О повышении эффективности использования механизмов разграничения доступа в корпоративных информационно-вычислительных сетях
Рассмотрение проблемы оптимизации размещения информационных ресурсов в корпоративных сетях с позиции их защиты от несанкционированного доступа на основе механизмов разграничения доступа, реализованных в современных сетевых операционных системах к ним.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 15.08.2020 |
Размер файла | 35,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
Академия Федеральной службы охраны Российской Федерации
О повышении эффективности использования механизмов разграничения доступа в корпоративных информационно-вычислительных сетях
Радыгин Владимир Михайлович,
д.т.н., профессор
Бочков Петр Вадимович, к.т.н.
Немчинов Вадим Игоревич
Слушатель Академии
г. Орел
Бурное развитие информационных технологий и активное внедрение в деятельность организаций и учреждений информационно-вычислительных сетей (ИВС) активизировало разработку направления, связанного с поиском новых подходов к решению задач обеспечения безопасности корпоративного информационного обмена, связанных в том числе и с необходимостью эффективной защиты конфиденциальной корпоративной информации от недопущенных к ней законных пользователей сети.
Так, например, постоянная эволюция ИВС в аспекте роста производительности ЭВМ и пропускной способности телекоммуникационной составляющей сетей, с одной стороны, стимулируют внедрение новых, в том числе более ресурсоемких с точки зрения информационного обмена технологий, а с другой - возникающая при этом возможность расширения спектра решаемых в ИВС задач является мощным катализатором для роста объема ее информационного массива.
При этом, как следствие, резко усложняется задача обеспечения требований по защите информационных ресурсов в принятой системе разграничения доступа к ним законных пользователей сети.
Все сказанное позволяет сделать вывод о необходимости поиска таких подходов к организации информационного обмена в ИВС, которые позволяют без ее дорогостоящей модернизации повысить эффективность принятой в ней системы разграничения доступа к информации.
Современные операционные системы обеспечивают возможность разграничения доступа:
- на уровне сети (доступ к ресурсам ЭВМ);
- на уровне дисковой подсистемы (доступ к логическим и физическим дискам ЭВМ);
- на уровне файловой системы диска (доступ к каталогам диска и непосредственно к отдельным файлам).
С позиций задачи разграничения доступа к информационным ресурсам наиболее приемлемым является вариант, при котором информационные потребности пользователей не пересекаются, а для доступа к конкретному файлу пользователь должен пройти все уровни защиты, используя при этом различные пароли.
Очевидно, что при таком варианте в каталоге каждого пользователя и на дисках, где хранятся информационные ресурсы, не должно быть данных других пользователей.
На практике пользователи ИВС связаны по своим функциональным обязанностям и могут выполнять части единой задачи. Это приводит к пересечению информационных потребностей и необходимости доступа нескольких пользователей к одним и тем же данным.
С другой стороны, структуризация данных выполняется при проектировании баз данных, Intranet-сети, системы документооборота, исходя из требований нормализации, минимизации дублирования, оперативности доступа.
При этом данные различных пользователей могут стать частями единого более крупного информационного объекта (таблицы БД, отчета БД, электронного документа и т.п.).
Это определяет второе направление повышения уровня защиты за счет оптимизации размещения данных - группирование данных, однородных с точки зрения информационных потребностей пользователей в информационные объекты для последующего разграничения доступа.
Выбор варианта размещения данных как функции вероятности несанкционированного доступа показан на примере постановки задачи, которая на содержательном уровне может быть сформулирована следующим образом. информационный сетевой корпоративный доступ
Задано:
- множество пользователей ИВС;
- множество информационных объектов;
- информационные потребности пользователей (распределение элементов множества информационных объектов по элементам множества пользователей);
- минимальная длина пароля для идентификации пользователя при доступе к ресурсам ИВС;
- множество ЭВМ ИВС;
- множество логических дисков и каталогов, выделенных для размещения информационных ресурсов;
- ограничения на дисковую память каждой ЭВМ;
- размер ущерба, выраженный в условных единицах ценности информации, для каждого элемента множества информационных ресурсов (в ряде случаев данный параметр может выражаться стоимостью данных, полученной экспертным путем).
Требуется: определить вариант распределения элементов множества информационных объектов по элементам множества каталогов и логических дисков ЭВМ сети, при котором взвешенная относительно ущерба вероятность несанкционированного доступа к информационным ресурсам в случае компрометации пароля любого пользователя будет минимальна.
