Синтез резервного контура управления службы безопасности организации на основе сетей Петри

Мамаев, Александр Владимирович

Методы и системы защиты информации, информационная безопасность

автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Синтез резервного контура управления службы безопасности организации на основе сетей Петри

кандидата технических наук: Мамаев, Александр Владимирович
город: Москва
год: 2012
специальность ВАК РФ: 05.13.19
цена: 450 рублей

Диссертация по информатике, вычислительной технике и управлению на тему «Синтез резервного контура управления службы безопасности организации на основе сетей Петри»

Автореферат диссертации по теме "Синтез резервного контура управления службы безопасности организации на основе сетей Петри"

005011973

Мамаев Александр Владимирович

СИНТЕЗ РЕЗЕРВНОГО КОНТУРА УПРАВЛЕНИЯ СЛУЖБЫ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ НА ОСНОВЕ СЕТЕЙ ПЕТРИ

Специальность: 05.13.19 — методы и системы защиты информации,

информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Москва —

2012

005011973

Работа выполнена в Национальном исследовательском ядерном университете «МИФИ» (НИЯУ МИФИ)

Научный руководитель:

Петрова Тамара Васильевна — кандидат технических наук, доцент кафедры «Крип-тология и дискретная математика»

Официальные оппоненты:

Конявский Валерий Аркадьевич — доктор технических наук, Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации, заместитель директора по вопросам науки

Журин Сергей Игоревич — кандидат технических наук, доцент кафедры «Защита информации», Научно-исследовательский институт Систем Безопасности Федеральное государственное унитарное предприятие "Специальное научно-производственное объединение "Элерон", начальник лаборатории разработки информационных систем

Ведущая организация:

Институт информационных наук и технологий безопасности Российского государственного гуманитарного университета

Защита состоится «29» марта 2012 г. в 15 часов 00 минут на заседании диссертационного совета ДМ 212.130.08 в Национальном исследовательском ядерном университете «МИФИ»: 115409, г. Москва, Каширское ш., д.31. Тел. для справок: +7 (499) 323-95-26.

С диссертацией можно ознакомиться в библиотеке Национального исследовательского ядерного университета «МИФИ».

Отзывы в двух экземплярах, заверенные печатью, просьба направлять по адресу: 115409, г. Москва, Каширское ш., д.31, диссертационные советы НИЯУ МИФИ, тел.: +7 (499) 323-95-26.

Автореферат разослан «27» февраля 2012 г. Ученый секретарь

диссертационного совета

Горбатов В.С.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Широкое применение современных информационных технологий в правительственных организациях, банковских структурах, промышленности и других организациях привело к возникновению новых видов преступлений связанных с использованием средств вычислительной техники (СВТ) и различных технических средств. При этом внутри учреждений для обработки, хранения, передачи основных объемов информации повсеместно используются автоматизированные системы или пакеты прикладных программ. Обеспечение безопасности информации является одним из важных вопросов в области информационного обеспечения деятельности любой организации. Необходимым условием нормального существования и развития для них является защищенность, как от внешних, так и от внутренних угроз.

Исследование PricewaterhouseCoopers, крупнейшей в мире международной сети компаний, предлагающих профессиональные услуги в области консалтинга и аудита, проводимое на основе анкет показало, что в 2011 году в 55% случаев нарушители были внутри компании против 35% в 2009 году. Это свидетельствует о том, что проблемам внутренних угроз уделяется недостаточное внимание со стороны служб безопасности.

По данным исследования, проведенного российской компанией Info Watch, утечка информации является одним из самых распространенных и опасных видов внутренних угроз. Средства защиты от несанкционированного доступа (НСД) здесь оказываются практически бесполезными, поскольку в качестве основного источника угрозы выступает внутренний нарушитель - пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах.

Существенным моментом является то, что внутренний нарушитель может получить доступ к инфраструктуре информационной системы, а значит и возможность совершения деструктивного воздействия на ее отдельные элементы или систему в целом.

При эксплуатации объекта информатизации (ОИ) неизбежно возникает вопрос о защищенности ОИ в целом и отдельных его составляющих в частности от реализаций угроз безопасности информации. Постоянное увеличение объемов конфиденциальной информации в организациях, непостоянство штата сотрудников, изменение бизнес-процессов — все это приводит к увеличению рисков утечки информации. Большие, сильно распределенные информационные системы крайне сложно контролировать службам безопасности. Системы комплексной защиты информации от утечек, активно развивающиеся в последнее время, призваны на помощь для решения данной проблемы. Однако не всегда компьютерная программа может сама распознать в действиях пользователя умышленную утечку информации. Как заявляют специалисты, такие системы защищают

ото всех случайных утечек и части умышленных, поэтому роль человека, сотрудника службы безопасности, остается крайне важной, и для ее выполнения система комплексной защиты информации от утечек должна максимально быстро и полно сообщать о подозрительных действиях пользователя. На рисунке 1 приведены данные из исследования компании 1п{о\Уа1сЬ, показывающие растущую тенденцию количества утечек информации.

Количество 450 ут^ек, 400 __ шт.

350 -

420

382

325 334

рш

¡11

К 1 ШЙ. -S ? 40

" Умышленные н Случайные » Не определено

2010

Рисунок 1 — Динамика утечек информации Защита каждого объекта информатизации, а также подходы к ее реализации строго индивидуальны. Обеспечение информационной безопасности предполагает проведение целого комплекса организационных и технических мероприятий по обнаружению, отражению, ликвидации воздействий угроз различного рода. Даже одно слабое звено в системе безопасности, возникающее в результате какого-либо изъяна в ее организации, не позволит прочим звеньям в нужный момент противостоять возникшим угрозам.

Особое внимание должно уделяться безопасности критически важных объектов, на которых высока вероятность диверсий через внедренных агентов. Поэтому для построения надежной защиты необходимо выявить все возможные угрозы безопасности информации, оценить их опасность, способ их реализации и по этим данным определиться с требуемыми мерами и средствами защиты, а также оценить их эффективность.

