Модель распределенной системы защиты информации

Технические науки
УДК 004.056.57
Модель распределенной системы защиты информации
Семенов Юрий Алексеевич,
аспирант, кафедра безопасных информационных технологий
Санкт-Петербургский государственный университет информационных
технологий, механики и оптики
197022, Россия, г. Санкт-Петербург, пер. Вяземский, 5-7.
sya@inbox.ru
Аннотация
Статья описывает модель распределенной многоагентной интеллектуальной системы защиты информации мягкого реального времени. Данная
модель отражает основные особенности и детали спроектированной системы. Описывает процедуры: аутентификации, делегирования прав и
возможностей, распределения нагрузки, синхронизации времени и баз
данных, приведена функциональная схема в зависимости от уровня угрозы.
Ключевые слова: распределенная система, защита информации, аутентификация, делегирование прав, уровни безопасности, распределение
нагрузки, синхронизация времени, синхронизация распределенной базы
данных, функциональная схема.
Современное общество становится все более компьютеризированным,
все большее распространение принимают корпоративные сети и системы «без
бумажного» документооборота, при повреждении подобных систем могут
приостановиться производственные процессы, все зависит от того, на сколько
глубоко интегрирована система в производственные циклы. Также растет
количество всевозможных видов атак, важно помнить что, как бы не была
защищена система от внешних воздействий, риск диверсии изнутри – гораздо
более велик. Помимо всего прочего, наибольшей угрозой является рассылка
ссылок или приложений содержащих вредоносный код, при инсталляции
подобных приложений паразитическое программное обеспечение способно
размножаться внутри сети, перегружать каналы связи, ограничивать скорость
подключений тем самым, понижая производительность отдельных сегментов
производственных циклов, так и предприятий в целом.
В настоящее время, на рынке представлено значительное количество
отечественных и зарубежных антивирусных систем
и комплексов,
отличающихся по стоимости и функциональным возможностям. Однако в
рамках корпораций достаточно сложно уследить за «всеми» и есть
вероятность того, что кто-то, в большинстве случаев, по неосторожности
может заразить всю «сеть», а факт заражения в лучшем случае всплывет после
очередного обновления антивирусного программного обеспечения, а в
худшем – когда все внезапно перестанет работать.
Возможность,
наделить
компьютер
интеллектуальным
механизмом
«самозащиты», может сразу решить проблему защиты информации и снизить
финансовые затраты на ее обеспечение.
Целью создания системы безопасности на основе данной модели
является, создание, наиболее полно отвечающего современным требованиям в
области информационной безопасности, предъявляемые к программным
средствам, обеспечивающим защиту информации. Создавая более гибкий и
адаптивный продукт, способный противостоять информационным угрозам,
необходимо обладать такими же характеристиками, что и у вредоносного
программного
обеспечения
(живучесть,
устойчивость,
скрытность,
способность размножаться), только таким способом, возможно, сократить
процент угроз информационной безопасности.
Рассмотрим, модель более детально, на (см. рис. 1) приведена схема
основных узлов необходимых для взаимодействия системы:
Srv_mng
Coaches
Srv_db
WEB/Network
High
Medium
Srv_time
Low
Srv_web
Рисунок 1. Схема взаимодействия основных узлов модели
Опишем каждый из узлов в отдельности, обозначив исполняемый
перечень задач:
Srv_mng – сервер, управляющий всей системой в целом, в частном
случае сочетающий в себе все узлы отображенные на рис.1. На сервере
содержится:

Информация о всех пользователях системы (идентификационные
параметры, степень компетентности оператора);

Информация о системе (производительность и тип системы, среднее
время работы ЭВМ (узла), время отклика до родительского объекта);

Уровень доступа к системе (зависит от родительского объекта, и не
может быть выше его значения);

Уровень угроз (в каждом узле имеется встроенный сканер угроз,
активность которого зависит от производительности ЭВМ и ресурсов
предоставляемых системе);

