Засоби інтеграції компонентів захисту мережевого периметру

Размещено на http://www.allbest.ru/

НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ

УДК 004.07(004.056)

АВТОРЕФЕРАТ

дисертації на здобуття наукового ступеня

кандидата технічних наук

ЗАСОБИ ІНТЕГРАЦІЇ КОМПОНЕНТІВ ЗАХИСТУ МЕРЕЖЕВОГО ПЕРИМЕТРУ

05.13.05 - комп'ютерні системи та компоненти

МАРЧЕНКО ВІТАЛІЙ АНАТОЛІЙОВИЧ

Київ - 2008

Дисертацією є рукопис.

Роботу виконано на кафедрі комп'ютерних інформаційних технологій Національного авіаційного університету Міністерства освіти і науки України.

Науковий керівник:

Алішов Надір Ісмаіл-огли, доктор технічних наук, старший науковий співробітник, Інститут кібернетики ім. В.М. Глушкова НАН України, провідний науковий співробітник.

Офіційні опоненти:

Печурін Микола Капітонович, доктор технічних наук, професор, Національний авіаційний університет МОН України, професор кафедри комп'ютерних систем та мереж;

Мухін Вадим Євгенійович, кандидат технічних наук, доцент, Національний технічний університет України "Київський політехнічний інститут" МОН України, доцент кафедри обчислювальної техніки.

Захист відбудеться "12" грудня 2008 р. о 14 годині на засіданні спеціалізованої вченої ради Д 26.062.07 Національного авіаційного університету за адресою: 03680, м. Київ, просп. Космонавта Комарова, 1.

З дисертацією можна ознайомитись у науково-технічній бібліотеці Національного авіаційного університету за адресою: 03680, м. Київ, просп. Космонавта Комарова, 1.

Автореферат розісланий "08" листопада 2008 р.

Вчений секретар спеціалізованої вченої ради О.П. Мартинова.

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. На сучасному етапі розвитку інформаційних технологій при побудові корпоративних мереж (КМ) фундаментальним є вирішення задач убезпечення інформації. Даній проблематиці присвячена значна кількість робіт вітчизняних і закордонних дослідників, серед яких А.А. Грушо, Д.П. Зегжда, Ю.Н. Мельников, Є.Є. Тимоніна, В.В. Домарєв, P. Neumann, W. Ruzzo, J. Uhlman, Е. Таненбаум, С. Норкатт та інші.

Однак, незважаючи на значний інтерес із боку дослідників, статистика порушень безпеки інформаційних систем, надана дослідницькими організаціями, фіксує експоненціальне зростання числа порушень. Однією з основних причин, що впливають на виникнення великої кількості інцидентів, є помилки, допущені ще на етапі створення КМ. Для мінімізації таких помилок розроблено три основних підходи до побудови систем захисту мережевого периметру (ЗМП) КМ:

1. Розробка та впровадження нових систем, у рамках яких вирішується весь комплекс проблем захисту інформації (креативний підхід).

2. Модифікація існуючих прикладних систем з метою доповнення їх функціями захисту інформації (адитивний підхід).

3. Розробка підсистем захисту інформації, що вирішують окремі задачі або комплекс задач убезпечення даних, та їхня інтеграція з існуючими прикладними системами (інтеграційний підхід).

Креативний підхід пропонує найбільш радикальний спосіб вирішення проблеми забезпечення захисту КМ. Однак побудова складної інформаційної системи "з нуля" вимагає значних початкових часових і фінансових затрат. У зв'язку із цим широкого поширення набув адитивний підхід до побудови систем ЗМП корпоративних систем. Застосування даного підходу дозволяє скоротити час на розробку кінцевої захищеної системи за рахунок використання готових прикладних засобів обробки інформації. Однак аналіз існуючих реалізацій компонентів ЗМП КМ показує високу уразливість подібних систем.

Інтеграційний підхід є, по суті, розвитком цих двох підходів. Його якісна відмінність від розглянутих раніше полягає в тому, що вся система захисту створюється шляхом інтеграції стандартних конструктивних блоків, які виконують прикладні функції захисту, із засобами, використаними для побудови КМ. При цьому кінцева система ЗМП створюється не "з нуля", а проектується шляхом використання готових блоків, що, по-перше, помітно знижує трудомісткість розробки й, по-друге, дозволяє підвищити ефективність захисту шляхом досконального вивчення властивостей окремих блоків.

Таким чином, розробка й дослідження технологій інтеграції компонентів захисту мережевого периметру до проектованої КМ є актуальною задачею, що має як теоретичну, так і практичну цінність.

Зв'язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконувалась у рамках науково-дослідних робіт:

- НДР "Методи, моделі та технології створення систем контролю польоту динамічних об'єктів", № держреєстрації 0108U004069 (2008 р.) у Національному авіаційному університеті.

