double arrow

Обзор методов и средств защиты информации в реализованных проектах


В период 1996-1997 гг. по проблематике информационной безопасности выполнялось пять проектов.

Фундаментальная научная проблема, на решение которой направлен проект "Защита национальных информационных ресурсов в условиях развития компьютерных открытых сетей" (97-07-89013, руководитель Черешкин Д.С.), состоит в разработке методологии анализа системы угроз целостности и защищенности национальных информационных ресурсов и эффективности мер противодействия им в условиях подключения национальных телекоммуникационных сетей к мировым сетям типа Интернет.

Следует отметить, что по современным оценкам, в Интернет сейчас находится около 150000 военных компьютеров, около 95% связи военного характера осуществляется по сети общего пользования.

В рамках проекта проведено исследование проблем защиты информационных ресурсов (ИР) при подключении информационных систем, в которых накапливаются и формируются эти ресурсы, к открытым сетям. Обсуждаются различные аспекты описания ИР: содержание информации, источники, принадлежность к организационной или информационной системе, открытость, носители и т.п. Исследуются аспекты информационной безопасности по критериям конфиденциальности, целостности и доступности. Приводится классификация угроз информационной безопасности в условиях интернационализации открытых сетей. Рассматриваются возможные сценарии атаки на серверы ИР на 1998-2000 гг. Дается анализ существующих программно-аппаратных средств защиты ИР в корпоративных открытых сетях и определены наиболее эффективные методы защиты ИР. Предлагается методика комплексной оценки эффективности систем защиты ИР, базирующаяся на выделении элементарных угроз и средств противодействия с дальнейшей их агрегацией до уровня систем нападения и систем защиты.

Следует отметить, что коллектив являлся головным разработчиком "Концепции информационной безопасности Российской Федерации", моделей эффективности средств обеспечения информационной безопасности.

В рамках проекта "Создание системы дистанционной поддержки информационной безопасности критических технологий" (97-07-90049, руководитель Герасименко В.А.) получены следующие результаты:

1) разработана концепция создания системы дистанционной поддержки информационной безопасности в территориально-распределенных системах, основу которой составляет построение гибкой системы защиты информации в узлах сети и сетях передачи данных, в которой выделяется функционально самостоятельная компонента информационного управления механизмами непосредственной защиты информации;

2) в целях создания условий для обеспечения надежной защиты информации в узлах сети разработан функциональный подход, заключающийся в формировании полного множества функций защиты;




3) в целях создания условий, необходимых для гибкого варьирования надежного осуществления функций защиты, разработано репрезентативное множество задач защиты, целесообразным выбором которых можно обеспечить требуемую защиту при минимизации расходуемых ресурсов;

4) для обеспечения возможностей эффективного решения задач защиты собраны и систематизированы сведения о существующих и перспективных средствах защиты (ЗИ). Средствами ЗИ названы те устройства, сооружения, приспособления, программы, нормы, соглашения, мероприятия и условия, с помощью которых могут решаться задачи защиты. Сюда относятся как традиционные (ранее использовавшиеся), так и средства, специально разрабатываемые для целей ЗИ. В общепринятую практику вошло деление средств ЗИ на такие классы: а) технические; б) программно-аппаратные; в) организационные; г) криптографические; д) нормативно-правовые; е) социально-психологические; ж) морально-этические. К настоящему времени разработан весьма представительный арсенал средств, на их основе создаются функционально ориентированные системы защиты, некоторая их часть получила сертификат специальных государственных органов (ФАПСИ, Гостехкомиссия при Президенте РФ).

для обеспечения надежной защиты информации в сетях передачи данных собраны сертифицированные средства криптографической защиты и электронной подписи. Два наиболее часто используемых зарубежных алгоритма - это DES и RSA. При первом подходе используется личный ключ, при последнем - открытый ключ. Российским аналогом является алгоритм ГОСТ 28147-89 (режим гаммирования с обратной связью), реализованный, например, в системе защиты информации от НСД в сети Netware "СНЕГ-ЛВС". Устройства шифрования могут работать как в интерактивном, так и в автономном режимах.



Одной из наиболее привлекательных новых технологий является использование протоколов со средствами шифрования трафика при его передаче по открытой и наиболее уязвимой части СПД (примеры: протокол IPsec, Secure Socket Layer, Secure HTTP, Layer Two Tunneling Protocol, Secure Tunnel Establishment Protocol и т.д.). В качестве одной из наиболее известных российских систем криптографической защиты информации можно отметить разработку ФАПСИ "Верба", выполненную в соответствии с государственными стандартами на цифровую подпись ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94.

