Содержание к диссертации
Введение
Глава 1. Анализ методов администрирования систем защиты доступа к данным 9
1.1. Принципы политики информационной безопасности 10
1.2. Требования к реализации политики безопасности 12
1.3. Виды политики безопасности 14
1.4. Система управления информационной безопасности 18
1.5. Базисные понятия информационной безопасности 21
1.5.1. Угрозы и уязвимые места 23
1.5.2. Службы и механизмы защиты 24
1.5.3. Идентификация и аутентификация 25
1.5.4. Управление доступом 29
1.5.5. Конфиденциальность данных и сообщений 33
1.5.6. Целостность данных и сообщений 34
1.5.7. Контроль участников взаимодействия 37
1.5.8. Регистрация и наблюдение 38
1.6. Основные показатели информационной безопасности 39
Выводы 43
ГЛАВА 2. Теоретические основы метода распределенной защиты данных 45
2.1. Базовые понятия метода распределенной защиты 45
2.2. Оценка коррелированности методов защиты в цепочке 48
2.3. Транзитивный эквивалентный показатель связности 53
2.4. Оценка распределения методов по совокупности цепочек 56
2.5. Отношение ситуативного замыкания 59
2.6. Использование понятия нечеткой лингвистической переменной для определения параметров методов защиты 65
2.7. Методика проектирования системы защиты доступа к данным... 70
2.8. Методика эксплуатации и сопровождения системы защиты доступа к данным 74
Выводы 76
ГЛАВА 3. Комплекс программ поддержки методики проектирования системы защиты доступа к данным 78
3.1. Алгоритм выбора очередной цепочки 81
3.2. Алгоритм формирования очередного распределения в цепочке .. 85
3.3. Алгоритм расчета меры опасности цепочки 89
3.4. Алгоритм поиска оптимального распределения методов в цепочке 92
3.5. Алгоритм расчета вектора меры влияния методов защиты 93
3.6. Алгоритм расчета норма вектора мер влияния методов защиты
в цепочке 96
3.7. Алгоритм расчета коэффициентов влияния методов защиты в цепочке 98
3.8. Алгоритм определения критериев качества распределения методов защиты в системе в целом 100
Выводы 102
ГЛАВА 4. Реализация методики администрирования защиты доступа к данным 103
4.1. Описание предметной области применения методики 103
4. 2. Реализация методики администрирования 103
Выводы 125
Выводы и заключение 126
Список литературы
- Система управления информационной безопасности
- Оценка коррелированности методов защиты в цепочке
- Алгоритм формирования очередного распределения в цепочке
- Реализация методики администрирования
Введение к работе
Проблемы защиты информации в настоящее время занимают одно из ведущих мест в перечне важнейших проблем в областях развития и применения информационных технологий [4, 5, 7-10, 13-19, 30, 35-41]. Обзор литературы показал наличие широкого спектра требований к обеспечению защиты данных. Они касаются обеспечения конфиденциальности, целостности, авторизации, разграничения доступа, стоимости и других аспектов понятия защиты информации [7, 32, 50]. Вместе с тем анализ показал, что многие из этих требований тесно связаны с решением проблемы защиты доступа к данным в целом. Так, например, обеспеченность защиты данных решает проблемы конфиденциальности, целостности, стоимости и др.) [4, 5, 7-10, 13-19, 30, 35-41]. Отмечается, что политика управления доступом является основным механизмом защиты, непосредственно обеспечивающим конфиденциальность и целостность обрабатываемой информации. Для решения проблемы доступа к данным используются разнообразные подходы: использование математических методов криптографии, применение паролей различных типов, организационные меры, биометрические методы и др. В то же время в целом ряде источников отмечается необходимость выполнения по крайней мере двух принципов организации зашиты данных [3, 29, 32, 36, 51]:
• принцип многоуровневой защиты предписывает не полагаться на один защитный рубеж, каким бы надёжным он ни казался. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий;
• принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками преодоления системы защиты информации.
