Содержание к диссертации
Введение
Глава 1. Анализ существующих средств защиты информации 9
1.1 Каналы несанкционированного доступа 10
1.2 Классификация способов несанкционированного доступа 18
1.3 Механизмы защиты информации 19
1.3.1 Подсистема идентификации 22
1.3.2 Подсистема разграничения прав доступа 23
1.3.3 Подсистема регистрации и учета 25
1.3.4 Криптографическая подсистема 27
1.3.5 Подсистема обеспечения целостности 28
1.3.6 Контроль вскрытия аппаратуры 28
1.3.7 Подсистема автоматизации доступа в помещения 32
1.4 Анализ покрытия уязвимосгей подсистемами защиты 33
1.5 Выводы 38
Глава 2. Метод комплексирования технических и программных средствзащиты 40
2.1 Метод защиты от НСД на уровне рабочей станции 40
2.1.1 Аппаратная защита 41
2.1.2 Программная защита 48
2.2 Метод защиты от НСД на уровне вычислительной сети 51
2.2.1 Метод построения системы контроля вскрытия аппаратуры 51
2.2.2 Распределенная система защиты 55
2.2.3 Централизованная система защиты 56
2.2.4 Метод противодействия несанкционированному подключению к ЛВС 59
2.3 Метод защиты от НСД на уровне предприятия 60
2.4 Оценка эффективности предложенного метода защиты 63
2.4.1 Эффективность программной компоненты 64
2.4.2 Эффективность аппаратной компоненты 65
2.4.3 Эффективность системы контроля вскрытия аппаратуры 66
2.4.4 Эффективность комплексной системы защиты 69
2.5 Выводы 70
Глава 3. Построение аналитических моделей 72
3.1 Цели и задачи 72
3.2 Модель рабочей станции 72
3.2.1 СМО процессор -оперативная память 76
3.2.2 СМО запоминающее устройство (НЖМД) 78
3.2.3 Сетевая модель рабочей станции 79
3.3 Модель рабочей станции с добавочной защитой при построении централизованной С 3 83
3.4 Модель рабочей станции с добавочной защитой при построении распределенной СЗ 94
3.5 Модель сервера безопасности для централизованной СЗ 100
3.6 Модель сервера безопасности для распределенной СЗ 106
3.7 Выводы 109
Глава 4. Анализ адекватности аналитических моделей 110
4.1 Имитационная модель рабочей станции 110
4.2 Имитационная модель рабочей станции с добавочной защитой 116
4.3 Адекватность 121
4.4 Выводы 123
Глава 5. Исследования характеристик функционирования рабочих станций при использовании предложенного метода 124
5.1 Исследования влияния добавочных средств защиты на загрузку процессора 124
5.2 Исследования изменения времени ожидания в процессоре 125
5.3 Исследования изменения времени ожидания в НЖМД 127
5.4 Выводы 129
Заключение 130
Литература 132
- Анализ покрытия уязвимосгей подсистемами защиты
- Метод построения системы контроля вскрытия аппаратуры
- Модель рабочей станции с добавочной защитой при построении централизованной С 3
- Исследования изменения времени ожидания в процессоре
Анализ покрытия уязвимосгей подсистемами защиты
На сегодняшний день большинство операционных систем (ОС), применяемых при построении локальной вычислительной системы, обладают встроенными средствами защиты. Причем наблюдается общая тенденция усиления роли данных механизмов. [6, 18, 21, 22, 38]
Тем не менее, даже при использовании последних версии ОС и прикладного программного обеспечения, нельзя гарантировать полную защиту от НСД. Большая статистика по ошибкам ОС, с помощью которых можно изменить настройки механизмов безопасности, обойти разграничения доступа и т.д., заставляет пользователей сомневаться в гарантированной защите от НСД при использовании встроенных механизмов [24]. Поэтому при построении системы безопасности вычислительной сети пользуются добавочными средствами защиты.
На сегодняшний день подобные средства защиты достаточно широко представлены на отечественном рынке. Среди них, наибольшее распространение получил программно-аппаратный комплекс средств защиты Secret Net (компания Информзащита - http://www.infosec.ru) и программный комплекс Спектр-Z (компания Спектр - http://www.cobra.ru).
