Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения

 

Предлагаемая полезная модель относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерах любых типов, и может быть использована для защиты информационных ресурсов, как рабочих станций, так и серверов компьютерных сетей военного назначения. Целью предлагаемого устройства является расширение функциональных возможностей по обнаружению компьютерных атак в компьютерной сети военного назначения в условиях информационного противоборства, за счет введения элемента контроля целостности информации, обрабатываемой и хранимой в компьютерной сети военного назначения. Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль контроля. Модуль анализа ТИП состоит из: модуля обнаружения компьютерных атак на 1 этапе реализации, модуля обнаружения компьютерных атак на 2 этапе реализации и модуля обнаружения компьютерных атак на 3 этапе реализации. Модуль контроля состоит из блока приема данных, блока распределения, блока обеспечения целостности файловой системы, блока контроля целостности (по пользователям), блока контроля целостности (по процессам), блока управления, блока реагирования и блока памяти.

Предлагаемая полезная модель относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерах любых типов, и может быть использована для защиты информационных ресурсов, как рабочих станций, так и серверов компьютерных сетей военного назначения.

Известен способ обеспечения целостности информации при начальной загрузке системы. Подобный способ организации целостности реализован в ряде операционных систем, в частности в операционной системе Windows NT Server 4.0 (см. Валда Хиллей "Секреты Windows NT Server 4.0" - К.: Диалектика, 1997, с. 14-15). Способ заключается в нахождении контрольных сумм файлов при загрузке системы, где под контрольной суммой файла понимается некоторое числовое значение, полученное в результате преобразования содержимого файла в соответствии с каким-либо математическим алгоритмом, являющееся уникальным для данного файла. Если содержимое файла было каким-либо образом изменено, то контрольная сумма данного файла тоже изменится. При несовпадении контрольных сумм каких-либо файлов с эталонными значениями на экран выводится сообщение о нарушении целостности. Данные сведения могут быть использованы администратором системы для облегчения восстановления работоспособности системы при каких-либо нарушениях в ее работе.

Основным недостатком способа является невозможность обеспечения целостности файлов, не использующихся при начальной загрузке операционно системы, что в свою очередь, лишает администратора безопасности компьютерной сети военного назначения (далее по тексту - КС ВН) возможности отследить появление закладок в системе, если они не расположены в основных системных файлах. Кроме того данный способ интегрирован в виде программного кода непосредственно в операционную систему, что делает его уязвимым в случае воздействия на защищаемую рабочую станцию КС ВН компьютерных атак (далее по тексту - КА) в условиях информационного противоборства.

Известен способ обеспечения целостности, используемый в сетевых продуктах, таких как сетевые базы данных Oracle (см. Eric Armstrong, Cynthia Closkey, Brian Linden, Maria Pratt "Oracle 7 (ТМ) Server Concept Release 7.3." - Belmont, California, USA, 1996). В данном программном продукте обеспечивается:

- целостность данных, под которой понимается возможность введения в отдельные поля (строки, столбцы, таблицы, группы таблиц) только допустимых значений (например только различных значений переменных в рамках какого-либо столбца, значений переменных только одного знака в рамках какой-либо строки и т.п.);

- целостность на уровне команд, под которой понимается возможность выполнения командой действий только с теми данными, которые находились в БД в момент введения команды, то есть при одновременном введении команды и изменении данных команда будет исполнена с первоначальными (неизмененными) данными;

- целостность на уровне транзакций, под которой понимается возможность источника (одной из рабочих станций) передачи по сети не только данных, но также команд (как обычных, так и вложенных) и их гарантированный прием и исполнение приемником (другой рабочей станцией);

- целостность данных при восстановлении с резервных копий, под которой понимается возможность хранения в качестве эталона некоего варианта БД и восстановления БД по резервной копии с учетом тех изменений, которые заносятся во временные файлы с целью восстановления последней версии БД. Однако, подобный способ обеспечения целостности обладает рядом существенных недостатков:

1. Не обеспечивает целостности данных при прямом (не через интерфейс БД) доступе к файлам, то есть возможно несанкционированное изменение БД;

2. Не отслеживает целостность отдельных объектов в рамках системы, то есть оставляет возможность для внесения закладок в систему;

3. Не гарантирует правильности резервных копий, то есть к моменту восстановления в них могут быть внесены изменения;

4. Не проверяется корректность процессов, порожденных пользователями системы, следовательно возможны попытки компьютерных атак путем переполнения трафика (DDos-атаке), что приведет к потере производительности системы.