- НДР "Розробка теоретичних та технологічних засад знання-орієнтованих комп'ютерних систем для широкого призначення", № держреєстрації 0102U003207 (2006-2007 рр.) у Інституті кібернетики ім. В.М. Глушкова НАН України.

- НДР "Розробка та аналіз електротехнічного комплексу по персоналізації даних", № держреєстрації 0106U011606 (2007 р.) у Інституті кібернетики ім. В.М. Глушкова НАН України.

У перелічених проектах здобувач брав участь як співвиконавець.

Мета і завдання дослідження. Метою дисертаційної роботи є розробка технології інтеграції компонентів ЗМП для створення архітектури КМ з урахуванням підсистеми захисту, а також розробка методики оцінювання різних архітектурних реалізацій КМ з урахуванням проектованої або існуючої системи ЗМП.

Поставлена мета досягається розв'язанням таких основних задач:

1. Розробка класифікації методів захисту, а також засобів ЗМП, які їх реалізують, з урахуванням розташування засобу, що класифікується, в загальній структурі КМ і подальшою таксонометрію існуючих засобів ЗМП відповідно до визначених властивостей систем ЗМП.

2. Аналіз відомих архітектурних рішень, що застосовуються при побудові підсистеми ЗМП для КМ, визначення переваг та недоліків існуючих рішень.

3. Формалізація й побудова математичної моделі засобів ЗМП з подальшою декомпозицією кінцевих систем і функціональне моделювання з використанням апарату мереж Петрі.

4. Розробка й дослідження алгоритмів організації КМ з урахуванням наявності підсистеми ЗМП, в основі яких лежить використання фіксованого набору конструктивних елементів.

5. Побудова математичної моделі функціонування протоколу комунікації між задіяними конструктивними елементами з оцінюванням його ефективності, а також оцінювання загальної ефективності системи ЗМП, реалізованої з використанням розроблених методів побудови захисту мережевого периметру.

Об'єкт дослідження. Процес створення підсистеми ЗМП при побудові корпоративної мережі.

Предмет дослідження. Методи інтеграції компонентів ЗМП у мережеву архітектуру КМ, що забезпечують ефективний захист даних в корпоративних інформаційних системах.

Методи дослідження. Для проведення дисертаційних досліджень використовувалися положення й обґрунтування теорії множин, математичної логіки й теорії формальних мов, теорія графів, апарат розфарбованих мереж Петрі.

Наукова новизна одержаних результатів визначається тим, що в дисертаційній роботі:

1. Уперше запропоновано й обґрунтовано метод формалізації та декомпозиції засобів інтеграції компонентів ЗМП на основі синтезу елементарних конструктивних елементів, які виконують неподільні захисні функції, що дозволяє синтезувати підсистеми ЗМП, котрі адекватно відповідають вимогам до захисту інформації в конкретних КМ.

2. Розроблено й запропоновано для широкого застосування нові засоби функціонального моделювання КМ із вбудованою підсистемою ЗМП на основі використання моделюючих властивостей мереж Петрі, що дозволяє досліджувати властивості засобів ЗМП.

3. Запропоновано оригінальний засіб для побудови КМ з інтегрованою підсистемою ЗМП, на основі застосування фіксованого набору конструктивних елементів, що забезпечує оптимальне співвідношення кількості необхідних і реалізованих функцій захисту.

4. Удосконалено метод та засіб оцінювання ефективності створеної КМ з інтегрованою підсистемою ЗМП, що дозволяє визначати як якісні оцінні характеристики, так і кількісні показники, а також створювати математичні моделі розроблюваної системи з оптимізованими характеристиками підсистеми захисту на основі ідентичних вихідних даних.

Практичне значення одержаних результатів дисертаційної роботи визначається тим, що:

- запропонована методика моделювання КМ з інтегрованою підсистемою ЗМП із використанням розфарбованих мереж Петрі дозволяє на етапі проектування виявити можливі архітектурні помилки в проектованій підсистемі ЗМП;

- запропонований програмний моделюючий комплекс на основі дискретного моделюючого середовища OMNET++ дозволяє досліджувати різні аспекти функціонування (наприклад, взаємодію з іншими розподіленими застосуваннями та функціонуючими протоколами) запропонованої підсистеми ЗМП для заданої КМ;

- запропонована методика оцінювання КМ з підсистемою ЗМП дозволяє визначити як кількісні, так і якісні параметри підсистеми ЗМП за допомогою однієї шкали, що, у свою чергу, дає можливість обробляти отримані дані, а також порівнювати різні варіанти реалізації підсистем ЗМП для заданої КМ виключно математичними методами без додаткового експертного оцінювання;

- розроблений для використання в КМ апаратно-програмний комплекс захисту інформаційних програмних ресурсів від несанкціонованого копіювання дозволяє запобігати або значно ускладнювати крадіжку інформації навіть особою, що має права доступу до інформації, яка підлягає захисту.

