Модель и метод трассировки поля угроз безопасности при проектировании систем защиты телекоммуникаций тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Мартынов, Алексей Иванович

Аннотация

Целью работы является разработка модели и метода проектирования и построения комплексной защиты информационных ресурсов телекоммуникационных систем и сетей связи , оценка эффективности функционирования защищенной сети.

В соответствии с поставленной целью в работе должны быть решены следующие основные задачи:

О Анализ современных методов защиты информации и протоколов, управляющих телекоммуникационными системами и сетями связи;

О Разработать функциональную модель комплексной системы защиты информационных ресурсов сети на протокольном уровне;

О Разработать метод проектирования комплексной защиты информационных ресурсов сети;

О Разработать математическую модель оценки эффективности проектирования защищенной сети связи. Автор защищает модель трассировки поля угроз безопасности информации в сетях связи на протокольном уровне, реализующий ее метод проектирования комплексной защиты, методы повышения эффективности функционирования защищенной сети связи.

Общая характеристика работы

Актуальность темы. В настоящее время приоритетным направлением в создании сетевых технологий в целом и при построении отдельных корпоративных сетей связи становится проблема защиты информации, передаваемой и обрабатываемой в сети. В связи с повсеместным использованием сетей связи, в первую очередь, проблема защиты информации в сетевых технологиях проявляется для данных приложений сетей связи.

Современными исследованиями показано, что основное поле угроз, приводящих к потерям и искажениям информации в сетях связи, распространяется на управляющую составляющую сети, представляющую собою набор протоколов различного уровня и типа интегрированных и сконфигурированных в конкретном функциональном приложении.

Особенностью протокольного уровня сети является использование телекоммуникационных протоколов для управления автоматизированной системы управления сетью связи, что обусловливает критичность искажения и потери информационных ресурсов, хранящихся и обрабатываемых вычислительными средствами АСУ.

Нарушение защищенности и целостности информационных ресурсов, прежде всего, протокольного уровня связано с существенными экономическими потерями, так как именно несанкционированный доступ к информационным ресурсам протоколов позволяет нарушителю производить несанкционированные воздействия по отношению к любым ресурсам сети связи в целом.

Проблеме защиты информации в автоматизированных системах обработки данных посвящены работы В.А. Герасименко, В.В. Липаева, Ю.М. Мельникова, Л.Г. Осовецкого, Н.С. Щербакова, а также ряда зарубежных авторов, в том числе Д. Гроувер, Д. Сяо, Л. Хоффман и других.

Среди общих проблем, характерных для реализации защищенных корпоративных сетей связи, сегодня выделяются следующие:

1) Многообразие функциональных протоколов связи, реализуемых в рамках единой сети, требующих :

О Реализации различных механизмов защиты информации в рамках различных функциональных подсистем; О Реализации принципа централизации управления сетевой безопасностью, обусловливающей необходимость и высокую интенсивность информационных взаимодействий между подсистемами и сетевым администратором безопасности; О Реализации единых интерфейсов для сетевого взаимодействия администраторов безопасности функциональных подсистем;

2) Унификация межсетевых протоколов, технических и аппаратных средств - на сегодняшний день большинством сетевых технологий реализуется принцип инкапсуляции IP - дейтограмм.

Это, с одной стороны, обусловливает целесообразность реализации семейства протоколов ТСРЛР в корпоративной сети, с другой стороны , ставит перед разработчиками дополнительные задачи защиты информационных ресурсов корпоративной сети от несанкционированного доступа из сетевого пространства Internet.

Сложность и многоплановость проблемы защиты информации в корпоративной сети связи, обусловливает актуальности разработки комплексных систем защиты информационных ресурсов.

Разработка научно-обоснованной модели и методов комплексной защиты информационных ресурсов протоколов сети связи позволит сократить экономические затраты на построение системы защиты сети и экономические потери от нарушений защиты информации в сети.

Предметом исследования является комплекс вопросов, связанных с анализом поля угроз защищенности информации на протокольном уровне сети связи, с разработкой модели и метода комплексной защиты информационных ресурсов сети, математической модели эффективности функционирования защищенной сети, с исследованием эффективности защищенной управляющей сети связи.

Методы исследования. При решении поставленных задач использованы теория вычислительных систем и сетей, теория вероятностей, исследования операций, математический аппарат теории массового обслуживания.

Научная новизна результатов диссертации заключается в разработке модели и метода трассировки поля угроз безопасности на протокольном уровне сети связи, включающая:

О Новую функциональную модель трассировки поля угроз на протокольном уровне для проектирования комплексной защиты информационных ресурсов корпоративной сети связи;

О Новый метод комплексной защиты информационных ресурсов управляющей сети связи;

О Новые алгоритмы взаимодействия механизмов безопасности, позволяющие их совместить и детализировать до протокольного уровня;

О Математическая модель оценки эффективности функционирования корпоративной сети связи, реализующей комплексный подход к защите информационных ресурсов сети;

О Проведенные исследования эффективности проектирования защищенной сети и методы повышения эффективности функционирования защищенной сети.

