Методика проектирования и администрирования распределенной системы защиты доступа к данным тема диссертации и автореферата по ВАК РФ 05.13.17, кандидат технических наук Гхаиад Иссам

Проблемы защиты информации в настоящее время занимают одно из ведущих мест в перечне важнейших проблем в областях развития и применения информационных технологий [4, 5, 7-10, 13-19, 30, 35-41]. Обзор литературы показал наличие широкого спектра требований к обеспечению защиты данных. Они касаются обеспечения конфиденциальности, целостности, авторизации, разграничения доступа, стоимости и других аспектов понятия защиты информации [7, 32, 50]. Вместе с тем анализ показал, что многие из этих требований тесно связаны с решением проблемы защиты доступа к данным в целом. Так, например, обеспеченность защиты данных решает проблемы конфиденциальности, целостности, стоимости и др.) [4, 5, 7-10, 13-19, 30, 35-41]. Отмечается, что политика управления доступом является основным механизмом защиты, непосредственно обеспечивающим конфиденциальность и целостность обрабатываемой информации. Для решения проблемы доступа к данным используются разнообразные подходы: использование математических методов криптографии, применение паролей различных типов, организационные меры, биометрические методы и др. В то же время в целом ряде источников отмечается необходимость выполнения по крайней мере двух принципов организации защиты данных [3,29, 32, 36, 51]:

• принцип многоуровневой защиты предписывает не полагаться на один защитный рубеж, каким бы надёжным он ни казался. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий;

• принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления системы защиты информации.

Актуальность. Вместе с тем, обзор литературы показал явную недостаточность подходов к организации комплексной системы защиты доступа к данным, отсутствие теоретических разработок по проектированию и сопровождению системы защиты в целом. При всем многообразии методов и подходов к защите данных практически отсутствуют методы оптимального распределения защиты по элементам данных, что позволило бы широко использовать уже разработанные методы защиты, объединив их в оптимальный комплекс при защите каждого данного. Это дало бы возможность гибко организовать защиту для каждого типа данных, обеспечить повышенную защищенность и при необходимости существенно снизить стоимость системы защиты. Таким образом, тема диссертационной работы, посвященной разработке нового метода организации защиты доступа к данным, опирающегося на сформулированные выше принципы, актуальна.

Объект исследования: системы защиты доступа к данным.

Предмет исследования: методы и средства обеспечения безопасности доступа к данным для решения задач администратора системы безопасности в целом.

Цели исследования:

• разработка теоретических основ распределенной защиты доступа к данным

• разработка методик проектирования и сопровождения систем доступа к данным.

Решаемые задачи. Для достижения указанной цели необходимо решить следующие задачи:

1. Произвести анализ методов защиты доступа к данным и политики их реализации;

2. Определить модель объекта защиты;

3. Создать теоретические основы построения распределенной защиты;

4. Определить способ задания параметров моделей;

5. Определить способ распределения методов защиты по объектам защиты;

6. Определить критерии качества распределения методов защиты;

7. Разработать методику проектирования системы защиты данных;

8. Разработать методику сопровождения системы защиты данных.

Предметом исследования являются методы обеспечения безопасности доступа к данным для решения задач администратора системы безопасности в целом.

Методы исследований. Для решения поставленных задач в работе используются методы теории алгебр, системного анализа, теории вероятности, математической статики, теории графов, теории нечётких множеств, аппарат лингвистических переменных, программирование.

Научная новизна. В диссертации получены следующие результаты, характеризующиеся научной новизной и выносимые на защиты:

1. Метод распределенной защиты, определяющий путь доступа к данным и обеспечивающий защиту доступа к этим данным на каждом шаге пути доступа.

2. Способ оценки качества распределения методов защиты по всей совокупности метаданных.

Практическая ценность работы заключается в разработке:

1. Методики проектирования распределенной защиты доступа к данным;

2. Методики администрирования процесса сопровождения и эксплуатации системы защиты доступа к данным;

3. Комплекса программных средств поддержки методики проектирования и эксплуатации распределенной защиты доступа к данным.

Внедрение результатов работы

1. Теоретические положения диссертации использованы при разработке программных систем компании НПО "Эшелон".

2. Методика проектирования и администрирования распределенной системы защиты доступа к данным использована' в Российском Государственном Военно-Историческом архиве.

3. Результаты работы использованы в учебном курсе "Защита информации" кафедры ИУ-5 МГТУ им. Н.Э. Баумана.