Кроме того, указанный способ, так же как и предыдущий, является интегрированным в СУБД программным кодом, что делает его уязвимым к некоторым типам компьютерных атак в условиях информационного противоборства.

Перечисленные недостатки являются недопустимыми для средств, обеспечивающих безопасность информации, циркулирующей в КС ВН в условиях информационного противоборства.

Наиболее близким техническим решением к заявляемому и принятым за прототип является устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения, содержащее блок памяти, блок данных, модуль анализа текущего индивидуального профиля (ТИП), диспетчер обновления индивидуального нормального профиля (ИНП) и блок оповещения (Пат. 120792 Российская Федерация, МПК G06F 12/14, G06F 15/16, G06F 11/00. Устройство для обнаружения и идентификации информационных атак на ресурсы автоматизированных систем военного назначения [Текст] / Исупов Антон Борисович, Юрков Владимир Александрович, Королев Игорь Дмитриевич; заявитель и патентообладатель Федеральное государственное военное образовательное учреждение высшего профессионального образования «Военная академия связи имени Маршала Советского Союза С.М. Буденного (г. Санкт-Петербург) Министерства обороны Российской Федерации. - 2011140039/08; заявл. 30.09.2011; опубл. 27.09.12.).

Известное устройство является самодостаточным программно-аппаратным комплексом, обеспечивающим защиту, как самой рабочей станции компьютерной сети военного назначения, так и информации, обрабатываемой в ней от различных видов как известных, так и условно неизвестных компьютерных атак в условиях информационного противоборства, однако не позволяет обеспечить должный уровень контроля целостности информации, обрабатываемой и хранимой в КС ВН, что является недопустимым, в соответствии с руководящими документами Федеральной службы по техническому и экспортному контролю РФ (ФСТЭК России), устанавливающих требования к средствам обеспечения безопасности информации, используемым в составе КС ВН.

Целью предлагаемого устройства является расширение функциональных возможностей по обнаружению компьютерных атак в компьютерной сети военного назначения в условиях информационного противоборства, за счет введения элемента контроля целостности информации, обрабатываемой и хранимой в КС ВН.

Цель достигается тем, что в предлагаемом устройстве используется модуль контроля (далее по тексту - МК).

В известном техническом решении имеются признаки, сходные с признаками заявляемого устройства. Это наличие блока памяти, блока данных, модуля анализа текущего индивидуального профиля (далее по тексту - ТИП), диспетчера обновления индивидуального нормального профиля (далее по тексту - ИНП) и блока оповещения.

В отличие от прототипа в заявляемом устройстве присутствует модуль контроля, обеспечивающий контроль целостности информации, как на уровне операционной системы, так и на уровне отдельных приложений и баз данных, что в свою очередь позволяет повысить уровень защищенности информации, циркулирующей в КС ВН в условиях информационного противоборства.

В связи с этим заявляемое техническое решение обладает существенными отличиями от известного прототипа. Заявитель не обнаружил аналогичных решений со сходными признаками заявляемого технического решения, в связи с чем заявитель делает вывод, что заявляемое решение обладает существенными отличиями.

В результате проведенного анализа предлагаемое устройство позволяет обеспечить расширение функциональных возможностей по обнаружению компьютерных атак в компьютерной сети военного назначения, за счет создания эффективного контроля целостности информации, обрабатываемой и хранимой в КС ВН в условиях информационного противоборства

На фиг. 1 изображена структурная схема устройства для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения. На ней показаны блок памяти (1), диспетчер обновления ИНП (2), блок данных (3), модуль анализа ТИП (4), состоящий из модуля обнаружения компьютерных атак на 1 этапе реализации (4.1), модуля обнаружения компьютерных атак на 2 этапе реализации (4.2) и модуля обнаружения компьютерных атак на 3 этапе реализации (4.3), блок оповещения (5) и модуль контроля (6).

На фиг 2. изображена структурная схема модуля контроля. На ней показаны блок приема данных (6.1), блок распределения (6.2), блок обеспечения целостности файловой системы (6.3), блок контроля целостности (по пользователям) (6.4), блок контроля целостности (по процессам) (6.5), блок управления (6.6), блок реагирования (6.7) и блок памяти (6.8).

