автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.18, диссертация на тему:Модели, методы и программное обеспечение для построения объединенного интернет/интранет сервера организации, обеспечивающего безопасность информационных ресурсов

На правах рукописи

Ермаков Дмитрий Германович

МОДЕЛИ, МЕТОДЫ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ДЛЯ ПОСТРОЕНИЯ ОБЪЕДИНЕННОГО ИНТЕРНЕТ/ИНТРАНЕТ СЕРВЕРА ОРГАНИЗАЦИИ, ОБЕСПЕЧИВАЮЩЕГО БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ

Специальность: 05.13.18 - математическое моделирование, численные методы и комплексы программ

Автореферат

диссертации на соискание ученой степени кандидата физико-математических наук

Екатеринбург - 2005

Диссертация выполнена в Лаборатории компьютерных технологий Института математики и механики УрО РАН.

Научный руководитель - кандидат физико-математических наук

Устюжанин Александр Михайлович Официальные оппоненты - доктор технических наук

Будаи Борис Тиборович - кандидат физико-математических наук, доцент Мелких Алексей Вениаминович Ведущая организация - Институт вычислительных технологий

СО РАН (Новосибирск)

Защита состоится "23" мая 2005 года в "16" часов на заседании диссертационного совета К 212.285.01 при ГОУ ВПО «Уральский государственный технический университет - УПИ», 5-ый учебный корпус.

С диссертацией можно ознакомиться в библиотеке УГТУ-УПИ.

Отзыв на автореферат в одном экземпляре, заверенный гербовой печатью, просим направить по адресу: 620002, г. Екатеринбург, ул. Мира, 19, ГОУ ВПО УГ-ТУ-УПИ, ученому секретарю университета.

Автореферат разослан "22" апреля 2005 г.

Ученый секретарь диссертационного совета К 212.285.01, кандидат химических наук,

доцент

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность

Процесс построения глобального информационного общества в XXI веке, охватывает все сферы жизни человека: науку, образование, культуру, бизнес, политику и т.д. Важнейшим условием формирования такого общества является широкое применение информационных технологий как основы для оперативного и интенсивного взаимодействия всех сфер общества. Следовательно, постоянно имеется необходимость создания новых и совершенствования уже существующих информационных систем на принципах открытости и свободы доступа к информации, что предполагает создание единого информационного пространства, предоставляющего всем пользователям возможность получения доступа к информационным ресурсам, соответствующим их полномочиям, и максимально оперативное получение необходимой информации.

Основой таких систем стала глобальная сеть Интернет. В последние годы Интернет переживал феноменальный рост, причем увеличение числа соединений превышало темпы, имевшие место ранее.

Применение Web-технологии в корпоративной сети, которая может быть изолированной от Интернета, называется Интранет-технологией. Интранет-сети, получающие все более широкое распространение, основаны на внутрикорпоративных Web-серверах, доступ пользователей к которым регламентирован.

Информация, предоставляемая внешними (публичными) Web-серверами предприятия, в большинстве случаев, является подмножеством информации, предоставляемой внутренними Интранет Web-серверами. В связи с этим в настоящее время весьма актуальной является задача объединения внешних и внутренних Web-серверов в корпоративный портал на основе общего хранилища данных и единого технологического процесса сопровождения и наполнения.

Требования к защите информации, не отнесённой к категории секретной по СЗИ НСД (п.2.17 РД ФС), формулируются стандартом ГОСТ Р ИСО/МЭК 15408-Х-2002 «Общие критерии» (ОК), принятым по инициативе Гостехкомиссии РФ (ФСТЭК России) и введённым в действие с 1 января 2004 года.

Программное обеспечение портала должно поддерживать автоматическое распознавание внешних и внутренних пользователей; производить идентификацию и аутентификацию пользователей, на основе которой предоставлять информацию в соответствии с правами, определяемыми учетными записями пользователей; обеспечивать целостность данных; противостоять угрозам безопасности системы.

Необходимо отметить, что Web-разработчики концентрируют основное внимание на внешнем аспекте работы Web-представительств в ущерб тщательной проработке механизмов разграничения доступа к информации и надёжного хранения данных. Результатом этого является отсутствие проработанных механизмов разграничения доступа к корпоративным порталам, в первую очередь, автоматической, невидимой для пользователя процедуры распознавания клиентов «свой - чужой», так как в ряде случаев различение только по ^-адресу оказывается недостаточным, а парольная идентификация - избыточной. Слабая защищенность информационных ресурсов многих сайтов от нарушений целостности при манипулировании данными в приложениях с Web-интерфейсом обуславливается тем, что в базовом http-протоколе отсутствует понятие сеанса, и нет средств поддержки транзакций. Разработчики это не учитывают и не вводят соответствующие средства в свои продукты. Ситуация усугубляется за счёт передачи работ по созданию Web-представительств сторонним разработчикам.

Таким образом, открытый и прозрачный доступ к информации вступает в противоречие с необходимостью обеспечения сохранности государственной и коммерческой тайны, конфиденциальной и личной информации, достоверности и целостности данных. В этом случае основные достоинства Интернета - открытость, общедоступность и анонимность превращаются в его недостатки.

Противоречие между требованиями всё большей открытости и обеспечения информационной безопасности не может быть разрешено имеющимися средствами. Одной из основных целей данного исследования является разработка методов и средств практического противодействия этим новым вызовам и угрозам.

Данная работа решает следующие актуальные задачи создания объединенного Интернет/Интранет сервера предприятия:

• разграничение доступа различных групп пользователей на основе незаметной для пользователя процедуры автоматического распознавания клиентов по отношению «свой - чужой»;

• формирование выходных документов в соответствии с результатом распознавания при обращении по одному и тому же полному Интернет-адресу ресурса (URL - Uniform Resource Locator)',

• защиту от утраты обновлений при параллельном редактировании данных в приложениях с Web-интерфейсом.

Работа выполнялась в соответствии с планами НИР Института математики и механики Уральского отделения РАН по госбюджетной теме «Компьютерные технологии обеспечения научных исследований» (№01990001345) в период с 1994 по 2005 г. включительно. Работа поддержана грантом INTAS в рамках программы развития телекоммуникаций в республиках бывшего СССР EmNet/NIS Европейского математического общества Eitromath (1993-1998 гг.) (http://hamlet.dnlb. .dk/) и грантом Российского фонда фундаментальных исследований в рамках проекта «МАТЕМАТИКА» (1995-1997 гг.).

Целью настоящего исследования является разработка

• модели разграничения доступа к объединённому Интернет/Интранет сайту предприятия (корпоративному порталу) на основе теории множеств и критериев для неявной классификации клиентов по зонам доступа;

• методов и алгоритмов разграничения доступа к корпоративному порталу в соответствии с выработанными критериями и правами пользователей;

• комплекса программ корпоративного портала на основе централизованного хранилища данных, единой точки доступа и средств идентификации пользователей, обеспечивающего следующие функции:

- автоматическое, незаметное для пользователя, определение типа клиента, зоны доступа и языка отображения информации;

- формирование документов в соответствии с зоной доступа клиента и правами пользователя при обращении по одному и тому же полному URL;

- защиту информации от утраты обновления при редактировании приложениями с Web-интерфейсом;

- системно-независимые средства обеспечения объектов файловой системы метаданными, позволяющими реализовать механизмы меток доступа, определяющих отношение объекта к той или иной зоне и его блокировку от записи; а также обладающего свойством устойчивости к атакам злоумышленников.

На защиту выносятся

• зональная модель разграничения доступа к корпоративному порталу основанная на теории множеств, отличающаяся от традиционной способом определения базовых множеств клиентов и субъектов доступа и установкой одностороннего доверительного межзонального отношения;

• правила разграничения доступа пользователей (правила формирования матрицы доступа) к системным ресурсам и требования к клиентам системы, на основе зональной модели и понятия доверия;

• алгоритмы и комплекс программ, выполняющий автоматическое определение типа клиента, зоны доступа и языка отображения информации для субъекта доступа;

• структуры данных, обеспечивающие автоматическое формирование документов, различающихся полнотой содержащихся в них сведений, в соответствии с зоной доступа и правами пользователя при обращении по одному и тому же URL на основе механизма меток доступа для файловых систем и реляционных СУБД, непосредственно не поддерживающих этот механизм;

• алгоритмы обеспечения целостности данных при параллельном редактировании средствами, использующими Web-интерфейс, и комплекс программ на их основе.

Научная новизна

В работе впервые дано формальное описание зональной модели разграничения доступа в применении к объединенному Интернет/Интранет сайту на основе теории множеств. Определены новые критерии для разделения клиентов по отношению «свой - чужой» в соответствии с их типами, отношением к сетевой инфраструктуре, времени суток. Созданы алгоритмы, комплекс программ и

структуры данных, обеспечивающие распределение субъектов доступа по зонам безопасности в соответствии с выработанными критериями и формирование различных потоков данных при обращении к одним и тем же URL для клиентов, относящихся к различным зонам.

