Автoры: Архангельcкий Ваcилий Геoргиевич, Зегжда Дмитрий Петрoвич, Зегжда Петр Дмитриевич, Кoтылевcкий Артур Суренoвич, Лукoмcкий Егoр Андреевич
Изoбретение oтнocитcя к облаcти обеcпечения информационной безопаcноcти, а именно к cпособу и средству управления потоками данных в защищенных распределенных информационных системах, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений. Сущность изобретения заключается в том, что в основу изобретения положена задача создания способа и средства управления потоками данных в защищенных распределенных информационных системах, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений. Технический результат заключается в повышении уровня защищенности целевой распределенной информационной системы путем внедрения в систему функций распределенного контроля доступа за счет использования механизмов управления потоками данных, основанных на анализе прикладных протоколов взаимодействия распределенной информационной системы. 2 н. и, 2 ил.
В настоящее время существует ряд систем управления потоками данных, основанных на применении различных межсетевых экранов (TW 243555, H04L 9/00; H04L 12/22; H04L 29/06; H04L 9/00; H04L 12/22; H04L 29/06; опубл. 2005-11-11). Межсетевые экраны в этих системах используются для фильтрации нежелательного сетевого трафика, причем правила фильтрации определяются для протоколов транспортного и сетевого уровней эталонной модели взаимосвязи открытых систем (согласно ГОСТ Р ИСО/МЭК 7498-1-99 "Взаимосвязь открытых систем. Базовая эталонная модель"). Поскольку правила фильтрации не затрагивают протоколов верхнего прикладного уровня, непосредственная связь между ними и целевыми функциями информационной системы отсутствует, что усложняет верификацию этих правил.
Основное назначение межсетевых экранов - это защита сети, к которой непосредственно подключен межсетевой экран (защищаемой сети), от атак из других, внешних сетей. Поэтому межсетевые экраны можно применять для управления доступом к ресурсам и сервисам защищаемой сети извне, но неудобно применять для контроля доступа из защищаемой сети в другие сети и невозможно применять для управления доступом пользователей к ресурсам и серверам в рамках одной сети. Данный недостаток усугубляется тем, что из правил фильтрации невозможно однозначно определить, какие сетевые взаимодействия могут осуществляться, а какие - нет, поскольку это зависит от последовательности событий. Поэтому использование межсетевых экранов для управления потоками данных в распределенных информационных системах и контроля доступа к сетевым сервисам и ресурсам является нецелесообразным.
Технически идея анализа протоколов сетевого взаимодействия схожа с подходом, применяемым в системах обнаружения вторжений (US 7424744, G06F 11/00; G06F 11/00, опубл. 2008-09-09). Действительно, системы обнаружения вторжений также осуществляют выявление определенных событий, однако при этом они не осуществляют управление потоками данных, а лишь уведомляют систему об обнаружении нежелательного трафика и в ряде случаев производят его частичную фильтрацию.
Существующие системы управления потоками данных в распределенных информационных системах обладают следующими недостатками.
- 1. Невозможность осуществлять распределенное управление потоками данных в соответствии с общесистемной политикой безопасности.
- 2. Отсутствие централизованного контроля доступа пользователей к ресурсам и сервисам информационной системы, обеспечивающего актуальность и согласованность действующих ограничений на доступ во всех узлах распределенной информационной системы.
- 3. Невозможность установить какие сетевые взаимодействия могут осуществляться на основе действующих правил фильтрации.
- 4. Отсутствие механизмов анализа прикладных протоколов сетевого взаимодействия, и, как следствие, невозможность реагировать на происходящие в системе события.
- 5. Потеря работоспособности всей информационной системы или ее существенной части в случае отказа хотя бы одного компонента системы управления доступом.