Ограничения:
- суммарный объем данных, размещенных на диске, не должен превышать его физических ограничений;
- каждый информационный объект должен быть размещен только в одном месте.
Очевидно, что сформулированная задача не имеет тривиального решения, так как число пользователей, как правило, больше или равно числу ЭВМ в ИВС; число логических дисков, доступных для размещения информационных ресурсов, больше или равно числу ЭВМ в сети (как правило, больше); число каталогов значительно больше числа дисков, а число информационных объектов значительно больше числа каталогов.
Данная задача формально может быть представлена в следующем виде.
Дано:
1. Множество ЭВМ ИВС , где v - общее число ЭВМ в сети.
2. Множество пользователей ИВС , где m - общее число пользователей.
3.Множество информационных объектов, подлежащих размещению , где n - общее число информационных объектов.
4. Множество логических дисков ЭВМ ИВС, доступных для размещения информационных объектов , где h - общее число логических дисков ЭВМ ИВС.
5. Множество каталогов файловой системы дисков ЭВМ ИВС, доступных для размещения информационных объектов , где s - общее число каталогов.
6. Векторы параметров информационных объектов:
- вектор параметров объема информационных объектов
,
где - объем j-го информационного объекта;
- вектор параметров оценки "ущерба" при несанкционированном доступе к информационным объектам
,
где - оценка "ущерба" при несанкционированном доступе к j-му информационному объекту.
7.Матрица доступа пользователей к информационным объектам
,
где
8.Матрица размещения логических дисков по ЭВМ сети
,
где
9.Вектор параметров логических дисков ЭВМ ИВС , где - объем (размер) i-го логического диска.
10.Матрица размещения каталогов, доступных для размещения информационных объектов по дискам ЭВМ сети
,
где
11.Минимальная длина пароля .
Найти: вариант распределения элементов множества F по элементам множеств E и D, описываемый трехмерной матрицей ,
где
который соответствует минимальному значению целевой функции
. (1)
Ограничения:
(2)
(3)
(4)
где - множество пользователей, наделенных правами доступа к информационным объектам каталогов 1, …, s соответственно; - вектора, включающие номера (идентификаторы) пользователей, имеющих право доступа к i-му информационному объекту соответствующего каталога, при некотором фиксированном варианте размещения (для рассматриваемого решения целевой функции).
Физический смысл ограничения (2) состоит в том, что суммарный объем информационных объектов, размещенных на каждом диске множества D, не может превышать его объем, значение которого определяется соответствующим элементом вектора параметров логических дисков .
Ограничение (3) сводится к требованию размещения только одного экземпляра каждого информационного объекта, т. е. элемента множества F.
Ограничение (4) устанавливает, что каждое допустимое решение (вариант размещения) должно соответствовать ситуации, когда множества пользователей, наделенных правами доступа к информационным объектам, размещенным в определенном каталоге, тождественны, т. е. содержат одни и те же идентификаторы пользователей.
Более просто это формулируется, как требование отсутствия в любом из каталогов таких информационных объектов, к которым допущено разное множество пользователей.
Для проверки ограничения (4) предлагается алгоритм, который можно представить следующей последовательностью шагов:
1. Для рассматриваемого варианта размещения фиксируется индекс , соответствующий 1-му каталогу.
Проверяются на равенство единице все элементы двумерной матрицы (плоскости), получаемой из исходной трехмерной матрицы при фиксации индекса , и формируется множество значений индекса i (номеров информационных объектов, размещенных в первом каталоге).
2. Для каждого значения индекса i , полученного на первом шаге, определяются позиции j (номера столбцов) элементов матрицы доступа пользователей к информационным объектам , равные единице. В результате формируются подмножества (вектора) номеров пользователей, которым разрешен доступ к фиксированному i-му информационному объекту, размещенному в первом каталоге.
3. Полученные в результате второго шага подмножества пользователей, которым разрешен доступ к каждому из информационных объектов, размещенных в первом каталоге , проверяются на тождественность (равенство элементов).
Очевидно, что число подмножеств l равно числу информационных объектов, размещенных в первом каталоге. Если подмножества не тождественны, вариант размещения признается не соответствующим ограничению (4) и отвергается.
В противном случае осуществляется переход к шагу 4.
4. Выполняются аналогичные шагам 1-3 действия для каждого очередного каталога.
Вариант размещения принимается в случае тождественности подмножеств пользователей по отношению к информационным объектам каждого каталога .
Конкретизируем выражение (1):
, (5)
где - вероятность несанкционированного доступа к i-му информационному объекту.