База данных и знаний ( информация обо всех известных системе угрозах
и признаках проявляемых зараженными узлами, идентификационные данные
всех пользователей с уровнями доступа к системе, информация о
наследовании иерархических признаков);

Механизм
синхронизации
времени
системы
(синхронизация
осуществляется на моменты включения, обнаружения угроз, принятия
решения или идентификации события, выключении узла);

Файловое пространство (для хранения персональной информации
пользователей системы, клиент тренера системы, для локального хранения
клиентов системы в зависимости от уровня доступа и производительности
системы, сервис обмена сообщениями, почтовый сервис, внутренний медиа –
сервис и т.д.);
Srv_db – сервер, базы данных и знаний об угрозах и их признаках, служит
для накопления знаний системой в целях дальнейшего самообучения, на
начальном
этапе
обучение
системы
будет
проводится
тренерами
(специалистами по информационной безопасности), применен асинхронный
метод актуализации распределенных баз данных)
Srv_time – сервер синхронизации мягкого реального времени содержит
информацию:

О сроках завершения задания (задание распределяется старшим по
иерархии узлом);

О времени отклика на полученную команду (команды посылаются через
определенный промежуток времени, проверяя активность узлов);

О разбросе времени откликов (данный параметр устанавливается в
момент подключения пользователя, и обновляется путем осреднения один раз
в день)
Srv_web
–на
сервере
содержится
эксплуатационно-методическая
информация по пользованию системой, сервер служит для размещения
клиентов для подключения к системе, также предназначен для временного
хранения файловой информации размещаемой пользователями системы, а
также для поддержания сервисов таких как: обмен сообщениями, почта и т.д.
Coaches – Тренеры, данная группа назначается советом администраторов
системы, путем открытого голосования совета, основная роль выполняемая
данной группы специалистов – это обучить систему правильно реагировать на
угрозу и блокировать или нейтрализовать ее.
High – пользователи чей уровень участия в функционировании системы
обусловлен непрерывной работой узла и предоставление вычислительной
мощности системы объемом более 50% от всей мощности вычислительной
системы пользователя.
Medium - пользователи чей уровень участия в функционировании системы
ограничен 8 часами работы узла и предоставление вычислительной мощности
системы объемом не более 50% от всей мощности вычислительной системы
пользователя.
Low - пользователи чей уровень участия в функционировании системы
ограничен 8 часами работы узла и предоставление вычислительной мощности
системы объемом не более 50% от всей мощности вычислительной системы
пользователя.
В системе предусмотрено 3 степени угрозы:

Критическая
(critical)
–
данный
уровень
угрозы
обусловлен
следующими признаками: осуществляется паразитическая активность, не
имеющая ранее описания в базе системы, происходят сбои при подключении к
сервисам и ресурсам системы, обнаружен одноименный узел в дочернем
сегменте, обнаружен узел, в дочернем сегменте осуществляющий запросы с
большими привилегиями, чем его родительский объект. Узел отсекается
системой от Srv_db, и снимаются все задачи с «зараженного узла», затем в
родительском сегменте запускается механизм анализа угрозы дочернего
объекта.

Стандартная(standard)
следующими
признаками:
-
данный
уровень
осуществляется
угрозы
обусловлен
паразитическая
активность,
известная базе знаний системы. Трафик с «зараженного узла» передается
через родственные объекты после анализа на Srv_db, где после обнаружения
идентичной угрозы, передается сигнал на Srv_mng, который в свою очередь
активирует механизм нейтрализации угрозы дочернего объекта.

