Системы наблюдения и контроля функционирования элементов информационных систем тема диссертации и автореферата по ВАК РФ 05.13.13, кандидат технических наук Пучков, Николай Викторович

До определенного момента, когда компьютерные технологии имели локальный и узковедомственный характер их основной информационный аспект - достоверность, подлинность, конфиденциальность - не подвергался угрозам и, соответственно, не вызывал каких-либо опасений у пользователей.

Придание технологиям глобального характера и, в особенности, многообразия и большой размерности решаемых ими задач существенно меняют ситуацию. Возникает недобросовестная конкуренция между пользователями технологии за право создавать (изменять, редактировать), обладать информацией и ресурсами для ее транспортировки и обработки, модифицирования задач обработки и получения той или иной выгоды на этой основе. Особенно это характерно для финансово-кредитных и банковских систем, где указанные выше права фактически напрямую преобразуются в денежный эквивалент [27] . Потенциально процесс может стать неконтролируемым и привести к полной дискредитации системы. Однако, даже постоянное снижение доверия пользователей к системам и очевидные проблемы, которые предстоит преодолеть разработчикам технологий, не привели еще к сколько-нибудь разумным постановкам задач по защите технологий. В своем большинстве постановки имеют эмоционально-интуитивный, а не технический аспект.

Особенно наглядно это проявляется в определении предмета защиты, когда оперируют такими понятиями как «защищенный компьютер», «защищенная операционная система», «защищенная телекоммуникационная система» и т.д. При этом конкретные вопросы: что, от чего, почему, чем, как, с какой степенью риска следует защищать -обсуждаются поверхностно либо не обсуждаются вовсе.

Такая ситуация в некоторой мере закономерна и обусловлена следующими причинами:

- конкретным и комплексным характером безопасности, затрудняющим ее обсуждение «вообще» без привязки к конкретным условиям;

- неполнотой модели нарушителя, требующей от защиты инвариантности к угрозе, т.е. ее эффективного функционирования независимо от способа организации атак;

- отсутствием, как правило, четко сформулированных критериев безопасности (необходимых и достаточных условий);

- весьма неполной и размытой нормативной базой.

Первая из приведенных причин фактически указывает на невозможность создания универсальной «прозрачной» для технологии защиты. Попытка создания такой защиты потребует жесткой унификации ее объектов, в первую очередь унификации структур защищаемой информации, пользовательских и эксплуатационных (персонал) процедур, что не представляется возможным в силу разного функционального содержания различных технологий. Можно привести следующие примеры. Так в операционной системе (ОС) , дополненной элементами защиты, защищаемым информационным объектом является ее файловая система, как раз и представляющая собой такую унифицированную структуру. В технологии, однако, защищаемым объектом является электронный документ, который, в общем случае, имеет произвольный формат. Кроме того, защиты требует не только форма (синтаксис) документа, но и его семантика, что невозможно вне технологии. Вообще технологиям по их функциональному содержанию присущ некоторый естественный» уровень защищенности, который может стать во многих случаях базовой компонентой защиты. Так, например, принятый в технологии для минимизации ошибок ввод документа двумя-тремя лицами одновременно также исключает возможность его фальсификации путем прямого ввода (только в результате сговора этих лиц).

Подобными же защитными свойствами обладает также «откат» в базах данных, одновременный аудит взаимодействующих объектов (субъектов) технологии и т.д. «Естественный» уровень защищенности технологии снижает вероятность атаки на нее неподготовленным злоумышленником, однако, не противодействует атакам через саму технологию. На практике, по разным источникам, 8595% фальсификаций осуществляется непосредственно через собственно технологию, а не через среду обработки ( [25], [26], [63]).

