Система оптимизации структуры ядра открытых операционных систем по требованиям информационной безопасности

 

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов в рабочих станциях, информационных и функциональных (например, выделенный сервер безопасности, Proxy-сервер, межсетевой экран и т. д. ) серверах, построенных на открытых операционных системах (ОС), таких как Windows 95/98 NT, Unix, Solaris, FBSD и др., за счет оптимизации структуры ядра ОС по требованиям информационной безопасности добавочными средствами защиты, к которым относится заявляемая система. Технический результат - повышение уровня защищенности упомянутых станций. Для достижения результата система содержит блок хранения контрольных сумм, блок формирования контрольных сумм, блок сравнения контрольных сумм, блок управления, блок хранения восстанавливаемых файлов, блок идентификации и аутентификации прав доступа, блок хранения прав доступа, М блоков хранения списка разрешенных событий, списка запрещенных событий, списка обязательных событий, блоки сравнения разрешенных событий, запрещенных событий и обязательных событий, L блоков хранения списка реакций на обнаруженные события. 2 ил.

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам и сетям, и может быть использовано для защиты информационных ресурсов в рабочих станциях, информационных и функциональных (например, выделенный сервер безопасности, Proxy- сервер, межсетевой экран и т. д.) серверах, построенных на открытых (общедоступных) операционных системах (ОС), таких как Windows 95/98/NT, Unix, Solaris, Linux, FBSD и др., за счет оптимизации структуры ядра ОС по требованиям информационной безопасности добавочными средствами защиты, к которым относится заявляемая система.

В настоящее время бурный рост открытых информационных технологий заметно сменяется тенденциями к обеспечению закрытости платформ и интерфейсов. Это имеет место как на уровне системного программного обеспечения (например, достаточно ярко иллюстрируется развитием ОС семейства Windows - за несколько лет переход от практически незащищенной платформы Windows 95/98 к системе с развитыми встроенными средствами защиты Windows NT 5.0; те же особенности можно проиллюстрировать и на примере развития СУБД, например Oracle), так и на уровне сетевых протоколов и интерфейсов (видим на примере развития к технологии VPN и т.д.).

Естественно, что любой переход к закрытости технологий, несомненно, обеспечивающий повышение уровня информационной безопасности, чреват не только появлением функциональных ограничений, но и рядом технологических трудностей их внедрения, а также привнесением несомненных неудобств для пользователя.

Особенно актуальной практической задачей повышения информационной безопасности практически любой системы является реализация защищенности платформы - ОС, устанавливаемой на информационных и функциональных серверах, т.к. любое средство добавочной защиты, а, вообще говоря, и любое функциональное программное обеспечение (ФПО), использует, в конечном счете, именно те возможности, которые предоставляет ОС. Конечно, в части обеспечения защищенности ОС наилучший результат можно получить, построив свою собственную ОС, но здесь, несомненно, возникает вопрос совместимости ПО, переработки всей "груды" ФПО, которая должна поддерживать ОС и т.д. Поэтому подобный радикальный подход возможен лишь для очень функционально ограниченных приложений (например, всевозможные задачи управления). Частично по этому пути идут и разработчики системного ПО, располагающегося над платформой, например СУБД Oracle, которая, на правах системного ПО, берет на себя решение части задач ОС, чем достигается повышение информационной безопасности сервера баз данных. Однако, на сегодняшний день номенклатура подобных систем, частично решающих задачи ОС с целью повышения информационной безопасности серверов, весьма ограничена, и, кроме того, автор ни разу не встречал информации о том, какой ценой, как в части снижения производительности, так и в части повышений стоимости, это достигается.

Другими словами, наверное, нецелесообразно данный подход, решающий частную задачу - защиту баз данных, рассматривать как некую общую технологию повышения информационной безопасности ОС, т. к. при таком подходе каждое приложение должно будет иметь свою систему защиты ОС.

