Система защиты рабочих станций и информационных серверов вычислительных систем и сетей

 

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов в рабочих станциях и информационных серверах. Техническим результатом является повышение уровня защищенности системы защиты за счет реализации возможности предотвращения НСД к информации, при этом обнаруживать факт НСД и при отсутствии искажения информации злоумышленником. Для этого система защиты информации содержит блок памяти, блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, М блоков формирования списков текущих событий, М блоков сравнения списков текущих и санкционированных событий, М блоков выработки команды на "уничтожение" (прекращение) текущего события, блок выработки сигнала сравнения контрольных сумм. 3 ил.

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов в рабочих станциях и информационных серверах.

Известна система защиты информационных ресурсов вычислительной системы и сети Secret Net (см. "Система разграничения доступа Secret Net. Руководство пользователя, 1996"). Она представляет собою программный комплекс, устанавливаемый на автономный компьютер, либо на компьютеры, объединенные в вычислительную сеть. Система решает задачу контроля целостности (неискаженности) программ и данных при включении системы.

Наиболее близкой по технической сущности к заявляемой (прототипом) является система защиты информации, встроенная в операционную систему Windows NT Server 4.0 (см. кн. Валда Хиллей "Секреты Windows NT Server 4.0''. - К. "Диалектика", 1997, с. 14-15). Здесь реализуется нахождение контрольных сумм файлов при загрузке системы. Если содержимое файла было каким-либо образом изменено, соответственно изменится и текущая контрольная сумма файла, которая не совпадет с эталонной суммой. При несовпадении на экран выводится сообщение о нарушении целостности.

Система представлена на фиг. 1. Система защиты информации 1 включает блок памяти 2, содержащий блок функционального программного обеспечения (ФПО) 3, блок данных 4, блок хранения контрольных сумм ФПО 5, блок хранения контрольных сумм данных 6, кроме того, блок формирования текущих контрольных сумм 7, блок сравнения контрольных сумм 8, причем выход блока ФПО 3 (первый выход блока памяти 2) соединен с первым входом блока формирования текущих контрольных сумм 7, выход блока данных 4 (второй выход блока памяти 2) - со вторым входом блока формирования текущих контрольных сумм 7, третий вход которого соединен с управляющим входом сравнения контрольных сумм 9 (первым входом системы защиты информации 1), выход блока хранения контрольных сумм ФПО 5 (третий выход блока памяти 2) соединен с первым входом блока сравнения контрольных сумм 8, выход блока хранения контрольных сумм данных 6 (четвертый выход блока памяти 2) - со вторым входом блока сравнения контрольных сумм 8, третий вход которого соединен с первым, а четвертый вход - со вторым выходами блока формирования текущих контрольных сумм 7, пятый вход блока сравнения контрольных сумм 8 соединен с управляющим входом сравнения контрольных сумм 10 (вторым входом системы защиты информации 1), выход блока сравнения контрольных сумм 8 соединен с управляющим выходом результата сравнения контрольных сумм 11 (выходом системы защиты 1).

Защита информации осуществляется в части контроля целостности (неискаженности) программ (ФПО) и данных, что осуществляется следующим образом. В блоках памяти 5 и 6 соответственно хранятся контрольные суммы контролируемых блоков 3 и 4. По команде с управляющего входа 9 блоком 7 формируются текущие контрольные суммы информации, хранящейся в блоках 3 и 4, и по команде с управляющего входа 10 полученные блоком 7 текущие контрольные суммы сравниваются с соответствующими контрольными суммами, находящимися в блоках 5 и 6. Блоком 8 сравниваются текущие и исходные контрольные суммы, результат сравнения выдается на управляющий выход 11. При обнаружении факта несовпадения контрольных сумм фиксируется факт несанкционированного доступа (НСД) к информации.

Недостатком системы является неэффективное использование механизма контроля целостности, что обусловливается следующим - факт НСД фиксируется лишь при искажении злоумышленником информации (при прочтении информации без искажения факт НСД не регистрируется), использование данного механизма не позволяет предотвращать НСД.