Актуальность. Вместе с тем, обзор литературы показал явную недостаточность подходов к организации комплексной системы защиты доступа к данным, отсутствие теоретических разработок по проектированию и сопровождению системы защиты в целом. При всем многообразии методов и подходов к защите данных практически отсутствуют методы оптимального распределения защиты по элементам данных, что позволило бы широко использовать уже разработанные методы защиты, объединив их в оптимальный комплекс при защите каждого данного. Это дало бы возможность гибко организовать защиту для каждого типа данных, обеспечить повышенную защищенность и при необходимости существенно снизить стоимость системы защиты. Таким образом, тема диссертационной работы, посвященной разработке нового метода организации защиты доступа к данным, опирающегося на сформулированные выше принципы, актуальна.
Объект исследования: системы защиты доступа к данным.
Предмет исследования: методы и средства обеспечения безопасности доступа к данным для решения задач администратора системы безопасности в целом.
Цели исследования:
• разработка теоретических основ распределенной защиты доступа к данным
• разработка методик проектирования и сопровождения систем доступа к данным.
Решаемые задачи. Для достижения указанной цели необходимо решить следующие задачи:
1. Произвести анализ методов защиты доступа к данным и политики их реализации;
2. Определить модель объекта защиты;
3. Создать теоретические основы построения распределенной защиты;
4. Определить способ задания параметров моделей;
5. Определить способ распределения методов защиты по объектам защиты;
6. Определить критерии качества распределения методов защиты;
7. Разработать методику проектирования системы защиты данных;
8. Разработать методику сопровождения системы защиты данных.
Предметом исследования являются методы обеспечения безопасности доступа к данным для решения задач администратора системы безопасности в целом.
Методы исследований. Для решения поставленных задач в работе используются методы теории алгебр, системного анализа, теории вероятности, математической статики, теории графов, теории нечётких множеств, аппарат лингвистических переменных, программирование.
Научная новизна. В диссертации получены следующие результаты, характеризующиеся научной новизной и выносимые на защиты:
1. Метод распределенной защиты, определяющий путь доступа к данным и обеспечивающий защиту доступа к этим данным на каждом шаге пути доступа.
2. Способ оценки качества распределения методов защиты по всей совокупности метаданных.
Практическая ценность работы заключается в разработке:
1. Методики проектирования распределенной защиты доступа к данным;
2. Методики администрирования процесса сопровождения и эксплуатации системы защиты доступа к данным;
3. Комплекса программных средств поддержки методики проектирования и эксплуатации распределенной защиты доступа к данным. Внедрение результатов работы
1. Теоретические положения диссертации использованы при разработке программных систем компании НПО "Эшелон".
2. Методика проектирования и администрирования распределенной системы защиты доступа к данным использована в Российском Государственном Военно-Историческом архиве.
3. Результаты работы использованы в учебном курсе "Защита информации" кафедры ИУ-5 МГТУ им. Н.Э. Баумана.
4. Теоретические положение и методика проектирования и администрирования распределенной системы защиты доступа к данным использованы в НИР НИИИСУ МГТУ им. Н.Э. Баумана.
Апробация работы. Содержание отдельных разделов и диссертации в целом было доложено:
1. На семинарах и заседаниях кафедры "Системы обработки информации и управления" МГТУ им. Н.Э. Баумана;
2. На международной научно-технической конференции "По вопросам обучения с применением технологий e-learning", Москва, 2007.
Публикации. По теме диссертации опубликовано два статьи и тезисы докладов.
Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы и приложений, содержащих листинг разработанных программ. Объём диссертации составляет 142 страниц, в том числе 133 страницы текста. Работа включает 39 рисунка и 34 таблицы. Список литературы содержит 53 наименования.
Содержание диссертации
Во введении обосновывается актуальность темы диссертации, ее практическое значение, формулируются основные цели исследования, основные положения, изложена структура диссертации.
В первой главе проведен аналитический обзор методов защиты в информационных системах, который показал, что в большинстве случаев предлагается защитить все данные теми или иными организационными или математическими методами. При всем многообразии методов и подходов к защите данных практически отсутствуют методы оптимального распределения защиты по элементам данных, что позволило бы широко использовать уже разработанные методы защиты, объединив их в оптимальный комплекс при защите каждого данного. Это дало бы возможность гибко организовать защиту для каждого типа данных, обеспечить повышенную защищенность и при необходимости существенно снизить стоимость системы защиты. В главе сформулированы задачи исследования.
