Диплом, курсовая, контрольная работа
Помощь в написании студенческих работ

Метод управления доступом к ресурсам вычислительной системы с учетом процесса как самостоятельного субъекта доступа

ДиссертацияПомощь в написанииУзнать стоимостьмоей работы

На сегодняшний день подавляющее большинство операционных систем (ОС), применяемых при построении вычислительной системы (ВС), обладают встроенными средствами защиты. Причем наблюдается общая тенденция усиления роли механизмов защиты. Тем не менее, даже при использовании последних версий ОС и прикладного программного обеспечения, нельзя гарантировать полную защиту от НСД, что подтверждается… Читать ещё >

Содержание

  • Глава 1. Уязвимость механизмов защиты популярных ОС
    • 1. 1. Основные проблемы защиты рабочих станций ЛВС от НСД
    • 1. 2. Угрозы НСД к рабочим станциям ЛВС
      • 1. 2. 1. Статистика опубликованных угроз для различных
      • 1. 2. 2. Классификация угроз (атак)
        • 1. 2. 2. 1. Угрозы, позволяющие запустить несанкционированный исполняемый код
        • 1. 2. 2. 2. Угрозы, позволяющие осуществить НСД к ресурсам вычислительной системы
        • 1. 2. 2. 3. Угрозы, позволяющие обойти установленные разграничения прав доступа
        • 1. 2. 2. 4. Угрозы, использующие встроенные недокументированные возможности (закладки)
        • 1. 2. 2. 5. Троянские программы
      • 1. 2. 3. Статистика опубликованных угроз (атак) по группам (в классификации)
    • 1. 3. Недостатки существующих механизмов защиты
      • 1. 3. 1. Недостатки механизмов РИД к ресурсам ВС
      • 1. 3. 2. Недостатки механизмов РПД к запуску процессов
    • 1. 4. Выводы
  • Глава 2. Метод управления доступом к ресурсам ВС с учетом процесса как самостоятельного субъекта доступа
    • 2. 1. Существующие методы управления доступом к ресурсам
    • 2. 2. Метод управления доступом с учетом процесса как самостоятельного субъекта доступа
    • 2. 3. Результаты и
  • выводы
  • Глава 3. Достоинства предложенного метода
    • 3. 1. Корректность реализации механизмов управления доступом
    • 3. 2. Корректность реализации механизма обеспечения замкнутости программной среды
    • 3. 3. Локализация прав доступа
  • приложений к ресурсам ВС
    • 3. 3. 1. Локализация прав доступа виртуальных машин к ресурсам ВС
    • 3. 3. 2. Локализация прав доступа
  • приложений со встроенными СЗИ к ресурсам ВС
    • 3. 4. Механизм контроля последовательности событий (выполнения)
    • 3. 5. Противодействие известным типам атак с помощью предложенного метода
    • 3. 5. 1. Атаки, позволяющие несанкционированно запустить исполняемый код
    • 3. 5. 2. Атаки, позволяющие осуществить НСД к ресурсам вычислительной системы
    • 3. 5. 3. Атаки, позволяющие обойти установленные разграничения прав доступа
    • 3. 5. 4. Вирусные атаки, «троянские» программы

Метод управления доступом к ресурсам вычислительной системы с учетом процесса как самостоятельного субъекта доступа (реферат, курсовая, диплом, контрольная)

На сегодняшний день подавляющее большинство операционных систем (ОС), применяемых при построении вычислительной системы (ВС), обладают встроенными средствами защиты. Причем наблюдается общая тенденция усиления роли механизмов защиты [37, 41]. Тем не менее, даже при использовании последних версий ОС и прикладного программного обеспечения, нельзя гарантировать полную защиту от НСД, что подтверждается большим количеством известных атак на механизмы защиты ОС [49, 50, 53]. Статистика фактов несанкционированного доступа к информации (НСД) показывает, что большинство современных вычислительных систем достаточно уязвимы с точки зрения безопасности.

По этой причине, при построении защищенной вычислительной системы, актуальной является задача создания средств добавочной защиты ВС, что, в свою очередь, предполагает разработку усовершенствованных механизмов защиты.