Устройство содержит блок памяти, диспетчер обновления ИНП, блок данных, модуль анализа ТИП, блок оповещения и модуль контроля. Модуль анализа ТИП состоит из: модуля обнаружения компьютерных атак на 1 этапе реализации, модуля обнаружения компьютерных атак на 2 этапе реализации и модуля обнаружения компьютерных атак на 3 этапе реализации. Модуль контроля состоит из блока приема данных, блока распределения, блока обеспечения целостности файловой системы, блока контроля целостности (по пользователям), блока контроля целостности (по процессам), блока управления, блока реагирования и блока памяти.

Устройство работает следующим образом:

Производится первоначальная настройка устройства, при которой в (3) создаются 3 части индивидуального нормального профиля (ИНП) защищаемой рабочей станции КС ВН, а также для (4.1) устанавливается первоначальный порог чувствительности равный величине 3;

За каждой рабочей станцией закрепляется 3 последовательности событий, которые составляют ее индивидуальный нормальный профиль:

где - j-е событие первого набора i-ой рабочей станции; n - общее число событий, m - общее число рабочих станций в КС ВН;

где - j-e событие второго набора i-й рабочей станции;

где - j-е событие третьего набора i-й рабочей станции;

Каждое событие представляется в виде символов конечного алфавита (N-битовых идентификационных кодов).

После этого, процесс обнаружения компьютерной атаки, инициализированный в заявляемом устройстве, разделяется на два параллельных алгоритма: алгоритм обнаружения компьютерных атак на основе анализа ТИП и алгоритм контроля целостности информации, обрабатываемой и хранимой в защищаемой рабочей станции КС ВН.

Алгоритм работы устройства в режиме обнаружении компьютерных атак на основе анализа ТИП.

В (4) формируется и анализируется текущий индивидуальный профиль КС ВН.

В (4.1) формируется и анализируется 1 часть текущего индивидуального профиля КС ВН.

В процессе функционирования КС ВН формируется 1 часть текущего индивидуального профиля , которая затем сравнивается с 1 частью индивидуального нормального профиля (1). В случае несовпадения , с (1), регистрируется компьютерная атака на КС ВН.

В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е когда присутствует частичное несовпадение 1 части ИНП и 1 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины 5, и происходит переход к выполнению следующего этапа алгоритма.

В (4.2) формируется и анализируется на уровне 5 порога чувствительности 2 часть текущего индивидуального профиля КС ВН.

В процессе функционирования КС ВН формируется 2 часть текущего индивидуального профиля , которая затем сравнивается со 2 частью индивидуального нормального профиля (2). В случае несовпадения , с (2), регистрируется компьютерная атака на КС ВН.

В случае если на основании анализа невозможно принять однозначного решения о наличии или отсутствии факта компьютерной атаки, т.е когда присутствует частичное несовпадение 2 части ИНП и 2 части ТИП, но порог чувствительности не превышен, порог чувствительности понижается до величины 9, и происходит переход к выполнению следующего этапа алгоритма.

В (4.3) формируется и анализируется на уровне 9 порога чувствительности 3 часть текущего индивидуального профиля КС ВН.

В процессе функционирования КС ВН формируется 3 часть текущего индивидуального профиля , которая затем сравнивается с 3 частью индивидуального нормального профиля (3). В случае любого несовпадения 4, с (3), регистрируется компьютерная атака на КС ВН.

Сравнение частей ИНП и ТИП осуществляется методом простого побитового сравнения.

Параллельно с работой устройства по вышеизложенному алгоритму, инициализируется и осуществляется процесс контроля целостности информации, обрабатываемой и хранимой в КС ВН.

Алгоритм работы устройства в режиме контроля целостности информации.

В исходном состоянии модуль контроля производит проверку происходящих на защищаемой рабочей станции КС ВН процессов (блок 6.5) и (или) находящихся в системе пользователей (блок 6.4). В случае обнаружения неопознанных или заведомо запрещенных процессов и (или) пользователей производится проверка целостности файловой системы рабочей станции. Результаты проверки файловой системы сообщаются администратору безопасности. Администратор безопасности может установить автоматическую реакцию на нарушение целостности системы (блок 6.7): полную или частичную проверку файловой системы защищаемой рабочей станции КС ВН, автоматическое поражение в правах или удаление из системы пользователя, вызвавшего нарушение целостности. При этом пользователь может быть идентифицирован путем сопоставления опасного процесса, имени породившего его пользователя и консоли, с которой данный пользователь произвел вход в систему. Подобные автоматические реакции могут быть заданы не только для отдельных пользователей или процессов, но и для групп пользователей и групп процессов. Возможно задание каких-либо иных реакций на нарушение целостности, определяемых администратором безопасности.

