publication 185,1994.

36. Announcing the Guideline for the Use of Advanced Authentication Technology Alternatives. Federal Information Processing Standards PubUcation 190,1994.

37. Specifications for Guideline for The Analysis Local Area Network Security. Federal Information Processing Standards Publication 191,1994.

38. Bassham L.E., Polk W.T. Threat Assessment of Malicious Code and Human Threats (NISTIR 4939). National Institute of Standards and Technology, Computer Security Division, 1992.

39. An Introduction to Computer Security: The NIST Handbook. Draft. National

40. Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994.

41. The Generally Accepted System Security Principles (GSSP). Exposure Draft. GSSP Draft Sub-committee, 1994.

42. Threats to Computer Systems: an Overview. Computer Systems Laboratory Bulletin, March 1994.

43. Holbrook P., Reynolds J. (Editors). Site Security Handbook. -Request for Comments: 1244, 1991.

44. Russel D., Gangemi G.T. Sr. Computer Security Basics. O'Reilly & Associates, Inc., 1992.

45. Stang D.J., Moon S. Network Security Secrets. IDG Books Worldwide Inc., 1993.

46. Cheswick W.R., Bellovin S.M. Firewalls and Internet Security: Repelling the Wily Hacker. Addison-Wesley, 1994