Основной особенностью выражения (5) является наличие взвешенного с точки зрения "ценности" информационного объекта (сомножитель ) коэффициента , являющегося по сути функцией "штрафа" и вычисляемого в соответствии с выражением
(6)
где - вероятность преодоления одного уровня защиты, определяемая стойкостью пароля к раскрытию и выражением
, (7)
где - минимальная длина пароля пользователя; А - емкость алфавита, используемого при формировании паролей.
При выборе по выражению (6) значения функции штрафа необходимо реализовать следующий алгоритм проверки выполнения условий функции (6).
1. Для соответствующего элемента суммы (целевой функции) выражения (5), которому соответствует фиксированный индекс информационного объекта и значение которого равно единице, определяются значение j - номера диска и значение k - номера каталога, в которых он размещен.
2. Для полученного значения индекса k - номера каталога проверяются на равенство единице элементы матрицы, образованной элементами исходной матрицы с фиксированным индексом k, и формируется множество значений индекса i (номеров информационных объектов, размещенных в k-ом каталоге).
3. Для каждого значения индекса i, полученного на втором шаге, определяются позиции j (номера столбцов) элементов матрицы доступа пользователей к информационным объектам , равные единице.
В результате формируются подмножества (вектора) номеров пользователей, которым разрешен доступ к фиксированному i-му информационному объекту, размещенному в первом каталоге.
4. Полученные в результате третьего шага подмножества пользователей, которым разрешен доступ к каждому из информационных объектов, размещенных в k-ом каталоге , проверяются на принадлежность к одному столбцу (соответствие полномочиям одного пользователя).
5. Для полученного на первом шаге значения индекса j - номера диска, где размещен i-ый информационный объект, проверяются на равенство единице элементы матрицы, образованной элементами исходной матрицы с фиксированным индексом j, и формируется множество значений индекса i (номеров информационных объектов, размещенных на j-ом диске).
6. Полученные в результате четвертого шага подмножества пользователей, которым разрешен доступ к каждому из информационных объектов, размещенных на j-ом диске , проверяются на принадлежность к одному столбцу (соответствие полномочиям одного пользователя).
7. Если на 4 или 6 шаге результат проверки положительный (i-ый информационный объект размещен на диске и в каталоге, где все другие объекты соответствуют полномочиям одного пользователя), значение функции штрафа рассчитывается в соответствии с первой строкой выражения (6).
8. Если результат проверки отрицателен на 4 или на 6 шаге (на одном из них), расчет осуществляется в соответствии со второй строкой выражения (6).
9. Если результат проверки отрицателен и на 4, и на 6 шагах одновременно, расчет осуществляется в соответствии с последней строкой (6).
Высокая вычислительная сложность предложенной задачи на исходных данных, описывающих реальную ИВС, определена ее принадлежностью к классу NP-полных задач, что обусловливает целесообразность применения для ее решения метода эволюционных вычислений [1.
Литература
1. Букатова, И.Л. Обучающиеся, адаптивные и самоорганизующиеся эволюционные вычисления [Текст] / И.Л. Букатова // Обозрение прикладной и промышленной математики. Том 3. Выпуск 5. - М.: «ТВН», 1996. - С. 706-724.
Annotation
On improving the efficiency of use access control mechanisms in corporate information and computer networks. Radygin V.M., Bochkov P.V., Nemchinov V.I.
In the report the problem of optimization of information resources accommodation in corporate information networks from a position of their protection against not authorized access on the basis of the access differentiation mechanisms realized in modern network operational systems to them is considered.
Аннотация
О повышении эффективности использования механизмов разграничения доступа в корпоративных информационно-вычислительных сетях. Радыгин Владимир Михайлович, Заведующий кафедрой Академии ФСО России, д.т.н., профессор; Бочков Петр Вадимович, Старший преподаватель кафедры Академии ФСО России, к.т.н.; Немчинов Вадим Игоревич, Слушатель Академии. Академия Федеральной службы охраны Российской Федерации, г. Орел
В статье рассматривается проблема оптимизации размещения информационных ресурсов в корпоративных информационных сетях с позиции их защиты от несанкционированного доступа на основе механизмов разграничения доступа, реализованных в современных сетевых операционных системах к ним.
Размещено на Allbest.ru
...Подобные документы
Причины внедрения корпоративных информационных систем, их классификация. Угрозы нарушения конфиденциальности и целостности информации. Последовательность рубежей защиты данных от несанкционированного доступа, актуальные механизмы его разграничения.