Результати дисертаційної роботи використано при:

- побудові корпоративної мережі НДІ "Квант-Радіоелектроніка";

- створенні комплексу захисту інформації в Українському мовно-інформаційному фонді НАН України;

- розробці спеціалізованого програмно-апаратного комплексу в Інституті кібернетики ім. В.М. Глушкова НАН України.

Це підтверджується відповідними актами про впровадження.

Особистий внесок здобувача. Усі результати, що складають основний зміст дисертаційної роботи, отримані автором самостійно. За результатами дисертаційних досліджень опубліковано 9 наукових праць, серед яких 1 самостійна робота [6]. У роботах, написаних у співавторстві, здобувачеві належить: [1] - метод формалізації задач захисту мережевого периметру, а також розробка програмного комплексу для проведення досліджень; [2] - опис технології захисту великих баз даних від несанкціонованого копіювання; [3] - розробка підходів до застосування показника організованості інформаційних систем для оцінювання систем захисту інформації; [4] - розробка методу синтезу послуг захисту з подальшим моделюванням на мережах Петрі; [5] - розробка алгоритмів функціонування різних блоків електронного ключа захисту інформації; [7] - розробка алгоритмів функціонування обчислювального пристрою захисту баз даних.

Апробація результатів дисертації. Основні результати дисертаційної роботи доповідалися й обговорювалися на VIII Міжнародній молодіжній науково-практичній конференції "Людина й космос" (м. Дніпропетровськ, Україна, 2006 р.), III науково-технічній конференції "Пріоритетні напрямки розвитку телекомунікаційних систем та мереж спеціального призначення" (м. Київ, Україна, 2007 р.) і на семінарах "Інтелектуальні комп'ютерні засоби, мережі й системи" Наукової ради НАН України по проблемі "Кібернетика".

Публікації. Основні результати дисертаційної роботи опубліковано в 9 наукових працях, серед яких 6 - у фахових виданнях України [1-6], 1 - патент України [7], 2 - у матеріалах конференцій [8, 9].

Структура та обсяг дисертації. Дисертаційна робота, представлена на 178 сторінках друкованого тексту, складається із вступу, чотирьох розділів і висновків, списку використаної літератури з 134 найменувань і трьох додатків. Обсяг основного тексту - 137 сторінок. Дисертаційна робота містить 38 рисунків, 14 таблиць, 3 додатки, 3 акти про впровадження.

ОСНОВНИЙ ЗМІСТ РОБОТИ

У вступі обґрунтовано актуальність теми дисертаційної роботи, сформульовано мету й основні задачі дослідження, визначено область і об'єкт дослідження, висвітлено наукову новизну та практичну цінність одержаних результатів, наведено дані про впровадження результатів роботи, особистий внесок здобувача та публікації.

У першому розділі представлено розроблену автором нову класифікацію засобів ЗМП із погляду розташування об'єкта захисту, а також виконуваної їм ролі для КМ. Подальша класифікація в кожній описаній групі ведеться на основі розділення властивостей засобів ЗМП на три групи: загальні властивості; визначальні властивості; опціональні властивості.

Виокремлення й аналіз вищеописаних груп властивостей дозволяє оцінити окремий засіб ЗМП із погляду ефективності співвідношення реалізованих функцій в оцінюваному об'єкті та затребуваності цих функцій у розроблюваній або функціонуючій підсистемі ЗМП для КМ.

На основі проведеного аналізу багатьох наукових досліджень різних авторів виділено кілька основних архітектурних рішень щодо організації КМ із вбудованими засобами ЗМП: на базі ешелонування захисту мережевого периметру; на основі інтелектуальних багатоагентних систем; на основі ядра. Наведено аналіз принципів побудови й алгоритмів функціонування, які застосовуються в цих архітектурних рішеннях, оцінки щодо можливості використання конкретного архітектурного рішення для побудови КМ з підсистемою ЗМП. На даний момент найбільш використовуваною є архітектура з ешелонуванням захисту мережевого периметру, але створення на її основі територіально розподіленої КМ із підвищеними вимогами до захисту інформації, що характерно для основної маси КМ державних організацій і транснаціональних корпорацій, пов'язано з деякими труднощами. Перспективними для таких КМ є архітектури на основі інтелектуальних багатоагентних систем, задля чого потрібно кардинальним чином змінити всі існуючі засоби ЗМП. Але це призведе до значних фінансових витрат і не дозволить поступово переходити на нову архітектуру.