Целью изобретения является повышение уровня защищенности системы защиты, реализующей принципы контроля целостности информации, за счет реализации возможности не только обнаруживать, но и предотвращать НСД к информации, при этом обнаруживать факт НСД и при отсутствии искажения информации злоумышленником, причем в том числе реализуется возможность обнаружения и предотвращения факта НСД и при использовании злоумышленником ошибок и закладок, а так же с целью повышения эффективности контроля целостности программ и данных.

Достигается это тем, что в систему защиты информации, содержащую блок памяти, содержащий блок функционального программного обеспечения (ФПО), блок данных, блок хранения контрольных сумм ФПО, блок хранения контрольных сумм данных, и кроме блока памяти - блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, причем выход блока ФПО - первый выход блока памяти соединен с первым входом блока формирования текущих контрольных сумм, выход блока данных - второй выход блока памяти со вторым входом блока формирования текущих контрольных сумм, третий вход которого соединен с управляющим входом сравнения контрольных сумм - первым входом системы, выход блока хранения контрольных сумм ФПО - третий выход блока памяти соединен с первым входом блока сравнения контрольных сумм, выход блока хранения контрольных сумм данных - четвертый выход блока памяти со вторым входом блока сравнения контрольных сумм, третий вход которого соединен с первым, а четвертый вход - со вторым выходами блока формирования текущих контрольных сумм, выход блока сравнения контрольных сумм соединен с управляющим выходом результата сравнения контрольных сумм -вторыми выход системы, отличающаяся тем, что в систему дополнительно введены: в блок памяти - М блоков хранения списков санкционированных событий, М блоков хранения контрольных сумм списков санкционированных событий, кроме того в систему защиты введены - М блоков формирования списков текущих событий, М блоков сравнения списков текущих и санкционированных событий, М блоков выработки команды на "уничтожение" (прекращение) текущего события, блок выработки сигнала сравнения контрольных сумм, причем выходы М блоков хранения списков санкционированных событий - выходы с 5 по М+4 блока памяти соединены с входами с 4 по М+3 блока формирования текущих контрольных сумм с М первыми входами блоков сравнения списков текущих и санкционированных событий и блоков выработки команды на "уничтожение" (прекращение) текущего события, первые входы блоков формирования списков текущих событий соединены с М информационными входами регистрации текущих событий - М третьими входами системы, вторые входы соединены с М управляющими входами регистрации текущих событий - М четвертыми входами системы, выходы соответственно соединены со вторыми входами блоков сравнения списков текущих и санкционированных событий, третьи входы которых соединены с М управляющими входами сравнения текущих и санкционированных событий -М пятыми входами системы, выходы соединены с М управляющими выходами результатов сравнения списков текущих и санкционированных событий - М вторыми выходами системы, со вторыми входами блоков выработки команды на "уничтожение" (прекращение) текущего события, с первыми М входами блока выработки сигнала сравнения контрольных сумм, М+1 вход которого соединен с управляющим входом сравнения контрольных сумм - первым входом системы, выход соединен с пятым входом блока сравнения контрольных сумм, выходы блоков выработки команды на "уничтожение" (прекращение) текущего события соединены с М управляющими выходами "уничтожения" (прекращения) текущего события, выходы блоков хранения контрольных сумм списков санкционированных событий - выходы соединены со входами с 6 по М+5 блока сравнения контрольных сумм.