Разработаны алгоритмы, комплекс программ и структуры данных, обеспечивающие целостность данных при их параллельном редактировании с использованием Web-интерфейса. Впервые рассмотрена проблема «утраченного обновления» в применении к приложениям с Web-интерфейсом. На основе теории массового обслуживания показано, что проблема неизбежно возникает при увеличении количества информационных объектов, среднего времени редактирования, потока заявок на редактирование и величины рассматриваемого промежутка времени. Предложены методы её решения на основе механизма блокирования. Рассмотрены смежные проблемы: «бесконечного откладывания», «тупиковой блокировки», «грязного чтения данных». Разработаны оригинальные алгоритмы и комплекс программ для разрешения этих проблем.

Предложены и реализованы структуры тегов файлов, таблиц и представлений, моделирующие механизм меток доступа для файловых систем и реляционных СУБД.

Практическая ценность

Разработанные модель разграничения доступа, комплекс программ и структуры данных позволяют создать единый Интернет/Интранет сервер предприятия, обеспечивающий целостность предоставляемых данных и разграничение доступа для различных категорий пользователей.

Предложенные решения приводят к тому, что внешний Web-сайт не является отдельным проектом, а управляется в едином технологическом процессе с внутренним Web-сайтом, не требует дополнительных ресурсов и расходов на администрирование и управление, является постоянно актуальным по содержанию. При этом исключается дублирование работ по сбору и обработке информации.

Интеграция серверов на основе подходов, представленных в данной диссертационной работе, решает проблему «обратной масштабируемости» безопасности в распределённых системах.

На основе разработанных модели, методов и алгоритмов построен официальный сайт Института математики и механики УрО РАН (http://www.imm.uran.ru/). Они также применены при создании сайта Института машиноведения УрО РАН (http.//www.imach.uran.ru/) и в системе дистанционного образования Колледжа предпринимательства и социального управления (http://kpsu.ru/).

Методика исследования

В работе применяются методы и результаты теории множеств, теории вероятностей и массового обслуживания, теории баз данных. Используются системный подход к исследованию структур информационных ресурсов предприятия. При реализации комплекса программ применены методологии экстремального, структурного и объектно-ориентированного программирования, технологический инструментарий прикладного программирования на ПЭВМ.

Достоверность результатов

Достоверность полученных результатов и выводов подтверждена всесторонним тестированием разработанного комплекса программ и натурными экспериментами.

Личный вклад соискателя

Лично автором разработаны все основные положения, выносимые на защиту, а также алгоритмическое и программное обеспечение, реализующее как указанные методики, так и другие используемые научно-практические методы.

Апробация работы

Научные результаты и основные положения работы докладывались и обсуждались на III Международном рабочем совещании EmNet/NIS «Электронные издательские системы для науки и образования (EPS4SE-98)» (1998, Пере-славль-Залесский); V рабочем совещании по электронным публикациям «EL-Pub-2000» (2000, Новосибирск); Рабочем совещании «Новые Интернет-технологии» (2000, Петрозаводск); Всероссийском семинаре «Информационные технологии в энергетике: современные подходы к анализу и обработке информации» (2001, Иркутск); Всероссийской научно-методической конференции

«Телематика'2002» (2002, Санкт-Петербург); VIII Международной конференции по электронным публикациям «EL-Pub-2003» (2003, Новосибирск); XI Всероссийской школе-коллоквиуме по стохастическим методам и V Всероссийском симпозиуме по прикладной и промышленной математике (осенняя открытая сессия, Сочи, 26 сентября - 3 октября 2004 г.).

Публикации

Основное содержание диссертации отражено в 13 работах. Опубликовано 3 статьи, 3 доклада, 4 тезисов докладов, 3 депонированные рукописи. В совместных публикациях автору принадлежат результаты на концептуальном и техническом уровне. Список публикаций приведен в конце автореферата.

Структура и объём диссертации

Диссертационная работа состоит из введения, четырех глав, заключения, списка литературы из 110 источников и приложения. Основной текст изложен на 152 страницах (220 страницах с учетом приложения), содержит 7 таблиц и 32 иллюстрации.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертационной работы, сформулированы цели и задачи исследования, а также основные требования к разрабатываемым комплексам программ, перечислены основные положения, выносимые на защиту.

В первой главе приведен обзор современного состояния проблематики по теме диссертации. Рассмотрена эволюция моделей информационных систем, как корпоративных, так и общего пользования, от модели централизованной обработки на основе мэйнфреймов до распределенной модели, построенной на основе Web-технологии, создающей для конечного пользователя среду, выглядящую аналогично единой централизованной системе. Показана аналогия между технологиями мэйнфрейм - терминал и HTTP-сервер - браузер. Выявлена тенденция к объединению информационных систем предприятия с Интернет и Интранет серверами в единые системы - «виртуальный мэйнфрейм», называемые корпоративными порталами, предоставляющими единую точку входа всем группам пользователей, которая обеспечивает их единым пользовательским ин-

терфейсом на основе универсального клиента, такого как Web-браузер. Приводится классификация порталов и требования, предъявляемые к ним разными категориями пользователей. Рассмотрены средства для управления структурой, оформлением и содержанием корпоративных порталов (Content Management System, CMS). Перечислены требования, предъявляемые к CMS-решениям. Проведено сравнение доступных (свободно распространяемых) средств CMS, разрабатывавшихся параллельно со средствами, представленными в данной диссертационной работе. Отмечено, что решения, обеспечивающие эквивалентную представленной в данной работе функциональность, в середине 90-х годов XX в. не предлагались как поставщиками коммерческих программных продуктов, так и разработчиками свободно распространяемого программного обеспечения.

Вторая глава посвящена вопросам разграничения доступа пользователей к ресурсам корпоративного портала. Дано неформальное описание зональной модели разграничения доступа к корпоративному порталу. Модель отличается от общепринятой новыми критериями для разделения клиентов по отношению «свой - чужой» в соответствии с их типами, отношением к сетевой инфраструктуре, времени суток и вложенностью зон. На основе модели предложена классификация групп субъектов доступа в соответствии с классификацией ресурсов сервера, предоставляемых пользователям. Выделены следующие зоны.

1. «Зеленая зона» - зона, клиентам которой разрешается доступ только к информации, предназначенной для свободного доступа из любой точки Интернет/Интранет сети.

2. «Желтая зона» охватывает клиентов локальной сети предприятия. Информация, доступная в «зеленой зоне», доступна и пользователям «желтой зоны». Дополнительно клиентам, находящимся в «желтой зоне», предоставляется информация, предназначенная только для сотрудников предприятия.

3. «Красная зона» - зона повышенной защищенности. Ссылки на ресурсы этой зоны видны клиентам «желтой зоны», но не видны из «зеленой зоны», доступ к ним закрыт и предоставляется только зарегистрированным пользователям после предъявления пользовательского идентификатора и пароля. Эта зона предназначена для администрации предприятия, начальников подразделений, отдела кадров, бухгалтерии и т.д.

Приводится обоснование требований к субъекту доступа для отнесения его к той или иной зоне Важную особенность предложенного зонального подхода составляет то, что пользователь обращается по одному и тому же адресу URL вне зависимости от того, к какой зоне может быть отнесен клиент.

Далее дано теоретико-множественное описание зональной модели разграничения доступа для объединённого Интернет/Интранет сайта масштаба предприятия

Зональная структура системы определяется отображениями f^S-bZ, где значением является зона которой принадлежит субъект доступа

имеет значением зону в которой размеща-

ется информационный объект оеО

Как часть критериев для определения зоны выделяется язык отображения данных, запрошенный пользователем. Рассмотрены методы и их реализация для автоматического определения языка отображения информации (русский/английский).

ОБЪЕКТЫ ДОСТУПА СУБЪЕКТЫ ДОСТУПА

Рис. 1. Зоны доступа.

Рассмотрено автоматическое определение типа клиента (HTTP или WAP) для формирования потока данных, соответствующего этому типу (переадресация на WAP-сервер) (рис. 1).

Описаны разработанный комплекс программ для определения зоны субъекта доступа, языка отображения данных и типа клиента и их экспериментальная проверка. Важно отметить, что определенная часть сайта должна быть доступна без запроса на идентификацию. Для доступа к данным «красной» зоны рассматриваются возможные способы авторизации и идентификации, их сильные и слабые стороны. Исследуются различные варианты построения средств разграничения доступа для систем, основанных на Web. Обосновывается выбор методов идентификации пользователей для «красной» зоны. Описывается их реализация.