4. Теоретические положение и методика проектирования и администрирования распределенной системы защиты доступа к данным использованы в НИР НИИИСУ МГТУ им. Н.Э. Баумана.

Апробация работы. Содержание отдельных разделов и диссертации в целом было доложено:

1. На семинарах и заседаниях кафедры "Системы обработки информации и управления" МГТУ им. Н.Э. Баумана;

2. На международной научно-технической конференции "По вопросам обучения с применением технологий e-learning", Москва, 2007.

Публикации. По теме диссертации опубликовано два статьи и тезисы докладов.

Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложений, содержащих листинг разработанных программ. Объём диссертации составляет 142 страниц, в том числе 133 страницы текста. Работа включает 39 рисунка и 34 таблицы. Список литературы содержит 53 наименования.

1. Разработана новая методика проектирования и администрирования распределенной системы защиты дост)ша к данным, позволяющий управлять как процессом проектирования системы защиты, так и ходом ее эксплуатации. Предложенный метод основывается на принципе создания системы распределенной защиты для каждого типа данных. При этом доступ к данным каждого типа определяется преодолением последовательности защищенных данных и ключевых отношений, называемых мегаданными.2. Разработаны теоретические основы создания защиты мегаданного, а именно: • определена формальная структура мегаданного в виде однонаправленного линейного графа, называемого цепочкой; • введено понятие защитной капсулы, обеспечивающей защиту одной вершины цепочки, и включающей метод запщты, способ его реализации, стоимость реализации метода, меру опасности метода, допустимую меру опасности вершины, меру опасности цепочки; • введено понятие показателя связности методов, определяющее степень коррелированности методов по подходу и реализации защиты вершины. Предложены аналитические зависимости определения влияния показателей связности методов вершин цепочки на меру опасности конкретной вершины. Доказано, что действительная мера опасности любой вершины цепочки может быть определена, как свертка транзитивного замыкания отношения связности методов по цепочке. Для многосвязных вершин введено понятие эквивалентной меры связности и получено его математическое выражение на основе вероятностной интерпретации меры опасности; • определено отношение ситуативного замыкания, позволяющее определить взаимодействие методов зашдты между различными цепочками. Доказана теорема о построении транзитивного замыкания, эквивалентного ситуативному, позволяющая построить эффективный алгоритм оценки новой опасности для каждой цепочки в случае, когда злоумышленником преодолен какой-то метод запщты где-либо в системе.3. Предложены показатели качества распределения методов защиты по всей совокупности цепочек на основе построения пространства нормированных векторов мер влияния методов на защиту каждой цепочки.4. На основании полученных результатов и теоретических выводов предложены методика проектирования и администрирования распределенной системы защиты доступа к данным и методика эксплуатации и сопровождения этой системы.5. Разработан комплекс алгоритмов, реализующий методику проектирования и администрирования распределенной системы защиты доступа к данным. Комплекс алгоритмов реализован по последовательно вложенной схеме, что обеспечивает модульность, гибкость в реализации функций и широкий диапазон применения в ходе реализации как методики проектирования системы запщты, так и методики администрирования.6. Эффективность предложенной в диссертации методики методика проектирования и администрирования распределенной системы защиты доступа к данным и работоспособность программного комплекса поддержки методики проектирования продемонстрированы на примере проектирования системы защиты доступа к информационным ресурсам крупного архивного учреждения. В результате их применения удалось получить оптимальные варианты распределения методов защиты и оперативно произвести их коррекцию с учетом пожеланий администрации и принятой в учреждении схемой допуска, получив варианты, незначительно отличающиеся от оптимальных.

1. Анализ защищенности компьютерных сетей на различных этапахих жизненного цикла / И.В. Котенко, М.В. Степашкин, B.C. Богданов и др. //Изв. вузов. Приборостроение: 2006. - Т.49, № 5. - 3-8.

2. Баутов А. Экономический взгляд на проблемы информационнойбезопасности // Открытые системы. СУБД. - 2002. -№ 2. - 34-37.

3. Богданов B.C., Котенко И.В. Архитектура, модели и методикифункционирования системы проективного мониторинга вьшолнения политики безопасности // Труды СПИИРАН (СПб). - 2006. - № 3, том 2. - 50-69.

4. Введение в информационную безопасность / М.А. Вус, B.C.Гусев, Д.В. Долгирев и др. - М.: Юридический Центр Пресс, 2004. - 202 с.