Целью настоящей диссертационной работы является разработка метода управления доступом к ресурсам вычислительной системы с учетом процесса, как самостоятельного субъекта доступа и реализующих его механизмов добавочной защиты вычислительных систем. В соответствии с поставленной целью основными задачами являются:

— Исследование методов управления доступом к ресурсам в существующих системах добавочной защиты вычислительных систем и в распространенных операционных системах с целью обнаружения причин уязвимостей.

— Разработка и исследование метода управления доступом к ресурсам вычислительной системы с учетом процесса, как самостоятельного субъекта доступа.

— Разработка и исследование механизмов добавочной защиты, реализующих такой метод:

— механизма управления доступом к ресурсам ВС;

— механизма обеспечения замкнутости программной среды;

— механизма локализации прав доступа приложений;

— механизма управления последовательностью запуска программ.

— Исследование способов противодействия атакам, направленным на несанкционированный доступ к ресурсам вычислительных систем с помощью разработанного метода.

— Исследование влияния разработанного метода управления доступом к ресурсам на производительность вычислительной системы.

Методы исследований основаны на теории вероятностей, теории массового обслуживания и математической статистики.

Научная новизна работы. В ходе выполнения работы получены следующие новые научные результаты:

— Предложен метод управления доступом к ресурсам вычислительной системы, с учетом процесса, как самостоятельного субъекта доступа.

— Разработаны математические модели рабочей станции без защиты и с системой защиты, реализующей предложенный метод, для исследования влияния предложенного метода на производительность вычислительной системы.

— На разработанных моделях показано, что реализация предложенного метода в ВС, за счет анализа прав процесса, увеличивает время обработки запроса на единицы процентов (до 10%).

— Сформулированы требования к построению и настройке подсистемы управления доступом с целью снижения потерь производительности ВС.

Практическая ценность полученных результатов заключается в следующем:

— Разработаны механизмы добавочной защиты, реализующие предложенный метод управления доступом к ресурсам вычислительной системы и позволяющие решать широкий спектр задач обеспечения информационной безопасности современных вычислительных систем.

— Определены условия эффективного применения предложенного метода управления доступом и основывающихся на нем механизмов защиты в современных вычислительных системах.

— Предложены способы противодействия известным типам угроз, реализованные на основе предложенного метода, для защиты вычислительных систем от несанкционированного доступа.

— Разработаны математические модели для оценки характеристик функционирования систем защиты при различной нагрузке на ВС.

Основные результаты работы использованы в комплексных системах защиты корпоративных сетей МПС, ЗАО «Петер-стар», а также использованы в учебном процессе на кафедре ВТ СПбГУИТМО.

Основные положения, выносимые на защиту:

— Метод управления доступом к ресурсам вычислительной системы, с учетом процесса, как самостоятельного субъекта доступа, являющийся основой подсистемы разграничения прав доступа добавочной защиты вычислительной системы.

— Механизмы добавочной защиты, реализованные на основе предлагаемого метода;

— Результаты исследований эффективности предложенного метода.

Апробация работы. Научные и практические результаты диссертации доложены и обсуждены на:

— Ведомственной конференции «Проблемы обеспечения информационной безопасности на федеральном железнодорожном транспорте», 2001 г.

— XXXII научной и учебно-методической конференции СПбГИТМО (ТУ), посвященная 300-летию Санкт-Петербурга, 2003 г.

— VI Всероссийском форуме «Банковская безопасность: состояние и перспективы развития», 2003 г.

— Научно—практических семинарах НПП «Информационные технологии в бизнесе» .

Публикации. По теме диссертации опубликовано 5 работ, получено 2 свидетельства об официальной регистрации программы для ЭВМ.

Структура и объем диссертации

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Рукопись содержит 104 страниц текста, 20 рисунков и 8 таблиц.

Список литературы

включает 54 наименования.

4.6 Выводы.

1. Реализация предлагаемого метода в рассматриваемой ВС, за счет анализа прав процесса, увеличивает время проверки прав доступа на единицы процентов (до 10%).