На вход модуля контроля (6) от блока данных (3) подаются данные, которые принимаются блоком приема данных (6.1) и передаются в блок распределения (6.2), после чего, по сигналу управления, передаваемому из блока управления (6.6) инициируется начало проверки целостности, создании базы данных или внесении изменений в блок реагирования (6.7):

- в первом случае блок управления (6.6) вырабатывает необходимые управляющие воздействия (I1) и передает их блоку распределения (6.2). Блок распределения получает сигнал с входа блока управления (6.6) и информацию с блока приема данных (6.1) о находящихся в системе пользователях, которая сверяется с контрольной базой данных в блоке контроля целостности (по пользователям) (6.4). Результаты проверки передаются блоку реагирования (6.7), который осуществляет выработку результатов проверки и передает информацию на блок оповещения (5) и диспетчер обновления ИНП (2) для своевременного корректирования индивидуального нормального профиля защищаемой рабочей станции.

Во втором случае блок управления (6.6) вырабатывает необходимые управляющие воздействия (I 2) и передает их блоку распределения (6.2). Блок распределения (6.2) получает из блока данных (3) через блок приема данных (6.1) информацию и на ее основе создает базу данных, которую записывает в блок памяти (6.8).

В третьем случае блок управления (6.6) вырабатывает необходимые управляющие воздействия (I 3) и передает их блоку распределения (6.2), который получив информацию создает новую базу данных для выработки реакции, которую записывает в блок памяти (6.8).

Данные, получаемые от блока данных (3) через блок приема данных (6.1) по управляющему сигналу от блока управления (6.6) передаются для анализа в блоки (6.3)-(6.5) в зависимости от вида управляющего сигнала и цели анализа. Кроме того, по управляющему сигналу (I4) может быть инициирован процесс параллельного анализа как файловой системы, так и целостности информации (по процессам) и целостности информации (по пользователям).

Достоинствами заявляемого устройства являются:

1. Возможность оперативного отслеживания факта появления опасных для безопасности рабочей станции процессов и находить породивших их пользователей;

2. Возможность оперативного отслеживания факта появления опасных для безопасности системы пользователей и сопоставление пользователей и порожденных ими процессов;

3. Возможность отслеживать и пресекать попытки нарушения целостности, так как фиксируется не только факт произошедшего нарушения, но и попытка подобного нарушения.

4. Обеспечение экономного использования ресурсов рабочей станции КС ВН, за счет незначительного входного и выходного потоков данных при контроле целостности по процессам и пользователям.

5. Возможность установки на любой рабочей станции КС ВН в виде самодостаточного программно-аппаратного комплекса, что позволяет обеспечить возможность перенастройки при любых легальных и санкционированных изменениях, произошедших на защищаемой рабочей станции КС ВН.

Таким образом, заявляемое устройство позволяет не только обеспечить возможность эффективного обнаружения компьютерных атак в условиях информационного противоборства, но так же обеспечить эффективный контроль целостности информации, обрабатываемой и хранимой на защищаемой рабочей станции КС ВН, как на уровне операционной системы, так и на уровне отдельных программ и приложений, что в свою очередь позволяет расширить функциональные возможности по обнаружению атак, а также обеспечить соблюдение полного комплекса требований, предъявляемых ФСТЭК России к средствам обеспечения безопасности информации, функционирующих в составе КС ВН.

Кроме того, являясь самодостаточным программно-аппаратным комплексом, заявляемое устройство является защищенным от воздействия компьютерных атак противника в условиях информационного противоборства.

Устройство для обеспечения безопасности информации, обрабатываемой в компьютерной сети военного назначения, содержащее блок памяти, диспетчер обновления индивидуального нормального профиля (ИНП), блок данных, модуль анализа текущего индивидуального профиля (ТИП) и блок оповещения, отличающееся тем, что в конструкции устройства предложено использовать модуль контроля, обеспечивающий контроль целостности информации, обрабатываемой и хранимой в компьютерной сети военного назначения, входы которого соединены с выходами блока данных, а выходы - с входами блока оповещения и входами диспетчера обновления ИНП.



 

Наверх