Метод и модель рефлексивного управления защищённостью сетевых автоматизированных систем тема диссертации и автореферата по ВАК РФ 05.13.12, кандидат технических наук Карманов, Андрей Геннадиевич

Современные сетевые технологии уже трудно представить без защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам защиты, может ли администратор безопасности своевременно узнать о начале таких атак?

Противостояние атакам важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.

Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней слабых мест и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:

• люки в системах (back door) и программы типа троянский конь ;

• слабые пароли;

• восприимчивость к проникновению из внешних систем и атакам типа отказ в обслуживании ;

• отсутствие необходимых обновлений (patch, hotfix) операционных систем;

• неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Обнаружение атак это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и оценивают различные операции, в том числе с учетом известных уязвимостей. ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.

Учёт перечисленных факторов требует ведения дополнительных исследований информационных конфликтующих структур в АИС, с целью введения рефлексивного управления динамической защитой в глобальных информационных сетях.

Данным направлением занимаются учёные Липаев В. В., Осовецкий J1. Г., Герасименко В. Г., Зегжда Ф. Д., Фетисов В. А.

Целью работы является повышение эффективности динамической защиты и создание нестандартной модели исследования поведения персонажей АИС, разработка методов, ограничивающих возможности нарушителя по преодолению систем защиты, а также введение методик действий администратора безопасности по рефлексивному управлению динамической защитой.

Задачи исследования. Для достижения поставленной цели необходимо решить следующие задачи:

1) Исследовать и проанализировать воздействия нарушителя на СЗИ и предложить методы повышения эффективности защиты АИС, что включает в себя решение следующих задач:

1.1. Разработать обобщённые модели и исследовать потенциальные возможности введения рефлексивного управления динамической защитой АИС.

1.2. С учётом возможностей рефлексивного управления динамической защиты в используемом программно-аппаратном обеспечении разработать модель функционирования АИС и оценить возможности такой защиты по предотвращению несанкционированного доступа к программно-аппаратным элементам и информационным ресурсам АИС.

1.3. Разработка методик действий администратора безопасности по рефлексивному управлению динамической защитой ( в том числе оценки степени защищённости АИС) и предложить методы повышения эффективности защиты АИС от несанкционированного доступа нарушителя.

2) Разработать метод, ограничивающий возможность нарушителя по преодолению и вскрытию программных алгоритмов обработки и защиты информации и эффективному применению администратором безопасности средств противодействия действиям нарушителя.

3) Разработать рекомендации по программно-технической реализации средств рефлексивной динамической защиты информации от несанкционированного доступа для АИС.

3. ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

1. Разработана модель СЗИ, основанная на теории алгебры Лефевра, рефлексивном управлении динамической защитой сетевой АС. С использованием данной модели показано, что не может быть создано универсальной защиты информации, антивирусной программы, если при известной программно-аппаратной платформе не использовать нетрадиционные подходы в решении данного вопроса. При этом доказано, что эффективное применение как программных, так и аппаратных систем защиты может быть основано только на скрытии алгоритмов действий и создании обманных ситуаций при функционировании СЗИ.

2. Разработанная модель СЗИ на информацию в процессе функционирования сетевой АС. Модель использует математический аппарат графо-символического отображения рефлексивного управления динамической защиты и учитывает с необходимым уровнем детализацию обработки информации в сетевой АС, а также учитывает обманные ситуации в ходе функционирования рефлексивной динамической СЗИ. Это позволило детализировать и более качественно организовать систему защиты в сетевой АС.

3.Разработана методика оценки ситуаций и действий администратора безопасности в сетевой АС, необходимая для осуществления рефлексивного управления динамической СЗИ, направленная на пресечения действий нарушителя , учитывающая форму его представления о системе защиты, что позволило увеличить время, необходимое злоумышленнику для разработки и внедрения систем преодоления защиты АС.

4. Разработан метод рефлексивного управления протекающем в рамках многочленов посредствам формирования картин доктрины, инструментария, цели и их связки, ограничивающих возможности анализа нарушителем функционирования СЗИ, и воздействия на программно-аппаратные ресурсы сетевой АС, а также учета психологических факторов, затрудняющих процесс анализа программ.