курсовая работа [72,9 K], добавлен 22.02.2012Анализ программных средств несанкционированного доступа к информации в сетях ЭВМ и способов защиты. Возможности операционных систем по защите и разграничению доступа к информации и выбор самой защищенной. Планирование сети штаба объединения ВВС и ПВО.
дипломная работа [1,0 M], добавлен 14.09.2010Организация доступа в Интернет на основе оптических технологий в сетях доступа. Технологии построения городских сетей Интернет-доступа на основе коммутаторов Ethernet второго и третьего уровня. Основные преимущества оптических технологий в сетях доступа.
презентация [135,5 K], добавлен 14.09.2013Изучение базовых понятий и общих сведений о компьютерных и корпоративных сетях с последующим комплексным изучением способов и методов защиты информации в них. Классификация данных видов сетей. Существующие службы безопасности доступа. Профиль защиты.
контрольная работа [30,5 K], добавлен 24.01.2009Система мандатного разграничения доступа. Разработка функциональной модели и ее уровни. Разработка информационной и динамической модели. Необходимость использования механизмов. Методология IDEFO. Функциональный блок. Анализ идентификационных данных.
курсовая работа [1,9 M], добавлен 24.01.2009Построение целостной системы защиты автоматизированной информационной системы. Особенности систем защиты от несанкционированного доступа на автономных компьютерах и рабочих станциях в локальных вычислительных сетях, защита от несанкционированного доступа.
курсовая работа [1,5 M], добавлен 28.01.2010Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014Характеристика основных способов защиты от несанкционированного доступа. Разработка политики безопасности системы. Проектирование программного обеспечения применения некоторых средств защиты информации в ОС. Содержание основных разделов реестра.
лабораторная работа [1,9 M], добавлен 17.03.2017Основы биометрической идентификации. Возможность использования нейросетей для построения системы распознавания речи. Разработка программного обеспечения для защиты от несанкционированного доступа на основе спектрального анализа голоса пользователя.
дипломная работа [2,8 M], добавлен 10.11.2013Механизм разработки общих рекомендаций для исследуемого учреждения, по обеспечению защиты информации в системах обработки данных и разработке типового пакета документов по недопущению несанкционированного доступа к служебной и секретной информации.
доклад [102,9 K], добавлен 30.04.2011Пути несанкционированного доступа, классификация способов и средств защиты информации. Анализ методов защиты информации в ЛВС. Идентификация и аутентификация, протоколирование и аудит, управление доступом. Понятия безопасности компьютерных систем.
дипломная работа [575,2 K], добавлен 19.04.2011Исследование понятия и классификации видов и методов несанкционированного доступа. Определение и модель злоумышленника. Организация защиты информации. Классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз.
реферат [115,1 K], добавлен 16.03.2014Основы программирования на языке PHP. Этапы разработки сайта ФАиС Выбор концепции его дизайна. Построение базы данных в среде СУБД MySQL. Расположение основных блоков web-сайта. Разработка шаблонной страницы и системы разграничения доступа к контенту.
дипломная работа [1,9 M], добавлен 12.12.2013Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
дипломная работа [1,6 M], добавлен 26.05.2014Основные задачи защиты операционных систем: идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит. Проблема контроля доступа в компьютерную систему. Разработка программы управления матричным принтером.
курсовая работа [118,9 K], добавлен 22.06.2011Использование средств статического и динамического анализа программ. Принципы работы компилятора при генерации кода на примере MS Visual Studio 2003 (C++). Взлом защиты от несанкционированного доступа предоставленной программы разными способами.
контрольная работа [4,2 M], добавлен 29.06.2010Технологические процессы обработки информации в информационных технологиях. Способы доступа к Internet. Информационные технологии в локальных и корпоративных компьютерных сетях. Средства обработки графической информации. Понятие информационной технологии.
учебное пособие [1,4 M], добавлен 23.03.2010Классификация и характеристика сетей доступа. Технология сетей коллективного доступа. Выбор технологии широкополосного доступа. Факторы, влияющие на параметры качества ADSL. Способы конфигурации абонентского доступа. Основные компоненты DSL соединения.
дипломная работа [1,6 M], добавлен 26.09.2014Структура современных корпоративных сетей. Применение технологии Intranet в корпоративных сетях передачи данных. Принципы их построения и главные тенденции развития. Особенности стандартов Fast Ethernet и Gigabit Ethernet. Технология 100VG-AnyLAN.
курсовая работа [1,5 M], добавлен 02.07.2011