Вопросами обеспечения безопасности информации от внутренних нарушителей занимаются как российские, так и зарубежные исследователи: Скиба В.Ю., Курбатов В.А., Лукацкий A.B., Костров Д.В., Джоунс Э. (Jones А.), Кулвил К. (Colwill С.), Мур А.(Мооге А), Капелли Д. (Cappelli D.) и др.

Анализ систем защиты от утечки информации выявил их существенные недостатки, связанные с архитектурными особенностями в целом и работой контура управления в частности:

- отсутствие механизма резервирования канала передачи сообщений;

- отсутствие механизма контроля загрузки штатной операционной системы.

Автором работы предлагается новый подход к решению описанных выше проблем: создание резервного контура управления службы безопасности организации. Данный подход реализуется в системе мониторинга для защиты информации от утечки, которая использует разработанный резервный канал передачи тревожных сообщений. В свою очередь — это позволяет контролировать загрузку штатной операционной системы. Все эти решения обуславливают выбор темы исследования и подтверждают актуальность работы.

Объектом исследования являются системы мониторинга для защиты информации от внутреннего нарушителя.

Предмет исследования. Уязвимости систем мониторинга для защиты информации от внутреннего нарушителя, приводящие к бесконтрольной работе ЭВМ, и методы защиты.

Цель диссертационной работы. Повышение защищенности объектов информатизации путем блокировки питания ЭВМ при недопустимых параметрах загрузки операционной системы.

Для достижения поставленной цели необходимо:

- провести анализ существующих систем мониторинга для защиты информации от внутреннего нарушителя с целью выявления уязвимо-стей;

- построить модель нарушителя, провести анализ возможных способов несанкционированного съема информации;

- предложить методические основы в рамках концепции передачи низкочастотных сигналов по сети электропитания;

- разработать методику противодействия работе пользователя на неконтролируемой ЭВМ;

- разработать экспериментальные основы проверки теоретических результатов исследования;

- предложить способ оценки стойкости предложенного механизма защиты к деструктивным воздействиям;

- разработать аппаратно-программный комплекс, реализующий систему мониторинга для защиты информации от внутреннего нарушителя.

Научная задача заключается в синтезе резервного информационного канала контура управления службы безопасности в терминах теории сетей Петри для решения задачи достижимости заданной разметки.

Методы исследования. В исследовании использовались методы теории графов, сетей Петри, теории множеств, теории информационной безопасности и защиты информации.

Научная новизна работы состоит в следующем:

- предложена и исследована математическая модель систем мониторинга для защиты информации от внутреннего нарушителя в терминах тео-

рии сетей Петри. Построенная модель позволяет выявить уязвимости систем мониторинга, влияющие на стойкость к деструктивным воздействиям внутреннего нарушителя;

- построена математическая модель функционирования резервного канала передачи сигналов оповещения по сети электропитания ЭВМ, который позволяет обеспечить непрерывность работы контура управления службы безопасности;

- предложена методика противодействия временному отключению системы защиты, что позволяет исключить возможность работы пользователя на неконтролируемой ЭВМ.

Практическая ценность заключается в том, что реализован контур управления службы безопасности, который включает в себя новую систему мониторинга на основе аппаратно-программного комплекса передачи низкочастотных сигналов по сети электропитания ЭВМ. Полученный контур управления обеспечивает непрерывность защиты информации от утечки на стационарных персональных компьютерах и серверах.

Достоверность результатов исследования подтверждается формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов и результатами лабораторного эксперимента.

Внедренне результатов. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ЗАО «Амулет», использованы в работе службы безопасности ООО «Еврокорр-2010», использованы в учебном курсе «Аппаратные средства вычислительной техники» кафедры «Криптология и дискретная математика» НИЯУ МИФИ.

Публикации и апробация работы. Основные положения диссертационной работы изложены в 8 публикациях, 4 из которых опубликованы в журналах, входящих в Перечень ВАК, и 4 тезисов научных докладов.

Структура работы. Работа состоит из введения, четырех глав, заключения и списка литературы, включающего 104 наименований. Текст диссертации изложен на 141 странице, включая 23 рисунка и 11 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертации, выделяются и формулируются цель и задачи исследования, описывается структурно-логическая схема диссертационной работы.

В первой главе представлены результаты анализа особенностей применения систем защиты от внутреннего нарушителя в рамках комплексного подхода к обеспечению безопасности информации. Системы мониторинга от утечки информации, являющиеся звеньями контура управления службы безопасности, исследуются с точки зрения архитектуры и функционального устройства, используемых методов и алгоритмов передачи сигналов.

Существующие системы защиты от утечки информации делятся на:

- шлюзовые;

- локальные;

- комбинированные.

Шлюзовые системы используются для анализа исходящего трафика и выявления несанкционированной передачи информации по электронной почте, в чатах, системах мгновенного обмена сообщениями и в различных сетевых протоколах. Как следует из названия, эти системы устанавливаются на шлюзе внутренней сети организации, что позволяет контролировать только заданный периметр безопасности.

Локальные системы используются для обеспечения безопасности информации на уровне рабочих станций. На защищаемых электронно-вычислительных машинах (ЭВМ) устанавливается специализированное контролирующее программное обеспечение, перехватывающее не только все формы электронных взаимодействий, но и клавиатурный набор, а также образы экрана. Это программное обеспечение обладает возможностями идентификации подозрительной активности пользователя (в том числе такой, которая может предшествовать краже сведений) и предоставляет аналитику набор отчетов, содержащих различные срезы информации, касающейся действий над конфиденциальными данными. Программные агенты таких систем могут также блокировать определенные действия пользователей, например, передачу файлов, запись определенной информации на внешние носители и доступ к определенным категориям вебсайтов.

Комбинированные системы сочетают в себе возможности как шлюзовых, так и локальных систем. Это позволяет контролировать максимальное количество каналов утечки информации и обеспечивает наибольший эффект от системы защиты. Для дальнейшего анализа были выбраны комбинированные системы, так как они сочетают достоинства и недостатки как шлюзовых, так и локальных систем.