Архитектурно наиболее близким к изобретению является сетевой коммутатор (WO 2008077320, H04L 12/28; H04L 29/06; H04L 12/28; H04L 29/06, опубл. 2008-07-03), который осуществляет перенаправление потоков данных в вычислительной сети путем коммутации сетевых пакетов. В сетевом коммутаторе для определения порта назначения передаваемых сетевых пакетов применяется таблица соответствия между портами коммутатора и сетевыми адресами подключенных к ним сетевых устройств. Коммутатор осуществляет коммутацию потоков данных без учета требований безопасности и ограничений на доступ. В большинстве коммутаторов таблица соответствия заполняется в процессе работы, что приводит к возможности переполнения этой таблицы и нарушению нормальной работы сетевого коммутатора. Существуют также коммутаторы, осуществляющие анализ передаваемых через них данных (WO 2008128085, H04L 12/28; H04L 12/26; H04L 12/28; H04L 12/26 опубл. 2008-10-23), в том числе и протоколов прикладного уровня, но они не осуществляют управления потоками данных и не контролируют доступ к сетевым сервисам и ресурсам на этом уровне.
В основу изобретения положена задача создания способа и средства управления потоками данных в защищенных распределенных информационных системах, построенных с использованием сетей шифрованной связи, с целью предотвращения несанкционированного доступа пользователей к сетевым информационным ресурсам и сервисам посредством распределенного контроля устанавливаемых сетевых соединений.
Решение поставленной задачи обеспечивается тем, что в способе управления потоками данных защищенных распределенных информационных систем в сетях шифрованной связи, использующем статическую таблицу коммутации, определяющую соответствие между портами устройства подключения и сетевыми адресами соединенных с ним устройств, дополнительно осуществляют управление коммутацией сетевых соединений с использованием динамической таблицы коммутации, определяющей разрешенные маршруты передачи потоков данных; при этом осуществляют выявление событий безопасности в передаваемом потоке данных, при обнаружении событий безопасности временно блокируют поток данных и анализируют обнаруженное событие для принятия решения о допустимости передачи связанного с этим событием потока данных и, при необходимости, изменении динамической таблицы коммутации; осуществляют изменение динамической таблицы коммутации либо оставляют динамическую таблицу коммутации неизменной, в зависимости от правил дополнительно определенной политики безопасности; затем, в зависимости от того, разрешено ли динамической таблицей коммутации сетевое взаимодействие, которое реализуется этим потоком данных, поток либо передают по назначению, либо блокируют.
При этом для каждого из устройств подключения, входящих в состав распределенной информационной системы, в центре управления доступом производят последовательную генерацию сценариев изменения динамической таблицы коммутации; используют общесистемную политику безопасности для определения полного множества событий безопасности; затем определяют правила изменения динамической таблицы коммутации для всего множества событий безопасности и сохраняют эти изменения как набор сценариев изменения динамической таблицы коммутации для данного устройства подключения; передают сгенерированные сценарии изменения динамической таблицы коммутации на устройство подключения, для которого они сгенерированы; в случае нарушения работоспособности центра, осуществляющего управление доступом, изменяют динамическую таблицу коммутации, руководствуясь сценариями изменения динамической таблицы коммутации.
Для осуществления способа предлагается средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи, включающее блок коммутации с использованием статической таблицы коммутации, устанавливающей соответствие между портами средства и сетевыми адресами соединенных с ним устройств, в которое дополнительно включены блок детектирования событий, блок управления динамической таблицей коммутации и центр управления доступом, содержащий модуль политики безопасности и блок контроля доступа; при этом в состав блока коммутации включена динамическая таблица коммутации, определяющая разрешенные маршруты передачи данных, на основании которой осуществляется сетевая коммутация; к блоку коммутации подключен блок детектирования событий, связанный с блоком управления динамической таблицей коммутации, который в свою очередь подключен к центру управления доступом, содержащему блок детектирования событий и модуль политики безопасности.
При этом к блоку управления динамической таблицей коммутации подключен дополнительный функциональный модуль сценариев изменения динамической таблицы коммутации.
При решении данной задачи достигается технический результат, заключающийся в управлении потоками данных в распределенной информационной системе посредством распределенного контроля доступа пользователей к информационным ресурсам и сервисам информационной системы.
Другим техническим результатом, достигаемым изобретением, является возможность анализа сетевых протоколов на наличие событий безопасности. Событие безопасности - это операция или действие, совершенное пользователем или программой, приводящее к изменению потоков данных в распределенной информационной системе. Данный технический результат достигается за счет включения в состав изобретения блока детектирования событий, производящего анализ потоков данных, проходящих через устройства. При этом допускается одновременное использование нескольких программных блоков детектирования событий для анализа различных протоколов (по одному блоку детектирования на каждый протокол).