2. Характеристики математических моделей отличаются от характеристик реальной ВС на единицы процентов (до 4%) на практически значимом диапазоне параметров, что позволяет использовать эти модели для расчетов, при построении системы защиты, или ВС, использующей систему защиты.

3. Рост потери производительности, вызванный проверкой процессов, при увеличении длины списка ПРД, незначительный, по сравнению с общим ростом потерь производительности (10 — 14%).

4. При применении группировки имен ресурсов, удается снизить потери производительности в два раза.

Заключение

.

1. В рамках исследований, с целью выявить причины уязвимости со стороны известных типов атак, существующих механизмов РПД к ресурсам ВС, показано:

• ни одна из существующих популярных ОС для IBM PC совместимых персональных компьютеров не удовлетворяет требованиям нормативных документов по набору и функциям встроенных механизмов защиты от НСД.

• при использовании существующих добавочных средств защиты ОС невозможно корректно настроить диспетчер доступа;

• основной причиной, приводящей к подобным проблемам, является отсутствие разделения в ОС и/или в комплексах добавочной защиты понятий пользовательский и системный (привилегированный) процесс;

2. Разработан метод управления доступом к ресурсам вычислительной системы, учитывающий процесс как самостоятельный субъект доступа, позволяющий:

• разграничить права доступа процесса вне разграничений пользователей,.

• разграничить права доступа пользователей к ресурсам, вне разграничений процессов (права процесса «по умолчанию»);

• разграничить права доступа процессов к ресурсам в рамках заданных разграничений пользователей (совместное разграничение доступа процессов и пользователей);

3. Предложены новые механизмы добавочной защиты, использующие разработанный метод:

• механизм управления последовательностью событий (запуска программ);

• механизм локализации прав доступа приложений к ресурсам.

Показана возможность корректной настройки диспетчера доступа, в случае применения разработанного метода управления доступом.

4. Показано, что разработанный метод управления доступом позволяет эффективно противодействовать последствиям различного рода атак, направленных на НСД к ресурсам ВС, а также препятствовать осуществлению этих атак.

5. Проведено исследование характеристик защищенной вычислительной системы, на разработанных для этой цели математических моделях, и сделаны следующие выводы:

• Реализация предлагаемого метода в ВС, за счет анализа прав процесса, увеличивает время обработки запроса на единицы процентов (до 10%);

• Характеристики математических моделей отличаются от характеристик реальной ВС на единицы процентов (до 4%) на практически значимом диапазоне параметров, что позволяет использовать эти модели для расчетов, при построении системы защиты, или ВС, использующей систему защиты.