5. Получена зависимость влияния рефлексивного управления динамической защитой на качество и оперативность функционирования сетевой АС , что позволило, учитывая требования к оперативности обработки информации в АС , обосновать количественные требования к используемой в ней СЗИ.

6. Разработаны и обоснованы рекомендации к программно-технической реализации рефлексивного управления динамической защитой сетевой АС от несанкционированного доступа. Практическая реализация предлагаемых решений позволяет в автоматизированном режиме осуществлять построение рефлексивной динамической защиты, в 20 и более раз увеличивая время, необходимое нарушителю для разработки и применения систем преодоления защиты сетевой АС, а так же повысить требования к уровню его квалификации.

7. Осуществлена экспериментальная проверка реализуемости способов построения СЗИ с рефлексивным динамическим управлением путем создания макета сетевой АС на базе персональных ЭВМ типа PC/AT. На основе полученных результатов экспериментальной проверки выполненных разработок можно сделать вывод, что предложенные идеи и методы оценки и реализации рефлексивного управления динамической защитой в сетевой АС могут быть эффективно реализованы на основе выполненных к настоящему времени теоретических проработок с помощью существующего и перспективного парка персональных ЭВМ при использовании стандартного программного обеспечения.

1. Автоматизация проектирования вычислительных систем: Языки, моделирования и базы данных/ Под редакцией М.Брейера. М.: Мир, 1979

2. Агафонов В.Н. Спецификация программ: понятийные средства и их организация. Новосибирск: Наука, 1990. 224 с.

3. Баер Ж.Л. Методы исследования параллелизма/ Системы параллельной обработки. М.: Мир, 1985.

4. Блауберг И.В., Садовский В.Н., Юдин Э.Г. Системный подход: предпосылки, проблемы, трудности. Издательство «Знание», 1969.

5. Бонгард М.М. Проблема узнавания. Наука, 1967.

6. Бэрри Нанс. Компьютерные сети: Пер. с английского М.:БИНОМ, 1996. - 400 с. с илл.

7. Гальперин П.Я. Психология мышления и учение о поэтапном формировании умственных действий. В сб. «Исследование мышления в советской психологии». Издательство «Наука», 1966.

8. Глушков В.М. Основы безбумажной информатики. М.: Наука, 1987. 552 с.

9. Горбатов В.А. и др. САПР систем логического управления/ В.А.Горбатов, А.В.Крылов, Н.В.Федоров; Под ред. В.А.Горбатова. -М.:Энергоатомиздат, 1988. 232 с. с илл.

10. Ю.Горбатов В.А. Синтез логических схем в произвольном базисе. / Теория дискретных автоматов. Рига: Зинатне, 1967.

11. П.Горбатов В.А. Схемы управления ЦВМ и графы. М.: Энергия, 1971.

12. Горбатов В.А. Теория частично упорядоченных систем. М.: Советское радио, 1976.

13. З.Горбатов В.А., Павлов П.Г., Четвериков В.Н. Логическоеуправление информационными процессами. М.: Энергоатомиздат, 1984

14. Игнатьев М.Б. и др. Активные методы обеспечения надежности алгоритмов и программ/ Б.М.Игнатьев, В.В.Фильчаков, Л.Г.Осовецкий. СПб.: Политехника, 1992. - 288 с. с илл.

15. Игнатьев М.Б., Путилов В.А., Смольков Г.Я. Модели и системы управления комплексными экспериментальными исследованиями. М.: Наука, 1986. 232 с.

16. Ильин В.Д. Система порождения программ. М.: Наука, 1989, 264 с.

17. Информационное общество: Информационные войны. Информационное управление. Информационная безопасность/ Под редакцией М.А.Вуса. СПб.: Издательство С.-Петербургского университета, 1999. - 212 с.

18. Камерфорд Р. Сети систем проектирования последнее звено в автоматизации производства/ Электроника. 1980. №15

19. Клир Дж. Системология. Автоматизация решения системных задач. М.: Радио и связь, 1990. 544 с.

20. Крайзмер Л.П., Кулик Б.А. Персональный компьютер на вашем рабочем месте. СПб.: Лениздат, 1991. - 286 с.

21. Ладенко И.С., Тульчинский Г.Л. Логика целевого управления. -Новосибирск: Наука, 1988. 208 с.

22. Лайнбаржер П. Психологическая война. Воениздат, 1962.