Поэтому следует говорить о добавочных системах защиты, которые устанавливаются вместе с ОС и ограничивают ее функции в части обеспечения необходимой информационной безопасности, например, запрещают к запуску некоторые процессы и службы, запрещают (на уровне ОС) подключение устройств, закрывают порты, запрещают адресацию к определенным хостам и т.д. Другими словами, данные средства добавочной защиты предназначены для преобразования открытой ОС в закрытую в части наложения ограничений на ее структуру для конкретного применения.

Известна система защиты информационных ресурсов вычислительной системы и сети Secret Net (см. "Система разграничения доступа Secret Net. Руководство пользователя, 1996"). Она представляет собою программный комплекс, устанавливаемый на автономный компьютер, либо на компьютеры, объединенные в вычислительную сеть. Система решает задачу контроля целостности (неискаженности) программ и данных, в частности структуры ОС, при включении системы.

Наиболее близкой по технической сущности к заявляемой (прототипом) является система защиты информации, встроенная в операционную систему Windows NT Server 4.0 (см. кн. Валда Хиллей "Секреты Windows NT Server 4.0". -К. "Диалектика", 1997, С.14-15). Здесь реализуется нахождение контрольных сумм файлов при загрузке системы. Если содержимое файла было каким-либо образом изменено, соответственно изменится и текущая контрольная сумма файла, которая не совпадет с эталонной суммой. При несовпадении на экран выводится сообщение о нарушении целостности, после чего файл может быть восстановлен из резервной копии.

Система представлена на фиг. 1. Система содержит блок хранения контрольных сумм 1, блок формирования контрольных сумм 2, блок сравнения контрольных сумм 3, блок управления 4, блок хранения восстанавливаемых файлов 5, причем первый вход блока сравнения контрольных сумм 3 соединен с выходом блока хранения контрольных сумм 1, второй вход - с выходом блока формирования контрольных сумм 2, первый вход которого соединен с входом формирования контрольных сумм 6, второй вход соединен с первым выходом блока управления 4, второй выход которого соединен со входом блока хранения восстанавливаемых файлов 5, выход которого соединен с выходом восстановления файлов 8, первый вход-выход блока управления 4 соединен с входом-выходом блока сравнения контрольных сумм 3, второй вход-выход блока управления 4 - с управляющим входом-выходом 7.

Системой решается задача контроля целостности - неискаженности программ и данных. Если в числе контролируемых файлов задать конфигурационные файлы ОС, то системой решается задача фиксирования средствами ОС структуры ядра и контроль ее целостности (неизменности) добавочным средством контроля целостности, что осуществляется следующим образом. Периодически на управляющий вход-выход 7 подается команда контроля целостности, по которой блок управления 4 выдает команду в блок формирования контрольных сумм 2, который, используя информацию, поступающую со входа формирования контрольных сумм 6, формирует суммы и выдает их в блок сравнения контрольных сумм 3. Туда же поступают эталонные контрольные суммы с блока хранения контрольных сумм 1. Результаты сравнения выдаются в блок управления 4, которым сигнализируется о наличии несовпадения (если такое есть) со входа- выхода 7 и, в случае необходимости (может быть реализован не для всех случаев искажения целостности), выдается команда на блок хранения восстанавливаемых файлов 5, который хранит копии контролируемых файлов, подлежащих восстановлению, восстановление искаженного файла осуществляется с выхода восстановления файлов 8.

К недостаткам системы можно отнести следующее: 1. Если непрерывно контролировать целостность всех файлов операционной системы, то контроль будет занимать минуты. Поэтому, либо реализация данного подхода приведет к тому, что все процессорное время будет занято защитой файлов ОС от искажений - ОС будет некогда функционировать по своему прямому назначению, либо подобный контроль может запускаться с большим периодом времени, но тогда это становится бессмысленным.

2. Использование контроля на уровне файлов позволит лишь констатировать факт изменения, но не позволит противодействовать данному событию, т.е. задача защиты как таковая в этом случае не решается.

3. Невозможны гибкие настройки подобной системы.

