Модель и метод зонального клонирования экземпляров банковского безопасного программного обеспечения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Цивирко, Евгений Геннадьевич

Актуальность темы исследования

Для банковских автоматизированных систем, актуальным становится вопрос создания методологических инструментов, позволяющих построить и эксплуатировать безопасную информационную сеть с наименьшими временными и материальными затратами. Успешное решение этого вопроса поможет изменить ситуацию с информационной безопасностью, в информационных сетях, в лучшую сторону.

Однако практика построения комплексных систем защиты и безопасности информации банковских автоматизированных систем требует более детальной проработки и разработке новых методов и средств. J

Предлагаемый метод построения безопасной информационной сети принципом зонального клонирования экземпляров безопасного программного обеспечения, как раз является таким инструментом, с помощью которого возможно построить безопасную информационную сеть, I причем сам метод позволяет расходовать ресурсы, выделенные на ее постройку с высокой эффективностью.

В основе метода лежит предположение, что в сети имеется более чем один объект (рабочее место, сервер), выполняющий схожие функции и удовлетворяющий одним и тем же требованиям безопасности. В таком случае, эти объекты объединяются в группу (зону клонирования) и им приписывается однажды разработанное безопасное программное обеспечение. Простая идея «сэкономить» на разработке средств защиты информации и программного обеспечения, на самом деле, при своем воплощении, затрагивает стратегические вопросы и требует политических решений.

Таким образом, работа, посвященная разработке модели, метода и средств клонирования гарантированно безопасного программного обеспечения, актуальна и представляет научный и практический интерес.

Целью диссертационной работы является разработка модели , метода и средств зонального клонирования защищенных и безопасных экземпляров функциональных рабочих мест банковских АС.

Цель разработки ставит необходимость решения следующих основных задач:

1. Анализ предметной области для выявления существующих и перспективных принципов и подходов к вопросам оптимального построения защищенных банковских автоматизированных систем;

2. Разработка и формулировка модели и метода размножения функционально идентичных рабочих мест банковских АС не снижающих уровень защищенности в целом АС и сокращающем расходы на обеспечение защищенности и сроки создания защищенной АС;

3. Разработать инструментально-технологический автоматизированный программный комплекс для поддержки модели и метода и технологию его использования;

4. Исследовать защищенность ряда банковских АС с использованием разработанного метода и инструментально-технологических средств.

В соответствии с целями и задачами :

Предметом исследования диссертационной работы является комплекс вопросов, связанный с разработкой и построением защищенных банковских АС с оптимизацией временных и финансовых ресурсов при обеспечении заданного уровня безопасности и защищенности АС.

В качестве объекта исследования представлены модели и методы создания защищенных банковских АС и средства поддержки их создания. При решении поставленных задач использованы: методы анализа и моделирования систем, методы оценки защищенности, теория графов, множеств и теория программирования. Научная новизна.

1. Новый метод построения функционально сложных защищенных банковских АС, обеспечивающий наращивать и размножать / функциональные рабочие места АС с гарантией сохранения уровня защищенности АС и сокращающий расходы на поддержку уровня защищенности и сроки модификации и реконструкции АС.

2. Новая модель,, зонального клонирования функциональных защищенных рабочих мест банковских АС , использующею в качестве ^ исходного элемента эталонный защищенный экземпляр функциональных рабочих мест банковской АС и классификацию вариантов его модификации в виде функциональных зон банковской АС.

3. Новый инструментально-технологический комплекс и методику его использования при использовании модели и метода зонального клонирования защищенных рабочих мест банковских АС.

Теоретическая значимость разработанных модели, метода и средств их поддержки заключена в обеспечении планового процесса модификации, наращивания функций банковского ПО АС при сохранении необходимого уровня защищенности и безопасности банковских АС. Использование модели и метода зонального клонирования позволяет организовать технологию гарантированной поддержки защищенности банковских АС в условиях практически постоянного изменения функций и мощности банковских АС.

Практическая ценность модели и метода зонального клонирования банковских АС заключается в обеспечении постоянного текущего уровня защищенности и безопасности банковских АС в процессе их развития и модификации.

Материалы диссертации могут быть использованы при разработке методических материалов для служб информационных технологий и безопасности банков и финансовых структур, а также в учебном процессе вузов соответствующего профиля.

Публикации. По материалам диссертации опубликован^ четыре печатные работы.