6) для предупреждения злоумышленного доступа из сети передачи данных в сопряженные с нею узлы сети разработана модель, основанная на использовании так называемых межсетевых экранов. Название "межсетевые экраны" получили системы анализа трафика и блокировки доступа (термин введен Гостехкомиссией при Президенте РФ в руководящем документе "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа", июль 1997 г.). На основе заданного набора правил они анализируют пакеты на предмет разрешенных и запрещенных адресов и сервисов. Межсетевой экран (МЭ) - это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, которые определяют условия прохождения пакетов из одной части в другую. На сегодня существуют два МЭ класса 3Б, сертифицированных Гостехкомиссией при Президенте РФ, которые и можно использовать в СПД в качестве модуля предупреждения о НСД:

автоматизированная система доступа "Black Hole" (Milkyway Networks) - МЭ, работающий на proxy-серверах протоколов прикладного уровня и разграничивающий доступ между локальной и глобальной сетями или между двумя подразделениями локальной сети;

межсетевой экран защиты локальной сети "ПАНДОРА" на базе Gauntlet 3.1.li (Truster Information Systems) и компьютера О2 (Silicon Graphics) под управлением IRIX 6.3.

"Black Hole" поддерживает: терминальный доступ (TELNET); передачу файлов (FTP); почту (SMTP); новости Usenet (NNTP, SNNTP); Web (HTTP, SHTTP); Gopher; Real Audio; Archie; Wais; X Window System и proxy-серверы для TCP- и UDP-протокола. Осуществляется мониторинг TCP/UDP-портов и сбор статистики (в реляционной БД) и оповещение о попытках доступа к ним. "Black Hole" поддерживает аутентификацию с использованием обычных и одноразовых паролей: S/Key; Enigma Logic Safeword; Security Dynamics SecureID;

7) в целях обеспечения гибкого управления всеми механизмами защиты разработаны методы планирования, оперативно-диспетчерского регулирования и календарно-планового руководства процессами защиты;

8) в целях практической проверки предложенных решений они включены в рабочий проект автоматизированной сети центров защиты информации.

Проект "Разработка программных и аппаратных средств защиты результатов фундаментальных исследований" (97-07-90220, руководитель Чернышев Ю.А.) направлен на решение задачи защиты информации, возникающей при проведении фундаментальных исследований с целью предотвращения утечки информации. Наиболее важными представляются защита результатов теоретических и экспериментальных исследований, а также конфиденциальной научной информации.

В узком плане цель проекта - разработка алгоритмов сжатия и генерации последовательностей, отличающихся простотой и эффективностью программной и аппаратной реализации; создание на их основе программных и аппаратных средств для шифрования/дешифрования и контроля целостности информации. Обобщенная постановка задачи - создать недорогие, но надежные и быстродействующие аппаратные и программные средства с управляемой степенью защиты, которые помимо шифрования/дешифрования выполняли бы контроль целостности преобразуемой информации.

Основными результатами выполнения проекта являются следующие:

1) разработаны новые классы алгоритмов генерации, кэширования и преобразования информационных последовательностей, исследованы их характеристики и математически строго доказан ряд их свойств;

2) разработана методика тестирования и реализованы программно 13 статистических тестов, осуществлена проверка характеристик генерируемых с помощью разработанных алгоритмов псевдослучайных последовательностей, выявившая высокий уровень качества их статистических показателей;

3) разработана быстродействующая программа контроля целостности файлов, позволяющая с очень высокой достоверностью определять факт искажения файлов;

4) разработана концепция применения всех созданных алгоритмов к проблеме защиты информации;

5) спроектирована принципиальная схема универсального устройства, которое может работать в режиме генератора, анализатора или устройства для шифрования информационных последовательностей;

6) создано несколько программ для среды DOS, обеспечивающих шифрование/дешифрование файлов на основе разработанной методики;

7) написана и отлажена программа "Сейф Ученого", предназначенная для шифрования/дешифрования на основе созданных алгоритмов файлов, содержащих результаты фундаментальных исследований. Программа предоставляет возможность выбора уровня сложности алгоритма кодирования, приоритета выполнения операций шифрования/дешифрования файлов, выполняет контроль целостности на основе электронной подписи, формируемой по алгоритму авторской разработки, защищенной патентом России № 2087030. Зашифрованный файл имеет минимальную избыточность и не содержит в явном или зашифрованном виде ключевой информации. "Сейф Ученого" работает в среде Windows 95/NT, имеет удобный графический интерфейс, прост в использовании и дополнительно содержит ряд функций по управлению файлами и каталогами.

Проект "Защита данных в открытых информационных системах на основе оптимальных нелинейных алгоритмов с хаотической динамикой" (97-07-90031, руководитель Гуляев Ю.В.) использует принципиально новый подход к проблеме защиты информационных ресурсов, основанный на теории динамических систем и хаоса.

Для защиты данных в информационных системах в настоящее время за рубежом активно разрабатываются и используются программно-аппаратные комплексы типа DES и RSA в OC Windows NT, NetWare 4.x. Известные алгоритмы криптографической защиты информации основаны на операции возведения в степень произведения простых чисел. Такая особенность является уязвимым местом современных методов закрытия информации. В области математики и информатики ведутся исследования других способов преобразования и кодирования данных.

В зарубежной практике нет аналога предлагаемому в данном проекте способу защиты информационных ресурсов.