Для определения поля непокрытых угроз проанализируем каналы несанкционированного доступа и закрывающие их подсистемы безопасности. На рис. 1.5 представлены возможные каналы несанкционированного доступа и подсистемы безопасности, которые их перекрывают. Как видно из рис. 1.5 - непокрытой остается угроза, исходящая от средств загрузки программного обеспечения (дисковод, CD-привод). Еще одна угроза, связанная с этим каналом несанкционированного доступа - возможность несанкционированного отключения (перевода в пассивное состояние) самой системы защиты. Угрозу, исходящую от открытого канала несанкционированного доступа через средства загрузки программного обеспечения некоторые производители пытаются закрыть псевдо - аппаратной защитой. Такая защита представляет собой специальную плату, позволяющая произвести идентификацию пользователя до загрузки операционной системы. На самом деле такая защита является расширением функций BIOS и является программой, записанной на ПЗУ данной платы. То есть это еще одна программная защита, выполненная на аппаратном уровне, не снижает риска возможности несанкционированного обхода данного вида защиты. Дополнительный анализ средств защиты, представленных на российском рынке такую псевдо - аппаратную защиту, таких как Dallas Lock (http://www.confident.ru) и ПО Аккорд (http://www.accord.ru) показали, что угроза исходящая от незакрытого канала средств загрузки программного обеспечения остается актуальной. Остается возможным несанкционированное удаление псевдо - аппаратной компоненты, предназначенной для контроля загрузки операционной системы с альтернативных носителей, после чего возможна загрузка рабочей станции с альтернативных носителей и преодоление системы защиты. Возможно, также несанкционированное изменение программы ПЗУ данных устройств, что может быть использовано для НСД к защищаемой информации. В тех системах (http://www.cobra.ru), где система предотвращения загрузки компьютера реализована с помощью программных средств шифрования или специальных драйверов, может привести к тому, что будет утрачено основное свойство обрабатываемой информации — свойство доступности. Так как шифрование данных, очень трудоемкая операция и требует достаточно много процессорного времени, его применение связано с большими потерями производительности системы. Использование же в механизмах шифрования данных «на лету» скоростных криптоалгоритмов связано со снижением их криптостойкости. При использовании специализированных драйверов велика вероятность потери данных вследствие несовершенства драйвера. Еще одним возможным каналом несанкционированного доступа является возможность несанкционированного подключения к вычислительной сети компьютера нарушителя, путем отключения рабочей станции и использованием сетевого кабеля данной рабочей станции для подключения к ЛВС и последующим НСД к серверу или другим рабочим станциям. В связи с наличием угроз, незакрытыми со стороны современных средств защиты, предлагается ввести дополнительную классификацию по уровню распространения угрозы. Предлагается использовать три уровня: 1. уровень рабочей станции; 2. уровень сети; 3. уровень предприятия. Для дальнейших исследований, сопоставим каждую выявленную угрозу к одному из предложенных уровней: 1. Для уровня рабочей станции: Возможность обойти защиту путем загрузки операционной системы с альтернативных носителей, таких как дисковод или CD-привод. Как было выяснено, современные средства защиты не могут противостоять данной угрозе. Несанкционированное удаление, перевод в пассивное состояние, программной компоненты добавочной защиты, во время штатного режима функционирования системы, с последующим НСД к информации. Несанкционированный физический доступ к винчестеру (НЖМД) рабочей станции, путем снятия задней крышки системного блока. 2. Для уровня вычислительной сети: Несанкционированное подключение к вычислительной сети компьютера нарушителя, путем отключения рабочей станции и использованием сетевого кабеля данной рабочей станции для подключения к ЛВС и последующим НСД к серверу или другим рабочим станциям.
Метод построения системы контроля вскрытия аппаратуры
Для построения защиты от НСД на уровне вычислительной сети предлагается использовать следующие компонентами добавочной защиты: 1. программная компонента; 2. аппаратная компонента; 3. серверная компонента; 4. система контроля вскрытия аппаратуры (для обеспечения объектовой защиты). Каждая компонента рассчитана на защиту определенного набора возможных каналов НСД. Таким образом, программная, аппаратная и система контроля вскрытия аппаратуры представляют собой замкнутую многоуровневую систему защиты, схематично изображенную нарис. 2.7.