Примерами комбинированных систем, представленных на российском рынке, являются:

- Info Watch Traffic Monitor (российская компания «Info Watch»);

- SecurIT Zgate и Zlock (российская компания «SecurIT»);

- Secure Tower (российская компания «Falcongaze»);

- Symantec DLP (компания из США «Symantec»);

- Websense DSS (компания из США «Websense»);

- Trend Micro DLP (компания из Японии «Trend Micro»);

- McAfee Host DLP (компания из США «McAfee»).

Система мониторинга должна обеспечивать контроль над всеми действиями пользователя на всем протяжении работы защищаемой ЭВМ. Это говорит о необходимости функционирования до запуска ОС, чтобы контролировать загрузку штатной ОС, а также об использовании такого резервного канала передачи сигналов, который работает всегда, пока включена защищаемая ЭВМ.

В таблице 1 представлены результаты сравнения систем мониторинга в выбранных продуктах по основным параметрам, которые напрямую указывают на низкую стойкость к деструктивным действиям возможного нарушителя.

По результатам проведенного исследования было выявлено, что выбранные системы мониторинга используют локально-вычислительную сеть в качестве единственного канала передачи тревожных сообщений в службу безопасности и работают только с момента старта штатной операционной системы (ОС), что, при деструктивных воздействиях внутреннего нарушителя, может привести к утечке информации.

Таблица 1 —Сравнение систем мониторинга

Название системы защиты Контроль работы агента Функционирование до запуска ОС Аппаратно-программная реализация Гарантированная передача сообщений

Info Watch Traffic Monitor + - + -

SecurIT Zgate и Zlock + - - -

Secure Tower + - -

Symantec DLP + - -

Websense DSS + - ■ -

Trend Micro DLP + - + -

McAfee Host DLP + - + -

Авторская система + + + +

Таким образом, необходимо разработать такую систему мониторинга, которая позволит гарантированно доставлять тревожные сообщения в службу безопасности на всем протяжении работы защищаемой ЭВМ. Для резервного канала передачи сообщений необходимо использовать сеть электропитания, как единственный общий ресурс, совместно использующийся с защищаемой ЭВМ.

Во второй главе представлены результаты исследования проблем построения системы мониторинга для защиты от утечки информации с использованием теории графов, теории сетей Петри и теории множеств. Построена модель нарушителя.

Основным нарушителем является внутренний нарушитель с правами легитимного пользователя, подрабатывающий или внедренный, т.е. преследующий корыстные цели при совершении действий, приводящих к утечке информации в обход системы защиты. Внутренний нарушитель имеет доступ к работе со штатными средствами автоматизированных систем (АС) и СВТ как части АС.

По своим возможностям может воздействовать на программное обеспечение системы и на конфигурацию оборудования, не раскрывая себя, что, исходя из Руководящего документа «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к инфор-

мации», соответствует третьему уровню нарушителя. Ввиду наличия службы безопасности внутренний нарушитель не может вносить/выносить оборудование через защищаемый периметр.

Угрозы утечки информации, связанные с действиями внутреннего нарушителя, можно разделить на 2 класса:

- угрозы, направленные на получение возможности работать с данными в нештатной операционной системе;

- угрозы, направленные на нарушение работоспособности канала передачи тревожных сообщений с защищаемой ЭВМ в службу безопасности.

Реализация данных угроз приводит к тому, что нарушается работа контура управления службы безопасности, а значит, информация на ЭВМ оказывается потенциально незащищенной.

В результате проведенного анализа возможных действий нарушителя были сформулированы следующие требования, предъявляемые к разрабатываемой системе мониторинга для защиты информации от утечки:

- наличие резервного канала передачи тревожных сообщений;

- резервный канал не должен требовать создания новой среды передачи сигналов;

- гарантированная передача сигналов оповещения о противоправных действиях пользователя на всем протяжении работы защищаемой ЭВМ;

- наличие механизма контроля работоспособности системы мониторинга.

В работе предложены математические модели, интерпретирующие работу системы мониторинга, как в штатном режиме, так и при действиях внутреннего нарушителя. Данные модели построены в терминах теории сетей Петри.

В данных сетях используются следующие состояния и переходы:

- состояние р, «наличие электропитания» характеризующее главный ресурс, необходимый для функционирования ЭВМ;

- состояние р2 «наличие штатной ОС» отражающее необходимость контроля загружаемой пользователем системы;

- состояние р3 «штатная работа ОС» соответствующее состоянию защищаемой ЭВМ, работающей в соответствии с требованиями политик безопасности;

- состояние р4 «тревога» характеризующее момент регистрации нарушения политики безопасности;

- состояние р5 «тревожное сообщение готово к отправке» означающее готовность системы мониторинга к отправке сообщения в службу безопасности по работающему каналу передачи;

- состояние рб «канал передачи работает» характеризующее независимость функционирования сети передачи от защищаемой ЭВМ;

- состояние р7 «сообщение получено» отражающее получение тревожного сообщения службой безопасности;

- состояние р8 «наличие нештатной ОС» соответствующее реализации внутренним нарушителем первого класса угроз;

- состояние р9 «канал передачи не работает» соответствующее реализации внутренним нарушителем второго класса угроз;

- переход «загрузка штатной ОС» использующийся для описания процесса включения защищаемой ЭВМ;

- переход «нарушение политик безопасности» отображающий выявление системой защиты нештатных действий пользователя;

- переход tз «создание тревожного сообщения» характеризующий процесс подготовки сообщений с кодом тревоги и номером защищаемой ЭВМ;

- переход t4 «передача сообщения» использующийся для отображения процесса передачи сообщения с защищаемой ЭВМ в службу безопасности;

- переход 15 «изменение/блокирование штатной ОС» соответствующий действиям внутреннего нарушителя при реализации первого класса угроз;

- переход ^ «деструктивное воздействие на канал передачи» соответствующий действиям внутреннего нарушителя при реализации второго класса угроз.