В третьей главе рассмотрен механизм тегов файлов и языковые средства, предназначенные для разграничения доступа к объектам файловой системы. Предложен алгоритм формирования результирующего документа на основе механизма тегов файлов, который может быть описан следующим образом:

1) определяется зона принадлежности субъекта доступа;

2) строится список файлов с алиасами, удовлетворяющими заданному шаблону;

3) из списка исключаются файлы с меткой доступа, указывающей на более высокий классификационный уровень, чем назначен субъекту;

4) если требуется, из списка исключаются файлы, не актуальные для текущей даты;

5) если пользователь не привилегированный, из списка удаляются файлы, для которых установлен актуальный для данного скрипта признак блокирования;

6) если будет производиться редактирование, для каждого из файлов списка устанавливается блокирующий тег;

7) список файлов упорядочивается, например, согласно весовым коэффициентам алиасов;

8) формируется результирующий документ и передаётся клиенту. Данный алгоритм обеспечивает формирование различных потоков данных при обращении к одним и тем же URL для клиентов, отнесённых к различным зонам.

Разработан алгоритм формирования матрицы безопасности, разграничивающей доступ к данным. Для назначения различных уровней ценности атомарным элементам информации, хранимых средствами реляционной СУБД,

используются метки доступа. Большинство реляционных СУБД не имеют встроенных механизмов меток доступа. Предложен механизм моделирования меток доступа средствами таких СУБД. Рассмотрено решение, обеспечивающее наследование значений меток доступа для иерархических структур данных.

Решена проблема, известная в теории баз данных как проблема «утраченного обновления». Проблема возникает в случае параллельного редактирования данных при помощи приложений с Web-интерфейсом (рис. 2).

Рис. 2. Утрата обновления.

Дано решение проблемы на основе механизма блокирования, включаемого непосредственно в серверные скрипты (рис. 3), реализующие процедуры редактирования.

I1 I2

м редактирование м

ожидание редактирование ¡2

'

Рис. 3. Установка блокировки.

Установленная блокировка не запрещает любым пользователям получать доступ к актуальному состоянию информационного объекта только по чтению во время редактирования данного объекта другим пользователем.

При совместном использовании ресурсов блокировка на длительное время недопустима. Предложено устанавливать время «жизни» блокировки. Время первоначально определяется разработчиком в соответствии со сложностью

HTML-формы. На основе статистики, собираемой серверными скриптами при штатном завершении процедуры обновления, это значение может быть автоматически скорректировано. Таким образом, в систему может быть введен элемент самообучения.

Построена вероятностная оценка возможности возникновения проблемы «утраченного обновления». В соответствии с формулами Эрланга, вероятность возникновения утраты обновления Р записывается в виде:

где среднее число заявок на редактирование, поступающих в единицу времени, среднее время редактирования.

Таблица 1.

Зависимость вероятности утраты обновления от среднего времени редактирования и плотности потока обращений г, (минуты)

В таблице 1 показан рост вероятности возникновения проблемы с ростом числа пользователей приложений с Web-интерфейсом, модифицирующих общие данные.

Вероятность R возникновения утраты обновления хотя бы в одном из сеансов редактирования, начавшихся в некоторый произвольный отрезок времени А/ выражается соотношением

Вероятность Ж утраты обновления в какой-либо произвольный интервал времени Л/, при редактировании хотя бы одного из N информационных объектов оценивается исходя из вероятностей возникновения утраты обновления для каждого информационного объекта

*=1-П(1-*,). (3)

Рис. 4. Вероятность утраты обновления для объектов

Таким образом, с увеличением числа информационных объектов увеличением значений утрата обновления возникнет обязательно (рис. 4).

Работоспособность механизма блокировок подтверждается на примере службы новостей, входящей в комплекс программ, обеспечивающий функционирование официального сайта ИММ.

Рассмотрен способ решения проблем, порождаемых введением механизма блокировок: «бесконечного откладывания», «тупиковой блокировка» и «грязного чтения данных».

Получение отказа на все требования на редактирование заблокированного информационного объекта может быть охарактеризовано как наличие очереди нулевой вместимости. Так как темп поступления требований на редактирование и их распределение по времени могут быть неравномерными, то для некоторого пользователя может создаться ситуация «бесконечного откладывания».

Дана вероятностная оценка возникновения проблемы «бесконечного откладывания». Вероятность G возникновения ситуации «бесконечного откладывания» при всех последовательных п запросах описывается формулой

оказывается малой. В интервале изменения от 0 до 1,2 и при вероятность бесконечного откладывания меньше 0,1. Таким образом, проблема бесконечного откладывания редактирования практически не существует.

На основе вероятностной оценки показано, что использование механизмов наращивания приоритетов или старения в настоящее время представляется избыточным. Частично эта проблема решается введением привилегированного пользователя. Блокировка может быть перехвачена привилегированным пользователем, и данные могут быть модифицированы. В этой ситуации другому пользователю, выполнявшему параллельное редактирование, придется повторить свои действия с учетом изменений внесенных привилегированным пользователем.

Введение механизма блокировки может привести к появлению тупиковых ситуаций. Такие ситуации могут быть характерны в первую очередь для приложений, построенных на последовательности форм и обрабатывающих их скриптов. В рассматриваемом решении разблокирование произойдет автоматически по истечении времени ожидания. Для того, чтобы такая ситуация не возникала в принципе, предложено при запуске приложения захватывать сразу все необходимые ресурсы, а если хотя бы один из них уже заблокирован клиенту будет отказано в доступе для изменения данных.

Рассмотрена проблема «грязного чтения данных» и методы организации постраничного вывода данных в Web-приложениях с минимизацией негативного воздействия проблемы «грязного чтения данных» для них.

(4)

Так как-=<1,то, при больших п вероятность «бесконечного откладывания»

1+Ат

Рассмотренные решения работают только тогда, когда пользователи обращаются к данным при помощи однородного программного обеспечения. В случае использования разнородных средств, проблема сохраняет свою актуальность. Например, при параллельном редактировании файла несколькими пользователями посредством приложения с Web-интерфейсом и штатными средствами операционной системы (например, текстовым редактором), установленная Web-приложением блокировка не срабатывает. Проблема, в этом случае, разрешается за счет организационно-технических мероприятий.

Четвертая глава посвящена организационно-техническим мероприятиям обеспечения безопасности объединенного сервера, функционирующего в ИММ УрО РАН. На основе анализа данных статистического учета обращений к официальному сайту ИММ показано, что в зональной модели в качестве чужих определяется на 24% больше субъектов доступа, чем при использовании общепринятого распознавания свой-чужой по IP-адресам. Установлено, что данное превышение не оказывает существенного влияния на эффективность функционирования системы, так как определяется количеством обращений с физических установок локальной сети предприятия в нерабочее время.

Web-сервер работает под управлением ОС MS Windows 2000 Server (русскоязычная версия). Входящая в стандартную поставку ОС MS Windows 2000 служба IIS (Internet Information Services) используется для работы официального и ряда других сайтов. Для выполнения требуемых функций используется следующее программное обеспечение:

• Internet Information Services. Стандартный Интернет-сервер в составе Windows 2000 Server. Используется как HTTP-сервер (Web-страницы) и SMTP-сервер (средства электронной почты используются для рассылки сообщений приложениями сайта); установлены расширения, обеспечивающие поддержку WAP.

• MS SQL Server 2000 используется для хранения и доступа к основной базе данных сайта; также используются унаследованные данные, хранение и доступ к которым производится средствами СУБД MS ACCESS.

• Для обеспечения работоспособности серверных приложений перенесенных с UNIX-подобных систем установлены программные средства сервера баз данных MySQL, интерпретаторы Perl и РНР.

• Indexing Services - служба индексирования содержимого документов для

поддержки полнотекстового поиска.

• Сервер терминалов для доступа к «виртуальной консоли» через сеть.

Для доступа к содержимому сайтов используется как стандартная служба

доступа к файлам (протокол NetBIOS), так и протокол HTTP.

Следует считать не полным представление о том, что разграничение доступа достаточно для защиты от злоумышленников Внутренние ошибки в современных информационных системах представляют не меньшую опасность. Поэтому разработаны организационно-технические мероприятия и методические рекомендации, не требующие использования дополнительных аппаратных и программных средств и заключающиеся в периодическом выполнении следующих действий.

Данные всех сайтов размещаются в каталогах, отличных от стандартных каталогов используемых IIS.

Для установленных исправлений и сервисных пакетов от Microsoft, проверяется актуальность обновлений и наличие новых и еще не установленных на данную систему исправлений с помощью утилит MBSA {Microsoft Baseline Security Advisor) и HFNetChk. Отключаются службы, которые на текущий момент не нужны для выполнения функций сервера. Приводится список отключаемых служб и причины их отключения. Настраиваются политики безопасности. Выполняется отключение несуществующих пользователей и настройка привилегий для действующих пользователей. Устанавливаются разрешения на доступ к файлам NTFS и сетевым папкам. Выполняется назначение сетевым службам и локально выполняющимся программам ограниченных полномочий. Настраивается системный аудит. Проводится настройка фильтрации IP-пакетов для предотвращения нежелательных соединений. На основе рекомендаций Microsoft проводится настройка IIS. Обновляется и настраивается ISAPI-фильтр URLScan, отсекающий клиентские запросы в соответствии с заданными шаблонами. Обновляются и настраиваются антивирусные средства. Настраиваются средства резервного копирования.