Схема системы защиты информации 1 приведена на фиг. 2, она содержит: блок памяти 2, содержащий блок функционального программного обеспечения (ФПО) 3, блок данных 4, блок хранения контрольных сумм ФПО 5, блок хранения контрольных сумм данных 6, М блоков хранения списков санкционированных событий 12, М блоков хранения контрольных сумм списков санкционированных событий 13, кроме того, система защиты информации 1 содержит: блок формирования текущих контрольных сумм 7, блок сравнения контрольных сумм 8, М блоков формирования списков текущих событий 14, М блоков сравнения списков текущих и санкционированных событий 15, М блоков выработки команды на "уничтожение" (прекращение) текущего события 16, блок выработки сигнала сравнения контрольных сумм 17, причем выход блока ФПО 3 (первый выход блока памяти 2) соединен с первым входом блока формирования текущих контрольных сумм 7, выход блока данных 4 (второй выход блока памяти 2) - со вторым входом блока формирования текущих контрольных сумм 7, третий вход которого соединен с управляющим входом сравнения контрольных сумм 9 (первым входом системы защиты информации 1), выход блока хранения контрольных сумм ФПО 5 (третий выход блока памяти 2) соединен с первым входом блока сравнения контрольных сумм 8, выход блока хранения контрольных сумм данных 6 (четвертый выход блока памяти 2) - со вторым входом блока сравнения контрольных сумм 8, третий вход которого соединен с первым, а четвертый вход - со вторым выходами блока формирования текущих контрольных сумм 7, выход блока сравнения контрольных сумм 8 соединен с управляющим выходом результата сравнения контрольных сумм 11 (первым выходом системы защиты 1), выходы блоков хранения списков санкционированных событий 12 (выходы с 5 по М+4 блока памяти 2) соединены с входами с 4 по М+3 блока формирования текущих контрольных сумм 7, с М первыми входами блоков сравнения списков текущих и санкционированных событий 16 и блоков выработки команды на "уничтожение" (прекращение) текущего события 16, первые входы блоков формирования списков текущих событий 14 соединены с М информационными входами регистрации текущих событий 18 (М третьих входов системы защиты информации 1), вторые входы соединены с М управляющими входами регистрации текущих событий 19 (М четвертых входов системы защиты 1), выходы соответственно соединены со вторыми входами блоков сравнения списков текущих и санкционированных событий 15, третьи входы которых соединены с М управляющими входами сравнения текущих и санкционированных событий 20 (М пятых входов системы защиты 1), выходы соединены с М управляющими выходами результатов сравнения списков текущих и санкционированных событий 21, со вторыми входами блоков выработки команды на "уничтожение" (прекращение) текущего события 16, с первыми М входами блока выработки сигнала сравнения контрольных сумм 17, М+1 вход которого соединен с управляющим входом сравнения контрольных сумм 10 (второй вход системы защиты информации 1), выход соединен с пятым входом блока сравнений контрольных сумм 8, выходы блоков выработки команды на "уничтожение" (прекращение) текущего события 16 соединены с М управляющими выходами "уничтожения" (прекращения) текущего события, выходы блоков хранения контрольных сумм списков санкционированных событий 13 соединены со входами с 6 по М+5 блока сравнения контрольных сумм 8.

Работает система следующим образом. Задача защиты информации в рамках предлагаемого метода, реализуемого заявляемым устройством, сводится к контролю неискаженности или целостности списков санкционированных событий, программ и данных (т. е. в основе предлагаемого подхода положен многофункциональный последовательный контроль целостности). Контроль списков санкционированных событий может осуществляться синхронно (по расписанию), либо асинхронно, реализуемое по принципу "при условии, что...". В общем случае, идея подхода отображена на фиг. 3, и состоит в том, что при доступе к информации осуществляется последовательный быстрый анализ неискаженности (контролируется целостность) списков событий. При несанкционированном доступе, по крайней мере, одно событие из анализируемого набора списков должно нарушаться (в противном случае имеем санкционированный доступ к информации) - быть несанкционированным. К подобным спискам могут быть отнесены: список санкционированных пользователей; таблицы прав доступа пользователей (к файлам, каталогам, устройствам, серверам и т.д.); список разрешенных к запуску процессов; список открытых портов; список подключенных устройств; список разрешенных для взаимодействия IP-адресов, либо DNS-имен; состояние ключей реестра и т.д.

Идея подхода состоит в том, что (это подтвердили исследования) фоновый анализ списков санкционированных событий осуществляется столь быстро, что позволяет предотвратить несанкционированное воздействие (например, несанкционированного пользователя, незарегистрированный процесс и т.д.) до момента доступа злоумышленника к информации, чем предотвращается попытка НСД.

Отличие в использовании предложенной технологии для альтернативных операционных сред (операционных систем) состоит лишь в наборе списков (уровней контроля целостности) несанкционированных событий, которые могут поддерживаться конкретными операционными системами.

Отличие в использовании предложенной технологии для альтернативных вариантов реализации политики информационной безопасности предприятия состоит лишь в наборе контролируемых списков (уровней контроля целостности), в очередности и периодичности их контроля.