Модель, интерпретирующая процесс функционирования системы мониторинга, представлена на рисунке 2, а. На представленной сети Петри, выявленные уязвимости систем мониторинга отражены в состояниях р2 и р6. На рисунке 2, б представлена обобщенная модель, интерпретирующая процесс функционирования системы мониторинга с учетом воздействий внутреннего нарушителя.

Р2 Рб

101

и.

Г01

Р1

Р8

Рз

Р4 а

Р2

Р5

Р9 Рб

Р7

Рисунок 2 — Сети Петри, интерпретирующие процесс функционирования системы мониторинга в случае отсутствия воздействия (а) и присутствия (б)

Анализ полученных моделей показал, что в случае 2, а выполняется условие р7 «сообщение получено», а в случае 2, б — нет, что подтверждает выявленные уязвимости рассматриваемых систем.

Постановка задачи. Необходимо построить такую сеть Петри, интерпретирующую процесс функционирования системы мониторинга, с учетом воздействий внутреннего нарушителя, в которой решалась бы задача достижимости заданной разметки.

Для достижения поставленной задачи используется обобщенная модель, которая дополняется соответствующими состояниями и переходами так, чтобы свободный язык сети Петри включал хотя бы одно слово приводящее к выполнению условия р7, где р7 соответствует состоянию «сообщение получено».

Ц1М)={Эт е Т| ЗМ £ 1*(М):М0[т)М,ЭМ' £

М' = (О,0,0,0,0,0,1,0,0,0,0,0)|М > М'Ь (1)

где N — сеть Петри, Ь(1Ч) — множество последовательностей срабатываний сети N или свободный язык сети ¡V, т — слово в алфавите Т, М — разметка сети 14, Щ1Ч) — множество разметок сети N.

Предлагается дополнить сеть Петри, интерпретирующую процесс функционирования системы мониторинга в случае присутствия воздействий внутреннего нарушителя, следующими состояниями и переходами:

- Рю — сторожевой таймер включен;

- Ри — сообщение для резервного канала передачи готово;

- р12 — резервный канал передачи работает;

- (7 — подача электричества, включение ЭВМ;

- 18 — срабатывание сторожевого таймера;

- — передача сообщений по резервному каналу.

Состояние рю «сторожевой таймер включен» характеризует механизм защиты от НСД, в результате действий внутреннего нарушителя, направленных на получение возможности работать с данными в нештатной операционной системе. Работа «сторожевого таймера» позволяет оповещать службу безопасности о соответствующих действиях внутреннего нарушителя.

Состояние рц «сообщение для резервного канала передачи готово» характеризует механизм резервирования канала передачи тревожных сообщений с защищаемой ЭВМ в службу безопасности.

Состояние р 12 «резервный канал передачи работает» характеризует физическую среду канала передачи.

Переход Ь «подача электричества, включение ЭВМ» используется для того, чтобы подчеркнуть необходимость использования такого канала передачи, который будет работать всегда, пока работает защищаемая ЭВМ.

Переход t8 «срабатывание сторожевого таймера» используется для отображения процесса оповещения службы безопасности при срабатывании механизма «сторожевого таймера».

Переход ts «передача сообщений по резервному каналу» используется для отображения процесса передачи сообщения с защищаемой ЭВМ в службу безопасности при не работающем основном канале передачи.

Таким образом, в виде модели, интерпретирующей процесс функционирования дополнительного канала передачи сигналов оповещения по сети электропитания ЭВМ в рамках работы системы мониторинга, предлагается использовать сеть Петри следующего вида: N=(P,T,F,M0), где Р={р,, р2, р3, р4, Ps, Рб, Vi, Ps, p¡>, Рю, Рп, P12} — множество состояний, T={t,, t2, t3, t4, t¡, t6, t7, t8, t9} — множество переходов, F — функция инцидентности, которая задается с помощью таблицы 2 и таблицы 3, в которых на пересечении строки х и столбца у стоит число F(x,y).

Таблица 2 — Значения выходной функции

Переходы Состояния

Pi Р2 Рз Pi Р5 Рб P? Ps Рч Pío Pll P12

t. 0 1 1 0 0 0 0 0 0 0 0 0

Í2 0 0 0 1 0 0 0 0 0 0 0 0

U 0 0 0 0 1 0 0 0 0 0 1 0

и 0 0 0 0 0 1 1 0 0 0 0 0

и 0 0 0 0 0 0 0 1 0 0 0 0

и 0 0 0 0 0 0 0 0 1 0 0 0

h 0 0 0 0 0 0 0 0 0 1 0 1

ts 0 0 0 1 0 0 0 0 0 1 0 0

Í9 0 0 0 0 0 0 1 0 0 0 0 1

Таблица 3 — Значения входной функции

Состояния Переходы

t, t2 t3 и ts и t7 ts <9

P< 0 0 0 0 0 0 1 0 0

P2 1 0 0 0 1 0 0 0 0

Рз 0 1 0 0 0 0 0 0 0

P4 0 0 1 0 0 0 0 0 0

Ps 0 0 0 1 0 0 0 0 0

Рб 0 0 0 1 0 1 0 0 0

P7 0 0 0 0 0 0 0 0 0

Ps 0 0 0 0 0 0 0 0 0

P9 0 0 0 0 0 0 0 0 0

Pío 1 0 0 0 0 0 0 1 0

P11 0 0 0 0 0 0 0 0 1

P12 0 0 0 0 0 0 0 0 1

Начальная разметка М0 задается следующим образом: М0(р1)=1, Мо(р2)=0, М0(рз)=0, М0(р4)=0, М0(р5)=О, М„(р6)=0, М0(р7)=0, М„(р8)=1, М„(р9)=1, М0(рю)=0, М0(рц)=0, Мо(р)2)=0, или в векторной форме: Мо=(1,0,0,0,0,0,0,1,1,0,0,0). На рисунке 3 представлено графическое изображение предлагаемой модели.