Проверка настроек всей системы сервера выполняется сканерами безопасности NMap, LANGuard Network Scanner, XSpider, NESSUS с включенными «опасными» опциями. Перед проведением сканирования обязательно производится резервное копирование данных, т.к. изучаемая система может перейти в

неработоспособное состояние с непредсказуемыми последствиями. После восстановления работоспособности сервера, если таковое требуется, и проведения дополнительных настроек и установки актуальных обновлений выполняется контрольное сканирование, подтверждающее, что сервер стал устойчивым к известным методам взлома.

В заключении сформулированы основные результаты диссертации.

В приложении приводятся описание и статистические отчёты обращений к официальному сайту ИММ УрО РАН, листинги программ, реализующих принципы и алгоритмы, описанные в диссертационной работе, протоколы сканирования сервера официального сайта ИММ сканерами безопасности.

Работа была начата в Институте математики и механики УрО РАН, в секторе системного обеспечения ЕС ЭВМ отдела системного обеспечения под руководством кандидата физ.-мат. наук А.Н. Петрова, которым были поставлены основные задачи исследования и сформулирована программа работы.

В связи с безвременной кончиной А.Н. Петрова и реорганизацией подразделения работа была продолжена по скорректированной программе и завершена в лаборатории компьютерных технологий ИММ УрО РАН под руководством кандидата физ.-мат. наук A.M. Устюжанина.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В диссертационной работе на основе анализа литературы сформулировано и обосновано положение о целесообразности создания Интернет/Интранет системы с общим централизованным хранилищем данных, разграничением пользователей по возможности доступа к его ресурсам и обеспечивающей безопасность предоставляемой этой системой информации.

Для реализации такой системы даны вербальное и теоретико-множественное описания зональной модели разграничения доступа. В Интернет/Интранет системе выделены три основные зоны безопасности, характерные для распределённой компьютерной системы такого типа. Сформулирован и обоснован перечень свойств клиентов системы, на основе которых определяется отношение субъектов доступа к той или иной зоне безопасности. При выделении зон безопасности предполагается, что не будет информационных ресурсов, доступных в менее ответственных зонах, но недоступных в более защищенных зонах (зоны

вложены друг в друга) т.е. установлено одностороннее доверительное межзональное отношение. Деление объектов доступа, предлагаемое в зональной модели, соответствует нормативным документам, действующим на территории РФ

Созданы алгоритмы и комплекс программ, реализующие автоматическое определение типа клиента, проверку клиента на соответствие условиям для определения зоны доступа и языка отображения информации (русский/английский).

Предложены и реализованы системно-независимый механизм тегов файлов и структуры данных, обеспечивающие объекты файловой системы произвольными метаданными. Механизм тегов использован для снабжения метками доступа и средствами блокировки записи объектов файловых систем. Предложены и реализованы аналогичные средства для реляционных СУБД.

Разработаны алгоритмы и комплекс программ, обеспечивающие автоматическое формирование выходных документов в соответствии с зоной, к которой отнесён субъект доступа, и значениями меток доступа компонент, из которых составляется выходной документ.

Предложен и реализован метод разрешения проблемы «утраченного обновления» при параллельном редактировании средствами, использующими Web-интерфейс, на основе блокирования редактируемого информационного объекта запрещающего запуск любого другого сеанса редактирования до окончания текущего или истечения заданного интервала времени. Предложены и реализованы средства для решения проблем «бесконечного откладывания» и «тупиковой блокировки», вызываемые блокированием.

На основе проведённых исследований и разработок создан официальный сайт ИММ УрО РАН (http://www.imm.uran.ru/). Проведено всестороннее тестирование сервера официального сайта ИММ на наличие известных уязвимостей. Предложены и реализованы меры по совершенствованию серверного программного обеспечения с целью устранения обнаруженных уязвимостей и повышения устойчивости к атакам злоумышленников. На 14.04.2005 сервер содержит 3079 ASP и 2341 РНР скриптов собственной разработки, 33277 HTML страниц и 117636 других файлов. База данных официального сайта ИММ состоит из 62 таблиц (без учета служебных таблиц и таблиц службы новостей).

Загрузка сервера в среднем за полугодовой период составляет 32752 запросов страниц и 1125 уникальных пользователей ежемесячно.

Кроме того, данные разработки использованы при создании сайта Института машиноведения УрО РАН (к^://упу\у. тасИ.игап.гиЛ и в системе дистанционного образования Колледжа предпринимательства и социального управления (http://kpsu.ruA.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Ермаков, Д.Г. Оценка вероятности возникновения проблемы «утраченного обновления» и некоторые смежные проблемы в приложениях с Web-интерфейсом. / Д.Г. Ермаков, Е.Л. Кротова // Обозрение прикл. и пром. математики: тез. докл. 11-ой Всерос. шк.-коллоквиума по стохаст. методам и 5-ого Всерос. симп. по прикл. и пром. математике. 2004. Т. 11, вып. 4. С. 797.

2. Ермаков, Д.Г. Формальное описание зональной модели разграничения доступа к ресурсам корпоративного портала / Д.Г. Ермаков // Обозрение прикл. и пром. математики: тез. докл. 11 -ой Всерос. шк.-коллоквиума по стохаст. методам и 5-ого Всерос. симп. по прикл. и пром. математике. 2004. Т. 11, вып. 4. 2004. С. 798.

3. Ермаков, Д.Г. Формализация зонной модели разграничения доступа к ресурсам корпоративного портала / Д.Г. Ермаков // Информационно-математические технологии в экономике, технике и образовании: сб. ст. Екатеринбург: УГТУ-УПИ, 2004. С. 112-123.

4. Ермаков, Д.Г. Реализация зональной модели разграничения доступа для официального сайта ИММ / Д.Г. Ермаков // Алгоритмы и программ, средства парал. вычислений: сб. науч. тр. Екатеринбург: ИММ УрО РАН. 2003. Вып. 7. С. 87-116.

5. Ермаков, Д.Г. Решение «проблемы утраченного обновления» на официальном сайте ИММ УрО РАН и сопутствующие конфликты операций чтения/записи / Д.Г. Ермаков // Алгоритмы и программ, средства парал. вычислений: сб. науч. тр. Екатеринбург: ИММ УрО РАН, 2003. Вып. 7. С. 117-138.

6. Ермаков, Д.Г. Конфликты операций чтения/записи при редактировании данных в приложениях с Web-интерфейсом / Д.Г. Ермаков // 8-е рабочее совещ. по электрон, публикациям - «EL-PUB-2003». Новосибирск, 2003.7 с. Библи-

огр.: 5 назв. Деп. в ФГУП НТЦ «Информрегистр». Номер гос. учета 0320300063. Регистрационное свидетельство № 2451 от 4 февр. 2003 г.

7. Ермаков, Д.Г. Проблема утраченного обновления в приложениях с Web-интерфейсом / Д.Г. Ермаков; ИММ УрО РАН. Екатеринбург, 2003.22 с. Биб-лиогр.: 3 назв. Деп. в ВИНИТИ 04.03.2003, № 403-В2003.

8. Ермаков, Д.Г. Кафедра философии в условиях Интернета / Д.Г. Ермаков, Ю.И. Мирошников // Тез. докл. Всерос. науч.-метод. конф. «Телематика 2002», СПб., 2002.

9. Ермаков, Д.Г. Браузеры и терминалы / Д.Г. Ермаков // Информационные технологии в энергетике: соврем, подходы к анализу и обработке информации: Тр. Всерос. семинара: Иркутск: ИСЭМ СО РАН, 2001. 7 с. Библиогр.: 5 назв.

10.Ермаков, Д.Г. Web сайт на основе технологий .ASP и SQL / Д.Г. Ермаков // Рабочее совещ. «Новые Интернет-технологии», Петрозаводск, 25-28 июня, 2000 / Ин-т прикл. мат. исслед. КНЦ РАН. 12 с.

11 .Ермаков, Д.Г. Web сайт на основе технологий .ASP и SQL / Д.Г. Ермаков, И.Р. Иткин, Е.В. Лейман, A.M. Устюжанин // 5-ое рабочее совещ. по электрон, публикациям- «EL-PUB-2000». Новосибирск, 2000. 9 с. Деп. в ФГУП НТЦ «Информрегистр». Номер гос. учета 0320300063. Регистрационное свидетельство № 2451 от 4 февр. 2003 г.

12.Ермаков, Д.Г. Электронные публикации на WWW-сервере ИММ УрО РАН / Д.Г. Ермаков, Н.Н. Моргунова, A.M. Устюжанин // Тр. рабочего совещ. «Электронные издательские системы для науки и образования (EPS4SE-98), 3-е Междунар. рабочее совещ. EmNeT/NIS», Переславль-Залесский, 12-15 мая, 1998 / Ин-т программных систем РАН, Переславль-Залесский, 1998 г. 24 с. Деп. в ФГУП НТЦ «Информрегистр». Номер гос. учета 0320300063. Регистрационное свидетельство № 2451 от 4 февр. 2003 г.