Во второй главе разрабатывается метод распределенной защиты, когда защищаются не только сами данные, но весь путь доступа к информации с применением разнообразных методов защиты на каждом шаге этого пути. Данное совместно с описанием пути доступа к нему называется. В главе описаны базовые понятия метода распределенной защиты; описана оценка коррелированности методов защиты в цепочке; описан транзитивный эквивалентный показатель качества; описана оценка распределения методов по совокупности цепочек, описано отношение ситуативного замыкания; описано использование понятия нечеткой лингвистической переменной для определения параметров методов защиты; описана методика проектирования системы защиты доступа к данным; и описана методика эксплуатации и сопровождения системы защиты доступа к данным.
В третьей главе описан комплекс алгоритмов и программ, обеспечивающий реализацию методики проектирования и администрирования распределенной системы защиты доступа к данным.
В четвертой главе представлены результаты практического применения методики проектирования и администрирования распределенной системы защиты доступа к данным на примере доступа к информационным ресурсам крупного архивного учреждения.
В заключении сформулированы основные выводы и результаты работы.
Система управления информационной безопасности
Прежде чем приступать к построению системы управления информационной безопасности, следует определить её границы [7-10, 37-43]. Описание этих границ рекомендуется выполнять по следующему плану: структура организации - описание существующей структуры и тех изменений, которые предполагается внести в связи с разработкой системы информационной безопасности; размещение методов и средств вычислительной техники и поддерживающей инфраструктуры; ресурсы информационной системы, подлежащие защите. Рекомендуется рассмотреть ресурсы автоматизированной системы, данные, системное и прикладное программного обеспечения. Поскольку для организации все эти ресурсы представляют ценность, должна быть выбрана система критериев и методология получения оценок по этим критериям; технология обработки информации и решаемые задачи. Для решаемых задач следует построить модели обработки информации в терминах ресурсов.
В результате составляется техническое задание на создание системы безопасности, в котором фиксируются границы системы, перечисляются подлежащие защите ресурсы и дается система критериев для определения их ценности.
Комплексной системой технической защиты информации принято называть совокупность организационно-правовых и инженерных мероприятий, а также программно-аппаратных средств, обеспечивающих техническую защиту информации в информационных системах. Именно на нее нормативными документами системы технической защиты информации возлагается задача обеспечения функциональных свойств защищенных информационных систем. Эта задача решается как техническими, так и программными средствами базового и прикладного программного обеспечения, а также с использованием специально разрабатываемых программных и аппаратурных средств технической защиты информации.
Организационно-правовыми мероприятиями реализуется комплекс соответствующих нормативно-правовой базе государства административных и ограничительных мер, направленных на оперативное решение задач защиты путем анализа угроз, регламентации деятельности персонала и определения порядка функционирования средств обеспечения информационной деятельности и средств технической защиты информации, а также путем создания служб, ответственных за их реализацию. К таким же мероприятиям относятся и определение контролируемых зон с организацией контроля доступа в эти зоны. Для реализации мероприятий этой группы в большинстве случаев нет необходимости использования средств, являющихся компонентами информационных систем.
Основной задачей технических мероприятий является обеспечение как физической, так и информационной безопасности.
Информационная безопасность обеспечивается использованием технических средств [13,32,50]: построения модели защищенной системы; управления доступом к ресурсам информационных систем; обеспечения целостности и конфиденциальности; обеспечения наблюдаемости; защиты от воздействий вирусов и иных воздействий, вызывающих любую несанкционированную модификацию информации; защиты информации при передаче информации.
Весь комплекс перечисленных выше проблем определяется как "политика организации безопасности на предприятии". Актуальность разработки политики информационной безопасности объясняется необходимостью формирования основ планирования информационной безопасности и управления её на современном этапе.