Вторая из приведенных причин нечеткой постановки задач безопасности связана с необходимостью формулирования поведения защиты по отражению атаки, организованной неизвестным заранее способом, т.е. ее поведения за пределами формальной модели нарушителя. Последняя не может быть полной, т.к. основным ее компонентом является собственно злоумышленник, потенциально обладающий полной информацией об особенностях функционирования технологии, способный проводить собственный анализ, а часто и имеющий к ней штатный доступ как пользователь или обслуживающий персонал. По этой причине защита должна всегда разрабатываться в предположении, что существует некоторая неизвестная разработчикам атака, которая может быть использована злоумышленником. Существующие на данный момент системы защиты ориентированы на спектр известных атак и методов взлома систем. Разработчики подобных систем исходят из предположения, что заложив в систему как можно больше схем выполнения атак они получат стойкую систему. Но ведь доказать ее стойкость по отношению к неизвестной или видоизмененной атаке невозможно из-за отсутствия схемы ее выполнения.

Не менее затрудняет постановку задач необходимость изначально четко формулировать критерии безопасности и, следовательно, соответствующие им концептуальные схемы организации защиты. Независимо от применяемой концептуальной схемы важнейшим свойством защиты является ее целостность, которая подразумевает не только целостность системы в процессе ее функционирования, но и чистоту в процессе разработки или интеграции продукта, в том числе заимствованного.

И, наконец, существенное влияние на постановку задач оказывает используемая нормативная база. К сожалению, она не развита. В сравнении с передовыми в области информатизации странами нормативная база РФ очень сильно уступает по охвату проблемы [28], [31], [32], [33], [71]. К тому же многие руководящие документы содержат только требования [1], [2], [3], [4], но не регламентируют собственно процедур защиты.

Актуальность работы. Как видно из указанных выше причин актуальность проблемы защиты информационных систем на сегодняшний день стоит очень остро. И с помощью известных подходов к решению данной задачи, заложенных в большинстве современных систем, ее решить не удается. Данная работа посвящена разработке систем защиты нового класса, основанных на наблюдении и контроле правильности функционирования защищаемой системы и/или технологии. Существующие, системы защиты данных от несанкционированного доступа (НСД), служат для предотвращения множества известных атак, соответствующих принятой модели нарушителя. Такие системы основаны на создании совокупности барьеров, своеобразной «брони», защищающей от злоумышленников. При этом, во-первых, недоказуема инвариантность таких систем к атакам из-за отсутствия адекватной модели нарушителя, и, во-вторых, предполагается, что внутри барьера злоумышленников нет. Такая система беззащитна от атак изнутри. Предлагаемый способ построения защиты основан на том, что система наблюдения контролирует правильность выполнения того или иного процесса по эталонам поведения, сформированным с участием специалиста-эксперта на основе наиболее информативных из фактически реализуемых при работе защищаемой системы вариантов событий.

Подобный подход к контролю работы программного обеспечения пока не имеет аналогов в компьютерных системах. По крайней мере, никто не исследовал возможности его практической реализации и об этом нет открытых публикаций. Имеется ряд работ самого общего характера ([20], [21]), показывающих теоретическую правомерность такой постановки задачи и принципиальную возможность ее решения.

Цель работы. Решение задачи проектирования систем наблюдения и контроля функционирования элементов информационной системы на основе моделирования ее состояния и поведения. Разработка формальной "модели информационной системы и метода синтеза ее поведенческой модели для целей построения систем защиты. Обеспечение адекватности моделирования информационной системы. Задачи исследования:

- проанализировать и обосновать возможности технической реализации концепции контроля правильности работы программного обеспечения, объектом исследования в данном случае будут современные операционные системы, а предметом исследования - параметры, описывающие состояние контролируемой системы;

- построить формальную модель информационной системы;

- с использованием формальной модели определить метод контроля корректности исполнения технологического процесса, основанный на построении его поведенческой модели;

- определить факторы, влияющие на адекватность поведенческой модели;

- разработать метод синтеза поведенческой модели;

- разработать вариант реализации поведенческой модели. Методы исследования базируются на системноконцептуальном подходе к безопасности, теории цифровых автоматов, теории графов, теории множеств и элементах статистического анализа.