13.Ермаков, Д.Г. Система архивного хранения файлов в СВМ ЕС ЭВМ «ARHIV» / Д.Г. Ермаков, Н.И. Жангарина // Проблемы теорет. и прикл. математики: тез. докл. молодёж. конф. № 22-24. Свердловск, 1993. С. 48-49.

Подписано в печать 15.04.2005. Плоская печать. Тираж 100 экз. Заказ 65

Ризография НИЧ ГОУ ВПО УГТУ-УПИ 620002, г. Екатеринбург, ул. Мира 19

05.13 - 0 f.-(3

19 ?. iV5 5

ВВЕДЕНИЕ.

ГЛАВА 1. ОБЗОР МОДЕЛЕЙ ОБРАБОТКИ ДАННЫХ.

1.1. Модель централизованной обработки.

1.2. Модель распределенной обработки.

1.3. Web - тонкий клиент: возврат к модели централизованной обработки.

1.4. Объединение функций Интернет и Интранет серверов предприятия в единой системе.

1.5. Корпоративные порталы.

1.6. Системы управления контентом.

ГЛАВА 2. ЗОНАЛЬНАЯ МОДЕЛЬ РАЗГРАНИЧЕНИЯ ДОСТУПА И АВТОРИЗАЦИЯ.

2.1. Выбор методов разграничения доступа и авторизации.

2.2. Зональная модель разграничения доступа.

2.2.1. Неформализованное построение зональной модели.

2.2.2. Теоретико-множественное представление зональной модели.

2.2.3. Программная реализация.

2.3. Выбор языка отображения данных.

2.4. Определение типа клиента.

2.5. Идентификация и авторизация пользователей.

2.5.1. Способы реализации средств разграничения доступа для систем, основанных на Web.

2.5.2. Встроенные функции защиты Windows и IIS.

2.5.3. Использование цифровых сертификатов.

2.5.4. Методы идентификации пользователей, применяемые на официальном сайте ИММ УрО РАН.

ГЛАВА 3. СТРУКТУРЫ ДАННЫХ И ИХ БЕЗОПАСНОСТЬ.

3.1. Структуры служебных метаданных файловой системы.

3.2. Организация метаданных для управления доступом к контенту, хранимому средствами реляционной СУБД.

3.3. Целостность данных.

3.3.1. Обеспечение целостности.

3.3.2. Проблема «утраченного обновления».

3.3.3. Оценка вероятности возникновения проблемы «утраченного обновления».

3.3.4. Реализация механизма блокировок.

3.3.5. «Бесконечное откладывание».

3.3.6. Проблема «тупиковой» блокировки.

3.3.7. Проблема «грязного чтения» данных.

ГЛАВА 4. ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.

4.1. Оценка относительной эффективности применения зональной модели

4.2. Возможные угрозы безопасности.

4.3. Настройка базового программного обеспечения.

4.4. Проверка защищённости сервера сканерами безопасности.

4.5. Настройка базовой операционной системы.

4.6. Настройка программного обеспечения HTTP-сервера.

4.7. Настройка файловой системы и СУБД.

4.8. Дополнительные программные средства.

4.8.1. Персональный брандмауэр и детектор атак.

4.8.2. Антивирусные средства.

4.8.3. Резервное копирование.

Процесс построения глобального информационного общества в XXI веке охватывает все сферы жизни человека. Важнейшим условием формирования такого общества является широкое применение информационных технологий как основы для оперативного и интенсивного взаимодействия общества, власти и бизнеса. Следовательно, постоянно имеется необходимость создания новых *и совершенствования уже существующих информационных систем на принципах открытости и свободы доступа к информации.

Основой таких систем стала глобальная сеть Интернет, которая была создана для обеспечения обмена информацией между удаленными пользователями. В последние годы Интернет переживал феноменальный рост, причем увеличение числа соединений превышало темпы, имевшие место ранее.

Развитие технологий Интернет привело к возникновению глобальной службы, получившей название World Wide Web («всемирная паутина», WWW, Web), что обеспечило пользователям возможность работать с информацией в режиме прямого доступа (online), используя подключение пользователя к глобальной сети и специальные программы — клиенты для просмотра информации - браузеры (Web browsers).

Предоставляемая пользователям информация размещается на компьютерах, оснащённых специальным программным обеспечением - Web-cepBepax. Программное обеспечение этих серверов позволяет организовывать размещение информации таким образом, чтобы она могла быть представлена браузерам в виде легко читаемых гипертекстовых документов в формате HTML (HyperText Markup Language) — Web-страниц. Современное программное обеспечение позволяет включать в Web-страницы информацию независимо от способа её хранения в компьютерной системе. Совокупность Web-страниц, объединенных общей идеей и связанных гиперссылками, называют Web-сайтом.

В процессе информатизации различных сфер современного общества создаются открытые информационные системы. Общие свойства открытых информационных систем формулируются следующим образом:

• расширяемость и масштабируемость - обеспечение возможности добавления функций информационной системе при неизменности остальных её функциональных частей и обеспечение повышения производительности системы без модернизации её программных компонентов;

• мобильность и переносимость - обеспечение возможности переноса программ и данных при замене базовой аппаратно-программной платформы и возможность продолжения работы пользователей с системой без переподготовки;

• интероперабельность - способность к взаимодействию с другими системами;

• дружественность к пользователю и доступность.

Эти свойства, взятые по-отдельности, были характерны и для предыдущих поколений информационных систем. Теперь они рассматриваются как взаимосвязанные и реализуются в совокупности в Web-технологии.

Технологии Web постепенно становятся универсальным средством доступа пользователей к информации, хранимой в компьютерных системах. Идёт процесс объединения данных в единое пространство с общими способами сетевой транспортировки и доступа к данным.

Применение Web-технологии в корпоративной сети, которая может быть изолированной от Интернета, называется Интранет-технологией. Интранет-сети, получающие все более широкое распространение, основаны на внутрикорпоративных Web-серверах, доступ пользователей к которым регламентирован.

В настоящее время значительная часть документов хранится на локальных дисках отдельных пользователей сети корпорации и труднодоступна для других специалистов. Использование файл-серверов не оказывает существенного влияния на ситуацию. Документы остаются зачастую невостребованными, скрываясь за ничего не значащими для пользователя именами файлов и структурами каталогов, не соответсвующими структуре информации. Использование средств электронного документооборота, внедрённых в конце 90-х гг. прошлого века, приводит к тиражированию документов. Множество файлов, содержащих один и тот же документ можно обнаружить в различных узлах корпоративной сети, причём эти файлы могут содержать различные версии документа. Файловые системы засоряются, а информация остаётся труднодоступной и не подвергается проверке на актуальность и достоверность.

Информационные системы предприятия, построенные на базе Web, предоставляют возможность решения следующих задач:

• централизованное управление и администрирование данными, хранимыми в файлах разных форматов, в базах данных и системах полнотекстового поиска;

• единый способ предоставления информации на рабочие места корпорации независимо от их местоположения и локального набора программных средств;

• организацию высокоскоростного распространения актуальной информации.

Отметим некоторые преимущества электронных публикаций по сравнению с традиционными:

• быстрее создаются;

• могут содержать в себе всевозможные способы представления информации (текст, графика, звук, движущееся изображение, интерактивные элементы);

• имеется возможность оперативного обновления;

• возможность полнотекстового поиска.

Информация, предоставляемая внешними (публичными) Web-серверами предприятия, в большинстве случаев, является подмножеством информации, предоставляемой внутренними Интранет Web-серверами. В связи с этим в настоящее время весьма актуальной является задача объединения внешних и внутренних Web-серверов в корпоративный портал на основе общего репозита-рия данных.

Программное обеспечение портала должно

• поддерживать автоматическое распознавание внешних и внутренних пользователей;

• производить идентификацию и аутентификацию пользователей, на основе которой предоставлять информацию в соответствии с правами, определяемыми учетными записями пользователей;

• обеспечивать целостность данных;

• противостоять угрозам безопасности системы.

Необходимо отметить негативную тенденцию, возникшую в последнее время, заключающуюся в том, что Web-разработчики концентрируют основное внимание на внешнем аспекте работы Web-представительств, дизайне, в ущерб тщательной проработке механизмов, поддерживающих хранение информации и организации к ней доступа. Результатом этого является слабая защищенность многих сайтов от несанкционированного доступа и ошибок разработчиков. Ситуация с несанкционированным доступом усугубляется за счёт передачи работ по созданию Web-представительств сторонним разработчикам. Уровень разделения труда в современном производстве программного обеспечения не оставляет возможности ни системным архитекторам, ни авторам отдельных компонент представить себе все возможные связи, которые могут возникнуть между этими компонентами. В результате в программном обеспечении оказываются уязвимости, создающие условия для деятельности злоумышленников. Из-за своей сложности и взаимозависимости важные информационные системы представляют собой уникальную цель для технологических атак, так как имеют и жизненно важные узлы, удар по которым может привести к разрушительным последствиям [1].