Рисунок 3 — Сеть Петри, интерпретирующая процесс функционирования

системы мониторинга при наличии резервного канала передачи Для анализа построенной сети Петри используется метод полного покрывающего дерева, которое показывает ее динамику функционирования. На рисунке 4 представлено полное покрывающее дерево.

Свободный язык предложенной сети включает слова: Ц1Ч)={Х,

t7tstзt9, t7t8tзt9t8, t7t8tзt9t9, ...}. Та к как данная

сеть не является ограниченной, то множество достижимых разметок Щ1Ч) бесконечно. Как видно из рисунка, разметка М удовлетворяет условию М=(0,0,0,о,о,0,о,1,1,1,о,1) > М'=(0,0,0,0,0,0,1,0,0,0,0,0), причем М0[т)М, где слово т = 6 Ь(1Ч), п>1. Таким образом, полученное слово т является

решением уравнения (1), а предлагаемая сеть отвечает поставленной задаче достижимости заданной разметки.

Предлагаемая методика противодействия временному отключению системы защиты для исключения возможности работы пользователя на неконтролируемой ЭВМ реализуется за счет следующей последовательности шагов:

- на предварительном этапе:

1. обеспечить физическую охрану ЭВМ;

2. выработать политики безопасности;

3. установить сервер службы безопасности;

- на основном этапе:

4. установить аппаратную составляющую системы мониторинга;

5. установить программную составляющую системы мониторинга;

6. настроить политики безопасности;

7. настроить время срабатывания механизма сторожевого таймера;

8. установить программную составляющую системы мониторинга на

сервере безопасности;

9. подключить сервер безопасности к каналам передачи сообщений;

10. следить за сообщениями с защищаемых ЭВМ;

11. блокировать питание ЭВМ при недопустимых параметрах загрузки

ОС;

12. обеспечить оперативное реагирование на сигнал тревоги.

В третьей главе диссертационной работы предложена архитектура аппаратно-программного комплекса, реализующего систему мониторинга для защиты информации от утечки.

Система мониторинга состоит из следующих функциональных модулей:

- модуль создания тревожных сообщений;

- модуль контроля работоспособности системы мониторинга;

- модуль хранения политик безопасности и настроек системы мониторинга;

- модуль передачи сообщений по ЛВС;

- модуль передачи сообщений по сети электропитания;

- канал передачи сигнала по сети электропитания;

- модуль обработки получаемых сообщений.

Общая архитектура аппаратно-программного комплекса представлена на рисунке 5.

Рисунок 5 — Архитектура аппаратно-программного комплекса

Модуль создания тревожных сообщений получает сигналы тревоги от агентов системы защиты, установленной на защищаемой ЭВМ, регистрирует события в журналах и создает тревожные сообщения в соответствии с действующими политиками безопасности.

Модуль контроля работоспособности системы мониторинга осуществляет постоянный контроль модулей системы мониторинга, установленных на защищаемой машине.

Модуль хранення политик безопасности и настроек системы мониторинга отвечает за хранение политик безопасности и настроек системы мониторинга, которые используются остальными модулями установленными на защищаемой ЭВМ.

Модуль передачи сообщений по ЛВС выполняет отправку тревожных сообщений по основному каналу взаимодействия системы мониторинга с другими службами и системами безопасности организации.

Модуль передачи сообщений по сети электропитания выполняет отправку тревожных сообщений по резервному каналу передачи сигналов системы мониторинга, обеспечивающему гарантированную доставку сигналов тревоги в службу безопасности.

Канал передачи сигнала по сети электропитания осуществляет передачу тревожных сообщений на сервер службы безопасности организации с защищаемой ЭВМ на всем протяжении ее работы.

Модуль обработки получаемых сообщений получает тревожные сообщения с защищаемых ЭВМ, регистрирует события в журналах, выводит на экран соответствующую индикацию.

В четвертой главе представлены результаты создания аппаратно-программного комплекса, реализующего систему мониторинга для защиты информации от утечки. Описана схема аппаратной составляющей комплекса. Приведено описание канала передачи низкочастотных сигналов по сети электропитания, процесса передачи и получения сообщений. Описан процесс взаимодействия между уровнем операционной системы и микропрограммой BIOS.

В главе приводятся результаты тестирования реализованной системы мониторинга для защиты информации от утечки. На собранном стенде, состоящем из нескольких защищаемых ЭВМ и сервера безопасности, осуществлялась штатная работа системы мониторинга с имитацией нарушений политик безопасности.

Для оценки стойкости системы защиты к деструктивным воздействиям внутреннего нарушителя и проверки критерия гарантированной передачи тревожных сообщений использовалась «Модель системы защиты с полным перекрытием». Система защиты представляется в виде пятикортежного набора S={0,T,M,V,B}, где О - набор защищаемых объектов; Т - набор угроз; М - набор средств обеспечения безопасности; V - набор уязвимых мест - отображение Т*0 на набор упорядоченных пар V.=<t. о>, представляющих собой пути проникновения в систему; В - набор барьеров - отображение VxM или ТхОхМ на набор упорядоченных троек <t. о. mk>, представляющих собой точки, в которых требуется осуществлять защиту в системе.

Система защиты является стойкой к деструктивным воздействиям внутреннего нарушителя и гарантирующей передачу тревожных сообщений в том случае, когда на каждый возможный путь проникновения имеется средство защиты. Критерий стойкости: V< tj oj > 6 V, Э< tj oj m]< > e В.

В соответствии с предложенной моделью нарушителя реализовывались следующие угрозы:

- t, загрузка ОС с внешних носителей;

- t2 загрузка ОС в безопасном режиме

- t3 деструктивное воздействие на физические каналы передачи данных;

- t4 деструктивное воздействие на сетевое оборудование;

- t5 атаки типа «отказ в обслуживании».

В качестве объекта рассматривалась вся информация, хранимая на данной ЭВМ. Полученные пути проникновения успешно блокировались средствами разработанного резервного контура управления службы безопасности. Множе-

ство отношений угроза-барьер-объект образует граф, изображенный на рисунке 6.