Научная новизна работы состоит в следующем:

- предложен новый подход к решению задач 'защиты информационных систем от воздействия несанкционированного машинного кода и действий злоумышленников, позволяющий разрабатывать инвариантные к атакам системы защиты;

- предложена формальная модель информационной системы на основе теоретико-автоматного подхода, позволившая определить способ построения поведенческой модели технологического процесса информационной системы;

- предложена концептуальная схема построения системы защиты с использованием модели информационной системы, позволяющая достигнуть более высокого уровня безопасности, чем современные системы защиты;

- выполнена классификация способов атаки злоумышленника на информационный объект, позволяющая построить поведенческую модель технологического процесса;

- предложен метод построения поведенческой модели технологического процесса, позволяющий оценить корректность его выполнения;

- выполнена классификация событий ИС по уровню информативности, позволяющая управлять потоком данных от программных агентов.

Практическая ценность работы:

- определена концепция построения систем наблюдения;

- с использованием модели ИС показана неадекватность классической схемы защиты, использующей модель нарушителя;

- разработана базовая структура системы наблюдения;

- исследованы факторы, влияющие на адекватность поведенческой модели;

- разработаны методы регистрации событий информационной системы;

- разработана структура универсальной системы контроля технологического процесса в информационной системе;

- на основании структуры системы контроля разработана ее • программная модель, позволяющая выполнять исследования по определению реальных характеристик системы;

- исследованы • свойства потока данных от программных агентов и предложены способы управления им;

- предложен способ определения количества контролируемых станций.

- результаты работы были применены в трех программных системах.

Достоверность результатов. Достоверность всех формальных результатов обоснована корректной постановкой задач, выводами и доказательствами. Достоверность общих положений подтверждается ссылками на публикации и результатами моделирования и экспериментов.

Апробация работы проводилась на ежегодных конференциях преподавателей и студентов ПГУ в 1994-98 гг., а также на международных конференциях «Новые информационные технологии и системы» в 1994, 1996 и 1998 гг. Автором был сделан доклад на второй всероссийской научной студенческой конференции в ТРТУ (Таганрог).

Публикации. Список основных публикаций автора по тематике работы состоит из четырех статей и шести тезисов докладов на конференциях и приведен в конце работы.

Выводы по главе

Рассмотрены принципы построения трех систем, в каждой из которых нашли отражение идеи и решения, предложенные в диссертационной работе. Показаны достоинства систем и их недостатки. Внедрение систем подтверждается заключением, выданным НПФ "Кристалл" и письмом из департамента телекоммуникаций Банка России.

Приведена структура программного агента, используемая при построении системы "КОНВОЙ", как наиболее отвечающая функциональной направленности агентов в составе системы наблюдения. Рассмотрены функции отдельных модулей агента.

Заключение

В данной работе впервые предложена схема защиты, основанная на контроле правильности работы ИС, выполняемом при помощи анализа состояния ее модели, воспроизводящей текущее состояние и поведение защищаемой ИС. Она позволяет значительно сэкономить материальные ресурсы при построении систем контроля. Доказательством этому может служить исследование пропускной способности машины безопасности, проведенное в третьей главе, которое показало, что типовая персональная машина способна контролировать свыше десяти аналогичных машин в плане корректности выполнения ими технологического процесса. Данный показатель используемого оборудования для реализации функций защиты в десять раз превосходит аналогичный для концептуальной схемы с дублированием, которая, как было доказано считается на данный момент наиболее надежной в плане безопасности. Превосходя схему с дублированием по экономии материальных затрат, концепция контроля ИС на основе ее модели не уступает ей по обеспечению безопасности и, соответственно, как и схема с дублированием на много превосходит все остальные концептуальные схемы по данному показателю.