Другими словами, механизм контроля целостности файлов не годится для решения поставленной задачи в принципе, т.к. предназначен не для предотвращения некоторых событий, а для их констатации.

Целью изобретения является повышение уровня защищенности рабочих станций, функциональных и информационных серверов, за счет оптимизации структуры ядра ОС по требованиям информационной безопасности добавочными средствами защиты, к которым относится заявляемая система.

Достигается это тем, что в систему, содержащую блок хранения контрольных сумм, блок формирования контрольных сумм, блок сравнения контрольных сумм, блок управления, блок хранения восстанавливаемых файлов, причем первый вход блока сравнения контрольных сумм соединен с выходом блока хранения контрольных сумм, второй вход - с выходом блока формирования контрольных сумм, первый вход которого соединен с входом формирования контрольных сумм, второй вход соединен с первым выходом блока управления, второй выход которого соединен со входом блока хранения восстанавливаемых файлов, выход которого соединен с выходом восстановления файлов, первый вход-выход блока управления соединен с входом-выходом блока сравнения контрольных сумм, второй вход-выход блока управления - с управляющим входом-выходом, дополнительно введены: блок идентификации и аутентификации прав доступа, блок хранения прав доступа, М блоков хранения списка разрешенных событий, блок сравнения разрешенных событий, М блоков формирования списка текущих событий, М блоков хранения списка запрещенных событий, блок сравнения запрещенных событий, М блоков хранения списка обязательных событий, блок сравнения обязательных событий, L блоков хранения списка реакций на обнаруженные события, причем первый вход-выход блока идентификации и аутентификации прав доступа соединен с входом-выходом аутентификации прав доступа, второй вход-выход соединен с третьим входом-выходом блока управления, вход блока идентификации и аутентификации прав доступа соединен с выходом блока хранения прав доступа, первые М выходов блока управления соединены с соответствующими входами М блоков хранения списка разрешенных событий, вторые М выходов - с соответствующими входами М блоков хранения списка запрещенных событий, третий выход блока управления соединен с первым входом блока сравнения разрешенных событий, четвертый выход - с первым входом блока сравнения запрещенных событий, пятый выход - с первым входом блока сравнения обязательных событий, третьи М выходов блока управления соединены с первыми входами М блоков формирования текущих событий, L выходов блока управления соединены с соответствующими входами L блоков хранения списка реакций на обнаруженные события, выходы которых соединены с L выходами реакций, выходы М блоков хранения списка разрешенных событий соединены с первыми М входами блока сравнения разрешенных событий, вторые М входов которого соединены с выходами М блоков формирования списка текущих событий, со вторыми М входами блока сравнения запрещенных событий, со вторыми М входами блока сравнения обязательных событий, выход блока сравнения разрешенных событий соединен с третьим входом блока управления, второй вход которого соединен с выходом блока сравнения запрещенных событий, первый вход - с выходом блока сравнения обязательных событий, первые М входов блока сравнения запрещенных событий соединены с соответствующими выходами М блоков хранения списка запрещенных событий, первые М входов блока сравнения обязательных событий соединены с соответствующими выходами М блоков хранения списка обязательных событий, вторые входы М блоков формирования текущих событий соединены с М входами формирования списка текущих событий.