5. Введение в защиту информации: Учеб. пособие / В.Б. Байбурин,М.Б. Бровкова, И.Л. Пластун, А.О. Мантуров, Т.В. Данилова, Е.А. Макарцова (ГРИФ). - М.: Инфра-М, 2004. - 128 с. (Серия "Профессиональное образование")

6. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии.- М.: МЦНМО, 2003. - 328 с.

7. Герасименко В.А. Защита информации в автоматизированныхсистемах обработки данных; В 2-х кн. -М: Энергоатомиздат, 1994. - Кн. 1. 400 с.

8. Герасименко В.А. Защита информации в автоматизированныхсистемах обработки данных; В 2-х кн. - М.: Энергоатомиздат, 1994. - Кн. 2. 176 с.

9. Галатенко В.А. Основы информационной безопасности: Курслекций. - М.: ИНТУИТ, 2003. - 280 с.

10. Гхаиад Иссам Показатели информационной безопасностипредприятии // Сборник статей / Под ред. В.М. Черненького. - 2006. - № 5. 112-121.

11. Гхаиад Иссам, Черненький В.М. Методика администрированиязащиты доступа к данным в АСУП // Вестник МГТУ. Приборостроение. 2007.- № 4. - 60-69.

12. Гхаиад Иссам, Теоретические основы метода распределеннойзащиты данных // По вопросам обучения с применением технологий еleaming: Материалы международной конференции - Москва, 2007. - 125127.

13. Домарев В.В. Безопасность информационных технологии:системный подход. - М.: ООО "ТИД "ДС", 2004. - 992 с.

14. Зегжда П.Д. Теория и практика обеспечения информационнойбезопасности. - М.: Издательство "Яхтсмен", 1996. - 192 с.

15. Зегжда П.Д., Ивашко А.М. Основы безопасностиинформационных систем. - М.: Горячая линия-Телеком, 2000. - 425 с.

16. Законодательно-правовое и организационно-техническоеобеспечение информационной безопасности АС и ИВС / И.В. Котенко, М.М. Котухов, A.C. Марков и др.; Под ред. И. В. Котенко. - СПб: ВУС, 2000. 190с.

17. Информационная безопасности предприятия: Учеб. пособие/A.A. Садеринов, В.А. Трайнёв, A.A. Федулов и др. - 2-е изд. - М.: Издательско-торговая корпорация "Дашков и К", 2005. - 336 с.

18. Курило A.n . и др. Обеспечение информационной безопасностибизнеса/ А.П. Курило и др. - М.: БДЦ-пресс, 2005. - 512 с.

19. Кечиев Л.Н., Степанов П.В. ЭМС и информационнаябезопасность в системах телекоммуникаций. - М.: Технологии, 2005. - 312 с.

20. Кишуков А.Ю. Перспективы применения биометрическихтехнологий в банковской сфере XII Всероссийская научно-практическая конференция // Проблемы информационной безопасности в системе высшей школы: - М.: Сборник трудов, МИФИ, 2005. - 33-35.

21. Компьютерные преступления / Д. Айков, К. Сейгер, У. Фонсторх;Пер. с англ. В. И. Воропаева, Г. Г. Трехалина. - М.: Мир, 1999. -351 с.

22. Кузнецов О.П., Адельсон-Вельский Г.М. Дискретная математикадля инженера, 4-е изд., стер. - СПб: Издательство "Лань", 2005. - 400 с.

23. Курушин В.Д., Минаев В.А. Компьютерные преступления иинформационная безопасность. - М.: Новый Юрист, 1998. - 256 с.

24. Комментарии к Российскому стандарту ГОСТ Р ИСО/МЭК15408-2002 "Критерии оценки безопасности информационных технологий" /М.Ю. Долинин, М.Т. Кобзарь, В.А. Лыков и др. - М.: ФГУП "ЦНИИАТОМИН-ФОРМ", 2003. - 38 с.

25. Корченко А.Г. Построение систем заш;иты информации нанечетких множествах. Теория и практические решения. - Киев: "ЭМКПресс", 2006, - 320 с.

26. Липаев В.В. Анализ и сокраш;ение рисков проектов сложныхпрограммных средств. - М.: Синтег, 2005. - 208 с.

27. Левкин В.В., Шеин A.B. Система защиты информации отнесанкционированного доступа "Снег": Методическое пособие по применению. - М.: МИФИ, 1996. - 88 с.