Сказанное позволяет утверждать о возможности унификации предложенного подхода для альтернативных применений, где условия использования системы могут учитываться средствами настройки ее параметров, в рамках единого унифицированного подхода, проиллюстрированного на фиг. 3.

Теперь рассмотрим, как описанный метод реализуется схемой, приведенной на фиг. 2. Схема предполагает введение в систему защиты в общем случае М списков санкционированных событий. Блоки 12 хранят в памяти собственно списки санкционированных событий. По команде с управляющего входа 19 в заданной последовательности и в заданные моменты времени (это определяется очередностью и периодичностью подачи сигналов на М входов 19) блоками 14 с информационных входов 18 формируются (регистрируются) текущие списки санкционированных событий (например, считываются таблицы зарегистрированных пользователей и таблицы разграничения прав доступа, таблицы подключенных устройств, фиксируются запущенные процессы, программно открытые порты и т.д.), которые по команде со входа системы 20 блоками 15 сравниваются со списками санкционированных событий, расположенных в блоках 12. Блоки 15 вырабатывают управляющие сигналы на выход 21, по которым затем обеспечивается реакция, например прописанная в соответствующем командном файле - файле /bat/ операционной системы. Кроме того, данные сигналы поступают в блоки 16 и блок 17. Блоки 16 формируют сигналы на выходе 22, предназначенные для "уничтожения" несанкционированных действий, например сигнал завершения запущенного несанкционированного процесса, сигнал восстановления исходной таблицы разрешенных пользователей, прав доступа пользователей, сигнал на программное закрытие соответствующего порта и т.д. Блок 17 вырабатывает сигнал сравнения текущих и исходных контрольных сумм ФПО, данных и собственно контрольных сумм списков санкционированных событий (которые также могут быть изменены), хранящихся в блоках 13. Таким образом, в рассматриваемой системе допускается два режима контроля целостности программ и данных - синхронно - при включении системы, по расписанию - с входа 10, и асинхронно - здесь сигналом проверки совпадения контрольных сумм является условие искажения (нарушения целостности) списка санкционированных событий - с выхода блока 15. Данная особенность функционирования системы весьма важна, т.к. контроль больших объемов данных может занимать много времени (минуты), в то время, как контроль списка санкционированных событий занимает миллисекунды. Использование данного подхода позволяет существенно повышать производительность системы при асинхронной процедуре запуска контроля целостности программ и данных.

Актуальность современной проблемы борьбы с ошибками и закладками обусловливается тем, что с одной стороны, их практически невозможно выявить, с другой стороны, в частности для ошибок, в виду высокой интенсивности смены программных средств на рынке информационных технологий, как следствие, сокращения сроков разработки, характерно повышение их доли в современных программных средствах. Вероятность наличия закладок в программных средствах, наверное, величина относительно постоянная, больше зависит от области практического использования системы. Для поиска ошибок сегодня перед введением системы в эксплуатацию используют соответствующие программы-тестеры, содержащие некоторую базу данных известных для средств, подобных анализируемому, ошибок за несколько лет. Недостаток данного подхода связан с невозможностью поиска новых ошибок, а лишь анализ наличия известных. Поэтому, с точки зрения поиска ошибок, можем сказать, что, к сожалению, большинство из них выявляется именно в процессе функционирования систем, кстати говоря, это в полной мере иллюстрируют все время появляющиеся "заплатки" на широко используемых сегодня операционных системах и других программных средствах. Другими словами, говорить о высоком уровне защищенности от угроз, связанных с ошибками в современных программных средствах, наверное, не представляется возможным. Безопасными с точки зрения рассматриваемых угроз программы становятся лишь после некоторого (порою, достаточно продолжительного) времени их эксплуатации и их "тестирования" злоумышленниками. И лишь когда же злоумышленники, наконец "выдохнутся", что можно оценить по соответствующей статистике атак и взломов, можно говорить об относительной безопасности программного средства с точки зрения рассматриваемых угроз. К сожалению, к этому моменту данное средство уже устаревает и требует замены на новое, еще более сложное и, как правило, разработанное в более сжатые сроки, и, как следствие, содержащее еще большее количество ошибок. Наверное, не более утешительна ситуация и с поиском закладок, несмотря на то, что их число в программном средстве ограничено. Эти угрозы, в отличие от ошибок, практически невозможно отыскать на этапе тестирования технического средства, предшествующем его внедрению. Это обусловлено тем, что закладки, как правило, устанавливают квалифицированные программисты, предпринимая при этом все необходимые меры для усложнения их поиска. К сожалению, несмотря на непрекращающиеся исследования в области поиска закладок, на сегодняшний день можно утверждать, что эффективные подходы к поиску закладок отсутствуют, авторам исследования даже не известен сколько-нибудь обоснованный математический аппарат, позволяющий формализовать данный процесс и количественно оценить результат исследований.