Таким чином, для вирішення цих проблем запропоновано нову архітектуру на базі модулів захисту. Вона дозволяє, з одного боку, використовувати вже існуючі засоби ЗМП, а з іншого, у майбутньому застосовувати засоби ЗМП, розроблені на базі інтелектуальних багатоагентних систем.

У другому розділі наведено метод формалізації та декомпозиції задач ЗМП. Запропоновано формалізацію задач ЗМП, в основі якої лежить поняття інформаційної погрози. Для проведення декомпозиції задач ЗМП, виходячи з формального опису інформаційної погрози, як мінімальний рівень декомпозиції засобів ЗМП слід використовувати одиничний інформаційний вплив, необхідний для запобігання виконанню якої-небудь погрози з упорядкованої множини погроз або звести виконання такої погрози до мінімальних наслідків. захист мережа периметр інтеграція

Такий елемент мінімального рівня декомпозиції називається елементарною функцією безпеки (ЕФБ), він реалізує функціональну залежність:

,

де I_e - вихідний інформаційний потік;

F' - реалізований функціонал, що дозволяє протидіяти інформаційному впливу;

f - вхідний параметр безпеки, реалізованої для управління ЕФБ як системою;

I_b - вихідний інформаційний потік.

Множина можливих ЕФБ є скінченою для заданого моменту часу, але з розвитком технологій можуть з'являтись як нові погрози, так і нові ЕФБ відповідно. Особливістю ЕФБ є подальша неподільність із погляду виконання функцій захисту, тому що після поділу ЕФБ на складові частини вона втрачає свої початкові властивості як ЕФБ і перетворюється на набір компонентів, що виконують певні функції, не пов'язані із забезпеченням захисту.

Нехай усілякі системи безпеки повністю описує мова B. Тоді ЕФБ являє собою алфавіт A мови В. Для виводу з алфавіту A об'єкта наступного рівня ієрархії необхідно визначити деякі граматичні правила, що належать до граматики G. Як правила граматики G запропоновано використовувати такі операції над ЕФБ, як об'єднання та інтеграція.

При об'єднанні ЕФБ між собою утворюється ланцюжок ЕФБ:

,

у якому кожний елемент виконує своє перетворення, але в сукупності вони не породжують нову систему зі своїми унікальними властивостями і не мають синергетичного ефекту, що в термінах формальних мов описується як

,

де С - результуючий об'єкт, отриманий у ході операції об'єднання.

Тоді формальна модель побудови об'єднання ЕФБ являє собою систему

,

,

де С - результуючий об'єкт, отриманий у ході операції інтеграції.

При інтеграції ЕФБ між собою з'являється реалізація конкретного об'єкта, що належить до вищого рівні ієрархії. Формальна модель побудови об'єктів верхнього рівня має такий вигляд:

,

.

Результатом інтеграції між ЕФБ є нова система з набором нових унікальних функцій і властивостей, якими не володіють вихідні ЕФБ. Ця система має синергетичний ефект. Об'єкт, породжений у процесі інтеграції ЕФБ, називається функцією безпеки (ФБ).

У загальному випадку ФБ - це будь-яка послідовність інформаційних впливів, що запобігає виконанню якої-небудь погрози (або погроз) чи сприяє мінімізації наслідків виконання таких погроз. Для реалізації функції безпеки слід створити систему:

,

де F - реалізований функціонал, що дозволяє протидіяти інформаційному впливу;

- упорядкована множина вхідних параметрів безпеки, реалізованих у системі.

З погляду безпеки зручно оперувати множиною об'єктів ФБ, оскільки вони мають деякий набір унікальних властивостей і можуть використовуватися уже в кінцевих системах захисту без значних змін.

У роботі запропоновано формалізований метод створення компонентів систем ЗМП. Нехай - множина погроз цілісності, - множина погроз розкриття, - множина погроз відмови в обслуговуванні, причому . Припустимо, що час дискретний, тоді - множина суб'єктів інформаційної системи у момент , - множина об'єктів інформаційної системи у момент . При цьому

,

де - множина погроз цілісності, розкриття й відмови в обслуговуванні, які можуть бути реалізовані множиною в момент , тоді в кожний момент часу на інформаційну систему, представлену множиною , діє множина погроз . Тобто .

Для запобігання виконанню множини погроз слід реалізувати відповідні ЕФБ у вигляді ФБ. Оскільки ? const в життєвому циклі КМ , тоді й ? const.

Таким чином, задача створення системи ЗМП для КМ у загальному випадку зводиться до задачі створення набору ФБ для захисту від виконання упродовж життєвого циклу КМ .

При дослідженні запропонованих методів формалізації та декомпозиції за допомогою розфарбованих мереж Петрі були промодельовані такі типові задачі ЗМП, як пакетна фільтрація трафіка з повідомленням користувача про порушення й організація віддаленого доступу до корпоративного середовища з повідомленням користувача про порушення.