Показать весь текст

Список литературы

  1. Т. И., Довгий П. С. Расчет и оптимизация систем массового обслуживания. Методический указания к учебно — исследовательской работе «Исследование цифровых управляющих систем» — Л.: ЛИТМО, 1985.
  2. Т. И. Математические методы теории вычислительных систем. Учебное пособие Л.: ЛИТМО, 1979
  3. Т. И., Довгий П. С., Муравьева Л. А. Расчет и оптимизация моделей массового обслуживания. Методический указания по использованию комплекса программ Л.: ЛИТМО, 1987
  4. Т. И., Довгий П. С., Падун Б. С. Исследования систем оперативной обработки. Методические указания к учебно -исследовательским работам Л.: ЛИТМО, 1979
  5. А. Н. Элементарный курс теории вероятностей и математической статистики. 3-е изд., испр. И доп. СПб.: Издательство «Лань», 2002.
  6. В. Ю., Ершов Д. В. Гибкое управление средствами защиты — необходимое условие их успешного применения // Системы безопасности, связи и телекоммуникаций 1997, № 3
  7. В. Ю. Лабиринт управления доступом: в поисках выхода // Системы безопасности, связи и телекоммуникаций 1998, № б
  8. В. Информационная безопасность // Открытые системы. 1995. № 5 (13).
  9. В. А., Размахнин М. К. Программные средства защиты информации в вычислительных, информационных и управляющих системах и сетях // Зарубежная радиоэлектроника. 1986. — № 5.
  10. В. А., Размахнин М. К., Родионов В. В. Технические средства защиты информации // Зарубежная радиоэлектроника. 1989.
  11. В. А., Размахнин М. К. Организация работ по защите информации в системах обработки данных // Зарубежная радиоэлектроника. 1989. — № 12.
  12. Гостехкомиссия России. Руководящий документ. Концепция защиты СВТ и АС от НСД к информации. Москва, 1992.
  13. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Москва, 1992.
  14. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Москва, 1992.
  15. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Москва, 1992.
  16. Г. Введение в операционные системы. Т. 1. М.: Мир, 1987
  17. В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий СПб.: Издательство Санкт-Петербургского университета, 1999.
  18. А., Крюон Р. Массовое обслуживание. Теория и приложения. М.: Мир, 1965.
  19. А. Н. Открытые системы для закрытой информации // Открытые системы 1993. — Вып. 3.
  20. И.Д., Семьянов П. В., Платонов В.В. Атака через Internet СПб, 1997
  21. И.Д., Семьянов П. В., Платонов В. В. Атака через Internet (книга 2) СПб, 1997
  22. И. Основы безопасности компьютерных систем // КомпьютерПресс. 1991. — № 10, № 12.
  23. В. Защита информации в компьютерных системах М.: Финансы и статистика- Электроинформ, 1997.
  24. Основы теории вычислительных систем. Под ред. С. А. Майорова. учебное пособие для вузов. М., Высшая школа, 1978
  25. Президент Российской Федерации. Указ от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».
  26. В. И., Музалевский Ю. С. Семинар «О построении систем защиты важных объектов» // Стройпрофиль 2001, № 10
  27. Г. Некоторые соображения о защите программ // КомпьютерПресс. 1991. — № 10.
  28. Т. Л., «Элементы теории массового обслуживания и ее приложения» М.: Советское радио, 1965.
  29. JI. М. Международные стандарты в области обеспечения безопасности данных в сетях ЭВМ. Состояние и направления развития. Электросвязь. № 6, 1991.
  30. Федеральный Закон «Об информации, информатизации и защите информации». «Российская газета», 22 февраля, 1995.
  31. В. В. Надежность программного обеспечения систем обработки данных. М.: Статистика, 1987.
  32. А. Ю., Оголюк А. А., Павличенко И. П. и др. Комплексная система защиты информации «Панцирь» для ОС Windows 95/98/NT/2000. Свидетельство об официальной регистрации программы для ЭВМ № 2 002 611 971 от 22.11.2002
  33. А. Ю., Оголюк А. А., Павличенко И. П. и др. Система обеспечения информационной безопасности (СОИБ) ЛВС «Блокада» для ОС Windows 95/98/NT/2000. Версия 1.0. Свидетельство об официальной регистрации программы для ЭВМ Кя 2 003 610 301 от 31.01.2003
  34. А. Ю. Щеглов, И. П. Павличенко. Технологии защиты рабочих станций и серверов корпоративной сети. // Экспресс электроника, 2002, № 5. — С. 58−62.
  35. CSC-STD-003−85, Computer Security Requirements Guidance for Applying the Department of Defense System Evaluation Criteria in Specific Environments.
  36. Department of Defense Trusted Computer System Evaliation Criteria. DoD 5200.28-STD, 1993.
  37. National Computer Security Center. A Guide to Understanding Discretionary Access Control in Trusted Systems. -NCSC-TG-003, 1987.
  38. P., Reynolds J. (Editors). Site Security Handbook. -Request for Comments: 1244, 1991.
  39. I.M. Olson, M.D. Abrams, Computer Access Policy Choices. -Computer & Security. Vol. 9 (1990), number 8. P. 699−714.
  40. Russel D., Gangemi G. T. Sr. Computer Security Basics. -O'Reilly & Associates, Inc., 1992.
  41. Stang D. J., Moon S. Network Security Secrets. IDG Books Worldwide Inc., 1993.
  42. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800. CCITT, Geneva, 1991.
  43. The Generally Accepted System Security Principles (GSSP). Exposure Draft. GSSP Draft Sub-committee, 1994.
Заполнить форму текущей работой