Фундаментальная проблема состоит в том, что протоколы TCP/IP, положенные в основу Интернета, при проектировании не задумывались как защищенные. Перечислим некоторые возникающие в связи с этим проблемы [2, 3].

• Легкость перехвата данных и фальсификации адресов машин в сети: основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены с помощью легко доступных программ.

• Отсутствие политик: многие сайты сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, без учёта возможности злоупотребления этим доступом; многие серверы разрешают работу большего числа сервисов TCP/IP, чем им действительно необходимо для работы и не пытаются ограничить доступ к информации о своих компьютерах.

• Сложность конфигурирования: зачастую сложно правильно сконфигурировать и проверить эффективность настроек. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Кроме того, открытость Интернета предоставляет потенциальным злоумышленникам возможности для изучения технологий, методов и приёмов исследования интересующих их систем на предмет обнаружения уязвимостей, способов атак, путей проникновения, вывода из строя систем. Более того, имеется возможность получения уже готовых программных средств для проведения указанных действий.

Интернет страдает от серьезных и широко распространенных проблем с безопасностью. Много организаций было атаковано или сканировано злоумышленниками, в результате чего эти организации понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями серверов и сетей. Владельцы и разработчики сайтов, которые не осведомлены или игнорируют эти проблемы, подвергают себя риску атаки злоумышленниками. Даже те сайты, на которых приняты меры по обеспечению безопасности, подвергаются тем же опасностям из-за обнаружения новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.

Для большинства фирм и организаций довольно сложной задачей является принятие правильного решения о необходимости и объеме проведении мероприятий по технической защите информации. Связано это с тем, что, в отличие от материальных ценностей, не всегда возможно однозначно определить ущерб от утечки информации. В результате меры по защите информации могут быть неадекватны возможной угрозе. В ряде случаев руководство фирм недооценивает риск утечки информации, что может привести к значительному ущербу. Иногда затраты на защиту могут значительно превышать возможные потери от ее утечки.

Таким образом, открытый и прозрачный доступ к информации вступает в противоречие с необходимостью обеспечения сохранности государственной и коммерческой тайны, конфиденциальной и личной информации, достоверности и целостности данных. В этом случае основные достоинства Интернета - открытость, общедоступность и анонимность превращаются в его недостатки.

Противоречие между требованиями всё большей открытости и обеспечения информационной безопасности не может быть разрешено имеющимися средствами.

Целью данного исследования является разработка методов и средств практического противодействия этим новым вызовам и угрозам. Представляемая работа решает весьма актуальную задачу создания на основе Web-технологии таких программных средств и структур данных, которые предоставляют пользователю на его рабочем месте необходимые информационные и вычислительные ресурсы для практического применения в научных исследованиях с учетом обеспечения целостности данных и разграничения доступа различных групп пользователей.

Более подробно цели работы формулируются следующим образом:

• разработка модели разграничения доступа к объединённому Интер-нет/Интранет сайту предприятия (корпоративному порталу) на основе теории множеств и критериев для неявной классификации клиентов по зонам доступа;

• создание методов и алгоритмов разграничения доступа к корпоративному порталу в соответствии с выработанными критериями и правами пользователей;

• разработка комплекса программ корпоративного портала на основе централизованного репозитария данных, единой точки доступа и средств идентификации пользователей, обеспечивающего: о автоматическое, незаметное для пользователя, определение типа клиента, зоны доступа и языка отображения информации; о формирование документов в соответствии с зоной доступа клиента и правами пользователя при обращении по одному и тому же полному полному Интернет-адресу ресурса (URL — Uniform Resource Locator); о защиту информации от утраты обновления при редактировании приложениями с Web-интерфейсом; о системно-независимые средства обеспечения объектов файловой системы метаданными, позволяющими реализовать механизмы меток доступа, определяющих отношение объекта к той или иной зоне и его блокировку от записи; о обладающего свойством устойчивости к атакам злоумышленников. Предлагаемые подходы реализованы при создании нескольких сайтов, включая официальный сайт Института математики и механики УрО РАН [4-6].

Информация о сайте ИММ приведена в Приложениях 1 и 2. Работы выполнялись по планам НИР Института по госбюджетной теме «Компьютерные технологии обеспечения научных исследований» (№01990001345) в период с 1994 по 2003 г. включительно. Работа поддержана грантом INTAS в рамках программы развития телекоммуникаций в республиках бывшего СССР EmNet/NIS Европейского математического общества Euromath (1993-1998 гг.) (http://hamlet, dnlb. dk/) и грантом Российского фонда фундаментальных исследований в рамках проекта «МАТЕМАТИКА» (1995-1997 гг.).

На защиту выносятся:

• основанная на теории множеств зональная модель разграничения доступа к корпоративному порталу, отличающаяся от традиционной способом определения базовых множеств клиентов и субъектов доступа и установкой одностороннего доверительного межзонального отношения;

• сформулированные и обоснованные правила разграничения доступа пользователей (правила формирования матрицы доступа) к системным ресурсам и требования к клиентам системы, на основе зональной модели и понятия доверия;

• разработанные алгоритмы и реализованный на их основе комплекс программ, выполняющий автоматическое определение типа клиента, зоны доступа и языка отображения информации для субъекта доступа;

• разработанные структуры данных, обеспечивающие автоматическое формирование документов, различающихся полнотой содержащихся в них сведений, в соответствии с зоной доступа и правами пользователя при обращении по одному и тому же URL на основе механизма меток доступа для файловых систем и реляционных СУБД, непосредственно не поддерживающих этот механизм;

• алгоритмы обеспечения целостности данных при параллельном редактировании средствами, использующими Web-интерфейс, и реализованный на их основе комплекс программ.

Работа была начата в Институте математики и механики УрО РАН, в секторе системного обеспечения ЕС ЭВМ отдела системного обеспечения под руководством кандидата физ.-мат. наук А.Н. Петрова, которым были поставлены основные задачи исследования и сформулирована программа работы.

В связи с безвременной кончиной А.Н. Петрова и расформированием сектора работа была продолжена по скорректированной программе и завершена в лаборатории компьютерных технологий под руководством кандидата физ.-мат. наук A.M. Устюжанина.

Хочется поблагодарить рано ушедшего, моего первого научного руководителя работы, зав. сектором СО ЕС ЭВМ, кандидата физ.- мат. наук А.Н. Петрова, о котором я всегда буду помнить, как о целеустремленном ученом, человеке высокой культуры, истинном интеллигенте.

ЗАКЛЮЧЕНИЕ

К настоящему времени взрывоиодобное увеличение объёма данных и операций в Интернете привело к появлению множества решений для построения каркасов порталов разных типов [41, 42]. В большинстве случаев они представлены продуктами, относящимися к классу CMS. Это многообразие программного обеспечения является следствием недостаточной функциональности каждого отдельного продукта. Практически все из них не способны обеспечивать одновременно высокую производительность, масштабируемость и безопасность в сочетании с поддержкой максимальной целостности данных.

В данной диссертационной работе сформулировано и обосновано положение о целесообразности создания централизованной Интернет/Интранет системы (корпоративного портала) с возможностью жесткого разграничения доступа в соответствии с выработанными критериями и правами пользователей, на основе централизованного репозитария данных, единой точки доступа и средств идентификации пользователей.

Даны неформальное и формализованное описания зональной модели разграничения доступа для корпоративного портала. Сформулированы и обоснованы требования к клиентам системы, на основе которых определяется отношение клиента к той или иной зоне безопасности. Определены новые критерии для разделения клиентов на зоны безопасности в соответствии с их типами, отношением к сетевой инфраструктуре, времени суток. Разработаны алгоритмы и комплекс программ, реализующие определение типа клиента, проверку клиента на соответствие условиям для определения зоны доступа клиента и языка отображения информации. Впервые дано формальное описание зональной модели разграничения доступа в применении к объединенному Интернет/Интранет сайту.

По статистике обращений к официальному сайту ИММ, в зональной модели как чужие определяется на 24% больше субъектов доступа, чем при использовании общепринятого распознавания свой-чужой по IP-адресам.

Разработаны и реализованы структуры данных, обеспечивающие поддержку зональной модели разграничения доступа и моделирующие механизм меток доступа для файловых систем и СУБД, которые непосредственно не поддерживают этот механизм. Разработаны алгоритмы и, на их основе, комплекс программ, формирующий различные потоки данных при обращении к одним и тем же URL клиентов, относящихся к различным зонам.

Деление объектов доступа, предлагаемое в зональной модели, соответствует нормативным документам, действующим на территории РФ, согласно которым можно применить следующее разграничение информации:

- открытая информация - в терминах зональной модели «зелёная зона»;

- для внутреннего использования — в терминах зональной модели «жёлтая зона»;

- конфиденциальная информация - в терминах зональной модели «красная зона».