Побудовану модель задачі фільтрації трафіка з повідомленням користувача про порушення представлено на рис. 1.

Рис. 1. Мережа Петрі для задачі фільтрації трафіка.

Модель задачі надання віддаленого доступу до корпоративного середовища з повідомленням користувача про порушення представлено на рис. 2.

Запропонований у дисертаційній роботі підхід до дослідження цих властивостей базується на аналізі загальних властивостей мереж Петрі. Так, коректність побудови систем ЗМП припускає відсутність у створеній моделі такого алгоритму функціонування, при якому ймовірність виконання будь-якої погрози близька до 1: , де P - імовірність виконання події в момент часу t. При цьому .

У термінах мереж Петрі це означає відсутність тупикових розміток і такого алгоритму функціонування мережі, при якому порушується умова збережності для заданої мережі.

Оптимальність побудови систем ЗМП припускає використання для створення систем ЗМП мінімального набору необхідних ФБ і найбільш простих алгоритмів їхньої взаємодії, що значно підвищує економічну ефективність створеної системи ЗМП.

Рис. 2. Мережа Петрі для послуги віддаленого доступу до мережі.

При цьому зменшується ймовірність виконання погроз, тому що кількість можливих несправностей напряму залежить від кількості використовуваних компонентів ЗМП для КМ і складності алгоритмів їхньої взаємодії.

У термінах мереж Петрі це означає, що, по-перше, повною мірою виконуються умови для мережі Петрі (обмеженість, живучість, відсутність тупиків) і, по-друге, вся мережа Петрі має повторювану структуру.

Відмовостійкість систем ЗМП визначається ймовірністю виходу з ладу або переходу в режим позаштатного функціонування під навмисним або ненавмисним впливом. За допомогою мережі Петрі легко виявити проблемні ділянки, тому що дослідження властивості обмеженості мережі дозволяє визначити позиції, у яких кількість міток перевищує деяке порогове значення K. А це, у свою чергу, є індикатором наявності можливої відмови шляхом виснаження обчислювальних ресурсів.

У третьому розділі представлено розроблені алгоритми організації засобів ЗМП для КМ. Кінцевою метою такої організації є об'єднання розрізнених елементів ЗМП у єдину інтегровану систему з КМ, що враховує вимоги, висунуті бізнес-застосуваннями, які функціонують у КМ.

У ході дисертаційного дослідження розроблено модульну архітектуру організації засобів ЗМП для КМ. В основу такої архітектури покладено такі концептуальні принципи: є набір модулів ЗМП, кожний з яких реалізує фіксований набір ФБ, кожна існуюча ФБ реалізується в єдиному модулі ЗМП і не повторюється більше в інших модулях.

Для модульної архітектури ЗМП виконується співвідношення

, ,

де M₁ - множина ФБ, реалізованих першим модулем;

M₂ - множина ФБ, реалізованих другим модулем.

Це дозволяє говорити про те, що деяка підмножина ФБ другого модуля ЗМП може бути не використана, але при цьому забезпечується мінімальна надмірність використаних ФБ і розширюваність ФБ без значних трудовитрат і капітальних вкладень як з боку виробника засобів ЗМП, так і з боку користувача.

Відповідно до теорії ієрархічних систем будь-який об'єкт можна представити у вигляді детермінованого набору складових елементів із внутрішніми зв'язками між ними:

,

де М - результуючий об'єкт;

- множина складових елементів об'єкта;

- множина зв'язків між складовими елементами об'єкта:

,

де - множина незмінних у часі зв'язків;

- множина змінюваних у часі зв'язків.

При цьому варто враховувати, що , у свою чергу, є об'єктом, що складається з детермінованого набору елементів і зв'язків:

і .

Таким чином,

,

де - індекс конкретної вибірки із множини ;

- індекс рівня ієрархії .

У загальному випадку об'єкт захисту M має кілька вкладених рівнів декомпозиції й найбільш низьким з них є раніше описана ЕФБ.

На базі цієї формальної моделі створено фіксований набір простих програмно-апаратних модулів, кожний з яких реалізує певну функцію захисту. Такий набір складається з декількох груп модулів: контролю доступу й управління інформаційним середовищем; управління інформаційними потоками; криптографічного забезпечення. Усі ці групи модулів забезпечують виконання певного кола задач стосовно побудови інтегрованої системи ЗМП. Такий підхід дає можливість уніфікувати сучасні засоби ЗМП. При цьому певний профіль захисту може бути утворений шляхом інтеграції використовуваних модулів у конкретній інформаційній системі.