В связи с тем, что программная и аппаратная компоненты были описаны в предыдущих параграфах, необходимо описать систему контроля аппаратуры.
Системы контроля вскрытия аппаратуры состоит из датчиков вскрытия аппаратуры, цепи сбора сигналов и специализированного рабочего места центрального контроля (сервера безопасности). В качестве датчиков могут использоваться контактные датчики, фиксирующие открывание и закрытие дверей, панелей соединительных кабелей и корпусов системных блоков.
Как уже говорилось, проблеме контроля вскрытия аппаратуры уделяется недостаточно внимания, но в той литературе, где эта проблема рассматривается, предлагают строить систему контроля вскрытия аппаратуры путем прокладки дополнительных кабелей сбора сигналов с датчиков. Прокладка таких дополнительных кабелей соизмерима со стоимостью прокладки самой вычислительной сети, что экономически нецелесообразно.
Известно, что при использовании витой пары для прокладки вычислительной сети используется только четыре провода из восьми для обмена информацией, еще четыре провода остаются свободными, и могут быть использованы для построения системы контроля вскрытия аппаратуры [42]. Только четыре из восьми проводов используется для протоколов lOBaseT, 100BaseTX, АТМ155.
Использование незадействованных в передачи данных проводов так же не создает помехи передачи данных, что не уменьшит производительности сети в целом. Общий вид СКВ А представлен на рис. 2.8. Предложенная система контроля вскрытия аппаратуры будет обладать следующими достоинствами: отсутствием дополнительных кабелей от датчиков к серверу (используется кабельная система существующей ЛВС); возможностью контроля аппаратуры на различных расстояниях (там, где есть проложенные кабели вычислительной сети); возможностью высокой степени детализации сигнала НСД (определения конкретной рабочей станции, где произошло несанкционированное действие); возможностью контроля большого количества технических средств; возможностью определения одновременных попыток НСД на нескольких объектах; простотой схемы реализации. На рис. 2.9 приведен алгоритм работы системы контроля вскрытия аппаратуры для одного датчика (одного устройства). Для каждого дополнительного устройства создается свой поток (процесс), который работает так же по данному алгоритму. То есть количество устройств равно количеству потоков (процессов). Устройство сбора сигналов с датчиков предлагается строить таким образом, что при возникновении НСД, данная рабочая станция может быть отключена от вычислительной сети путем блокирования передающих проводов. При построении серверной компоненты системы защиты рассматривается два подхода: 1. распределенный; 2. централизованный. При построении распределенной системы безопасности на каждую рабочую устанавливается программная и аппаратная компоненты, как было описано в предыдущем параграфе. На сервер безопасности устанавливается система контроля вскрытия аппаратуры, подсистема регистрации и учета, которая обеспечивает обмен данными с одноименной подсистемой системы защиты рабочей станции. Так же на сервере безопасности размещается система управления настройками системы безопасности рабочих станций [45]. Серверная часть (сервер безопасности) обеспечивает хранение настроек системы безопасности, необходимых для работы защитных механизмов, в центральной базе данных (ЦБД) и обслуживает запросы, поступающие от клиентов (программной компоненты). Одной из основных функций сервера безопасности является согласование содержимого ЦБД и локальных баз данных (ЛБД) клиентов. Это необходимо для гибкого управления распределенной системой безопасности и выполняется привилегированным пользователем по мере необходимости. Таким образом, для обеспечения работоспособности системы безопасности сервер безопасности содержат: средства регистрации и учета; средства оповещения; систему управления настройками клиентов (программной компоненты рабочих станций); средства управления системой контроля вскрытия аппаратуры Структура взаимодействия рабочей станции и сервера безопасности в распределенной системе защиты представлена на рис. 2.10. При построении централизованной системы безопасности, для увеличения уровня безопасности и уменьшения нагрузки на рабочую станцию, часть функций, которые выполняет программная компонента, предлагается переложить на сервер. Тогда системы безопасности рабочей станции будет содержать аппаратную компоненту и следующие подсистемы программной компоненты: подсистему идентификации; криптографическую подсистему; подсистему контроля целостности операционной системы; подсистему контроля целостности средства защиты; А серверная компонента будет содержать: подсистему разграничения прав доступа; подсистему регистрации и учета; систему контроля вскрытия аппаратуры Структура взаимодействия рабочей станции и сервера безопасности в централизованной системе защиты представлена на рис. 2.11. Как видно из представленной структуры, подсистема разграничения прав доступа у рабочей станции отсутствует.