Схема СИСТЕМЫ ОПТИМИЗАЦИИ СТРУКТУРЫ ЯДРА ОТКРЫТЫХ ОПЕРАЦИОННЫХ СИСТЕМ ПО ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЗАЩИТЫ приведена на фиг. 2, она содержит: блок хранения контрольных сумм 1, блок формирования контрольных сумм 2, блок сравнения контрольных сумм 3, блок управления 4, блок хранения восстанавливаемых файлов 5, блок идентификации и аутентификации прав доступа 6, блок хранения прав доступа 7, М блоков хранения списка разрешенных событий 8, блок сравнения разрешенных событий 9, М блоков формирования списка текущих событий 10, М блоков хранения списка запрещенных событий 11, блок сравнения запрещенных событий 12, М блоков хранения списка обязательных событий 14, блок сравнения обязательных событий 15, L блоков хранения списков реакций на обнаруженные события 13, причем первый вход блока сравнения контрольных сумм 3 соединен с выходом блока хранения контрольных сумм 1, второй вход - с выходом блока формирования контрольных сумм 2, первый вход которого соединен с входом формирования контрольных сумм 17, второй вход соединен с первым выходом блока управления 4, второй выход которого соединен со входом блока хранения восстанавливаемых файлов 5, выход которого соединен с выходом восстановления файлов 19, первый вход-выход блока управления 4 соединен с входом-выходом блока сравнения контрольных сумм 3, второй вход-выход блока управления 4 - с управляющим входом-выходом 18, первый вход-выход блока идентификации и аутентификации прав доступа 6 соединен с входом-выходом аутентификации прав доступа 16, второй вход-выход соединен с третьим входом-выходом блока управления 4, вход блока идентификации и аутентификации прав доступа 6 соединен с выходом блока хранения прав доступа 7, первые М выходов блока управления 4 соединены с соответствующими входами М блоков хранения списка разрешенных событий 8, вторые М выходов - с соответствующими входами М блоков хранения списка запрещенных событий 11, третий выход блока управления 4 соединен с первым входом блока сравнения разрешенных событий 9, четвертый выход - с первым входом блока сравнения запрещенных событий 12, пятый выход - с первым входом блока сравнения обязательных событий 15, третьи М выходов блока управления 4 соединены с первыми входами М блоков формирования текущих событий 10, L выходов блока управления 4 соединены с соответствующими входами L блока хранения списка реакций на обнаруженные события 13, выходы которых соединены с L выходами реакций 21, выходы М блоков хранения списка разрешенных событий 8 соединены с первыми М входами блока сравнения разрешенных событий 9, вторые М входов которого соединены с выходами М блоков формирования списка текущих событий 10, со вторыми М входами блока сравнения запрещенных событий 12, со вторыми М входами блока сравнения обязательных событий 15, выход блока сравнения разрешенных событий 9 соединен с третьим входом блока управления 4, второй вход которого соединен с выходом блока сравнения запрещенных событий 12, первый вход - с выходом блока сравнения обязательных событий 15, первые М входов блока сравнения запрещенных событий 12 соединены с соответствующими выходами М блоков хранения списка запрещенных событий 11, первые М входов блока сравнения обязательных событий 15 соединены с соответствующими выходами М блоков хранения списка обязательных событий 14, вторые входы М блоков формирования текущих событий 10 соединены с М входами формирования списка текущих событий 20.

Работает система следующим образом. В блоках хранения списка разрешенных событий 8, запрещенных событий 11, обязательных событий 14 задается оптимальная структура ядра ОС. Например, можно определить разрешенные к запуску процессы, запрещенные к запуску процессы, процессы, которые обязательно должны быть запущены (последние относятся, прежде всего, к процессам, обеспечивающим защиту информации); устройства, разрешенные, либо запрещенные к использованию (например, дисковод, СОМ-порт и т.д.); адреса хостов, к которым разрешено или запрещено адресоваться; сетевые службы, которые разрешены, либо запрещены и т.д. При появлении соответствующего (одного из М, для каждого из которых существует свой список) события, оно фиксируется блоком формирования текущих событий и выдается на сравнение с разрешенным, запрещенными, обязательными событиями - сравнение соответственно осуществляется блоками 9, 12, 15. Информация о несовпадении передается на блок управления 4, которым дается команда на соответствующий блок (из L, где в общем случае L<= M, не на каждое изменение списка может быть реакция) блок хранения списка реакций на обнаруженные события 13, который формирует соответствующую команду для ОС, например, завершить несанкционированный процесс, восстановить исходную (эталонную) таблицу разграничения прав доступа к файлам и т.д. Вместе с тем, попытка несанкционированных действий является причиной осуществления проверки целостности файлов самой ОС, эталонные копии которых хранятся в блоке 5, а контрольные суммы в блоке 1. После выработки реакции на несанкционированное действие блок управления 4 запускает блок формирования контрольных сумм 2, формирующий контрольные суммы файлов ОС, затем блок сравнения контрольных сумм 3 (эталонных и текущих файлов). При несовпадении блок управления 4 выдает команду в блок хранения восстанавливаемых файлов 5 для восстановления контролируемых файлов ОС, в которых обнаружена ошибка. Для предоставления возможности динамической конфигурации ядра ОС в процессе функционирования системы (например, разрешить доступ к Интернет - запустить службу FTP, на один сеанс связи в присутствии лица, ответственного за подобное взаимодействие) предусмотрена возможность изменения блоком управления 4 списка разрешенных и запрещенных событий, хранящихся соответственно в блоках 8 и 11, лицом, прошедшим идентификацию и аутентификацию блоком идентификации и аутентификации прав доступа 6, списки хранения прав доступа (разрешенных лиц для динамического конфигурирования структуры ОС) располагаются в блоке хранения прав доступа 7.