Для взаємодії між модулями в рамках єдиного інформаційного середовища розроблено спеціалізований протокол обміну повідомленнями. Описано математичну модель протоколу інформаційного обміну при передачі масивів даних від A до B, яка передбачає пересилання D байтів корисної інформації та байтів заголовка пакетами через r комутаторів по різним шляхам (рис. 3).

Рис. 3. Багатоканальна система доставки з різною кількістю маршрутів.

У цій моделі час доставки визначається формулою:

.

Для дослідження й моделювання запропонованої технології інтеграції засобів ЗМП у КМ був розроблений спеціалізований framework з використанням середовища для дискретного моделювання OMNET++. У ході моделювання отримано залежність часу доставки від обсягу корисної інформації, що передається, для двох випадків: із застосуванням запропонованої математичної моделі й без використання такої моделі (рис. 4).

Рис. 4. Графік залежності T(D).

Для оцінювання архітектурних особливостей побудови КМ з підсистемою ЗМП запропоновано модифіковану методику на основі використання критерію оцінювання ступеня організованості інформаційних систем. Ступінь організованості інформаційних систем визначається функціоналом , що дозволяє апостеріорі оцінити кількісні та якісні характеристики системи при розв'язанні класу задач, які задаються особою, що приймає рішення (ОПР):

,

де - функція приналежності множині класу задач, що вирішуються;

- ваговий коефіцієнт j-ї задачі в класі розв'язуваних задач;

та - відповідно максимальна й реальна кількість інформації, що може бути отримана в результаті розв'язання j-ї задачі;

- потужність множини розв'язуваних задач i-го класу.

Функція використовується як критерій оцінювання рівня розв'язуваних задач. Якщо ступінь організованості інформаційної системи оцінено в 1, то вирішуються всі задачі заданої множини й при цьому повністю виключається апріорна ентропія. Причому кожна задача вирішується щонайкраще, з погляду ОПР, і процес одержання результатів при розв'язанні всіх задач у комплексі також виконується щонайкраще. Відповідно до цієї методики здійснено оцінювання підсистеми ЗМП для змодельованої КМ (рис. 5)

У четвертому розділі наведено опис розробленого апаратно-програмного засобу захисту інформаційних програмних ресурсів від несанкціонованого копіювання користувачем, що має усі права доступу.

Рис. 5. Функція оцінювання задач ЗМП.

Проектування й реалізація розробленого пристрою (рис. 6) було виконано на ПЛІС з використанням сучасної елементної бази. Блок реалізації алгоритму RSA у кристалі Spartan-3 (XC3S400-FG456) складається з декількох суматорів, обчислювачів, регістрів і мультиплексорів (табл. 1).

Таблиця 1

Найм. елемента	Розрядність	Кількість	Найм. елемента	Розрядність	Кількість
Суматор Обчислювач Регістр Регістр Регістр	130 130 130 128 1	2 6 8 6 2	Мультиплексор 21 Мультиплексор 21	130 128	6 4

Число секцій (Slices), займаних блоком у кристалі, становить 1928 із загального числа 3584, тобто приблизно 53 %. На вхід блоку подається 128-розрядний сигнал для шифрування або дешифрування, а значення трьох ключів (відкритого, закритого й модуля) зберігаються в блоці у вигляді констант. Закінчення процесу шифрування або дешифрування фіксується за наявності сигналу готовності, який формується одночасно з вихідним 128-розрядним сигналом. Швидкодія блоку визначається числом циклів перетворення й частотою синхронізуючих сигналів.

Рис. 6. Функціональна схема пристрою.

Запропонований апаратно-програмний комплекс (рис. 7) може стати основою розробки відповідних програмно-апаратних комплексів для застосування:

- в алгоритмах електронного цифрового підпису (ЕЦП);

- в системах захисту великих БД або їхніх значних частин від копіювання несанкціонованим користувачем або користувачем, що володіє повним набором привілеїв;

- в системах захисту від несанкціонованого використання або тиражування мультимедійних БД, розповсюджуваних на переносних носіях.

Рис. 7. Структурна схема розробленого пристрою та зображення дослідного зразка.

ОСНОВНІ ВИСНОВКИ ТА РЕЗУЛЬТАТИ РОБОТИ

У дисертаційній роботі наведено теоретичне обґрунтування й запропоновано новий підхід до розв'язання науково-технічної задачі підвищення ефективності систем ЗМП для КМ шляхом мінімізації використовуваних засобів ЗМП і змінення архітектури КМ.

Основні наукові та практичні результати роботи:

1. На базі аналізу існуючих технологій, алгоритмів і засобів ЗМП запропоновано нову класифікацію засобів ЗМП із погляду розташування об'єкта, що захищає, а також виконуваної їм ролі для КМ. Представлено порівняльний аналіз різних архітектурних рішень, використовуваних при побудові систем ЗМП для КМ.