Апробация работы. Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXIII научной и учебно-методической конференции Санкт-Петербургского Государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО), 1-й конференции молодых ученых СПб ГУ ИТМО, международной научно-практической конференции «Актуальные проблемы безопасности информационного пространства» 2003 г., 2-й международной I научно-практической конференции «Актуальные проблемы безопасности информационного пространства» 2004 г., 3-ей международном паучпо-практической конференции «Информационная безопасность. Региональные аспекты.» - Дагомыс, 2004 г.

Научные положения диссертации, выносимые на защиту.

1. Новый метод построения функционально сложных защищенных банковских АС, обеспечивающий наращивать, и размножать функциональные рабочие места АС с гарантией сохранения уровня защищенности АС и сокращающий расходы на поддержку уровня защищенности и сроки модификации и реконструкции АС.

2. Новая модель зонального клонирования функциональных защищенных рабочих мест банковских АС , использующую в качестве исходного элемента эталонный защищенный экземпляр функциональных рабочих мест банковской АС и классификацию вариантов его модификации в виде функциональных зон банковской АС.

3. Новый инструментально-технологический комплекс и методику его использования при использовании модели и метода зонального клонирования защищенных рабочих мест банковских АС.

Краткое изложение диссертации по главам

Для банковских автоматизированных систем, актуальным становится вопрос создания методологических инструментов позволяющих построить и эксплуатировать безопасную информационную сеть с наименьшими временными и материальными затратами. Успешное решение этого вопроса поможет изменить ситуацию с информационной безопасностью, в информационных сетях, в лучшую сторону.

Метод построения безопасной информационной сети методом зонального клонирования экземпляров безопасного программного обеспечения», как раз является таким инструментом, с помощью которого возможно построить безопасную информационную сеть, причем сам метод позволяет расходовать ресурсы, выделенные на ее постройку с высокой эффективностью.

В основе метода лежит предположение, что в сети имеется более чем один объект (рабочее место, сервер), выполняющий схожие функции и удовлетворяющий одним и тем же требованиям безопасности. В таком случае, эти объекты объединяются в группу (зону клонирования) и им приписывается однажды разработанное безопасное программное обеспечение. Простая идея «сэкономить» на разработке средств защиты информации и программного обеспечения, на самом деле, при своем воплощении, затрагивает стратегические вопросы и требует политических решений.

В момент отнесения объекта сети к определенной группе, разработчик обращается за следующей информацией: список требований функциональности - к субъектно-объектной сети; список требований безопасности - к политике безопасности, что подразумевает под собой наличие таковых. Группировка по функциональности позволяет собрать в одну группу объекты, несущие схожие функции - рабочие места одного отдела, принт-серверы, файловые серверы, прочее. Выполнение определенных функций ведет к определенным (условно) угрозам: использование и активная работа в сети Интернет с большей вероятностью может привести к заражению вирусами, работа с системами банк-клиент более подвержена атаке хакеров и таких примеров достаточно много. Можно сказать, что наименее подвержен угрозам объект, не входящий в сеть, как внутреннюю, так и внешнюю, и с минимальными правами пользователя.

Группировка по признаку требований безопасности имеет под собой более сложную идею. Уровень безопасности объекта сети определяется степенью конфиденциальности обрабатываемой информации и угрозами к этой информации.

В первой главе рассматриваются основные проблемы поддержки защищенности и безопасности банковских АС. В литературе приводятся данные по исследованиям информационной безопасности банковских АС, которые показывают следующее распределение финансового ущерба и потери человеко-дней от нарушений системы информационной безопасности:

Более ухудшает ситуацию то, что доля незарегистрированных, неоцененных с точки зрения величины принесенного ущерба, или не точно оцененных нарушений велика, что позволяет предположить, что реальные цифры нарушений и убытков могут быть еще больше. В тех случаях, когда организация не оценивает размер издержек, связанных с нарушениями системы информационной безопасности, она также не может рассчитать, окупают ли себя ранее предпринятые меры защиты. Кроме того, существуют косвенные издержки, связанные с простоем и уменьшением производительности персонала, а также с совершенствованием системы информационной безопасности после конкретного нарушения (что обычно гораздо дороже, чем первоначальное создание системы).

Большинство респондентов не смогли дать определение таким операционным убыткам в коммерческих терминах: например, не смогли посчитать, какими могут быть потери вследствие упущенных благоприятных возможностей или в результате того, что тысяча сотрудников не имела доступа к информационным системам в течение четырех часов.

С момента публикации этого исследования прошло немногим более года, на протяжении которого не случилось ничего, что дало бы основания полагать, что риски вторжения в информационные сети компаний исчезли. При постоянно возрастающем объеме обмена информацией вряд ли стоит рассчитывать на столь счастливое разрешение вопроса. Наоборот, все очевидней, что как российские, так и иностранные компании должны быть готовы решать важные проблемы, связанные с защитой собственных информационных сетей.