Таким образом, заявляемая система обеспечивает возможность введения внешних ограничений на структуру ядра открытой ОС по большому числу функциональных параметров в рамках реализации трех ограничительных принципов - разрешено, запрещено, обязательно должно присутствовать, возможность динамической (в процессе функционирования системы) защищенной (при обязательной идентификации и аутентификации) корректировки свойств ядра позволяет получать принципиально новые свойства защищенного доступа к ресурсам ОС и, как следствие, к любым системным ресурсам компьютера, где расположена данная ОС, включая функциональное программное обеспечение и СУБД.

Блоки, используемые в заявляемой системе защиты, могут быть реализованы следующим образом.

Блоки 1, 5, 7, 8, 11, 13, 14 представляют собою области, либо отдельные блоки памяти, либо оперативной, либо расположенной на внешних носителях - представляют собою запомненные массивы данных.

Блок 2 - это программное, либо аппаратное средство подсчета контрольной суммы. Данный блок хранит текущее значение контрольной суммы, до поступления очередной команды на подсчет текущей контрольной суммы.

Блок 3 - это программное, либо аппаратное средство попарного сравнения значений контрольных сумм.

Блок 10 - это программные, либо аппаратные блоки считывания, либо анализа списков текущих событий, например, программа считывания таблиц из требуемых областей памяти, стандартные программы выявления открытых портов, запущенных процессов, в том числе и встроенные программные блоки в ОС и т.д.

Блоки 6, 9, 12, 15 - это программное, либо аппаратное средство построчного сравнения двух таблиц (эталонных и текущих событий) с фиксированием несовпадений.

Блок 4 - это программное, либо аппаратное средство анализа события и выработки команды, может быть реализовано множествами способов, простейшее - выбор строки таблицы, где прописана команда по адресу, который ставится в соответствие с событием.

Таким образом, реализация всех используемых блоков достигается стандартными средствами, базирующимися на классических принципах реализации основ вычислительной техники.

К достоинствам предлагаемой системы может быть отнесено следующее.

1. Реализация принципиально нового подхода к повышению информационной безопасности ресурсов рабочих станций, информационных и функциональных (например, выделенный сервер безопасности, Proxy- сервер, межсетевой экран и т. д. ) серверов, построенных на открытых (общедоступных) операционных системах (ОС), таких как Windows 95/98/NT, Unix, Solaris, Linux, FBSD и др., за счет оптимизации структуры ядра ОС по требованиям информационной безопасности добавочными средствами защиты, к которым относится заявляемая система. Появляется возможность не только контролировать заданные настройки ОС встроенными средствами, но и осуществлять настройки - оптимизацию ядра открытых ОС по требованиям информационной безопасности собственными настройками системы добавочной защиты.