Еще одним техническим результатом, достигаемым изобретением, является возможность задавать ограничения на доступ в виде общесистемной политики безопасности, в соответствии с которой осуществляется централизованное управление множеством средств управления потоками данных.
Таким образом, использование отличительных признаков предлагаемого изобретения позволяет обеспечить повышение безопасности защищенной распределенной информационной системы за счет контроля и управления потоками данных между узлами информационной системы, включения в состав устройства блока детектирования событий, производящего выявление событий безопасности, а также возможности задания ограничений на доступ в виде общесистемной политики безопасности.
Основным принципом, используемым в предлагаемой технологии, является управление потоками данных посредством управления коммутацией узлов распределенной информационной системы в соответствии с общесистемной политикой безопасности.
Для решения поставленной технической задачи средство управления потоками данных использует следующий способ, в рамках которого:
- - управление коммутацией осуществляют в соответствии с динамической таблицей коммутации, в которой определены разрешенные маршруты передачи потоков данных;
- - по умолчанию динамическая таблица коммутации не содержит записей, что соответствует запрету прохождения любого трафика;
- - при попытке передачи данных, определяемых блоком детектирования событий изобретения как событие безопасности, приостанавливают обмен данными и отправляют обнаруженное событие на центральный узел управления через вычислительную сеть распределенной информационной системы;
- - центральный узел управления на основе политики безопасности изменяет динамическую таблицу коммутации;
- - возобновляют обмен данными, производя коммутацию в соответствии с обновленной динамической таблицей коммутации.
Элементами системы, реализующей предложенный способ и средство, являются:
- - устройство подключения (УП), осуществляющее контроль и управление доступом к информационным ресурсам и сервисам посредством управления коммутацией в пределах контролируемого данным УП сетевого канала вычислительной сети распределенной информационной системы;
- - центральный узел управления, называемый центром управления доступом (ЦУД), осуществляющий управление множеством устройств подключения распределенной информационной системы;
- - блок коммутации, являющийся частью УП, хранящий динамическую таблицу коммутации и осуществляющий непосредственно сетевую коммутацию;
- - блок детектирования событий, являющийся частью УП, осуществляющий выявление событий безопасности;
- - модуль политики безопасности, хранящийся на ЦУД, представляющий собой набор правил и ограничений на доступ, определяющий допустимые операции доступа для пользователей по отношению к информационным ресурсам и сервисам распределенной системы;
- - блок контроля доступа, являющийся частью ЦУД, производящий изменение динамической таблицы коммутации УП при получении от него события безопасности в соответствии с общесистемной политикой безопасности.
С целью повышения отказоустойчивости системы и обеспечения бесперебойной работы изобретения предложен механизм, позволяющий устройствам подключения осуществлять автономное изменение динамической таблицы коммутации в соответствии с общесистемной политикой безопасности в случае нарушения работоспособности ЦУД. Данный механизм реализуется за счет того, что в дополнение к штатному способу работы изобретения, состоящему в управлении потоками данных в соответствии с общесистемной политикой безопасности, производят генерацию сценариев изменения динамической таблицы коммутации для каждого из УП, входящих в состав распределенной информационной системы;
используют общесистемную политику безопасности для определения множества событий безопасности, которые могут произойти в информационной системе;
используют блок контроля доступа для определения изменений динамической таблицы коммутации для всего множества событий безопасности, и сохраняют эти изменения как набор сценариев изменения динамической таблицы коммутации для данного УП;
передают сгенерированные сценарии изменения динамической таблицы коммутации на УП, для которого они сгенерированы;
в случае нарушения работоспособности ЦУД устройство подключения осуществляет автономное изменение динамической таблицы коммутации, руководствуясь сценариями изменения динамической таблицы коммутации.
Изобретение и особенности его применения поясняются на фиг.1 и 2. На фиг.1 приведена схема построения устройства подключения и механизмы его взаимодействия с ЦУД. На фиг.2 приведена защищенная распределенная информационная система, в которой изобретение используется для управления потоками данных.