2. Проведено формалізацію задачі декомпозиції систем ЗМП із виділенням мінімального рівня декомпозиції. Дано формальний опис нових понять: елементарна функція безпеки (ЕФБ) і функція безпеки (ФБ) як мінімальний рівень декомпозиції підсистем ЗМП для КМ. Запропоновано алгоритми для функціонального моделювання задач ЗМП з використанням апарата мереж Петрі, що дозволяє досліджувати властивості засобів ЗМП, такі як коректність побудови засобів ЗМП, оптимальність їхньої побудови, відмовостійкість засобів ЗМП на основі аналізу загальних властивостей мереж Петрі.

3. Запропоновано новий архітектурний підхід до побудови КМ з інтегрованою підсистемою ЗМП на основі використання нових конструктивних елементів. Розроблено математичну модель для її реалізації в протоколі комутації між задіяними конструктивними елементами, що дозволяє гнучко управляти різними параметрами протоколу.

4. Сформульовано критерій для оцінювання систем захисту виходячи з архітектурних особливостей. Запропоновано оригінальну методику оцінювання підсистем ЗМП для КМ на основі модифікованого критерію оцінювання ефективності систем ЗМП. Розроблено рекомендації щодо визначення кількісних і якісних характеристик інтегрованих підсистем ЗМП на базі єдиної шкали вимірювання.

5. Розроблено програмний моделюючий комплекс для дослідження різних варіантів КМ з інтегрованою підсистемою ЗМП на базі використання дискретного середовища моделювання OMNET++. Проведені випробування та дослідження підтверджують доцільність використання запропонованого архітектурного підходу для побудови КМ з інтегрованою підсистемою ЗМП.

6. На основі запропонованого підходу створено програмно-апаратний комплекс захисту інформаційних ресурсів від несанкціонованого копіювання, розроблено алгоритм застосування цього комплексу, надано рекомендації щодо його використання для різних областей застосування.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ ЗА ТЕМОЮ ДИСЕРТАЦІЇ

1. Алишов Н.И. Технология интеграции средств защиты сетевого периметра / Н.И. Алишов, В.А. Марченко // Математические машины и системы. - 2006. - № 2. - С. 36-47.

2. Палагин А.В. Технология защиты больших баз данных от несанкционированного копирования / [Палагин, Н.И. Алишов, В.А. Марченко, В.А. Широков]// Комп'ютерні засоби, мережі та системи: зб. наук. пр. - К.: НАНУ, Ін-т кібернетики, 2006. - № 5. - С. 73-79.

3. Алишов Н.И. Метод оценки степени организованности систем защиты информации / Н.И. Алишов, И.А. Жуков, В.А. Марченко // Інформаційні технології та комп'ютерна інженерія. - 2007. - № 3(10). - С. 166-171.

4. Алишов Н.И. Метод синтеза услуг по защите информации в компьютерных сетях / Н.И. Алишов, В.А. Марченко // Управляющие системы и машины. - 2007. - № 6. - С. 60-67.

5. Палагин А.В. Электронный USB-ключ защиты больших баз данных от несанкционированного копирования / [Палагин, Н.И. Алишов, В.Н. Опанасенко, В.А. Марченко, и др.]// Проблеми інформатизації та управління: зб. наук. пр. - К.: НАУ, 2007. - № 2(20). - С. 14-21.

6. Марченко В.А. Формализованная технология проектирования системы защиты информации /?В.А. Марченко?// Комп'ютерні засоби, мережі та системи: зб. наук. пр. - К.: НАНУ, Ін-т кібернетики, 2007. - № 6. - С. 126-132.

7. Пат. 19899 Україна, МПК G 09 С 1/06. Обчислювальний пристрій захисту баз даних / Н.І. Алішов, В.А. Марченко, О.В. Палагін, В.А. Широков; власник Ін-т кібернетики ім. В.М. Глушкова НАН України. - № u 2006 02949; заявл. 20.03.2006; опубл. 15.01.2007. Бюл. № 1.

8. Марченко В.А. Об одной технологии проектирования средств защиты сетевого периметра // "Человек и космос": матеріали VІІІ Міжнародної молодіжної науково-практичної конференції. Дніпропетровськ, 13-14 квіт. 2006 р.: тези доповідей - Дніпропетровськ: НЦАОМУ, 2006. - С. 140.

9. Марченко В.А. Формализованная технология проектирования систем защиты информации // "Пріоритетні напрямки розвитку телекомунікаційних систем та мереж спеціального призначення": матеріали III науково-технічної конференції. Київ, 24-25 лист. 2007 р.: тези доповідей - К.: ВІТІ НТУУ "КПІ", 2007. - С. 182.

