Введение к работе
Актуальность темы. Анализ ретроспектив развития автоматизированных систем управления (АСУ) и перспектив их дальнейшего совершенствования позволяет выявить устойчивую тенденцию повышения уровня автоматизации процессов обработки информации и управления и, как следствие, - увеличения объемов обрабатываемой информации и программного обеспечения (ПО). Это, в свою очередь, обусловило наличие различного рода угроз информационным процессам в АСУ. Одним из наиболее серьезных источников таких угроз являются вредоносные программы. Подобные программы разрабатываются как средства преодоления систем защиты информации (СЗИ) АСУ с целью несанкционированного манипулирования информацией в них. Вредоносные программы проектируются высококвалифицированными программистами-хакерами как программы вирусного типа, в полной мере обладающие изоморфными, ассоциативными и реплика-тивными свойствами. Это позволяет вредоносным программам реали-зовывать свои функции за крайне короткие периоды времени, что значительно затрудняет возможность их обнаружения и подавления, и, как следствие, - ставит такие программы в разряд одного из самых совершенных инструментов противоправных действий в сфере компьютерной информации.
В соответствии с существующими взглядами на проблему обеспечения информационной безопасности СЗИ и АСУ проектируются независимо друг от друга, причем СЗИ придаются к уже разработанным АСУ. В этом случае, СЗИ ориентированы на решение задач по регулированию доступа пользователи к информации, а функции противодействия вредоносным программам реализуются лишь путем периодического контроля целостности вычислительной среды.
Вместе с тем, анализ подходов к организации защиты информации в условиях воздействия вредоносных программ позволил установить, что эффективность противодействия такого рода средствам зави-
сит, главным образом, от своевременности их обнаружения и подавления. В этих условиях особое значение приобретает поиск путей обеспечения своевременного обнаружения воздействий вредоносных программ, их подавления и восстановления информационных процессов, подвергнутых воздействию.
Одним из наиболее распространенных подходов к решению данной проблемы в существующих СЗИ является периодический контроль этими системами целостности вычислительной среды АСУ с целью регистрации изменений, вызванных вредоносными программами. Недостатком этого подхода является значительный период выполнения функций контроля, так как они выполняются в ущерб реализации целевых функций АСУ. В этих условиях АСУ и СЗИ вступают в конфликт по использованию временных ресурсов.
Другим распространенным подходом к решению проблемы противодействия вредоносным программам является использование стандартных антивирусных средств в фоновом режиме работы ЭВМ. В этом случае обнаружение вредоносных программ осуществляется путем сканирования памяти ЭВМ АСУ с целью регистрации известных элементов структуры (штаммов) компьютерных вирусов. Однако большие объемы информации в АСУ и, как следствие, - большое время сканирования антивирусных средств, а также изоморфность структуры вредоносных программ, не обеспечивают эффективное противодействие таким программам в рамках рассматриваемого подхода.
В этих условиях несанкционированные действия с информацией, осуществляемые вредоносными программами в течение коротких интервалов времени воздействия, не могут своевременно обнаруживаться средствами защиты, разработанными в соответствии с традиционным подходом. Это особо актуально для АСУ критических приложений и, в частности, для АСУ органов внутренних дел (ОВД), эффективность использования которых в значительной степени зависит от мер противодействия вредоносным программам.
Изложенное позволяет сделать вывод, что основным направлением совершенствования СЗИ на настоящее время является обеспечение своевременности противодействия вредоносным программам, что может быть достигнуто лишь путей обеспечения адекватностїгвременных параметров средств защиты временным параметрам вредоносных программ. Существующая практика, когда СЗИ придаются к уже разработанным АСУ, не дает возможности заложить на этапе проектирования и реализовать на этапе разработки требования своевременности противодействия вредоносным программам.
В связи с этим повышение эффективности противодействия вредоносным программам возможно лишь путем решения на ранних этапах проектирования АСУ задач обеспечения совместного функционирования АСУ и СЗИ на основе различных форм резервирования.