Рисунок 6 — Граф угроза-барьер-объект

Таким образом, в отличие от систем мониторинга, рассмотренных в первой главе, авторская система в результате своего применения, позволяет контролировать загрузку штатной ОС и гарантировать доставку сигналов тревоги в службу безопасности, оставаясь стойкой к деструктивным воздействиям внутреннего нарушителя. В главе приводятся примеры практического применения результатов работы для решения конкретных прикладных задач в трёх проектах.

Элементы разработанного аппаратно-программного комплекса, реализующего систему мониторинга, а именно:

- модуль передачи сообщений по сети электропитания;

- канал передачи сигнала по сети электропитания;

- модуль обработки получаемых сообщений;

были использованы при создании систем оповещения ЗАО «Амулет». При конструировании систем инженерно-технической защиты, для передачи сигналов с устройств прокладываются специальные линии передачи. Предложенные методические основы в рамках концепции передачи сигналов по сети электропитания позволяют не тратить ресурсы на прокладывание новых линий передачи, а использовать штатные, без ущерба надежности систем.

Разработанная методика внедрена в службе безопасности ООО «Еврокорр-2010». При рассмотрении вопроса противодействия обходу имеющейся системы защиты информации от утечки была использована разработанная модель нарушителя и методика противодействия временному отключению системы защиты. Это позволило сократить расходы на защиту одной ЭВМ в 3-5 раз. При дальнейшей эксплуатации новой системы было выявлено несколько попыток загрузки ОС с внешних носителей.

Результаты диссертационной работы использованы на кафедре «Крипто-логия и дискретная математика» НИЯУ МИФИ в рамках учебного курса «Аппаратные средства вычислительной техники». Создана лабораторная работа, позволяющая слушателям курса получить знания о способах защиты информации от утечек в условиях деструктивных воздействий внутреннего нарушителя.

В заключении приведены основные результаты диссертационной работы, а также представлены выводы, полученные в ходе выполнения работы.

ОСНОВНЫЕ ВЫВОДЫ И РЕЗУЛЬТАТЫ РАБОТЫ

1. Проведен анализ существующих систем мониторинга для защиты информации от внутреннего нарушителя. Обоснована необходимость создания новой системы мониторинга, использующей сеть электропитания в качестве резервного канала передачи тревожных сообщений.

2. Построена модель нарушителя, осуществляющего несанкционированный съем информации, которая позволила провести анализ возможных способов преодоления системы мониторинга, вследствие чего была обоснована возможность и предложены методические основы в рамках концепции передачи низкочастотных сигналов по сети электропитания.

3. Предложена математическая модель систем мониторинга для защиты информации от внутреннего нарушителя в терминах теории сетей Петри, которая позволяет выявить уязвимости систем мониторинга, влияющие на стойкость к деструктивным воздействиям внутреннего нарушителя.

4. Построена математическая модель функционирования резервного канала передачи сигналов оповещения по сети электропитания ЭВМ, который позволяет обеспечить непрерывность работы контура управления службы безопасности.

5. Разработана методика противодействия работе пользователя на неконтролируемой ЭВМ.

6. Предложена архитектура аппаратно-программного комплекса, реализующего систему мониторинга для защиты от утечки информации. Реализован контур управления службы безопасности, который включает в себя новую систему мониторинга на основе аппаратно-программного комплекса передачи низкочастотных сигналов по сети электропитания ЭВМ.

7. Реализованный аппаратно-программный комплекс использован при создании систем оповещения ЗАО «Амулет». При конструировании систем инженерно-технической защиты, для передачи сигналов с устройств прокладываются специальные линии передачи. Предложенные методические основы в рамках концепции передачи низкочастотных сигналов по сети электропитания позволяют не тратить ресурсы на прокладывание новых линий передачи, а использовать штатные, без ущерба надежности систем.

8. Разработанная методика применена в службе безопасности ООО «Евро-корр-2010». Ее использование позволило сократить расходы на защиту одной ЭВМ в 3-5 раз. При дальнейшей эксплуатации новой системы было выявлено несколько попыток загрузки ОС с внешних носителей.

9. Проведенный анализ систем защиты информации от утечки для случаев отсутствия и присутствия деструктивного воздействия внутреннего нарушителя был использован при создании лабораторных работ учебного курса «Аппаратные средства вычислительной техники» кафедры «Криптология и дискретная математика» НИЯУ МИФИ.

ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Н. П. Лаврентьев, А. В. Мамаев Анализ систем комплексной защиты информации от утечек с целью закрытия возможных уязвимостей. М. БИТ№4 2009-с. 117-119

2. А. В. Мамаев Повышение надежности систем комплексной защиты информации от внутреннего нарушителя. М. БИТ №1 2011 - с. 111

3. А. В. Мамаев Надежны ли системы комплексной защиты информации от утечек против умышленного инсайда? М. Научная Сессия НИЯУ «МИФИ» Сборник аннотаций. 2011 - с. 163-164

4. А. В. Мамаев Проблема временной потери контроля за ПЭВМ в системах комплексной защиты информации. XIV Международная телекоммуникационная конференция студентов и молодых учёных «Молодёжь и наука». Тезисы докладов. Ч. 3. М.:,НИЯУ МИФИ, 2011 - с. 224

5. А. В. Мамаев Использование низкочастотного активного канала передачи сигналов в системах комплексной защиты информации от утечек. М. БИТ №2 2011 г. - с. 83-89

6. А. В. Мамаев Программно-аппаратная реализация низкочастотного активного канала передачи сигналов в системах комплексной защиты информации от утечек. М. БИТ №4 2011 - с. 134-137

7. А. В. Мамаев Использование сети электропитания ЭВМ в качестве резервного канала передачи сигналов оповещения ОЬР-систем. XV Международная телекоммуникационная конференция студентов и молодых учёных «Молодёжь и наука». Тезисы докладов. Ч. 3. М.:,НИЯУ МИФИ, 2012 - с. 182183

8. А. В. Мамаев Повышение надежности систем комплексной защиты информации от утечек. М. Научная Сессия НИЯУ «МИФИ» Сборник аннотаций. 2012-е. 173

Личный вклад автора в работе, написанной в соавторстве, состоит в следующем: [1] — проведение сравнительного анализа систем защиты от утечек.