Практическая ценность работы состоит в том, что разработанная модель и метод комплексной защиты информационных ресурсов позволяет строить эффективные системы защиты информации для различных приложений корпоративных сетей, что было подтверждено проведенными исследованиями и практическими применениями полученных результатов.

Реализация результатов диссертации состоит в реализации модели, методов и алгоритмов комплексной защиты информации и оценки эффективности функционирования сети связи.

Разработанный метод и алгоритмические средства входят в состав НИР и ОКР, выполненные по заказам Государственной технической комиссии России. Материалы работ использованы при аттестации объектов информатики и сертификации продуктов инофирм научно-техническим центром "Критические информационные технологии" (НТЦ КИТ г. Санкт-Петербург) и при построении защищенной

Апробация работы. Результаты работы обсуждались на научно-технических семинарах Гостехкомиссии России, НТЦ КИТ и других.

Публикации. Основные результаты диссертации отражены в 4-х печатных работах.

Структура и объем работы. Диссертация состоит из введения, четырёх разделов, заключения, списка литературы по теме, содержащего 77 наименований. Объем работы составляет 105 страниц основного текста, в том числе 14 страниц иллюстраций.

4.5. Вывод

В данной главе показано, что с помощью разработанного метода трассировки можно проводить анализ поля угроз на протокольном уровне. Разработанный метод достаточно надежен и его применение позволяет снизить затраты на создание комплексной системы защиты.

Заключение

1. Разработана модель трассировки поля угроз телекоммуникационной сети, позволяющая проводить разработку новых и усовершенствовать работу действующих систем защиты с существенной экономией средств.

2. Предложен новый принцип организации доступа к информационным ресурсам с использованием данной модели, позволяющий существенно сократить поле угроз действующих на передаваемую информацию и рассматривать применение только тех механизмов защиты, которые реально влияют на защищенность телекоммуникационной среды связи.

3. Разработан метод трассировки поля угроз.

Предложенный метод позволяет не только объединить реализацию различных механизмов безопасности в рамках единой системы защиты информации, что сокращает экономические затраты, но и повысить уровень защищенности за счет детализации уровней 081 и применяемых протоколов передачи данных.

1. Проведено исследование эффективности функционирования защищенной с использованием предложенного метода телекоммуникационной сети связи. Проиллюстрировано значительное снижение производительности защищенной системы, обуславливаемое реализацией комплексной системой защиты информации излишнего количества механизмов защиты, большинство из которых не выполняет своих функций из-за отсутствия в сети тех угроз на защиту от которых они предназначены. Обусловлена актуальность задачи трассировки поля угроз и его жесткой привязки к протоколам передачи данных в телекоммуникационной среде связи, что при постоянно растущем поле угроз позволяет добиться повышения эффективности функционирования защищенной системы.

2. Разработаны методы повышения эффективности функционирования защищенной системы с учетом особенностей исследуемой области телекоммуникационной сети связи, характеризуемой существенными скоростями передачи данных по пути абонент/источник -абонент/приемник.

1. Френкель А., Бар-Хиллел И. Основания теории множеств. М.: Мир, 1966.

2. Суров В. В., aut Исследование задач и методов их решения для одного класса систем логических соотношений : Автореф. дис. канд. физ.-мат. наук / РАН. Дальневост. отд-ние. Ин-т автоматики и процессов упр. Владивосток, 2000.

3. Чирка Е.М., Комплексные аналитические множества, Наука, М., 1985.

4. Азанов М.В., Заика Ю.В., Росляков А.П., Вычислительные методы решения задач анализа и синтеза в теории оптимального управления, Изд-во МАИ, М., 1989.

5. A.A. Боровков Математическая статистика. Новосибирск: Наука; Изд-во Ин-та математики, 1997.

6. В. В. Брыскин., Математические модели планирования военных систем Новосибирск: Изд-во Ин-та математики, 1999.

7. Н.Г.Загоруйко., Прикладные методы анализа данных и знаний Новосибирск: Изд-во Ин-та математики, 1999.

8. М.Дансмур, Г.Дейвис. ОС UNIX и программирование на языке Си. -М.: Радио и связь, 1989.

9. Р.Готье. Руководство по операционной системе UNIX. М.: Финансы и статистика, 1986.

10. Ю.М.Банахан, Э.Раттер. Введение в операционную систему UNIX. М.: Радио и связь, 1986.

11. П.Ричард Петерсен., LINUX: руководство по операционной системе, второе издание, переработанное и дополненное в двух томах, перевод Киев, BHV, 1998.