Политика информационной безопасности должна охватывать следующие темы [13,36, 51,52]: предмет, основные цели и задачи политики безопасности; условия применения политики безопасности и возможности ограничения; описание позиции законодательства в отношении выполнения политики безопасности и организации режима информационной безопасности в целом;
Оценка коррелированности методов защиты в цепочке
До сих пор мы предполагали, что методы защиты в каждой капсуле разные и не связаны между собой. Однако практика показывает, что нередко методы защиты близки друг к другу или же отличаются только параметрическими настройками. Вернемся к рассмотрению цепочки, представленной на рис. 2.2. Предположим теперь, что методы М{Л) И М(В) коррелированны, то есть каким-либо образом связаны между собой, например, построены по общему алгоритму, различаются лишь параметрами, используют схожие схемы защиты и т.д. Для оценки коррелированности методов М(А) И М{В) введем понятие показателя связности W(A,B), принимающим значение на [0, і]. Этот показатель определяет связность метода защиты вершины В с методом защиты вершины А и показывает, насколько упрощается преодоление защиты вершины В, если вершина А уже преодолена. Будем предполагать, что большее значение показателя связности соответствует большей степени коррелированности. Так, значение W=0 соответствует полному отсутствию связности методов, в то время как значение W=\ соответствует полному сходству методов.
С учетом вышесказанного введем понятие действительной меры опасности (- )ДЕЙСТ преодоления капсулы К(А) вершины после преодоления капсулы К{АХ) в виде: Зависимость -Р( )ДЕЙСТ ОТ значения W{A,A ) приведена на рис. 2.4.
Такое определение меры опасности для двух связанных вершин позволяет получить теоретически корректные значения в двух крайних точках: 1 =0 и W=\ (рис. 2.4). Так, при W=0 мера опасности вершины А: Р{4)ДЕЙСТ РІА) Это соответствует представлению о том, что при полной некоррелированности методов защиты действительная мера защиты вершины А равна ее исходному значению. При значении W=\ мы имеем эквивалентные (полносвязанные) методы защиты вершин А и Аг, и при преодолении защиты вершины АА мы получаем автоматически прямой доступ к вершине А: она оказывается полностью незащищенной с мерой опасности, равной 1.
Полученный результат соответствует практике и объясняет то, что, если злоумышленник преодолел защиту капсулы К(А), то защита капсулы К(В) им преодолевается автоматически и не является препятствием для доступа к информации в В. Все значения W, большие 0, повышают действительную меру опасности. Рассмотрим цепочку из 3-х вершин, приведенную на рис. 2.5.
Здесь показаны информационные вершины А, В, С капсулы К(А), К(в), К(С), а также меры связности методов зашиты в капсулах W{A9 В), W(B, С), W(A, С). ЕСЛИ мы преодолели капсулы К(А) И К(В), то мы можем преодолеть капсулу К(С), используя опыт преодоления метода М(А) капсулы К(А), ИЛИ используя опыт преодоления метода М{В) капсулы К{В).
Для вершины С введем понятие эквивалентного показателя связности W(c)0KB в виде следующей свертки: НС)экв =1-((1- (Л С)) х (l-W(B, С))), Вывод этой формулы представляет собой вероятностную интерпретацию введенных ранее понятий: поскольку W - есть показатель связности, значение которой лежит в интервале (О, і), то вьфажение (l - W) можно рассматривать, как показатель несвязности. Произведение показателей несвязности можно интерпретировать как показатель одновременной несвязности по обоим показателям.
Алгоритм формирования очередного распределения в цепочке
Блок-схема алгоритма формирования очередного распределения цепочке приведена на рис. 3.10. Блок 1. Ввод: Количество методов защиты met count; Количество вершин текущей цепочки ver count;
Блок 2. Установка счетчика all_row альтернативных распределений i; , ,ver count all_row=metcount Блок 3. Установка индексных счетчиков: со =1, го = vercount — 1.
Блок 4. Установка вектора репетиции методов защиты: repjnet[co\=met countro. Блок 5. Если вектор rep_met\co\ исчерпан, то перейти к блоку 7, иначе перейти к блоку 6. Блок 6. Увеличить счетчик со на единицу, и уменьшить счетчик го на единицу.
Блок 7. Установка индексного счетчика: го=1.