Текст работы Мамаев, Александр Владимирович, диссертация по теме Методы и системы защиты информации, информационная безопасность

61 12-5/2037

НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ

«МИФИ»

На правах рукописи

Мамаев Александр Владимирович

СИНТЕЗ РЕЗЕРВНОГО КОНТУРА УПРАВЛЕНИЯ СЛУЖБЫ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ НА ОСНОВЕ СЕТЕЙ ПЕТРИ

Специальность 05Л 3.19 - Методы и системы защиты информации, информационная безопасность

Диссертация на соискание ученой степени кандидата технических наук

Автор:

Научный руководитель -к.т.н., доцент Петрова Т.В.

Москва - 2012

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.................................................................................................................4

1 ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ......................................................12

1.1 Средства контроля доступа и предотвращения утечки информации...........................................................................................................14

1.2 Системы обнаружения и предотвращения утечек информации............16

1.3 Анализ систем для защиты информации от утечек.................................18

1.3.1 Info Watch Traffic Monitor Enterprise.........................................................19

1.3.2 SeciirIT Zlock и Zgate..................................................................................24

1.3.3 SecureTower................................................................................................33

1.3.4 Symantec DIP..............................................................................................43

1.3.5 Websense DSS..............................................................................................50

1.3.6 Trend Micro DLP.........................................................................................59

1.3.7 McAfee Host Data Loss Prevention.............................................................64

1.4 Выводы.............................................................................................................69

2 РАЗРАБОТКА СИСТЕМЫ ПЕРЕДАЧИ СИГНАЛОВ ОПОВЕЩЕНИЯ. ПОСТАНОВКА ЗАДАЧИ.....................................................71

2.1 Модель нарушителя.......................................................................................71

2.2 Синтез резервного информационного канала контура

управления службы безопасности....................................................................76

2.2.1 Математическая модель существующих систем мониторинга.........76

2.2.2 Математическая модель системы мониторинга с учетом возможных действий нарушителя........................................................................................79

2.2.3 Математическая модель резервного канала передачи сигналов оповещения по сети электропитания ЭВМ.....................................................84

2.3 Методика противодействия работе пользователя на неконтролируемой ЭВМ......................................................................................89

2.4 Выводы.............................................................................................................93

3 АРХИТЕКТУРА СИСТЕМЫ МОНИТОРИНГА ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ.............................................................................95

3.1 Функциональное описание основных модулей программно-аппаратного комплекса.....................................................................................97

3.2 Передача сигналов по сети электропитания ЭВМ..................................99

3.3 Канал передачи низкочастотных сигналов по сети электропитания..................................................................................................103

3.4 Выводы...........................................................................................................106

4 РЕАЛИЗАЦИЯ СИСТЕМЫ МОНИТОРИНГА ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ...........................................................................107

4.1 Описание электрической схемы аппаратной части компьютера-отправителя.................................................................................107

4.2 Передачи сигналов оповещения по сети электропитания..................109

4.3 Обнаружение и обработка информационных скачков тока в

сети электропитания.........................................................................................110

4.4 Модификация кода базовой системы ввода/вывода, с целью программирования выбранного для защиты интерфейса RS-232C..........112

4.5 Протокол передачи сигналов оповещения.............................................114

4.5.1 Описание стандарта RS-232C применительно к разработан ному каналу связи.......................................................................................................114

4.5.2 Управление потоком данных и системная поддержка СОМ-портовГ17

4.6 Обращение к BIOS из операционной системы........................................119

4.7 Аппаратные меры обеспечения безопасности микропрограммы

BIOS.......................................................................................................................122

4.8 Тестирование реализованной системы мониторинга..........................126

4.9 Внедрение результатов работы..................................................................127

4.10 Выводы.........................................................................................................129

ЗАКЛЮЧЕНИЕ.....................................................................................................130

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ.......................................132

Введение

По данным исследования, проведенного российской компанией Info Watch, утечка информации является одним из самых распространенных и опасных видов внутренних угроз. Средства защиты от несанкционированного доступа (НСД) здесь оказываются практически бесполезными, поскольку в качестве основного источника угрозы выступает внутренний нарушитель -пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах.

Системы комплексной защиты информации от утечек, активно развивающиеся в последнее время, призваны на помощь для решения данной проблемы. Однако не всегда компьютерная программа может сама распознать в действиях пользователя умышленную утечку информации. Как заявляют специалисты, такие системы защищают ото всех случайных утечек и части умышленных, поэтому роль человека, сотрудника службы безопасности, остается крайне важной, и для ее выполнения система комплексной защиты информации от утечек должна максимально быстро и полно сообщать о подозрительных действиях пользователя. На рисунке 1 приведены данные из исследования компании 1п]Ео\¥а1с11, показывающие растущую тенденцию количества утечек информации [1,2].

Защита каждого объекта информатизации, а также подходы к ее реализации строго индивидуальны. Обеспечение информационной безопасности предполагает проведение целого комплекса организационных и технических мероприятий по обнаружению, отражению, ликвидации воздействий угроз различного рода. Даже одно слабое звено в системе безопасности, возникающее в результате какого-либо изъяна в ее организации,

не позволит прочим звеньям в нужный момент противостоять возникшим угрозам [3-6].

Количество

237

450

утечек, 40()

шт. 350 300 250 200 150 100 50 0

я ш

2006

295

382

420

223

242 I

I I

U 325 334 » ■ Умышленные В в Случайные

Не определено

2007

165 ■ I

2008 год

2009

2010

Рисунок 1 —Динамика утечек информации

Особое внимание должно уделяться безопасности критически важных объектов, на которых высока вероятность диверсий через внедренных агентов [7,8J. Поэтому для построения надежной защиты необходимо выявить все возможные уфозы безопасности информации, оценить их опасность, способ их реализации и по этим данным определиться с требуемыми мерами и средствами зашиты, а также оценить их эффективность [9-11].