Учитывая важность информационных систем в общей системе управления предприятием и ценность информации как одного из наиболее важных ресурсов и активов компании, учитывая возможные риски и уязвимость компаний, особенно больших, перед различными видами атак, подход, когда компания реагирует на события после того, как они происходят, представляется безответственным. Здесь важны упреждающие действия, и в первую очередь понимание того, что управление и координация системы обеспечения информационной безопасности - это задача, которую следует решать на уровне высшего руководства компании.

Во второй главе исходными положениями является уже существующая или разработанная стратегия безопасности организации, включающая различные направления защиты информации на предприятии и реализуемая программными, программно-аппаратными и инженерно-техническими методами. Также существует еще нереализованная спроектированная объектно-субъектная модель информационной системы, известна ее архитектура и взаимосвязь между ее компонентами. Задана политика безопасности обработки информации в рассматриваемой модели.

Алгоритм построения безопасной информационной сети методом зонального клонирования является многовариантным и состоит из 4 этапов.

В третьей главе приводятся примеры расчетов построения банковских АС и заданных уровней защищенности при использовании метода зонального клонирования.

В четвертой главе описаны инструментальные средства модели и метода зонального клонирования и технология их использования.

Каждому безопасному программному обеспечению, удовлетворяющему критериям качества, или допустимому решению, присваивается коэффициент соответствия и ранг по каждому из критериев.

1. Обзор проблем защиты информации в банковских информационных технологиях.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработан новый метод построения функционально сложных защищенных банковских АС, обеспечивающий наращивать и размножать функциональные рабочие места АС с гарантией сохранения уровня защищенности АС и сокращающий расходы на поддержку уровня защищенности и сроки модификации и реконструкции АС.

2. Разработана новая модель зонального клонирования функциональных защищенных рабочих мест банковских АС , использующую в качестве исходного элемента эталонный защищенный экземпляр функциональных рабочих мест банковской АС и классификацию вариантов его модификации в виде функциональных зон банковской АС.

3. Разработаны новый инструментально-технологический комплекс и методика его использования при использовании модели и метода зонального клонирования защищенных рабочих мест банковских АС.

4. Доказана теорема об оптимальности разработанного метода и модели по сравнению с традиционной технологией построения СЗИ ПО банковских АС.

5. Проведены практические расчеты на конкретных конфигурациях банковских АС.

Заключение

1. Акимов Е.Е., Вишняков С.М., Гуляев А.П., Концепция безопасности коммерческого банка. 2002, http://dailv.sec.ru/

2. Астахов А., Анализ защищенности корпоративных систем, «Открытые системы», № 7/8, 2002, http://wwvv.jctinfo.ru/

3. Астахов А., Разработка эффективных политик информационной безопасности. 2004, http://www.morepc.ru

4. Баутов А., Экономический взгляд на проблемы информационной безопасности, "Открытые системы", #02, 2002, www.osp.ru

5. Боровко Р., Масштаб угроз в сфере ИБ: правда и маркетинг, 2003, http://www.morepc.ru

6. Букин М., Экономическая контрразведка банка, 2003,

7. Ь Цр://уу^уу.Ь |' 7Сот. г и

8. Горбунов А.Л.,Чуменко В.Н., Выбор рациональной структуры средств защиты информации в АСУ, 2002, http://kicv-sccurity.org.ua

9. Даниловский Ф., Информационная безопасность банковских систем, 2003, http://www.oxpaha.ru/

10. Домарев В. В., Безопасность информационных технологий. Методология создания систем защиты, 2003, http://wvvw.domarev.kiev.ua/

11. Иголкин A.A., Сергеев А.Г., Обеспечение информационной безопасности в коммерческом банке. 1999, http://www.sbcinfo.ru

12. Кандырин Ю. В., Автоматизированный многокритериальный выбор альтернатив в инженерном проектировании. 1992, http://inro.iu4.bmstu.ru/

13. Конявский В.А., Хованов В.Н., Система страхования информационных рисков, как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности, Информост -Средства связи № 2(15) 2001 г., www.informost.ru

14. Курило А., Голованов В., Национальные стандарты информационной безопасности для кредитно—финансовой сферы, 2004, http://www.bdm.ru

15. Максименко C.B., Осовецкий Л.Г., Защита и беззащитность информации в банке (зачем, как и что защищать), 1999, http://wvvw.bizcom.ru

16. Максименко C.B., Осовецкий Л.Г., Психология защиты информации в банке, 1999, http://www.bizcom.ru/