Право на отнесение информации к конкретной категории принадлежит её обладателю.

Впервые рассмотрена проблема «утраченного обновления» в применении к приложениям с Web-интерфейсом. Предложены методы её решения. Рассмотрены смежные проблемы: «бесконечного откладывания», «тупиковой» блокировки, «грязного чтения» данных. Разработан метод и на его основе реализован набор программных средств для обеспечения целостности данных при параллельном редактировании средствами, использующими Web-интерфейс.

Предложены и реализованы меры по совершенствованию серверного программного обеспечения с целью повышения устойчивости к атакам злоумышленников.

Разработанные комплекс программ и структуры данных позволяют создать единый Интернет/Интранет сервер предприятия, обеспечивающий целостность предоставляемых данных и разграничение доступа для различных категорий пользователей.

Предложенные решения приводят к тому, что внешний Web-сайт не является отдельным проектом, а управляется в едином технологическом процессе с внутренним Web-сайтом предприятия, не требует дополнительных ресурсов и расходов на администрирование и управление, является постоянно актуальным по содержанию. При этом исключается дублирование работ по сбору и обработке информации.

Интеграция серверов на основе подходов, представленных в данной диссертационной работе, решает проблему «обратной масштабируемости» безопасности в распределённых системах.

Представленные в данной диссертационной работе исследования и разработки реализованы при создании и сопровождении официального сайта ИММ УрО РАН (http://www. imm. иг an. ruf) (Приложения 1, 2). Кроме того, данные разработки использованы при создании сайта Института машиноведения УрО РАН (http://www. imach. иг an. ruf), в системе дистанционного образования Колледжа предпринимательства и социального управления (http://kpsu. ги/).

1. Пробст, П.С. «Интернет-терроризм»- новая угроза XX1.века / П.С. Пробст // http://www. crime-research.ru/library/Piter.html

2. Гутман, Б. Политика безопасности при работе в Интернете техническое руководство / Б. Гутман, Р. Бэгвилл; пер. Владимира Казеннова // Центр

3. Информационных Технологий.http://www. citforum. г и/internet/security guide/index, shtml

4. Захарченко, А. ДыроСОМ / А. Захарченко // Компьютерра. 2001. № 41. http://www. computerra.ru/offline/2001/418/13639/

5. Щ 12-15 мая, 1998 / Ин-т программных систем РАН. Переславль-Залесский,1998. Деп. в ФГУП НТЦ «Информрегистр». Номер гос. учета 0320300063. Регистрационное свидетельство № 2451 от 4 февр. 2003 г.

6. Blaauw, G.A. The structure of SYSTEM/360, Part I: Outline of the logical structure / G.A. Blaauw, F.P. Brooks (Jr.) // IBM Systems J. 1964. Vol. 3, № 2/3.1. P. 119.

7. Stevens, W.Y. The structure of SYSTEM/360, Part II: System implementations / W.Y. Stevens // IBM Systems J. 1964. Vol. 3, № 2/3. P. 136.

8. Amdahl, G.M. The structure of SYSTEM/360, Part III: Processing unit designconsiderations / G.M. Amdahl // IBM Systems J. 1964. Vol. 3, № 2/3. P. 144.

9. Padegs, A. The structure of SYSTEM/360, Part IV: Channel design considerations / A. Padegs // IBM Systems J. 1964. Vol. 3, № 2/3. P. 165.

10. Blaauw, G.A. The structure of SYSTEM/360, Part V: Multisystem organization / G.A. Blaauw // IBM Systems J. 1964. Vol. 3, № 2/3, P. 181.

11. Tucker, S.G. The IBM 3090 system: An overview / S.G. Tucker // IBM Systems J. 1986. Vol. 25, № l.p. 51-62.

12. Aken, B.R. (Jr.) Large systems and Enterprise Systems Architecture / B.R. Aken (Jr.) // IBM Systems J. 1989. Vol. 28, № 1. P. 4.

13. Gibson, D.H. Design of the IBM System/390 computer family for numerically intensive applications: An overview for engineers and scientists / D.H. Gibson, G.S. Rao // IBM J. Research and Development. 1992. Vol. 36, № 4. P. 695.

14. King, G.M. Cluster architectures and S/390 Parallel Sysplex scalability / G.M. King, D.M. Dias, P.S. Yu // IBM Systems J. 1997. Vol. 36, № 2. P. 221.

15. Vol.°30,№ l.p. 34. 18.McManigal, D.F. Architecture of the IBM 3277 Graphics Attachment / D.F. McManigal, D.A. Stevenson // IBM Systems J. 1980. Vol. 19, № 3. P. 331.

16. Ghiotti, M.M. A single-system interface using the IBM 3270-PC / M.M. Ghiotti // IBM Systems J. 1985. Vol. 24, № 3/4. P. 236.

17. Kravitz, J.K. Workstations and mainframe computers working together / J.K. Kravitz, D. Lieber, F.H. Rob-bins, J.M. Palermo // IBM Systems J. 1986. Vol. 25. № l.Pp. 116-128.

18. Mayadas, A.F. The evolution of printers and displays / A.F. Mayadas, R.C. Dur-beck, W.D. Hinsberg, J.M. McCrossin // IBM Systems J. 1986. Vol. 25, № 3/4. PP. 399-416.

19. Лошин, П. Единая регистрация / П. Лошин // Computerworld. 2001. № 8. 23.Черняк, Л. Эти разные тонкие клиенты / Л. Черняк // Открытые системы.

20. Tan, Y.S. IBM eNetwork Host On-Demand: The beginning of a new era for accessing host information in a Web environment / Y.S. Tan, D.B. Lindquist, Т.О. Rowe, J.R. Hind//IBM Systems J. 1998. Vol. 37, № 1. P. 133

21. Федоров, А. Архитектура современных Web-приложений / А. Федоров, H. Елманова // Компьютер Пресс. 2002. № 6. С. 24-26.

22. Berners-Lee, T. Hypertext Markup Language 2.0. Internet draft (work in progress) Электронный ресурс. / Т. Berners-Lee, D. Connolly // Internet Engineering Task Force, June 1995. ftp://ds. internic. net/internet-drafts/draft-ietf-html-spe c-04.txt

23. Шарф, Д. HTML 3.2: справочник / Д. Шарф // СПб.: Питер, 1998. 224 с.

24. Кирсанов, Д. Веб-дизайн: книга Дмитрия Кирсанова / Д. Кирсанов // СПб.: Символ-Плюс, 1999. 376 с.

25. Гласкок, С. Novell предлагает IntranetWare / С. Гласкок // HostPublisher CRN/RE (ИТ БИЗНЕС). 1998. № 2. http://www.ст.ги/?Ю=271182

26. Гурудж, А. Доступ с применением браузеров возвращает к жизни мир SNA / А. Гурудж // Сети. 1997. № 2. С. 60-61.

27. Карташева, Е. Средства интеграции приложений / Е. Карташева // Открытые системы. 2000. № 1-2. С. 53-58.

28. Лепихов, К. Прыткая ящерица / К. Лепихов // Компьютерра-Онлайн. http://www. computerra. ru/hitech/32389/

29. Федоров, А. Internet-технологии в цифрах и фактах / А. Федоров, Н. Елма-нова // Компьютер Пресс. 2002. № 6. С. 14-22.

30. Raucci, R. Protection on the World Wide Web / R. Raucci // Open Computing.1995. №5.

31. Web Security // LAN Times. 1995. № 4.

32. Савельева, Н. Системы управления контентом / Н. Савельева // Открытые системы. СУБД. 2004. № 4. С. 41-47.

33. Тарасов, М. Осторожно, радиоактивно! / М. Тарасов // Компьютерра-Онлайн. 2002. http:/'/offline.computerra.ru/softerra/technologizm/20860/

34. Тарасов, М. Динозавр, который развивается / М. Тарасов // Компьютерра-Онлайн. 2002. http://offline. computerra.ru/softerra/net/21338/

35. Тарасов, M. Повесть о настоящей любви или ХООРошая Бистема / М. Тарасов // Компьютерра-Онлайн. 2002.http: //offline, computerra. ru/softerra/net/21969/

36. Чеботарёв, A. PLONE: CMS, которая работает / А. Чеботарёв // Компьюте-ры+Программы. 2003. № 9. С. 34-39.

37. Шастико, И. Технологии SharePoint эволюционное развитие файловых серверов? / И. Шастико // Корпорация Инком. 2004.http://edu. incom. ua/Articles/spsartl. shtml http://edu. incom. ua/Articles/spsart2. shtm

38. Гайдамакин, H.A. Зональная модель разграничения доступа в распределённых компьютерных системах / Н.А. Гайдамакин // НТИ. Сер. 2 Информ. процессы и системы. 2002. № 12. С. 15-22.

39. Kehaulani, Goo S. Fliers to Be Rated for Risk Level. New System Will Scrutinize Each Passenger, Assign Color Code // Washington Post. 2003. Sept. 9. P.A1.