Модель рабочей станции с добавочной защитой при построении централизованной С 3
При построении централизованной системы безопасности, для увеличения уровня безопасности и уменьшения нагрузки на рабочую станцию, часть функций, которые выполняет программная компонента, предлагается переложить на сервер. Тогда системы безопасности рабочей станции будет содержать аппаратную компоненту и следующие подсистемы программной компоненты: подсистему идентификации; криптографическую подсистему; подсистему контроля целостности операционной системы; подсистему контроля целостности средства защиты; А серверная компонента будет содержать: подсистему разграничения прав доступа; подсистему регистрации и учета; систему контроля вскрытия аппаратуры Структура взаимодействия рабочей станции и сервера безопасности в централизованной системе защиты представлена на рис. 2.11. Как видно из представленной структуры, подсистема разграничения прав доступа у рабочей станции отсутствует. Основную роль системы разграничения прав доступа субъектов к объектам доступа, выполняет подсистема разграничения прав доступа сервера безопасности. Достоинства построения централизованной системы безопасности: увеличивается уровень безопасности, так как настройки системы безопасности находятся на сервер, а не на каждой рабочей станции уменьшается нагрузка на рабочую станцию Недостатки построения централизованной системы безопасности: уменьшение надежности, если сервер выйдет из строя вся сеть не сможет функционировать Суть несанкционированного подключения, состоит в том, что к вычислительной сети может быть подключен компьютер нарушителя, путем отключения рабочей станции и использованием сетевого кабеля данной рабочей станции для подключения к ЛВС и последующим НСД к серверу или другим рабочим станциям [48].
Предлагаемый метод противодействия данной угрозе основывается на системе контроля вскрытия аппаратуры. Как уже говорилось, для построения системы контроля вскрытия аппаратуры предлагается использовать незадействованные провода витой пары. Для противодействия данной угрозе предлагается использовать незадействованные в передаче данных провода, как показано на рис. 2.12. Тогда при возникновении такой угрозы, при которой произойдет отключение рабочей станции от вычислительной сети, произойдет также отключение от системы СКВА. Таким образом, при очередной проверки наличия датчика системой контроля аппаратуры будет обнаружен обрыв и данная рабочая станция будет отключена от вычислительной сети путем подачи соответствующего сигнала на устройство сбора сигналов с датчиков.
Общий анализ проблемы автоматизации систем управления доступом показывает, что для контроля доступа в помещения может быть использована система контроля вскрытия аппаратуры. Для этого вместо того, чтобы устанавливать конечное оборудования с датчиком на системный блок, такое же оборудование можно установить на дверь, тогда открытие и закрытие двери будет регистрироваться сервером безопасности.
Если в качестве конечного оборудования использовать не датчики (переключатели) имеющие только два положения открыто/закрыто, а более интеллектуальное оборудование, например электронные идентификаторы, то с помощью системы контроля вскрытия аппаратуры можно построить систему контроля доступа, как показано на рис. 2.14.
Всем сотрудникам компании, в которой установлена система контроля доступа, выдаются специальные электронные пропуска, например, "Touch Memory", представляющие собой электронный идентификатор в виде «таблетки», который содержит персональные коды доступа.
Считыватели, устанавливаемые у входа в контролируемое помещение, распознают код идентификаторов. Информация поступает в систему контроля доступа (сервер администратора безопасности) через устройство сбора сигналов с датчиков, такое же, как в системе контроля вскрытия аппаратуре. Сервер администратора безопасности на основании анализа данных о владельце идентификатора, принимает решение о допуске или запрете прохода сотрудника на охраняемую территорию.
В случае разрешения доступа, система приводит в действие исполнительные устройства, такие как электрозамки, шлагбаумы, электроприводы ворот и т.п. В противном случае двери блокируются, включается сигнализация и оповещается охрана.
Исследования изменения времени ожидания в процессоре
Для исследования влияния добавочных средств защиты на загрузку процессора использовались результаты исследований при плавном увеличении загрузки при помощи изменения интенсивностеи поступления задач в систему.