17. Медведовский И., Программные средства проверки и создания политики безопасности, 2003, http://www.dsec.ru

18. Медведовский И., Современные методы и средства анализа и контроля рисков информационных систем компаний, 2003, http://www.dscc.ru

19. Мельников Ю.Н, Теренин A.A., Возможности нападения на информационные системы банка из Интернета и некоторые способы отражения этих атак, 2003, http://www.bizcom.rii

20. Мельников Ю.Н., Теренин A.A., Методология построения систем безопасности для электронных платежных систем на основе субъектно-объектной модели безопасности, 2003, http : //w w w. ru ser i p to. r u

21. Николаев С.Ю., Проблемы информационной безопасности банков, 1999, http://\vww. ref.nnov.ru/

22. Попов О.В., Некоторые вопросы защиты банковской конфиденциальной информации, 2002, http://ava.org.ua

23. Саидов Х.З. Проблемы развития новых видов услуг, основанных наинформационно-коммуникационныхтехнологиях, 2003,http://ru.infocom.uz/

24. Скородумов Б. И., Стратегия информационной безопасности в Интернет,2001, http://wvvw.ifin.ru/publications/

25. Шевченко С., Банковская безопасность: Все дело в концепции, 2003, http://www.bdm.ru

26. Шульгин А.О., Демурчев Н.Г., Универсальная корреляционная модель системы безопасности распределенной вычислительной системы, 2002, http://conf.stavsu.ru/

27. Анализ защищенности компьютерных сетей организаций, 2003, http://www.ptsecurity.ru/

28. Всемирное исследование КПМГ по информационной безопасности,2002, http://www.kpmg.ru

29. Концепция комплексной защиты банковских объектов. Конспект лекций для Сбербанка и ЦБ РФ, 2003, http://kiev-security.org.ua/

30. Международный опрос 2003 года по информационной безопасности,2003, http://www.ey.com

31. Международный опрос 2003 года по информационной безопасности. Обзор результатов по странам СНГ, 2003, http://www.ey.com

32. Политика безопасности. Краткий обзор защитных политик, 2002, http: //www, security lab .ru/

33. Программа безопасности , 2003, http://www.ey.com

34. Суть проблемы информационной http://www.infosecurity.ru

35. Информационная безопасность России (Авторский колл. под ред. Ю.С.Уфимцева и Е.А.Ерофеева) http://dvabop.narod.ru/public.

36. Российская Федерация. Федеральный закон № 85 от 4 июля 1996 г: Об участии в международном информационном обмене. М., 1996.

37. Российская Федерация. Федеральный закон.№ 15 от 16 февраля 1995 г.: О связи. М., 1995.

38. Российская Федерация. Федеральный закон № 213 от 17 декабря 1999 г.: Гражданский кодекс Российской Федерации. М., 1999.

39. Закон Российской Федерации № 2446-1 от 5 марта 1992 г.: О безопасности. М., 1992.

40. Закон Российской Федерации № 5485-1 от 21 июля 1993 г. с изменениями и дополнениями, внесенными 6 октября 1997 г. № 131-ФЗ: О государственной тайне М., 1993.

41. Закон Российской Федерации № 5351-1 от 09 июля 1993 г. с изменениями от 19 июля 1995 г.: Об авторском праве и смежных правах. М.,1995.

42. Закон Российской Федерации № 3523-1 от 23 сентября 1992 г.: О правовой охране программ для электронных вычислительных машин и баз данных. М., 1992.

43. ГОСТ Р 1.0-92. Государственная система стандартизации Российской Федерации. Основные положения.45. "Об электронной цифровой подписи". Проект Федерального закона.

44. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы Термины и определения.

45. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

46. ГОСТ Р 51624-00. 'Защита информации. Автоматизированные системы в •защищенном исполнении. Общие требования.

47. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

48. ГОСТ 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

49. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации.

50. ОСТ В1 00464-97. Защита информации об авиационной технике и вооружении от иностранных технических разведок. Термины и определения.

51. ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения.

52. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ// Сборник руководящих документов по защите информации от несанкционированного доступа. -М.: Гостехкомиссия России, 1998.