АНОТАЦІЇ

Марченко В.А. Засоби інтеграції компонентів захисту мережевого периметру. - Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.05 - комп'ютерні системи та компоненти. - Національний авіаційний університет МОН України, Київ, 2008.

Дисертацію присвячено актуальній задачі підвищення ефективності побудови корпоративної мережі з підсистемою захисту мережевого периметру шляхом інтеграції відповідних розрізнених засобів захисту в єдину систему захисту корпоративної мережі. Здійснено порівняльний аналіз існуючих архітектурних рішень, використовуваних для побудови сучасних корпоративних мереж із підсистемою захисту. Розроблено новий підхід до формалізації засобів захисту мережевого периметру з використанням запропонованого методу декомпозиції систем захисту, який передбачає виділення мінімального рівня декомпозиції. Запропоновано новий підхід до побудови інтегрованої системи захисту мережевого периметру з використанням синтезованих модулів захисту. Розроблено програмний комплекс для дослідження й моделювання корпоративних мереж з підсистемою захисту мережевого периметру, побудований з використанням запропонованого підходу. Спроектовано програмно-апаратний комплекс захисту баз даних від несанкціонованого копіювання.

Ключові слова: корпоративна мережа, мережевий периметр, архітектура мережі, архітектура системи захисту, формалізація системи, мережі Петрі.

Марченко В.А. Средства интеграции компонентов защиты сетевого периметра. - Рукопись.

Диссертация на соискание ученой степени кандидата технических наук по специальности 05.13.05 - компьютерные системы и компоненты. - Национальный авиационный университет МОН Украины, Киев, 2008.

Диссертация посвящена актуальной задаче повышения эффективности создания корпоративных сетей с подсистемой защиты сетевого периметра путем интеграции соответствующих разрозненных средств защиты в единую систему защиты корпоративной сети

Выполнен сравнительный анализ архитектурных решений, которые используются для построения современных корпоративных сетей с подсистемой защиты.

Разработан подход к формализации средств защиты сетевого периметра с использованием понятия информационной угрозы. В соответствии с предложенным подходом проведена декомпозиция систем защиты сетевого периметра с выделением минимального уровня декомпозиции, называемого элементарной функцией безопасности, и функции безопасности как результирующего объекта, полученного в ходе интеграции элементарных функций безопасности. На основе использования предложенных абстрактных понятий (элементарная функция безопасности и функция безопасности) разработан метод моделирования корпоративных сетей с интегрированной подсистемой защиты сетевого периметра, базирующийся на применении раскрашенных сетей Петри.

Предложен новый подход к построению интегрированной системы защиты сетевого периметра корпоративной сети с использованием модулей защиты, представляющих собой практическую реализацию функций безопасности. В основу этих модулей положена концепция, в соответствии с которой каждый из модулей реализует фиксированный набор функций безопасности, а каждая существующая функция безопасности реализуется в единственном модуле защиты сетевого периметра. Для взаимодействия между модулями защиты разработан коммуникационный протокол с гибким управлением параметрами доставки. Исследование эффективности архитектурных решений относительно построения корпоративных сетей с интегрированной подсистемой защиты сетевого периметра предложено проводить с помощь модифицированной методики оценивания эффективности подсистем защиты сетевого периметра.

Разработан программный комплекс для исследования и моделирования корпоративных сетей с интегрированной подсистемой защиты сетевого периметра, построенной с использованием предложенного архитектурного подхода.

Применение разработанных технологий интеграции компонентов защиты сетевого периметра позволило спроектировать программно-аппаратный комплекс защиты от несанкционированного копирования больших баз данных, функционирующих в корпоративной сети, и изготовить опытный образец этого комплекса.

Ключевые слова: корпоративная сеть, сетевой периметр, архитектура сети, архитектура системы защиты, формализация системы, сети Петри.

Marchenko V.A. Integration feature component of protection of network perimeter. - Manuscript.

The Dissertation on competition of a scientific degree of the Candidate of Technical Sciences on specialty 05.13.05 - computer systems and components. - National aviation university Ministry of Education and Science of Ukraine, Kyiv, 2008.

The Dissertation is devoted to an actual problem of increase efficiency protection of network perimeter by integration of the isolated means protection of network perimeter into uniform system protection for a corporate network. The comparative analysis existing architectural decisions modern systems of protection corporative network used for construction is spent. The new approach to formalization means protection of network perimeter using which method of decomposition systems of protection with allocation of a minimum level of decomposition is developed is offered. The new approach to construction is offered to the integrated system protection of network perimeter with use modules of protection. The program complex is developed for research and modeling systems of the protection constructed with use the offered approach. On the basis of the spent researches hardware-software complex protection of databases from not authorized copying has been designed.

Keywords: network perimeter, architecture of system of protection, formalization of system, network Petri.

Размещено на Allbest.ru

...