Таким образом, важнейшим вопросом является реализуемый в системе метод защиты информации - метод, позволяющий эффективно бороться с ошибками и закладками в программном обеспечении. В общем случае возможны два варианта: Первый - обнаружение факта несанкционированного доступа к информации (изменение данных, файлов, программ и т.п.). В этом случае основная нагрузка ложится на систему обеспечения целостности. Недостаток данного подхода состоит в том, что может фиксироваться лишь факт изменения информации, заметим, что неважно, каким образом произведенный - за счет использования ошибки, либо закладки.

Второй - предотвращение (не допущение) несанкционированного доступа путем анализа косвенных признаков (появление подозрительных процессов, попыток изменения памяти, регистрации новых пользователей и т.д.). Здесь большая роль отводится аудиту событий. Идея использования данного метода состоит в следующем. Использует ли злоумышленник ошибку, либо закладку в программном обеспечении, он должен совершить некоторые неправомерные действия (в противном случае, он санкционированный пользователь, функционирующий в рамках разрешенных ему прав), например, завести нового пользователя, присвоить себе как пользователю более высокие права доступа, запустить несанкционированный процесс, открыть порт, изменить некоторые параметры реестра и т.д. Метод состоит в том, чтобы в фоновом режиме контролировать списки санкционированных событий, восстанавливая их в случае обнаружения искажений с соответствующими функциональными реакциями (например, завершить процесс, закрыть порт, восстановить состояние реестра, базы данных прав доступа пользователей и т.д.). При высокой эффективности подобного контроля (а заметим, что данные списки, как правило, невелики) появляется возможность предотвращать действия злоумышленника, вне зависимости от природы его несанкционированного доступа к информации, в том числе и с использованием ошибок и закладок.

Блоки, используемые в заявляемой системе защиты, могут быть реализованы следующим образом.

Блоки 3,4,5,6,12,13 представляют собой области, либо отдельные блоки памяти, либо оперативной, либо расположенной на внешних носителях - представляют собой запомненные массивы данных.

Блок 7 - это программное, либо аппаратное средство подсчета контрольной суммы. Данный блок хранит текущее значение контрольной суммы, до поступления очередной команды на подсчет текущей контрольной суммы.

Блок 8 - это программное, либо аппаратное средство попарного сравнения значений контрольных сумм.

Блок 14 - это программные, либо аппаратные блоки считывания, либо анализа списков текущих событий, например, программа считывания таблиц из требуемых областей памяти, стандартные программы выявления открытых портов, запущенных процессов и т.д.

Блок 15 - это программное, либо аппаратное средство построчного сравнения двух таблиц (санкционированных и текущих событий) с фиксированием несовпадений.

Блоки 16 - это программные, либо аппаратные блоки выработки команды на "уничтожение" несанкционированного события - здесь, в зависимости от контролируемых событий, возможны различные реализации, например, восстановление исходной строки таблицы в таблицах разрешенных пользователей, прав доступа, подключенных устройств и т.д., либо запуска обработки стандартной программы завершения несанкционированного процесса, программного закрытия порта и т.д.

Блок 17 - это программное, либо аппаратное средство выработки сигнала на сравнение контрольных сумм - реализуется некоторое правило "Математической логики", в простейшем случае - правило "ИЛИ", тогда обнаружение искажения любого списка приводит к сравнению контрольных сумм.

Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических принципах реализации основ вычислительной техники.