Исследования увеличения загрузки процессора производились на двух моделях: модель рабочей станции без добавочной защиты и модели рабочей станции с добавочной защитой, для распределенной и централизованной системы защиты (СЗ). На вход этих моделей подавались увеличивающиеся значения интенсивностеи задач, поступающих в систему. За счет изменения интенсивности происходил плавный рост загрузки процессора. Затем, для двух моделей, при одинаковых входных параметрах интенсивностеи поступления заявок, были получены разные значения загрузки процессора. Разность этих значений в процентном соотношении представлена на рис. 5.1, это график влияния добавочных средств защиты на роста загрузки процессора.
Как видно из графика, наибольшая разница в загрузке приходятся на зону, где загрузка процессора очень мала (до 40%). Это связано с тем, что в систему поступает такое количество задач, выполнение которых соизмеримо с выполнением операций обеспечения безопасности. Поэтому для модели с добавочной защитой загрузка процессора на много выше, чем для модели без защиты. При малых загрузках в среднем на безопасность тратится больше процессорного времени, чем при других уровнях загрузки.
Для исследования изменения среднего времени ожидания использовались результаты исследований при плавном увеличении загрузки при помощи изменения интенсивностей поступления задач в систему.
Исследования изменения среднего времени ожидания производились на двух моделях: модель рабочей станции без добавочной защиты и модели рабочей станции с добавочной защитой, для распределенной и централизованной системы защиты. На вход этих моделей подавались увеличивающиеся значения интенсивностей задач, поступающих в систему. За счет изменения интенсивности происходил плавный рост загрузки процессора. Затем, для двух моделей, при одинаковых входных параметрах интенсивностей поступления заявок, были получены разные значения среднего времени ожидания. Разность этих значений соотношении представлена на рис. 5.2, это график увеличения среднего времени ожидания в зависимости от загрузки процессора для распределенной и централизованной системы защиты.
Как видно из представленного графика, динамика роста среднего времени ожидания для распределенной системы защиты выше при загрузке процессора, стремящейся к единице. Это связано с тем, что при распределенной СЗ, диспетчер доступа реализован локально, на каждой рабочей станции, что является дополнительной нагрузкой для процессора.
Для исследования изменения среднего времени ожидания в НЖМД использовались результаты исследований при плавном увеличении загрузки при помощи изменения интенсивностей поступления задач в систему.
Исследования изменения среднего времени ожидания производились на двух моделях: модель рабочей станции без добавочной защиты и модели рабочей станции с добавочной защитой для распределенной системы защиты. На вход этих моделей подавались увеличивающиеся значения интенсивностей задач, поступающих в систему. За счет изменения интенсивности происходил плавный рост загрузки процессора. Затем, для двух моделей, при одинаковых входных параметрах интенсивностей поступления заявок, были получены разные значения среднего времени ожидания для НЖМД. Разность этих представлена на рис. 5.3, это график увеличения среднего времени ожидания в зависимости от загрузки процессора. Как видно из графика увеличение среднего времени ожидания для НЖМД незначительно даже для высоких уровней загрузки. В результате исследования влияния предложенного метода на загрузку процессора, можно сделать вывод, что при малых загрузках процессора наблюдается наибольшее увеличение загрузки, связанное с дополнительными затратам на обеспечение защиты. Это объясняется тем, что в систему поступает такое количество задач, трудоемкость которых соизмерима с трудоемкостью выполнения операций обеспечения безопасности. 2. Хотя при наименьшей загрузке процессора, наблюдается наибольшее увеличение загрузки, увеличение среднего времени ожидания для этого же участка графика минимальна, следовательно, для пользователя, применение добавочных средств защиты будет фактически незаметно. 3. Исследование увеличения среднего времени ожидания для НЖМД при построении распределенной системы защиты, показало, что характер данных изменений такой же, как и для процессора, следовательно, нет необходимости к предъявлению дополнительных требований к НЖМД при применении предложенного метода защиты. 4. Исследования производились как для распределенной системы защиты, так и для централизованной системы защиты, в результате можно сделать вывод, что эффективной областью применения предложенной системы защиты может быть как малая загрузка рабочих станций, так и загрузка близкая к предельной.