Блок 8. Установка вектора репетиционных методов защиты: rep count[ro]= 0, и вектор данного альтернативного распределения: cur rep_met\ro\-\ (первый метод защиты). Блок 9. Если векторы rep_count[ro], cur rep_met[ro] исчерпаны, то перейти к блоку 11, иначе перейти к блоку 10. Блок 10. Увеличить счетчик го на единицу. Блок 11. Установка индексного счетчика: го =1. Блок 12. Установка индексного счетчика: со=ver count. Блок 13. Если вектор повторения текущего метода защиты rep count[co] равняется вектору репетиции методов защиты rep_met[co], то перейти к блоку 15, иначе перейти к блоку 14. Блок 14. Увеличить вектор повторения текущего метода защиты: rep_count[co] = rep_count[co] + 1 на единицу и перейти к блоку 18. Блок 15. Если метод защиты текущей вершины в векторе cur rep_met[co] оказывается последним, то перейти к блоку 17, иначе перейти к блоку 16.
Блок 16. Добавить вектор методов защиты текущей вершины: cur _ rep __ met[co\ = cur _ rep _ met[co]+1 на единицу.
Блок 17. Установка вектора методов защиты текущей вершины cur _ rep _ met[co = і] на единицу.
Блок 18. Если все вершины данного распределения исчерпаны, то перейти к блоку 20, иначе перейти к блоку 19. Блок 19. Уменьшать счетчик со на единицу. Блок 20. Выполнить алгоритм (3.3). Блок 21. Если все потенциальные распределения закончены, то перейти к блоку «конец», иначе перейти к блоку 22. Блок 22. Увеличить счетчик го на единицу.
В процессе решения задачи для расчета меры опасности цепочки используются следующие величины: Мера опасности цепочкиР(0) , Эквивалентный показатель связности W(A)3UB ; Действительная мера опасности вершин цепочки Р{л}д ст Блок-схема алгоритма расчета меры опасности цепочки приведена на рис. 3.11. Блок 1. Ввод: Матрица меры связанности методов зашиты inp __ wmm [т х т ]; Вектор меры опасности inp_mp[m\; Вектор распределения cur_rep_met[co] - от алгоритма (3.2); Блок 2. Установка индексного счетчика: X = 1.
БлокЗ. Установка вектора меры опасности распределенных методов зашиты ver_dan\X\: verjicm[x]=mp_mp\l,currepji7et[x][.
Блок 4. Если вектор ver_dan[X] исчерпан, то перейти к блоку 6, иначе перейти к блоку 5. Блок 5. Увеличить счетчик X на единицу. Блок 6. Установка индексного счетчика: X — 1.
Блок 7. Установка вектора меры опасности распределенных методов защиты pot_eqva[X]: pot_eqva[X]-0.
Блок 8. Если Вектор pot_eqva[X] исчерпан, то перейти к блоку 10, иначе перейти к блоку 9. Блок 9. Добавить счетчик X на единицу. Блок 10. Установка индексного счетчика: X—ver count.
Блок 11. Установка индексного счетчика: first_ver=cur_rep_met[X], (расчет эквивалентной меры опасности распределенных методов защиты начинается от последней вершины). Установка индексного счетчика: Z = X-\. Установка параметров pot _numeqva=l,
pot пит_ dest=1.
Блок 12. Расчет эквивалентного показателя связности: pot_eqva[z }=l-wmm [currepjnet [Z ], first met] potnumeqva = pot пит eqva x pot_eqva[z]. Блок 13. Если вектор pot_eqva\z\ исчерпан, то перейти к блоку 15, иначе перейти к блоку 14. Блок 14. Уменьшать счетчик Z на единицу. Блок 15. Расчет действительной меры опасности вершины: , . , \v-\pot пит eqva potjmmjiest = ver_dan\X у - - , pot_eqva[x] = potjiumdest.
Блок 16. Если вектор pot_eqva[z] исчерпан, то перейти к блоку 18, иначе перейти к блоку 17. Блок 17. Уменьшать счетчик X на единицу. Блок 18. Установка параметров pot_пит eqva=1, pot _eqva\}]=ver_dan\l].