Вопросами обеспечения безопасности информации от внутренних нарушителей занимаются как российские, так и зарубежные исследователи: Скиба В.Ю. [12-14], Курбатов В.Л. [14-16], Лукацкий A.B. [17-19], Костров Д.В. [5,6], Джоунс Э. (Jones Д.) [20,21], Кулвил К. (Colwill С.) [21,22], Мур А.(Moore А) [23-25], Капелли Д. (Cappelli D.) [23-25]и др.

Анализ систем защиты от утечки информации выявил их существенные недостатки, связанные с архитектурными особенностями в целом и работой системы мониторинга в частности [26]:

• отсутствие механизма резервирования канала передачи сообщений;

• отсутствие механизма контроля загрузки штатной операционной системы.

Автором работы предлагается новый подход [27] к решению описанных выше проблем: создание резервного контура управления службы безопасности организации. Данный подход реализуется в системе мониторинга для защиты информации от утечки, которая использует разработанный резервный канал передачи тревожных сообщений. В свою очередь — это позволяет контролировать загрузку штатной операционной системы. Все эти решения обуславливают выбор темы исследования и подтверждают актуальность работы.

Объектом исследования являются системы мониторинга для защиты информации от внутреннего нарушителя.

Для достижения поставленной цели необходимо:

• провести анализ существующих систем мониторинга для защиты информации от внутреннего нарушителя с целью выявления уязвимостей;

• построить модель нарушителя, провести анализ возможных способов несанкционированного съема информации;

• предложить методические основы в рамках концепции передачи низкочастотных сигналов по сети электропитания;

• разработать методику противодействия работе пользователя на неконтролируемой ЭВМ;

• разработать экспериментальные основы проверки теоретических результатов исследования;

• предложить способ оценки стойкости предложенного механизма защиты к деструктивным воздействиям;

• разработать аппаратно-программный комплекс, реализующий систему мониторинга для защиты информации от внутреннего нарушителя.

Научная новизна работы состоит в следующем:

• предложена и исследована математическая модель систем мониторинга для защиты информации от внутреннего нарушителя в терминах теории сетей Петри. Построенная модель позволяет выявить уязвимости систем мониторинга, влияющие на стойкость к деструктивным воздействиям внутреннего нарушителя;

• построена математическая модель функционирования резервного канала передачи сигналов оповещения по сети электропитания ЭВМ, который позволяет обеспечить непрерывность работы контура управления службы безопасности;

• предложена методика противодействия временному отключению системы защиты, что позволяет исключить возможность работы пользователя на неконтролируемой ЭВМ.

Практическая ценность заключается в том, что реализован контур управления службы безопасности, который включает в себя новую систему

мониторинга на основе аппаратно-программного комплекса передачи низкочастотных сигналов по сети электропитания ЭВМ. Полученный контур управления обеспечивает непрерывность защиты информации от утечки на стационарных персональных компьютерах и серверах.

Достоверность_результатов исследования подтверждается

формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов и результатами лабораторного эксперимента.

Внедрение результатов. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ЗАО «Амулет», использованы в работе службы безопасности ООО «Еврокорр-2010», использованы в учебном курсе «Аппаратные средства вычислительной техники» кафедры «Криптология и дискретная математика» НИЛУ МИФИ.

Структура работы. Работа состоит из введения, четырех глав, заключения и списка литературы, включающего 104 наименования. Текст диссертации изложен на 141 странице, включая 23 рисунка и 11 таблиц.

Логически, работа состоит из четырех глав. В первой главе приводится

аналитический обзор существующих систем защиты информации от утечки. В

ходе анализа проводилось сравнение представленных на российском рынке

комбинированных систем защиты информации от утечки по наиболее важным

параметрам, с точки зрения стойкости к деструктивным воздействиям. Среди

основных критериев были рассмотрены: контроль работы агентов,

функционирование до запуска операционной системы, аппартно-программная

реализация, гарантированная передача сообщений. По результатам

проведенного исследования было выявлено, что системы мониторинга,

входящие в состав выбранных систем защиты, используют локально-вычислительную сеть в качестве единственного канала передачи тревожных сообщений в службу безопасности и работают только с момента старта штатной операционной системы, что, при деструктивных воздействиях внутреннего нарушителя, может привести к утечке информации.

Во второй главе приведены основные результаты исследований, связанных с разработкой методических основ в рамках концепции передачи низкочастотных сигналов по сети электропитания и построением методики противодействия временному отключению системы защиты для исключения возможности работы пользователя на неконтролируемой ЭВМ. В ходе выполнения работы проводилось построение модели нарушителя, что позволило сформулировать требования, предъявляемые к разрабатываемой системе мониторинга для защиты информации от утечки: наличие резервного канала передачи тревожных сообщений, использование для передачи сигналов имеющейся среды, гарантированная передача сигналов оповещения о противоправных действиях пользователя на всем протяжении работы защищаемой ЭВМ, наличие механизма контроля работоспособности системы мониторинга. Кроме того, в главе проводится построение модели, интерпретирующей процесс функционирования системы мониторинга, как в штатном режиме, так и при действиях внутреннего нарушителя. В результате построения модели системы мониторинга предложена модель, интерпретирующая процесс функционирования резервного канала передачи сигналов оповещения по сети электропитания ЭВМ в рамках работы системы мониторинга.

В третьей главе приводится описание архитектуры аппаратно-программного комплекса, реализующего систему мониторинга для защиты информации от утечки. Представленный набор модулей способен реализовать весь необходимый набор функций и возможностей для осуществления процесса оповещения службы безопасности, и реализует собой предложенную в работе

методику противодействия временному отключению системы защиты для исключения возможности работы пользователя на неконтролируемой ЭВМ. Кроме того, в главе приводится описание предлагаемых методических основ в рамках концепции передачи низкочастотных сигналов по сети электропитания ЭВМ.

Похожие работы

Информатика, вычислительная техника и управление
05.13.00