Это позволяет предложить новый подход к организации противодействия вредоносным программам, когда еще на этгле проектирования АСУ закладывается возможность реализации функций обработки информации одновременно с функциями ее защиты. При этом наиболее целесообразной формой реализации функций противодействия вредоносным программам является непрерывный контроль состояния АСУ с целью своевременной идентификации воздействий таких программ и устранения угроз информационной безопасности АСУ. В этом случае функции противодействия вредоносным программам можно рассматривать как самостоятельные вектора управления. Одновременная реализация этих векторов и вектора управления функционированием АСУ по целевому шоначеяию возможна лишь в условиях их согласования за счет оптимт-аит функционирования АСУ.
Одной из главных проблем при реализации предлагаемого подхода является конфликт по использованию временных ресурсов между средствами обработки информации в АСУ и средствами защиты информации. Это приводит к необходимости решения взаимосвязанной совокупности оптимизационных задач временного резервирова-
ния, связанных с выявлением временного резерва АСУ, его распределением между частными процессами обработки информации и реализацией в виде программ обнаружения и устранения как самих вредоносных программ, так и последствий их воздействие. Методы решения совокупности этих задач составляют суть теории оптимизации функционирования АСУ в условиях противодействия вредоносньщ программам.
Таким образом, актуальность темы исследования определяется необходимостью повышения эффективности противодействия вредоносным программам в АСУ за счет использования методов и средств оптимизации их функционирования.
Работа выполнена в соответствии с программой мероприятий ло усилению защиты информации конфиденциального характера в органах и войсках внутренних дел (Приказ МВД РФ № 380 от 21 июня 1997 г.) и концепцией развития системы информационного обеспечения органов внутренних дел в борьбе с преступностью (Приказ МВД РФ№229от12мая1993г.).
Объектом исследования являются автоматизированные системы управления.
Предметом исследования выступают процессы функционирования АСУ ОВД в условиях противодействия вредоносным программам.
Цели и задачи исследования. Целью диссертационной работы является разработка путей и методов повышения эффективности противодействия вредоносным программам в АСУ на основе оптимизации их функционирования в условиях воздействия таких программ.
Для достижения этой цели в работе решены следующие научные задачи:
1. Сформулированы и математически доказаны основные положения теории оптимизации функционирования АСУ в условиях воздействия вредоносных программ с целью повышения эффективности противодействия таким программам.
2. Разработан математический аппарат, обеспечивающий:
оценку показателя эффективности противодействия вредонос
ным программам и показателя эффективности функционирования
АСУ в условиях противодействия вредоносным программам;
определение оптимальной величины непополняемого временного резерва дтя организации управления средствами идентификации воздействий вредоносных программ з АСУ;
оптимальное распределение этого резерва между модулями программного обеспечения (ПО) АСУ;
оптимальную реализацию распределенного временного резерва в виде программных средств обнаружения воздействий вредоносных программ и средств идентификации следов таких воздействий в АСУ;
определение объема пополняемого временного резерва для организации управления средствами устранения угрозы безопасности АСУ;
реализацию пополняемого резерва в виде программных средств подавления вредоносной программы, идентификации злоумышленника, анализа последствий воздействия вредоносных программ и восстановления корректности информационных процессов в АСУ.
3. Разработана совокупность математических моделей, обеспе
чивающих возможность сценки влияния вредоносных программ и
предложенной методологии защиты информации на эффективность
противодействия вредоносным программам и эффективность АСУ в
условиях противодействия вредоносным программам, проведены ис
следования по оценке этого влияния.
Методы исследования. В работе использованы методы системного анализа, теории управления, математического моделирования, теории вероятностей и математической статистики, дискретного программирования.
Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в диссертации, обеспечивается:
корректным использованием строгих математических методов системного анализа, математического моделирования, дискретного программирования, теории вероятностей и математической статистики;
сопоставлением результатов с известными из публикаций частными случаями;
исследованием поведения математических моделей в предельных ситуациях;
адекватностью результатов аналитического и имитационного моделирования.