В работе предложена формальная модель ЙС, основанная на теоретико-автоматном подходе, позволяющая адекватно отобразить поведение ИС. Также предложена поведенческая модель ИС, основанная на формальной модели и опирающаяся на понятия наблюдаемого события и допустимого множества состояний. При этом задача контроля ИС сведена к задаче контроля информационных объектов в интервале их активности. Все типы атак на информационные объекты классифицированы, что позволило определить способы защиты от них. С использованием поведенческой модели проанализирована модель классической схемы защиты и показана ее неадекватность ИС прототипу. Неадекватность самой поведенческой модели может быть обусловлена недетерминированным воздействием внешней среды. Предложены способы устранения неадекватности поведенческой модели, использующие контроль по финальным состояниям технологического процесса, а также количественную оценку влияния внешней среды (оценка неявной угрозы). Показано также, что повысить степень адекватности модели можно с помощью обучения. Процесс обучения сходится при условии детерминированности процесса обработки ИО в системе.

Для поведенческой модели предложен метод ее синтеза. Метод позволяет на основе анализа состава информационных объектов и технологического процесса их обработки, найти критические точки технологического процесса, определить значимые события и выделить основные параметры, описывающие состояние модели, для которой затем строится набор шаблонов для автоматического анализа и выполняется их наполнение с использованием фактически реализовавшихся в технологии путей в графе состояний. Рассмотрены и проанализированы варианты практической реализации предложенного метода построения модели, методов анализа состояния и процессов обучения и дообучения системы контроля. На основе анализа сформулированы требования к построению компонент системы.

В работе исследованы свойства потока данных от агента, что дало возможность сформулировать рекомендации

1. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. ГОСТ 28147-89

2. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. ГОСТ Р 34.10-94

3. Функция хеширования. ГОСТ Р 34.11-94

4. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации г. Москва 1992

5. Пучков Н.В. Защита локальной вычислительной сети Novell NetWare версий З.Х и 4.Х. Специальная техника средств связи: Научно-технический сборник. Серия "Системы, сети и технические средства конфиденциальной связи" - Пенза, ПНИЭИ, 1996

6. Пучков Н.В., Шашков Б.Д. Обеспечение контроля за непрерывностью работы систем защиты от НСД Новые информационные технологии и системы: материалы докладов международной конференции, часть 1 - Пенза: ПГТУ, 1996 г. - 147 с.

7. Захаров А.П., Пучков В.Г., Пучков Н.В., Шашков Б.Д. Защита конфиденциальной информации в локальной вычислительной сети Новые информационные технологии и системы: материалы докладов международной конференции - Пенза: ПГТУ, 1994 г. -163 с.

8. Захаров А.П., Пучков В.Г., Пучков Н.В., Шашков Б.Д. Защита информации от несанкционированного доступа в ЛВС Шестая научно-техническая конференция профессорско-преподавательского состава и студентов: материалы докладов - Пенза: ПГТУ, 1995 г.

9. Пучков Н.В. Система управления доступом в локальной вычислительной сети Вторая всероссийская научная студенческая конференция: тезисы докладов Таганрог: ТРТУ, 1994 г.

10. Дубравин A.B., Егоров В.Ю., Иткин Р.В., Пучков Н.В. Система разграничения доступа для сети INTRANET -Новые информационные технологии и системы: материалы докладов III международной научно-технической конференции Пенза: ПГУ, 1998 г.

11. Андрианов В.В., Пучков Н.В. Скрытый сбор аудита в сети ИНТЕРНЕТ Специальная техника средств связи: Научно-технический сборник. Серия "Системы, сети и технические средства конфиденциальной связи" Пенза, ПНИЭИ, № 1, 1999 г.

12. Пучков Н.В. Использование нейронных сетей для контроля корректности информационно-технологического процесса: сборник "Новые промышленные технологии", вып. № 3 (290), с. 79-83, 1999 г.

13. Трахтенброт Б.А., Барздинь Я.М. Конечные автоматы (поведение и синтез) М.: Наука, Гл. ред. физ.-мат. лит. 1970, 400 с.