К достоинствам предлагаемой системы защиты информации может быть отнесено следующее.

1. Реализация принципиально нового подхода к защите информации, в основе которого лежит реализация принципа контроля целостности.

2. Принципиально новая возможность защиты информации не только от попыток злоумышленником обойти встроенные средства защиты информации, но и использовать ошибки и закладки в программном обеспечении и аппаратных средствах. По существу, для заявляемой системы защиты не является важным то, каким образом злоумышленник пытается преодолеть защиту.

3. Принципиально новая возможность эффективного контроля целостности программ и данных, обусловливаемая возможностью асинхронного запуска данной медленной процедуры контроля, при условии обнаружения попыток НСД по косвенным признакам - попыткам искажения списков санкционированных событий, контроль целостности которых осуществляется на порядки быстрее, чем контроль программ и данных. Данное достоинство следует рассматривать не как возможность повышения эффективности процедуры контроля целостности, а как возможность ее использования в принципе в процессе функционирования системы (а не только при ее загрузке), т.к. в противном случае, при использовании процедуры контроля целостности синхронно, информационная система начинает работать не по своему функциональному назначению, а на собственную защиту.

Формула изобретения

Система защиты информации, содержащая блок памяти, содержащий блок функционального программного обеспечения (ФПО), блок данных, блок хранения контрольных сумм ФПО, блок хранения контрольных сумм данных и, кроме блока памяти, - блок формирования текущих контрольных сумм, блок сравнения контрольных сумм, причем выход блока ФПО - первый выход блока памяти соединен с первым входом блока формирования текущих контрольных сумм, выход блока данных - второй выход блока памяти - со вторым входом блока формирования текущих контрольных сумм, третий вход которого соединен с управляющим входом сравнения контрольных сумм - первым входом системы, выход блока хранения контрольных сумм ФПО - третий выход блока памяти соединен с первым входом блока сравнения контрольных сумм, выход блока хранения контрольных сумм данных - четвертый выход блока памяти - со вторым входом блока сравнения контрольных сумм, третий вход которого соединен с первым, а четвертый вход - со вторым выходами блока формирования текущих контрольных сумм, выход блока сравнения контрольных сумм соединен с управляющим выходом результата сравнения контрольных сумм - первый выход системы, отличающаяся тем, что в систему дополнительно введены: в блок памяти - М блоков хранения списков санкционированных событий, М блоков хранения контрольных сумм списков санкционированных событий, кроме того, в систему защиты введены М блоков формирования списков текущих событий, М блоков сравнения списков текущих и санкционированных событий, М блоков выработки команды на "уничтожение" (прекращение) текущего события, блок выработки сигнала сравнения контрольных сумм, причем выходы М блоков хранения списков санкционированных событий - выходы с 5 по М+4 блока памяти соединены с входами с 4 по М+3 блока формирования текущих контрольных сумм с М первыми входами блоков сравнения списков текущих и санкционированных событий и блоков выработки команды на "уничтожение" (прекращение) текущего события, первые входы блоков формирования списков текущих событий соединены с М информационными входами регистрации текущих событий - М третьими входами системы, вторые входы соединены с М управляющими входами регистрации текущих событий - М четвертыми входами системы, выходы соответственно соединены со вторыми входами блоков сравнения списков текущих и санкционированных событий, третьи входы которых соединены с М управляющими входами сравнения текущих и санкционированных событий - М пятыми входами системы, выходы соединены с М управляющими выходами результатов сравнения списков текущих и санкционированных событий - М вторыми выходами системы, со вторыми входами блоков выработки команды на "уничтожение" (прекращение) текущего события, с первыми М входами блока выработки сигнала сравнения контрольных сумм, М+1 вход которого соединен с управляющим входом сравнения контрольных сумм - вторым входом системы, выход соединен с пятым входом блока сравнения контрольных сумм, выходы блоков выработки команды на "уничтожение" (прекращение) текущего события соединены с М управляющими выходами "уничтожения" (прекращения) текущего события, выходы блоков хранения контрольных сумм списков санкционированных событий соединены со входами с 6 по М+5 блока сравнения контрольных сумм.

РИСУНКИ

Рисунок 1, Рисунок 2, Рисунок 3