Научная новизна результатов, полученных в диссертации при решении перечисленных задач состоит в следующем:
-
Сформулированы и математически доказаны основные положения организации противодействия вредоносным программам на основе оптимизации функционирования АСУ; обоснованы показатели для оценки эффективности противодействия вредоносным программам и эффективности АСУ в этих условиях; разработаны методы определения оптимального объема непополняемого временного резерва для организации управления средствами идентификации воздействий вредоносных программ в АСУ и пополняемого временного резерва для организации управления средствами устранения угрозы информационной безопасности АСУ; методы оптимального распределения непополняемого временного резерва между модулями ПО АСУ, а также методы оптимальной реализации непополняемого и пополняемого резерва АСУ в виде средств идентификации воздействий вредоносных программ и средств устранения угрозы информационной безопасности АСУ соответственно.
-
Разработан способ повышения эффективности противодействия вредоносным программам, основанный на теории оптимизации функционирования АСУ в условиях воздействия таких программ, отличающийся от известных способов решения аналогичных задач тем, что управление процессом защиты информации в АСУ производится
параллельно с управлением процессом функционирования АСУ по назначению. Это позволило обеспечить адекватность временных параметров средств защиты информации от вредоносных программ временным параметрам этих программ.
3. Предложены алгоритмы:
по способам обнаружения воздействий вредоносных программ, основанных на контроле соответствия функциональных соотношений в процессе обработки данных в АСУ, отличающихся от известных, возможностью комплексной проверки состояния ПО АСУ как на уровне ее операционной системы, гак и на уровне прикладных программ на протяжении всей последовательности этапов воздействия вредоносных программ;
по способам идентификации следов воздействий вредоносных программ, основанных на трассировке ПО АСУ и диагностике цепочек обращений и еызовов программных модулей^ (ПМ), отличающиеся от аналогичных средств операционных систем более высокой степенью точности локализации воздействия вредоносных программ.
4. Разработана совокупность математических моделей процессов
функционирования АСУ, основанная на полученных в работе соотно
шениях для оценки эффективности противодействия вредоносным
программам, в отличие от аналогичных позволяющая решать широкий
круг задач в области защиты информации.
Практическая ценность результатов состоит в том, что: 1. Содержащиеся в диссертации методические результаты и практические рекомендации использованы при разработке проекта Федеральной программы по защите информации на период 2000-2010 г.г., а также при составлении проекта дополнений и изменений в действующие руководящие документы Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и «Средства вычислительной техники.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционирозанного доступа к информации».
-
С применением разработанных в диссертации методов повышения эффективности противодействия вредоносным программам обоснованы предложения по защите информации, использованные при подключении органов Государственной власти РФ, предприятий й учреждений к международным информационным системам, Еключая Интернет.
-
На основе сформулированных в диссертации подходов разработаны предложения по преодолению программным путем систем ограничения доступа к защищенным областям в локальных вычислительных сетях, обеспечивающие возможность определения, программного перехвата, извлечения комбинаций кодов защиты (паролей) из реестра удаленного терминала (компьютера) и нейтрализацию систем защиты с пародированным входом, а также внедрения проірамм-ных закладок методом информационного суммирования выполняемых модулей. Предложения использованы при изыскании способов несанкционированного проникновения в АСУ войсками противника.
-
С использованием полученных в диссертации результатов обоснованы принципы и пути организации противодействия вредоносным программам, использованные при изыскании технических путей создания и совершенствования АСУ ОВД и программных систем защиты информации в них.
-
Разработанные в диссертации средства трассологической идентификации компьютерных преступлений были использованы Управлением внутренних дел Воронежской области при раскрытии ряда преступлений в сфере компьютерной информации.
-
Разработанные в диссертации способы защиты информационных процессов использованы при разработке учебных пособий «Основы организации защиты информации в ЭВМ» и «Основы организации защиты информации в компьютерных сетях» для курсантов и слуша-
телей Московского и Воронежского институтов МВД России и курсантов Военного института радиоэлектроники МО РФ. Основные положения, выносимые на защиту:
-
Формулировка проблемы повышения эффективности противодействия вредоносным программам как комплекс задач синтеза способов управления в АСУ, решаемых на основе разработанных в диссертации методов оптимизации функционирования АСУ в условиях воздействия таких программ.