28. Мэйволд Э. Безопасность сетей: Пер. с англ. - М.: ЭКОМ, 2005.527 с.

29. Мельников В. П. Информационная безопасность: Учёб. Пособие/В.П. Мельников, А. Клейменов, A . M . Петраков и др.; Под ред. А. Ютейменова. - М.: Издательский центр "Академия", 2005. - 336 с.

30. Методы и средства автоматизированные управления подсистемойконтроля целостности в системах защиты информации / А.С. Дубровин, О.Ю. Макаров, Е.А. Рогозин и др. - Воронеж. - гос. техн. уи-т, 2003. - 165 с.

31. Метод распределённого антивирусного контроля как способпротиводействия вредоносньп^г программам в АИС / В.Г. Герасименко, В.Е. Потанин, Е.А. Рогозин, СВ. Скрыль // Радиотехника(Москва). - 1999. - № 6. 27-30.

32. Нечаев В.И. Элементы криптографии. Основы теории защитыинформации. - М.: Высшая школа, 1999. - 109 с.

33. Основы организации защиты информации в компьютерныхсетях: Учеб. пособие / В.И, Денисов, В.В. Лавлинский, А.Н. Обухов и др. Воронеж: Воронежский институт МВД России, 1999. - 172 с.

34. Петренко А., Курбатов В.А, Политика информационнойбезопасности. - М.: Компания АйТи, 2006, - 400 с.

35. Партыка Т.Л., Попов И.И. Информационная безопасность: Учеб.пособие. - М.: Форум: Инфра-М, 2007. - 367 с.

36. Партыка Т.Л., Попов И.И. Информационная безопасность: Учеб.пособие. - М.: Форум, 2007. - 368 с.

37. Принципы разработки программного обеспечения / М. Зелковиц,А. Шоу, Д. Гэнон и др. - М.: Мир, 1982. - 368 с.

38. Теоретические основы компьютерной безопасности: Учеб.пособие для вузов / П.Н. Девянин, О.О.Михальский, Д.И. Правиков и др. М.: Радио и Связь, 2000. - 192 с.

39. Разработка систем информационно-компьютерной безопасности/В.М. Зима, М.М. Котухов, А.Г. Ломакой др. - СПб: B K A им. А.Ф.Можайского, 2003. - 327 с.

40. Руководящий документ. Безопасность информационныхтехнологий: Руководство по разработке профилей защиты и заданий по безопасности. - М.: Гостех-комиссия России, 2003. 32с.

41. Руководяпрш документ. Безопасность информационныхтехнологий: Критерии оценки безопасности информационнык технологий. М.: Гостех-комиссия России, 2002. - Части 1, 2, 3. - 150 с.

42. Смит Р. Аутентификация: от паролей до открытых ключей. - М.:Издательский дом "Вильяме", 2002. - 432 с.

43. Уорли Б. Реальные и мнимые угрозы: Истории реальных людей,защищающих себя от кражи персональных данных, мошенничества и вирусов: Пер. с англ. - М.: КУДИЦ-ОБРАЗ, 2004. - 317 с.

44. Филин C A Информационная безопасность. - М. : Альфа-Пресс,2006.-411 с.

45. Фофанов, A.B. Анализ безопасности корпоративных сетей сиспользованием алгоритма перебора L-классов // Проблемы информационной безопасности в системе высшей школы: Сборник научных трудов. - М.: МИФИ, 2005. - 163-170.

46. Фофанов A.B. Идентификация пользователей в защищеннойсистеме хранения информации / A.B. Фофанов, В.Г. Шахов // Автоматика, связь, информатика. - 2002. - № 1. - 48-53.

47. Хореев П.Б. Методы и средства защиты информации вкомпьютерных системах: Учеб. Пособие / П. Б. Хореев. - М.: Издательский центр "Академия", 2005. - 256 с.

48. Черненький В. М. Проблемы информационной безопасности вбанковских системах: Учеб. пособие. - М.: ООО "Эликс+", 2003 - 132 с.

49. Ярочкин В.И. Информационная безопасность. - М.: Изд-во"Академический проект", 2004. - 640 с.

50. Понятие распределенной защиты доступа к данным

51. Представление доступа в виде последовательной цепочки методовзащиты

52. Методика проектирования распределенной защиты доступа к данным

53. Методика сопровождения распределенной защиты доступа к данным