Как показано на фиг 1, устройство подключения 1 состоит из ряда блоков и модулей. Устройство подключения 1 включает в себя следующие блоки:
- - блок коммутации 2, хранящий динамическую таблицу коммутации 3 и осуществляющий непосредственно сетевую коммутацию;
- - порты 4, предназначенные для подключения сетевых устройств к блоку коммутации;
- - блок детектирования событий 5, осуществляющий выявление событий безопасности в потоках данных, проходящих через устройство подключения 1;
- - блок управления динамической таблицей коммутации 6, осуществляющий отправку событий безопасности на ЦУД 8, прием изменений, которые необходимо внести в динамическую таблицу коммутации 3, а также обновление динамической таблицы коммутации 3.
На фиг.1 показан механизм, позволяющий устройствам подключения 1 осуществлять автономное изменение динамической таблицы коммутации 3 в соответствии с общесистемной политикой безопасности, хранящейся в модуле политики безопасности 9, в случае нарушения работоспособности ЦУД 8. Согласно данному механизму на УП 1 хранятся сгенерированные ЦУД 8 в соответствии с общесистемной политикой безопасности, хранящейся в модуле 9, сценарии изменения динамической таблицы коммутации, хранящиеся в модуле 7. В случае нарушения работоспособности ЦУД 8 устройство подключения 1 осуществляет автономное изменение динамической таблицы коммутации 3, руководствуясь сценариями изменения динамической таблицы коммутации модуля 7. При изменении общесистемной политики безопасности, хранящейся в модуле 9, блок контроля доступа 10, входящий в состав ЦУД 6, генерирует новые сценарии изменения динамической таблицы коммутации модуля 7 и передает их УП 1.
На фиг.2 приведена архитектура защищенной распределенной информационной системы, построенной с применением сети шифрованной связи. Узлами сети могут быть автоматизированные рабочие места абонентов и операторов защищенной информационной системы 11, серверы 12, центры управления доступом 8, отдельные вычислительные сети 13. Все данные, проходящие между узлами сети, защищены криптографически с помощью сети шифрованной связи 14.
Использование сети шифрованной связи 14 позволяет защититься от угроз перехвата информации в вычислительной сети и угроз несанкционированного подключения к защищенной распределенной информационной системе дополнительных устройств в обход средств защиты.
Работу системы можно проиллюстрировать на следующем примере. Входящий сетевой пакет поступает в порт 4 УП 1, после чего попадает в блок коммутации 2, где временно задерживается. Затем пакет обрабатывается блоком детектирования событий 5 и, если после его анализа выявляется событие безопасности, блок детектирования событий 5 передает это событие в блок управления динамической таблицей коммутации 6. Если анализ пакета не выявил ни одного события безопасности, то пакет обрабатывается в соответствии с текущим состоянием динамической таблицы коммутации 3. После получения события безопасности блок управления динамической таблицей коммутации 6 передает его ЦУД 8. Центр управления доступом 8 обрабатывает событие, блок контроля доступа 10 принимает решение о необходимости изменения динамической таблицы коммутации 3 УП 1 в соответствии с общесистемной политикой безопасности модуля политики безопасности 9, входящего в состав ЦУД 8, и передает необходимые изменения обратно на УП 1. Блок управления динамической таблицей коммутации 6, получив изменения, вносит их в таблицу 3. После обновления динамической таблицы коммутации 3 задержанные ранее пакеты обрабатываются в соответствии с обновленной таблицей.
Изобретение позволяет повысить уровень защищенности целевой распределенной информационной системы путем внедрения в систему функций управления потоками данных за счет распределенного контроля доступа. Примененная в изобретении концепция централизованного управления позволяет избежать ряда неудобств, свойственных системам, построенным с использованием других средств управления потоками данных.
Изобретение может применяться совместно с другими средствами защиты информации для построения различных защищенных распределенных информационных систем, в том числе:
- - защищенных распределенных систем обработки данных, в том числе систем электронного документооборота, электронной почты и сетевых файловых хранилищ, использующих для передачи данных протоколы FTP, HTTP, SMB, CIFS, POP3, SMTP и др.;
- - защищенных телекоммуникационных системы передачи мультимедийной и телеметрической информации, таких как системы видеоконференцсвязи или VoIP-системы, базирующиеся на протоколах Н.323, SIP и др.;
- - защищенных распределенных информационных систем, в том числе построенных на основе многозвенной архитектуры с использованием серверов баз данных и серверов приложений, использующих протоколы SOAP, SQL, RPC и др.