12. Андрей Робачевский, Операционная система UNIX, BHV-Санкт-Петербург 1997.

13. Беляков М.И., Рабовер Ю.И., Фридман A.JT. Мобильная операционная система. -М.: Радио и связь, 1991.

14. Д. Гантер, С. Барнет, Л.Гантер Интеграция Windows NT и Unix 464с. Санкт-Петербург, 1998 г.

15. Леонтьев Б. Тонкости, хитрости и секреты Internet. -- М.: Познавательная книга, 1998.

16. Кастер X. "Основы Windows NT и NTFS", Microsoft Press. "Русская Редакция", 1996.

17. Богуславский Л.Б., Дрожжинов В.И. Основы построения вычислительных сетей для автоматизированных систем. М.: Энергоатомиздат, 1990.

18. Chuck, F "AT&T System 5/MLS Product 14 Strategy" AT&T Bell Labs, Government System Division, USA (August 1987)

19. Lobel, J "Foiling the system breakers: computer security and access control" McGraw-Hill, USA (1986)98

20. Filipski, A and Hanko, J "Making Unix secure" Byte (April 1986) pp 113128

21. Grampp, F T and Morris, R H "Unix operating system security" AT&T Bell Lab Tech. J. Vol 63 No 8 (1984) pp 1649-1672 Wood, P H and Kochan, S G "Unix system security" USA (1985)

22. Удодов В.И., Спринцис Я.П. Безопасность в среде взаимодействия открытых систем//Автоматика и вычислительная техника. 1990.N3. С.3-11.

23. Хофман Л.Дж. Современные метолы защиты информации: Пер. с англ. М.: Сов.радио, 1980,

24. Моисеенков И.Э. Основы безопасности компьютерных систем // КомпьютерПресс. 1991. N10. С.19-24, N11. С.7-21, N12.

25. Герасименко В.А. Проблемы защиты данных в системах их обработки// Зарубежная радиоэлектроника. 1989. N 12.

26. Голубев В.В., Дубров П.А., Павлов Г.А. Компьютерные преступления и защита информации в вычислительных системах //Вычислительная техника и ее применение. М.: Знание, 1990, N 9, С.3-26.

27. Гайкович В.Ю., Першин А.Ю. Безопасность электронных банковских систем. М.:Единая Европа, 1994.

28. Герасименко В.А. Защита информации в автоматизированныхсистемах обработки данных. В 2-х кн.М:Энергоатомиздат, 1994.99

29. Батурин Ю.М., Жодзишский A.M. Компьютерная преступность и компьютерная безопасность. М.: Юридическая литература, 1991.

30. Брандмауэры в Linux Роберт Л. Зиглер Издано: 2000, Москва, Издательский дом "Вильяме"

31. Максимальная безопасность в Linux анонимный автор (опытный взломщик) Издано: 2000, ДиаСофт

32. Секреты хакеров Стюарт Макклуре, Джоел Скембрэй, Джордж Куртц Издано:2001, Издательство Лори

33. Безопасность серверов Windows NT/2000 в Интернете С. Норберг Символ-Плюс вышла в августе 2001

34. Безопасность глобальных сетевых технологий В. Зима, А. Молдовян, Н. Молдовян BHV-СПб вышла в августе 2000

35. Защита компьютерной информации Б. Анин BHV-СПб (все книги издательства) вышла в октябре 2000

36. Основы безопасности информационных систем Д. Зегжда, А. Ивашко Горячая Линия Телеком вышла в августе 2000

37. Современные технологии безопасности В. Барсуков, В. Водолазкий Нолидж вышла в декабре 1999

38. Обнаружение атак А. Лукацкий BHV-СПб вышла в июне 2001

39. Энциклопедия компьютерных вирусов Д. Козлов СОЛОН-Р вышла в марте 2001

40. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных система В. Проскурин, С. Крутов, И. Мацкевич РиС вышла в январе 2000

41. Введение в теорию и практику компьютерной безопасности А. Щербаков Нолидж вышла в январе 1999

42. Интрасети: доступ в Internet, защита Н. Милославская, А. Толстой1. Юнити вышла в ноябре 1999

43. Матвеев В.А., Молотков C.B., Зегжда Д.П.,Мешков A.B., Семьянов П.В., Шведов Д.В. "Основы верификационного анализа безопасности исполняемого кода программ" Под редакцией проф. Зегжды П.Д.1. Издание СПбГТУ, 1994 г.

44. Зегжда Д.П., Мешков A.B., Семьянов П.В., Шведов Д.В. "Как противостоять вирусной атаке" СПб.: BHV Санкт-Петербург, 1995 г.