14. Вашкевич Н.П., Пучков В.Г. Синтез цифровых управляющих автоматов на основе языка систем канонических уравнений Учебное пособие, Пенза, ППИ, 1978, 112 с.

15. Х.Карри. Основания математической логики: Пер. С англ. / В.В.Донченко под ред. Ю.А.Гастева М.: Мир, 1969 г., 568 с.ты

16. Ресурсы Windows NT : пер. с англ. СПб.: BHV -Санкт-Петербург, 1995-720 е., ил.

17. Windows для профессионалов (программирование в Win32 API для Windows NT 3.5 и Windows 95)/Пер. с англ. -М. : Издательский отдел "Русская редакция7' ТОО "Channel Trading Ltd", 1995. 720 е.: ил.

18. Расторгуев С.П. Абсолютная система защиты. "Системы безопасности связи и телекоммуникаций", 1996 г., № 3, стр. 8 6-88.

19. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. М. : Изд-во агентства "Яхтсмен", 1993.

20. Распознавание образов: состояние и перспективы. / Вархаген К., Дёйн Р., Грун Ф., Йостен И., Вербек П. / М.: Радио и связь, 1985., 104 с.

21. Анастази А. Психологическое тестирование: Книга 1,2; Пер. с англ./Под ред. К. М. Гуревича, В. И. Лубовского; Предисловие К. М. Гуревича, В. И. Лубовского.—М.: Педагогика, 1982.—320 е.,ил.

22. Кулагин Б.В. Основы профессиональной психодиагностики. —Л.: Медицина,1984.—216с.,ил.

23. Защита программного обеспечения / Под ред. Д.Гроувера'. / М. : Мир, 1992 - 288 е., ил.

24. Стенг Д., Мун С. Секреты безопасности сетей. К.: Диалектика, 1995.-544с.,ил.

25. Ежеквартальное издание "Безопасность, Достоверность, Информация'': №1 1995.

26. В.А. Герасименко, М.К. Размахин, В.В. Родионов. Технические средства защиты информации. Зарубежная радиоэлектроника, №12, 198 9 г., с. 22-35.

27. В.А. Вирковский. Проблемы информационной безопасности Российской Федерации и пути их решения. Конфидент, 3/1'95, "Защита информации".

28. В.А. Копылов. Информатика и право. "Проблемы информации", № 1-2, 1993, Москва.

29. И.С. Мелюхин. Законодательное регулирование автоматизированной именной информации во Франции. -"Проблемы информации", № 1-2, 1993, Москва.

30. А.Ю. Щербаков. Рекомендации по защите информации в персональном компьютере. // Защита информации в персональных компьютерах и сетях. М. "СофтМаркет", 1991, с. 3-9.

31. А.Ю. Щербаков. Сравнительные таблицы характеристик и свойств некоторых программных средств защиты информации в ПЭВМ, предлагаемых на отечественном рынке. // Защита информации в персональных компьютерах и сетях. М. "СофтМаркет", 1991, с. 1117 .

32. В.Ю. Егоров. Выявление программных закладок методом профилирования. НТС "Специальная техника средств связи" - Пенза, 1997.

33. Multiprocessor Specification. Version 1.4 Intel Corporation Literature Center, July 1995

34. Шулман Э. Исследуя AARD-код системы Windows. "Журнал доктора Добба", № 3-4, 1994 г.

35. Шулман Э. Мастера вызывали ? "Конфидент" № 3, 1996 г., стр. 25.

36. Куликов Е.И. Методы измерения случайных процессов. -М.: Радио и связь, 1986.- 272 с.

37. Вероятностные методы в вычислительной технике: Учеб. пособие для вузов по спец. ЭВМ /А. В. Крайников, Б. А. Кур диков, А. Н. Лебедев и др.; Под ред. А.Н. Лебедева и Е.А. Чернявского.- М. : Высш. шк., 198 6.312 с.

38. Цветков Э.И. Основы теорий статистических измерений.- JI.: Энергия, 1979.- 288 с.