2. Гибкость защиты и появление принципиально новых возможностей при использовании предложенного подхода, за счет реализации динамических списков событий, что приводит к их минимизации (оптимальному заданию) в каждый момент времени функционирования системы.

3. Принципиально новая возможность эффективного контроля целостности файлов ОС, обусловливаемая возможностью асинхронного запуска данной медленной процедуры контроля, при условии обнаружения попыток НСД по косвенным признакам - попыткам искажения списков соответствующих событий, контроль целостности которых осуществляется в тысячи раз быстрее, чем контроль файлов ОС. Данное достоинство следует рассматривать не как возможность повышения эффективности процедуры контроля целостности, а как возможность ее использования в принципе, т.к. в противном случае, при использовании подобной процедуры, информационная система начинает работать на собственную защиту.

Формула изобретения

Система защиты информационных ресурсов, содержащая блок хранения контрольных сумм, блок формирования контрольных сумм, блок сравнения контрольных сумм, блок управления, блок хранения восстанавливаемых файлов, причем первый вход блока сравнения контрольных сумм соединен с выходом блока хранения контрольных сумм, второй вход - с выходом блока формирования контрольных сумм, первый вход которого соединен с входом формирования контрольных сумм, второй вход соединен с первым выходом блока управления, второй выход которого соединен со входом блока хранения восстанавливаемых файлов, выход которого соединен с выходом восстановления файлов, первый вход-выход блока управления соединен с входом-выходом блока сравнения контрольных сумм, второй вход-выход блока управления - с управляющим входом-выходом, отличающаяся тем, что дополнительно введены блок идентификации и аутентификации прав доступа, блок хранения прав доступа, М блоков хранения списка разрешенных событий, блок сравнения разрешенных событий, М блоков формирования списка текущих событий, М блоков хранения списка запрещенных событий, блок сравнения запрещенных событий, М блоков хранения списка обязательных событий, блок сравнения обязательных событий, L блоков хранения списка реакций на обнаруженные события, причем первый вход-выход блока идентификации и аутентификации прав доступа соединен с входом-выходом аутентификации прав доступа, второй вход-выход соединен с третьим входом-выходом блока управления, вход блока идентификации и аутентификации прав доступа соединен с выходом блока хранения прав доступа, первые М выходов блока управления соединены с соответствующими входами М блоков хранения списка разрешенных событий, вторые М выходов - с соответствующими входами М блоков хранения списка запрещенных событий, третий выход блока управления соединен с первым входом блока сравнения разрешенных событий, четвертый выход - с первым входом блока сравнения запрещенных событий, пятый выход - с первым входом блока сравнения обязательных событий, третьи М выходов блока управления соединены с первыми входами М блоков формирования текущих событий, L выходов блока управления соединены с соответствующими входами L блоков хранения списка реакций на обнаруженные события, выходы которых соединены с L выходами реакций, выходы М блоков хранения списка разрешенных событий соединены с первыми М входами блока сравнения разрешенных событий, вторые М входов которого соединены с выходами М блоков формирования списка текущих событий, со вторыми М входами блока сравнения запрещенных событий, со вторыми М входами блока сравнения обязательных событий, выход блока сравнения разрешенных событий соединен с третьим входом блока управления, второй вход которого соединен с выходом блока сравнения запрещенных событий, первый вход - с выходом блока сравнения обязательных событий, первые М входов блока сравнения запрещенных событий соединены с соответствующими выходами М блоков хранения списка запрещенных событий, первые М входов блока сравнения обязательных событий соединены с соответствующими выходами М блоков хранения списка обязательных событий, вторые входы М блоков формирования текущих событий соединены с М входами формирования списка текущих событий.

РИСУНКИ

Рисунок 1, Рисунок 2

MM4A - Досрочное прекращение действия патента СССР или патента Российской Федерации на изобретение из-за неуплаты в установленный срок пошлины за поддержание патента в силе

Дата прекращения действия патента: 14.03.2007

Извещение опубликовано: 20.02.2008        БИ: 05/2008

---