53. Содоналлныи закон от 3 апосля 1995 г N 40-Q3 "Об органах федеральной служ бы безопасности в Российской Федерации"

54. Доктрина информационной безопасности Российской Федерации" ■

55. Позтгкозление от 20 февраля 19S5 г. N2 170 "Об установлении порядка рассекречивания и продления сроков засекречивания архивных документов Правительства СССР "

56. Рош'г-с.-.е Гостехкомиссии России №61 от 21 октября 1597 г- "О защите информации при вхождении России в международную информационную систему "Интернет" Постановление Правительства РФ от 11.04.00 N 326 "О лицензировании отдельных видов деятельности "

57. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

58. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

59. Срсдстзе вычислительной техники Защи-о от кссанш-иошч г;: хо -.г/—\ ■■ ппфорл'л дни Гккзззтшн' зсшищенност* от нссин^лош'рсг.' де г •• л ■:.■■■ Лстсматизирсванные систеглы. Защита от несан^циснкрс:;;- I- ни с. ,• , и . :

60. Классификация аятомзтизирсвпнных систем и требования I.'.* :!".н . :

61. Р>поводящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели заицииенности от несанкционированного доступа к информации. "

62. Ргксьюдлщий документ "Защита информации. Специальные затишные знаки. Классификация и общие требования."

63. Г' у: с ?, од я ий догу м сит "Защита от несанкционированного доступа к информации. Термины и определения."

64. Инструкция о порядке проведения специальных экспертиз по допуску предприятий, учреждении и организация к проведению работ, связанных с использованием сведений, составляющих государственную тайну

65. Гостехкомиссии России от 27 октября 1995 г. N 159. Зпрегиофноопа!;- Госс^снд ••;•!.; с\-России а Государственном реестре 20 марта 1995г. (Свидегеп-^егво N РОСС С Г.;;' 01БИС0))

66. Типовое положение об испытательной лаборатории" ;у- ер ■: Пг. - •

67. Государственной технической комиссии при Президенте Роса-; о^ и С од :д.и.ин '.'■ Я-.иин^м 25 ноября 1294 г.)

68. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Прсдседз;«': •/

69. Государственной технической комиссии при Президенте Россиис-еи Федерации ю Яшиным 25 ноября 1934 г.)

70. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации" Ут . г: ;; ; ' " г о•---г « ,, | %--иигриГг " (г "' ' .'■'.' . * ■ ; ! •• »-I -г-".'( .*> ГКл'.ом.'Л : ч.^ > : . '

71. ГОСТ Ui.vxx ЕСПД I ост ixx ЕСКДi OC'> <5 20-97 Униф система организэционна-раслюэ"дитеп.-.:Л •

72. РСЧ-^г^ИЯ К 0фСрГ-/:Г;СЬИ:-0

73. ГОСТ 24 2Ох Дскуманты по АСУ. ГОСТ 34.ххх Документы по ИТ АС.

74. ГОСТ Р ИСО 0003-S6 !У!одел> обеспечения качеств пол cter-"; ■-.-'-гг. т. : по информационном безопасности:

75. ССТ 2? 147-69 Систег/.ь- обработки информации Зсщит? .•;;.•!:.т.г;\.ч:,.:- .;:.;• -;.^;»пгографического преобразования.

76. ГОСТ 45.127-89. Система обеспечения информационной безопасности Езгкмо/е: сети связи РФ. Теркины и определения

77. ГОСТ 51583-2000. Порядок создании АС в ззщииденксм исголн лее ОС: :.к- г on:/i CCI Р 34.10-94 ИТ. Криптографическая защита ииферг/з^/й Про:.:;:::/г и-.рос.сгкп слсктрснюи подписи на базе асимметричного и pi- -.то; г.- Он -с:: ест

78. ОСТ Р 3<' 11-94. ИТ. Криптографическая защита и-сросгт з.,с ••:>•,• и; ни : - . г -т.

79. ГОСТ Р 50739-95. С ВТ Защита от НСД к информации

80. ГОСТ' Р 50522-35. ЗИ. Основные термины и определения.

81. ОСТ Р 51183-98. Испытания ПС на наличие компьютерных ьирусос.

82. ГОСТ Р 51275-99 ЗИ Объе:<т информатизации Факторы, поздо/стг-уг.щ.-е ни !

83. ОС i Р 51524-00. ЗИ. АС в защищенном исполнении Осип т г ::0■■>;; и" .

84. ГОСТ Р ИСО/.МЭК 15403-2001. Методы и средства cOecnenl -:и; .с-от. . етт -:сиськи безопасности ИТ. (часть 1. часть 2. ^зеть 3)

85. ГОСТ Р ИСО 7498-2-99. ИТ. ВОС Бззсозя зтапаная модсл-. г.:.;-.,информации.

86. ОСТ Р ИСО/МЭК $594-8-98. ИТ. ВОС. Справочник. Часть С Осю.и су!.-л и ;.••. ГОСТ Р ИСО/?ЛЗ!СS594-9-D5. ИТ. ВОС. Справочник. '-Ость Г Д.Зснтст ■