39. Льюнг Л. Идентификация систем. Теория пользователя: Пер. с англ. / Под ред. Я.З.Ципкина М. : Наука, 1991 г.432 с.

40. Эйкхофф П. Основы идентификации систем управления: М.: Мир, 1975 г. 683 с.

41. Коршунов Ю.М. Математические основы кибернетики. М.: Энергия 1980.49.0ре О. Теория графов, Москва Наука 1980.

42. Таненбаум Э. Многоуровневая организация ЭВМ. М. : Мир, 1979, 549 с.

43. Ignizio J. P. Introduction to Expert Systems, McGraw Hill, Inc. 1991

44. Программное обеспечение и прикладные системы ИИ, "Материалы Всесоюзной конференции по искусственному интеллекту", Минск, 1990.

45. Искусственный интеллект: в 3 кн. Кн. 2. Модели и методы:Справочник / Под ред. Д.А.Поспелова. М. : Радио и связь, 1990

46. А.Ю. Щербаков. Рекомендации по защите информации в персональном компьютере. //Защита информации вперсональных компьютерах и сетях. М. , "СофтМаркет", 1991, с. 3-9.

47. А.Ю. Щербаков. Сравнительные таблицы характеристик и свойств некоторых программных средств защиты информации в ПЭВМ, предлагаемых на отечественном рынке. //Защита информации в персональных компьютерах и сетях. М., "СофтМаркет", 1991, с. 1117 .

48. А.Ю. Щербаков. Обзор средств защиты от копирования. //Защита информации в персональных компьютерах и сетях. М., "СофтМаркет", 1991, с. 18-21.

49. А.Ю. Щербаков. Разрушающие программные воздействия. М., "Эдэль" Киев. "Век", 1993. - 64 с.

50. А.Ю. Щербаков. Тенденции применения средств защиты информации в сфере информационного обеспечения банковской деятельности. //Сб. материалов конференции "Информационная безопасность". Спб., 1994, с. 25-26.

51. А. Щербаков. Информационное оружие новая угроза компьютерным системам. //"Банк", № 1, 1995, с. 2329.

52. А. Щербаков. Нетрадиционные методы проникновения к информации в компьютерных системах. //"Безопасность, достоверность, информация", 1995, № 1 с. 24-27, № 2-е. 27-30.

53. А. Щербаков. Проблема защиты от программных закладок в банковских информационных системах. //Материалы семинара "Банковская безопасность и компьютерные мошенничества". М., АРБ, 1996, с. 9-11.

54. JI. Дж. Хоффман. Современные методы защиты информации. М., "Советское радио", 1980, 264 с.

55. Галатенко В. Информационная безопасность. //Открытые системы. 1996, № 2, с. 53-58.

56. Баранов С.И. Синтез микропрограммных автоматов (граф-схемы и автоматы). JI., Энергия, Ленинградское отделение, 1976 г. 232 с.

57. Андрианов В.В. Технология защиты в принципах организации ' информационных систем // Защита информации. Конфидент 1998.- №3.

58. Ракитов А.И. Россия в глобальном информационном процессе и региональная информационная политика //Проблемы информации, № 1-2, Москва, 1993 г.

59. Гудков П.Б. Состояние компьютерной преступности в России //Защита информации. Конфидент, № 3, 1996 г., с. 41-44.

60. Прошнов И.А. Всевидящая система // Защита информации. Конфидент, №2, 1996 г., с. 12.7 4.Бендат Дж., Пирсол А. Измерение и анализ случайных процессов //М.: Мир, 1971 г.

61. Информатика: Учебник / Под ред. Н.В. Макаровой. М.: Финансы и статистика, 1997. -768 е.: ил.

62. Novell Netware 4.10 (уточнить название)7 7.Феррари Д. Оценка производительности вычислительных систем: Пер. с англ. А.И. Горлина, Ю.Б. Котова и Л.В. Ухова /Под ред. В.В. Мартынюка. М.: Мир, 1981, 576 с.