23. Лефевр В.А. Конфликтующие структуры. 2-е издание, переработанное и дополненное. - Советское радио, 1973 - 158 с.

24. Лефевр В.А. Формальный метод исследования рефлексивных процессов. «Вопросы философии», 1971, №9.

25. Лефевр В.А., Логика рефлексивных игр и рефлексивное управление. В сб. «Принятие решения человеком», Тбилиси. Издательство «Мецниереба», 1967.

26. Лефевр В.А., Смолян Г.Л. Алгебра конфликта. М.: Знание, 1968 -63 с. - (Новое в жизни, науке, технике. Математика, кибернетика)

27. Липаев В.В. Проектирование математического обеспечения АСУ. -М.: Советское радио, 1977. 400 с.

28. Липаев В.В. Проектирование программных средств: Учебное пособие для вузов по специальности «Автом. сист. обр. информ. и упр.». М.: Высшая школа, 1990. - 303 с. с илл.

29. Липаев В.В. Распределение ресурсов в вычислительных системах. -М.: Статистика. 1979. 248 с.

30. Лонгботтом Р. Надежность вычислительных систем: Перевод с английского/ Под редакцией П.П.Пархоменко. М.: Энергоатомиздат, 1985. 288 с.

31. Майерс Г. Искусство тестирования программ: Перевод с английского М.: Финансы и статистика, 1982.178 с.

32. Майоров С.А., Новиков Г.И., Алиев Т.И. и др. Основы теории вычислительных систем. М.: Высшая школа, 1978. 408 с.

33. Машинное проектирование программного обеспечения. М.: Международный центр по информатике и электронике, 1990.115 с.

34. Медведовский И.Д. и другие. Атака через Internet./ И.Д.Медведовский, П.В.Семьянов, В.В.Платонов. Под научной редакцией проф. П.Д.Зегжды. СПб.: Мир и семья - 95,1997. - 296 е., с илл. - (серия учебной литературы «Магистр»)

35. Мобильность программного обеспечения: Перевод с английского/ Под редакцией Д.Б.Подшивалова. М.: Мир, 1980. 336 с.

36. Зб.Осуга С. Обработка знаний. М.: Мир, 1989. 293 с.

37. Першиков В.И., Савинков В.М. Толковый словарь по информатике. М.: Финансы и статистика, 1991. - 543 с.

38. Представление и использование знаний/ Под редакцией Х.Уэно, М.Исидзуева. М.: Мир, 1989. 235 с.

39. Системы автоматизированного проектирования/ Под редакцией Дж. Аллана. М.: Наука, 1985

40. Словарь по кибернетике/ Под редакцией академика В.С.Михалевича. 2-е издание, переработанное и дополненное. -Киев. Главная редакция Украинской Советской Энциклопедии имени М.П.Баэкана, 1989 - 751 с.

41. Тезисы докладов и выступлений 1 Международной конференции «Обучение САПР в инженерных вузах». Тбилиси: ЮНЕСКО, ЮНИДО, ГПИ, 1987.

42. Терминологический словарь по основам информатики и вычислительной техники/А.П.Ершов, Н.М.Шанский, А.П.Окунева, Н.В.Баско; Под редакцией А.П.Ершова, Н.М.Шанского. М.: Просвещение, 1991. - 159 е., с илл.

43. Фокс Дж. Программное обеспечение и его разработка: Перевод с английского/ Под редакцией Д.Б.Подшивалова. М.: Мир, 1985. 268 с.

44. Холстед М.Х. Начала науки о программах: Перевод с английского -М.: Финансы и статистика, 1981.128 с.

45. Шенк Р. Обработка концептуальной информации. М.: Энергия, 1960. 254 с.

46. Шураков В.В. Надежность программного обеспечения систем обработки данных. М.: Статистика, 1981. 215 с.

47. Brix Н. Construction of high-quality software with formally guaranteed properties/ Advanced Information Processing, 1990.

48. Lefebvre V. Das system im system. «Ideen des axakten Wissens», Stuttgart, 1970, №10.

49. Rapoport Anotol, Chamah A.M. Prisoner's Dilemma. Ann. Arbor: University of Michigan Press, 1965.

50. Rapoport Anotol. Strategy and Conscience. N.Y. 1964.

51. Series on case reports/ American programmer. 1990. - Volume 3 -№ 2-4.