-
Алгоритмы идентификации воздействий вредоносных программ и устранения угроз информационной безопасности АСУ, которые предлагается использовать при проектировании их ПО.
-
Методы оценки эффективности противодействия вредоносным программам на основе математических моделей процессов функционирования АСУ.
-
Результаты применения разработанного метода противодействия вредоносным программам, позволяющего повысить защищенность типовых АСУ на 25-30%.
Практическая значимость и результаты внедрения. .Результа-ты работы использованы при разработке предложений по защите информации при подключении органов Государственной власти РФ, предприятий, учреждений и организаций к международным информационным системам, включая Интернет; при составлении проекта дополнений и изменений в действующие руководящие документы Гос-техкомиссии России, при выполнении НИР «Ведуга-98», «Сенсор-В», «Таллин», «Мозаика-В» а также при разработке серии учебных пособий по проблеме «Защита информации» для слушателей и курсантов Московского и Воронежского икститутов МВД России и курсантов Военного института радиоэлектроники МО РФ.
Результаты диссертационной работы внедрены: в Государственной технической комиссии при Президенте Российской Федерации;
в 5 Центральном научно-исследовательском испытательном институте Министерства обороны Российской Федерации;
в Воронежском научно-исследовательском институте связи;
в Военном институте радиоэлектроники МО РФ;
в Московском институте МВД России;
в Воронежском институте МВД России;
в Управлении внутренних дел Воронежской области.
Внедрение результатов подтверждается соответствующими актами.
Апробация работы. Основные методические и практические результаты исследований докладывались и были одобрены на Второй международной конференции «Алгебраические, вероятностные, геометрические, комбинаторные и функциональные методы в теории чисел» (г. Воронеж, 1995 г.); Всероссийской научно-технической конференции «Информационные технологии к системы» (г. Воронеж, 1995 г.); Всероссийской научно-технической конференции «Повышение помехоустойчивости систем технических средств охраны» (г. Воронеж, 1995 г.); международной конференции «Интеграция экономики б систему мирохозяйственных связей» (Санкт-Петербург, 1996 г.); Третьей межвузовской научно-технической конференции Военного института радиоэлектроники МО РФ (г. Воронеж, 1996 г.); научно-практической конференции Воронежской высшей школы МВД России (г. Воронеж, 1996 г.); Всероссийском совещании - семинаре «Математическое обеспечение информационных технологий в технике, образовании и медицине» (г. Воронеж, 1996 г.); международной конференции «Информатизация правоохранительных систем» (Москва, 1997 г.); международной конференции «Безопасность информации» (Москва, 1997 г.); Всероссийской научно-практической конференции «Охрана-97» (г. Воронеж, 1997 г.); региональной научно-практической конференции «Актуальные проблемы информационного мониторинга» (г. Воронеж, 1998 г.); межведомственной научно-практической конференции «Организационно-правовые проблемы борьбы с организован-
ной преступностью» (г. Воронеж, 1998 г.); Всероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Саша-Петербург, 1998 г.); Всероссийской научно-технической конференции «Перспективы развития оборонных информационных технологий» (г. Воронеж, 1998 г.); международной конференции «Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики» (Camrr-Петербург, 1999 г.); Ш Всероссийской научно-практической конференции «Охрана-99 » (г. Воронеж, 1999 г.)
Публикации. По теме диссертационной работы опубликовано 60 печатных работ, в том числе 1 монофафия, 3 учебных пособил, 29 статей и описания двух изобретений, защищенных авторскими свидетельствами. Основное содержание работы изложено в 50 публикациях, список которых приведен в конце автореферата.
Структура и объем работы. Диссертация состоит из введения, шести глав, 18 рисунков, 20 таблиц, заключения, списка литературы и приложения, изложенных на 256 страницах машинописного текста.