45. Елисеев Е.М., Зегжда Д.П., Зегжда П.Д., Ивашко A.M., Назаров А.Н., Пашков Ю.Д., Семьянов П.В. "Проблемы безопасности программного обеспечения" Под редакцией проф. Зегжды П.Д. Издание СПбГТУ, 1995 г.

46. Зегжда П.Д., Зегжда Д.П., Семьянов П.В., Корт С.С., Кузьмич В.М., Медведовский И.Д., Ивашко A.M., Баранов А.П. "Теория и практика обеспечения информационной безопасности" Под редакцией Зегжды П.Д. М.: Издательство Агенства "Яхтсмен", 1996 г

47. И. Медведовский, П. Семьянов, В. Платонов "Атака через Internet" Под научной редакцией П.Д. Зегжды СПб.: НПО "Мир и семья-95", 1997 г

48. Д.П.Зегжда, А.М.Ивашко "Как построить защищенную информационную систему" Том I Том II Под научной редакцией П.Д. Зегжды СПб.: НПО "Мир и семья-95", 1997 г.

49. Защита компьютерной информации, Анин Б., BHV-СПб, 2000

50. Защита информации в компьютерных системах и сетях, Романец, Тимофеев, Шаньгин, Радио и связь, 1999,

51. Безопаснось серверов Windows NT/2000 в Интернете, Норберг С., Символ, 2001

52. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями, Айков Д., Сейгер К., Фонсторх У., Мир, 1999, 351 стр

53. Секреты хакеров. Безопасность сетей готовые решения, Мак-Клар, Вильяме, 2001,

54. Секреты хакеров. Проблемы и решения сетевой защиты, Макклуре С., Скембрэй Дж., Куртц Д., ЛОРИ, 2001,

55. Хакинг и фрикинг. Методы, атаки, секреты, взлом и защита, Левин, Оверлей, 2000

56. Хакинг без секретов. Справочное руководство пользователя ПК, Леонтьев Б., Познавательная книга+, 2000,

57. Эффективный хакинг для начинающих и не только , Петровский А.,

58. Леонтьев Б., Познавательная книга+, 1999102

59. Энциклопедия компьютерных вирусов. (Серия Аспекты защиты), Козлов Д. А., Парандовский А. А., Парандовский А. К., Солон-Р, 2001,

60. Компьютерные сети. Принципы, технологии, протоколы. Олифер В. Г., Олифер Н. А.

61. Издательство : Питер Год издания : 2000

62. Безопасность компьютерных сетей на основе Windows NT под редакцией В.С.Люцарева. Издательство Русская редакция, 1998г

63. Безопасность в Интернете на основе Windows NT (1999) Марк Дж. Эдварде

64. Технологии корпоративных сетей (1999), Максим Кульгин, Питер

65. Мендельсон Э. Введение в математическую логику. М.:Наука, 1984. 319 с.

66. Клини С. Математическая логика. М.:Мир, 1973, 480 с.

67. Логический подход к искусственному интеллекту (от модальной логики к логике баз данных). М.:Мир, 1998. 495 с.

68. Гаврилов Г.П. Математическая логика, М., Изд-во МГУ, 1976.

69. Новиков П.С. Элементы математической логики. М.:Наука, 1973.

70. Н.К.Верещагин, А.Шень. Начала теории множеств, Москва, МЦНМО, 1999, 126 с.

71. Френкель А., Бар-Хилел И., Основания теории множеств, М.:Мир, 1976.

72. Чень Ч., Ли Р. Математическая логика и автоматическое доказательство теорем. М.:Мир, 1983. 360 с.

73. Аппаратные средства локальных сетей. Энциклопедия Михаил Гук СПб, Издательство "Питер", 2000, 576 стр.

74. СЕТЕВЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ. В. Г. Олифер, Н. А. Олифер Питер, 2001, 544 стр.

75. UNIX: руководство системного администратора Немет Э., Снайдер Г., Сибасс С., Хейн Т. Издано:2000, BHV-Киев, Мягкий переплет, 832 стр.

76. Секреты UNIX (2-е издание) Джеймс С.Армстронг. Издательский дом "Вильяме", 2000, ISBN 5-8459-0068-9, твердый переплет, 1072 стр.

77. Linux для профессионалов. Руководство администратора сети. Олаф Кирх Издано: 2000 СПб: Издательство "Питер", ISBN: 5-8046-0047-8, твердый переплет, 368 стр

78. Сервер Red Hat Linux для MS Windows. Методология эффективного построения и управления локальными сетями Пол Сэри Издано: 2000, Диасофт, ISBN: 966-7393-69-0, Мягкий переплет, 400 стр.1. Список публикаций

79. Мартынов А.И., Шевченко В.В. «Анализ тенденций развития механизмов защиты и их зависимость от поля угроз»; сборник трудов 2-го Международного Форума «Технологии и решения для электронной России», 4-6 декабря 2001г., Москва, стр. 13-18.