40. Щербаков, А.Ю. Введение в теорию и практику компьютерной безопасности / А.Ю. Щербаков. М.: Изд. Молгачёва С.В., 2001. 352 с.

41. Ермаков, Д.Г. Формализация зонной модели разграничения доступа к ресурсам корпоративного портала / Д.Г. Ермаков // Информационно-математические технологии в экономике, технике и образовании: сб. ст. Екатеринбург: УГТУ-УПИ, 2004. С. 112-123.

42. Ермаков, Д.Г. Реализация зональной модели разграничения доступа для официального сайта ИММ / Д.Г. Ермаков // Алгоритмы и программ, средства парал. вычислений: сб. науч. тр. Екатеринбург: ИММ УрО РАН, 2003. Вып. 7. С. 87-116.

43. Минаков, А. Тонкие клиенты Sun Ray / А. Минаков // Byte. 2003. № 2. http://www. bytemag. ги/Article, asp ?ID=150656.3убанов, Ф.В. Microsoft Windows 2000. Планирование, развёртывание, установка/ Ф.В. Зубанов. М.: Рус. ред., 2000.

44. Дейтел, Г. Введение в операционные системы: в 2 т.: пер. с англ. / Г. Дей-тел. М.: Мир, 1987. 398 с.

45. Христофоров, Ю. Аутентификация пользователей с помощью ASP / Ю. Христофоров // http://www.infocity.kiev. ua/inet/content/inet006.phtml? id=621

46. Флик, К. Авторизация от Кэвина Флика / К. Флик // http://www.activeserverpages.ru/articles/read.asp7id— 30

47. Соболев, С. О правах доступа / С. Соболев // http://prosto.pp.ru/Docum/DocumShow.asp? DocumId=245

48. Кондратов, Е. Ставим пароль на ASP страницу / Е. Кондратов // http://prosto.pp. ru/Docum/DocumShow. asp?DocumId=206

49. Спенсер, К. Изменение паролей через Интернет / К. Спенсер // Windows & .NET Magazine/RE. 2001. № 1. http://www.osp. ru/win2000/2001/01/040.htm

50. Вольф, JI. Защита паролем Web-страниц в IIS 5.0 / JI. Вольф // Windows & .NET Magazine/RE. 2001. № 7.

51. Microsoft Internet Information Server: учеб. курс: пер. с англ. М.: Рус. ред. 1997. 408 с.

52. Кетов, Е. М$ ISS под W2K Prof, или Веб-сервер от Microsoft / Е. Кетов //

53. Мир Internet. 2002. № П-12.68.3олотов, Е. Вход для посторонних / Е. Золотов // Компьютерра http://www. computerra. ru/focus/coment/26884/69.0зкарахан, Э. Машины баз данных и управление базами данных / Э. Озка-рахан. М.: Мир, 1989. 696 с.

54. Ермаков, Д.Г. Система архивного хранения файлов в СВМ ЕС ЭВМ

55. ARHIV» / Д.Г. Ермаков, Н.И. Жангарина // Проблемы теорет. и прикл. математики: тез. докл. молодёж. конф. № 22-24. Свердловск, 1993. С. 48-49.71 .Мамаев, Е.В. Microsoft® SQL Server 2000 / Е.В. Мамаев. СПб.: БХВ-Петербург, 2002. 1280 с.Щ

56. Максимов, В.Е. Защищенная реляционная СУБД Линтер / В.Е. Максимов, Л.А. Козленко, С.П. Маркин, И.А. Бойченко // Открытые системы. 1999. № 11-12. С. 69-79.

57. Ким, В. Технологии нишевых баз данных: ретроспективный взгляд // Открытые системы. СУБД. 2004. № 4. С. 58-63

58. Гладков, М. Сложные структуры в реляционных базах данных / М. Гладков, С. Шибанов // Открытые системы. СУБД. 2004. № 2. С. 62-67.

59. Celko, J/ Trees in SQL / J. Celko // Intelligent Enterprise. 2000. № 10.

60. Celko, J. A Look at SQL Trees / J. Celko //http://ib. demo. ru/DevInfo/DBMSTrees/9603d06. html htty://ib. demo. ru/DevInfo/DBMSTrees/9604d06. html http://ib. demo. ru/DevInfo/DBMSTrees/9605d06. html

61. Kimball, R. Help for Hierarchies / R. Kimball // DBMS. 1998. № 9.

62. Виноградов, С. А. Моделирование иерархических объектов // Центр Информационных Технологий.http://www. citforum. ru/database/articles/tree. shtml

63. Кнут, Д. Искусство программирования. Т. 1. Основные алгоритмы. 3-е изд. / Д. Кнут. М.: Вильяме, 2000.

64. Kimball, R. Slowly Changing Dimensions / R. Kimball // DBMS. 1996. № 4.

65. Стулов, А. Особенности построения информационных хранилищ / А. Сту-лов // Открытые системы. 2003. № 4.http://www. citforum. ru/database/articles/20030520/

66. Ермаков, Д.Г. Проблема утраченного обновления в приложениях с Web-интерфейсом / Д.Г. Ермаков; ИММ УрО РАН. Екатеринбург, 2003. 22 с. Библиогр.: 3 назв. Деп. в ВИНИТИ 04.03.2003, №> 403-В2003.

67. Кузнецов, С. Безопасность и целостность, или Худший враг себе это ты сам / С. Кузнецов // Центр Информационных Технологий. http://www. citforum. ru/database/articles/art9. shtml

68. Козленко, Jl. Введение в управление транзакциями. Ч. 1 / Л. Козленко // Открытые системы. СУБД. 2002. № 4. с. 67-71.

69. Козленко, Л. Введение в управление транзакциями. Ч. 2 / Л. Козленко // Открытые системы. СУБД. 2002. № 5. с. 58-61.

70. Козленко, Л. Введение в управление транзакциями. Ч. 3 / Л. Козленко // Открытые системы. СУБД. 2002. № 11. С. 62-65.

71. Акопянц, A. WEB vs GUI: точка зрения разработчика / А. Акопянц // Компьютерра. 2004. № 22. http://www, computerra. ru/hitech/34344/

72. Кононов, А. Онтология распределённых прикладных систем / А. Кононов, Е. Кузнецов // Открытые системы. СУБД. 2002. № 11. С. 22-28.

73. Дейт, К. Руководство по реляционной СУБД DB2 / К. Дейт / пер. с англ. и предисл. М.Р. Когаловского. М: Финансы и статистика, 1988. 320 с.

74. Вентцель, E.C. Теория вероятностей / E.C. Вентцель. M: НАУКА, 1969. 576 с.

75. Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». М.: ГТК РФ, 1992. 39 с.

76. Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации. Термины и определения». М.: ГТК РФ, 1992. 13 с.

77. Руководящий документ Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». М.: ГТК РФ, 1992. 12 с.

78. Руководящий документ Гостехкомиссии России «Средства вычислительной техники защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». М.: ГТК РФ, 1992. 24 с.

79. Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». М.: ГТК РФ, 1997. 18 с.

80. Руководящий документ Гостехкомиссии России «Защита от несанкционированного доступа к информации». М.: ГТК РФ, 1999. 11 с.

81. Гайкович, В.Ю. Основы безопасности информационных технологий. / В.Ю. Гайкович, Д.В. Ершов. М.: МИФИ, 1995. 96 с.

82. Скородумов, Б.И. Информационная безопасность. Обеспечение безопасности информации электронных банков / Б.И. Скородумов. М.: МИФИ, 1995. 104 с.

83. Грушо, А.А. Теоретические основы защиты информации / А.А. Грушо, Е.Е. Тимонина. М.: Яхтсмен, 1996. 192 с.

84. Девянин, П.Н. Теоретические основы компьютерной безопасности: учеб. пособие для вузов / П.Н. Девянин, О.О. Михальский, Д.И. Правиков и др. М.: Радио и Связь, 2000. 192 с.

85. Милославская, Н.Г. Уязвимость и методы защиты в глобальной сети Internet: учеб. пособие / Н.Г. Милославская, Ю.А. Тимофеев, А.И. Толстой. М.: МИФИ, 1997. 191 с.

86. Храмцов, П. Лабиринт Internet / П. Храмцов // М.: Электроинформ, 1996. 256 с.

87. Стенг, Д. Секреты безопасности сетей / Д. Стенг, С. Мун. Киев: Диалектика, 1996. 544 с.

88. ThunderBall. Сравнение сетевых сканеров безопасности // 3Dnews. Daily Digital Digest. 2002. http://www. 3dnews. ru/software/netscan/

89. Чеканов, Д. Организация IP брандмауэра встроенными средствами Windows 2000 и ХР / Д. Чеканов //http://www. 3dnews. ru/reviews/communication/firewall2000xp/?template sprint, htm

90. Драница, А. Огненная вода / А. Драница // Компьютерра. 2003. № 33/34. http://www. computerra. ru/hitech/novat/29146/