Нулевая (null) – паразитическая активность отсутствует, как в дочерних,
так и в родительских узлах либо отсутствует подключение к Srv_mng.
Система будет представлять собой исполнимый фаил запускающийся на
большинстве современных операционных системах, в виде процесса. На
данном этапе она находится в стадии проектирования и написания
программного кода.
Спроектированная, модель распределенной многоагентной интеллектуальной системы защиты информации мягкого реального времени, легла в основу разрабатываемой системы безопасности. Область применения направлена на использование в корпоративных информационных системах, а также будет полезна при организации крупных информационных пространств с большой интенсивностью «неконтролируемого» внутреннего файлообмена и инсталлирования программно-аппаратных средств (частные и общественные сети), в целях поддержания актуального уровня информационной безопасности
и контроля над вирусной активностью.
Литература
1. Ван Стеен М., Таненбаум Э. С. Распределенные системы. Принципы и
парадигмы 1 изд., 2003. – 880 с.
2. Девянин
П.Н.
Модели
безопасности
компьютерных
систем
Издательство: М.: Академия, 2005. – 143 с.
3. Миков
А.И.
Основы
информационной
построения
системы
региональной
образования
и
распределенной
науки.
Математика
программных систем: Межвуз. сб. науч. тр./ Перм. ун-т. – Пермь, 2002. –
С. 4 – 24.
4. Бертмен Ж., Риту М., Ружие Ж. Работа ЭВМ с разделением времени. –
М.: «Наука», Главная редакция физико-математической литературы,
1970. – 208 с.
5. Соколов А.В. Математические модели и алгоритмы оптимального
управления динамическими структурами данных. – Петрозаводск:
ПетрГУ., 2002. - 216 с.
6. Миков А.И., Замятина Е.Б. Распределенные системы и алгоритмы. http://www.intuit.ru/department/algorithms/distrsa/ .
7. Дж. Нортон, Т. Вулвен Сколько "реального времени" в Linux? http://www.mka.ru/?p=40013.
8. Г. Ладыженский Распределенные информационные системы и базы
данных. - http://citforum.ru/database/kbd96/45.shtml.
9. C.J.
Date.
An
Introduction
to
Database
Systems,
Vol.
1
-
www.vldb.org/conf/1987/P381.PDF.
10.Kevin M. Obeland, POSIX in Real-Time/Embedded Systems Programming,
2001.
11.Wu J., Wynn A. The effect of compression on performance in a demand
paging operating system // Journal of Systems and Software, Vol. 50, No. 2,
2000, pp. 151-170.
12. National Institute of Standards and Technology. PCTS:151-2, POSIX Test Suite.
13.Vazhkudai S., Syed J., Maginnis T. PODOS - The design and implementation
of a performance oriented Linux cluster // Future Generation Computer
Systems, Vol, 18, No. 3, 2002, pp. 335-352.
14.IEEE/ANSI Standard 1003.1: Information Technology (POSIX). Part 1:
System Application: Program Interface (API).
15.HobbsM., Goscinski A. The GENESIS parallelism management system
employing concurrent process-creation services // Microprocessors and
Microsystems, Vol. 24, No. 8, 2000, pp. 415-427.
16.Семенов Ю.А. Распределенные вычислительные системы в природе или
истинный путь в развитии вычислительных комплексов. // Теория и
технология программирования и защиты информации: тезисы докл. XIV
междунар. научно-практ. конф. (Санкт-Петербург, 18 мая 2009 г.). –
Санкт-Петербург, 2009. – С. 72-75.
17.Семенов Ю.А. Географически распределенная многоуровневая система
безопасности
реального
времени.
//
Теория
и
технология
программирования и защиты информации: тезисы докл. XV междунар.
научно-практ. конф. (Санкт-Петербург, 18 мая 2010 г.). – СанктПетербург, 2010. – С. 80-83.
18.Семенов
Ю.А.
Проектирование
распределенной
многоуровневой
системы антивирусной безопасности // Технология программирования и
защита информации. VII Всероссийская межвузовская конференция
молодых ученых: тезисы докл. VII межрег. конф. (Санкт-Петербург, 2830 окт. 2010 г.). – Санкт-Петербург, 2010. – С.103.