Блок 19. Установка индексного счетчика: X = 1. Блок 20. Расчет действительной меры опасности вершины: potnumeqva = potnumeqva х ver_eqva[X].
Реализация методики администрирования
Эффективность функционирования разработанных методики администрирования и пакета алгоритмов была протестирована на примере информационной системы архива.
Эта система предназначена для автоматизации работы комплекса информационной безопасности архива, специализирующегося на хранении нормативной документации государственного значения. Требуется выбрать комплекс методов защиты к данным для рассматриваемой информационной системы архива.
В ходе изучения совокупности данных, хранящихся в архиве, были по согласованию с сотрудниками архива выделены данные, подлежащие той или иной степени защиты от несанкционированного доступа. Предъявление паспорта; Предъявление служебного документа от предприятия; Введение пароля; Предъявление паспорта со служебным удостоверением одновременно; Этот набор методов в дальнейшем назовем первичным.
По ходу проектирования были предложены еще два метода защиты, которые в дальнейшем назовем дополнительными: Дактилоскопический анализ на обычном свете; Дактилоскопический анализ на инфракрасном свете;
Начальные длины всех цепочек были определены, равные 2, в соответствии с рекомендацией методики проектирования.
В соответствии с методикой получения экспертных оценок необходимых параметров, были получены оценки этих параметров, приведенные в таблицах 8, 9,10.
Здесь в - максимально допустимая степень опасности. Далее производился выбор вариантов распределения методов защиты, расчет показателей каждой цепочки данных, сравнение их со значением требуемой степени защищенности, корректировка распределений по рекомендациям заказчика, проведение повторных расчетов. Используемые алгоритмы: 1. Алгоритм выбора очередной цепочки. 2. Алгоритм формирования очередного распределения в цепочке. 3. Алгоритм расчета меры опасности цепочки. 4. Алгоритм поиска оптимального распределения методов защиты в цепочке. 5. Алгоритм расчета матрицы мер влияния методов защиты Л(М х О). 6. Алгоритм расчета норма вектора мер влияния методов защиты NORM (Q). 7. Алгоритм расчета коэффициентов влияния методов защиты в цепочке. 8. Алгоритм определения критериев качества распределения методов защиты в системе в целом. Расчет параметров для каждой цепочки.
1. Первая цепочка Q, содержит начальные вершины Q, =\А,,АЛ. Воспользуемся первичными методами защиты М = ,,М ,М-,М.,МЛ из предложенных в таблице 7.
В таблице 11 приведены результаты расчета, содержащие оптимальное распределение методов защиты для рассматриваемой цепочки.
Как видно, степень опасности цепочки очень ниже максимально допустимой опасности, приведенной в таблице 10.
Таким образом, для данных D - списочный состав войсковых подразделений - достаточным является предъявление пропуска и паспорта со служебным удостоверением. Однако, по рекомендации администратора системы достаточно применения методов защиты в соответствии с принятой схемой организации защиты: для вершины А. применить метод защиты М,, а для вершины А - метод защиты М-,. Расчет, проведенный по алгоритмам (3.1, 3.2, 3.3, 3.4), показал значение Р(Х J=0.1805. Степень опасности цепочки ниже максимально допустимой опасности, приведенной в таблице 15.
2. Вторая цепочка Q содержит начальные вершины Q =\/L, А ]. Воспользуемся первичными методами защиты М = уЛ,, М , М , М., М \ из предложенных в таблице 7.
В таблице 13 приведены результаты расчета, содержащие оптимальное распределение методов защиты для рассматриваемой цепочки. Как видно, степень опасности цепочки очень ниже максимально допустимой опасности, приведенной в таблице 10.
Таким образом, для данных D - личные данные командного состава достаточным является предъявление пропуска и паспорта со служебным удостоверением. Однако, по рекомендации администратора системы достаточно применения методов зашиты в соответствии с принятой схемой организации защиты: для вершины А, применить метод защиты М,, а для вершины А - метод защиты М . Расчет, проведенный по алгоритмам (3.1, 3.2, 3.3, 3.4), показал значение P(L)=0.1437. Степень опасности цепочки ниже максимально допустимой опасности, приведенной в таблице 15.