Теоретическое исследование и численное моделирование дискретных математических моделей с хаотической динамикой позволит предложить принципиально новую технологию криптографического закрытия информационных ресурсов. На основе численного моделирования хаотических алгоритмов будет построена большая система никогда не повторяющихся сложных шумоподобных сигналов (сигналов с большой базой) или хаотических кодов-ключей. Динамически изменяющиеся хаотические коды сделают невозможным раскрытие в реальном времени информационных ресурсов открытых телекоммуникационных систем.

Для решения проблемы защиты данных в открытых информационных системах на основе оптимальных нелинейных алгоритмов хаотической динамики на первом этапе выполнения гранта получены следующие результаты:

1) созданы и исследованы дискретные математические модели хаотических автоколебательных систем и разработаны требования к системе шумоподобных хаотических сигналов (ШХС) произвольной длительности. Сигналы формируются в классе нелинейных кольцевых систем с запаздыванием, в которых одновременно присутствуют и активная и реактивная нелинейности. Численным анализом на ЭВМ произведен выбор оптимальных параметров системы. Показано, что корреляционные свойства как бинарного, так и более сложных формируемых ШХС, близки к статистическим свойствам случайного процесса. Оценка величины объема системы псевдослучайных кодовых последовательностей, формируемых полученными алгоритмами, основанная на подсчете количества блоков в последовательностях, показала возможность получения большого ансамбля оптимальных кодов, порядка 1012 и более. Близость статистических характеристик ШХС к характеристикам случайного процесса обеспечивает структурную скрытость полезного сигнала на фоне шумовых помех. Показано, что корреляционные свойства бинарного сигнала, сформированного по алгоритму ШХС, полностью отвечают свойствам случайного дельта-корреляционного процесса. Проведено исследование размерностей в пространстве ШХС-сигналов. Численное моделирование системы хаотических бинарных кодов, сформированной по алгоритму ШХС, показало, что дисперсия рассеяния кодовых расстояний вокруг оптимального среднего значения плавно уменьшается с увеличением длины кода. Выполненные исследования подтверждают хорошие групповые свойства системы хаотических бинарных кодов, построенной по алгоритму ШХС.

2) предложено и расмотрено применение метода двойной спектральной обработки псевдослучайных последовательностей (ПСП) с использованием быстрого преобразования Фурье для применения вместо традиционного коррелятора в устройствах приема информации на ПСП. Этот метод также позволит существенно ускорить процедуру поиска синхронизма.

3) аппаратно реализован СВЧ-генератор хаотических сигналов с мощностью, существенно превышающей мощность тепловых шумов в широком частотном диапазоне для систем противодействия перехвату информации с периферийных коммуникационных устройств, с целью его использования для надежной маскировки побочных излучений электронных шифрующих устройств.

Цель выполнения проекта "Разработка методов применения техники формального описания для построения спецификаций и тестирования защищенных протоколов, классификация защищенных протоколов" (97-07-90012, руководитель Макаревич О.Б.) - упростить разработку и применение защищенных протоколов передачи данных в конкретной телекоммуникационной среде.

Основные результаты выполнения проекта в 1997 году:

1) предложена методика проверки корректности управляющих графов программ, представленных в виде иерархического графа, вершины которого соответствуют подзадачам, моделирующим, в частности, процессы информационного обмена в сетях ЭВМ по сложным протоколам. Суть методики заключается в проверке возможности многократного выполнения циклов путем выписывания для них логических выражений, определяющих возможность выполнения каждой подзадачи и сравнения полученных выражений с нулем.

2) исследована проблема автоматической генерации протоколов связи и их тестирования. Сформулированы требования к тестированию защищенных протоколов. Особое внимание уделено разработке спецификаций протоколов для повышения возможностей тестирования, а также методами "прямого" тестирования проведено тестирование на уровне программных моделей новых протоколов и эффективных алгоритмов кодирования (Фано и Стек-алгоритм) с целью анализа их вычислительной стоимости.

3) существующие методики разработки, моделирования и тестирования протоколов не учитывают вопросов защиты данных от посторонних воздействий и не предусматиривают оценки характеристик защищенности от неавторизованного доступа и помех в канале передачи. Для определения области применения разработанного протокола выделяются качественные и количественные характеристики, определяющие степень сложности и защищенности протокола: скорость работы, размер кода, структура кода, переносимость, соответствие спецификации, вид кодирования, сложность оперативного тестирования и шифрования.

Оригинальным в предложенном подходе является алгоритм проверки корректности управляющих графов программ, отдельные части которого представляют параллельно-последовательные процессы, например, процессы информационного обмена в сетях ЭВМ, работающие по достаточно сложным протоколам. Данные алгоритмы будут использованы для верификации протоколов. Предложения по введению дополнительных специальных конструкций в модели защищенных протоколов позволят уменьшить размер модели, упростить спецификацию протокола и тем самым дают возможность использования методик автоматизированной проверки правильности построения протокола.

Заказать ✍️ написание учебной работы
Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Сейчас читают про: