Введение к работе
Актуальность темы. Дальнейшее совершенствование систем защиты информации (СЗИ) автоматизированных информационных систем (АИС) обусловило разработку способов н средств преодоления СЗИ. Это позволило создать совершенные средства программного типа (в соответствии с Уголовным законодательством Российской Федерации - «вредоносные программы»), позволяющие относительно легко преодолевать СЗИ и осуществлять противозаконное манипулирование информацией. Разрабатываемые высококвалифицированньгми программистами-хакерами как программы вирусного типа, вредоносные программы в полной мере используют такие преимущества компьютерных вирусов как самомодифицируемость, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды, что позволяет реализовать функции противозаконного манипулирования информацией за крайне короткие периоды времени и значительно затруднить возможность их обнаружения и устранения. Анализ показывает, что вредоносные программы на настоящий момент являются самым эффективным инструментом совершения компьютерных преступлений.
Анализ подходов к организации защиты информации в условиях воздействия вредоносных программ позволил установить, что эффективность противодействия такого рода средствам зависит, главным образом, от своевременности их обнаружения. В этих условиях особое значение приобретает поиск путей обеспечения своевременного обнаружения воздействий вредоносных программ. Одним из наиболее распространенных подходов решения проблемы обнаружения воздействия вредоносных программ в современных СЗИ является периодическая реализация этими системами функции контроля целостности своей вычислительной среды. Основным недостатком этого подхода является значительный период выполнения функций контроля, так как они выполняются в ущерб реализации информационных потребностей АИС. Другим распространенным подходом к решению проблемы обнаружения г.оз-действия вредоносных программ являлся организация работы стандартных антивирусных средств в фоксвом режиме ЭВМ. Однако большие о'отаыы информации в АИС и, как следствие, большее время сканирования этим;! средствами даже в основном режиме ЭВМ, и незначительное количество хь-лнгрв свободного времени процессора при решении информационных задач делают решение этой задачи в фенсвом режиме крайне проблематичным. Это позволяет сделать вывод, что для своевременного обнаружения вредоносных ..ро-грамм средства обнаружения не должны сосредотачиваться в рамках одной подсистемы, например СЗИ, а должны распределяться по информационно.* v процессу.
Одним из эффективных способов сокращения времени обнаружения воздействий вредоносных программ, лишенным недостатков, присущих рассмотренным подходам, является способ организации контроля информационных процессов в АИС, когда средства обнаружения и идентификации воздействий вредоносных программ не сосредотачиваются в рамках одной подсистемы, например СЗИ, а еще на этапе проектирования программного обеспечения (ПО) АИС распределяются между программными модулями (ПМ) функционирования по ее целевому назначению и выполняются одновременно с ними. Это позволяет за счет использования определенной части запаса быстродействия (временного резерва) ЭВМ АИС значительно сократить время обнаружения воздействий вредоносных программ и обеспечить своевременное устранение как самих вредоносных программ, так и последствий их воздействий.
Таким образом, актуальность темы исследования определяется необходимостью повышения эффективности противодействия вредоносным программам в АИС за счет использования методов и средств распределенного антивирусного контроля.
Работа выполнена в соответствии с программой мероприятий по усилению защиты информации конфиденциального характера в органах и войсках внутренних дел (приказ МВД РФ № 380 от 21 июня 1997 г.) и концепцией развития системы информационного обеспечения органов внутренних дел в борьбе с преступностью (приказ МВД РФ Ш 229 от 12 мая 1993 г.).
Цели и задачи исследования. Целью диссертационной работы является разработка путей и методов повышения эффективности противодействия вредоносным программам в АИС на основе распределенного антивирусного контроля.
Для достижения этой цели в работе необходимо решить следующие задачи:
-
Сформулировать общие требования к организации противодействия вредоносным программам на основе применения распределенного антивирусного контроля.
-
Разработать методики, обеспечивающие выявление времеїшого резерва АИС, его оптимальное распределение между частными процессами обработки информации для организации распределенного антивирусного контроля и оценки эффективности АИС в условиях противодействия вредоносным программам.
-
Разработать совокупность математических моделей, учитывающую влияние параметров программных средств распределенного антивирусного контроля АИС и параметров вредоносных программ на эффективность АИС в условиях противодействия вредоносным программам; провести практические исследования по оценке этого влияния.
Методы исследования. В работе использованы методы системного анализа, математического моделирования, теория вероятностей и математической статистики, дискретного программирования.
Научная новизна результатов, полученных в диссертации при решении перечисленных задач, состоит в следующем:
-
Сформулированы требования к организации противодействия вредоносным профаммам на основе распределенного антивирусного коїпроля и обоснован показатель оценки эффективности противодействия таким программам.
-
Разработан метод повышения эффективности противодействия вредоносным программам, основанный на распределенном антивирусном контроле АИС, отличающийся от известных способов решения аналогичных задач тем, что функции идентификации воздействий вредоносных программ реализуются одновременно с функциями обработки информации в АИС.
-
Разработаны математические модели процессов функционирования АИС, основанные на полученных в работе соотношениях для оценки эффективности противодействия вредоносным программам, в отличии от аналогичных, позволяющие решать широкий круг задач в области исследования процессов противодействия компьютерным преступлениям.
-
Предложены алгоритмы обнаружения вредоносных программ, основанные на контроле состояния ПО АИС в процессе обработки данных, отличающиеся от известных, основанных на сканировании памяти ЭВМ, тем, что обнаруживаются лишь признаки воздействия вредоносных программ, а не их характерные фрагменты - штаммы.
-
Предложены алгоритмы идентификация следов воздействий вредоносных программ, основанные на прослеживания цепочек вызовов программных модулей, отличающиеся от ан&чопгчных средств более высокой точностью локализации воздействия вредоносных программ.
Практическая ценность полученных результатов состоит в том, что: 1. С применением разработанных в диссертации методов обоснованы предложения по защите информации от несанкционированного доступа б автоматизированных системах, использозаяные в НИР «Сеисор-В» при составлении проектов дополнений и изменений в действующие рухсдаплящмс-документы Гостгхкомиссии России.
2. С использованием полученных в диссертации результатов cv^;-нованы принципы организации противодействия вредоносным гтюгг-". *-мам, использованные в НИР «Мозаика-В» и «Кобра» прк изыскании теки:!--ческих путей совершенствования АИС ОВД и программных систем з;:ы ro.i информации в них.
3. Разработанные а диссертации способы защиты информацч^-.ныч процессов использованы при разработке учебного пособия «Основь: о; гг-
4 низации защиты информации в компьютерных сетях» для слушателей Воронежской высшей школы МВД РФ.
4. Разработанная в диссертации технология проектирования ПО АИС позволяет повысить защищенность типовых АИС от воздействия вредоносных программ на 25-30 %.
Реализация работы. Результаты работы использованы при разработке предложений по защите информации при подключении органов Государственной власти РФ, предприятий, учреждений и организаций к международным информационным системам, включая Интернет; при составлении проекта дополнений и изменений в действующие руководящие документы Гостехкомиссия России, при выполнении НИР «Сенсор-У», «Мо-заика-В» и «Кобра»; а также при разработке учебного пособия по курсу «Компьютерная безопасность» для слушателей радиотехнического факультета Воронежской высшей школы МВД РФ, обучающихся по специализации «Информационная безопасность».
Апробация и публикации. Основные методические и практические результаты исследований докладывались и были одобрены на Всероссийской научно-практической конференции «Охрана-97» (Воронеж, 1997); Всероссийской научно-технической конференции «Перспективы развития оборонных информационных технологий» (Воронеж, 1998) и региональной научно-практической конференции «Актуальные проблемы информационного мониторинга» (Воронеж, 1998), достаточно полно изложены в 4 отчетах о НИР, 5 научно-технических статьях.
Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы (65 наименований) и двух приложений. Объем диссертации составляет 151 страниц машинописного текста, включая 14 рисунков и 19 таблиц.
Похожие диссертации на Разработка и исследование методов распределенного антивирусного контроля в автоматизированных информационных системах
