|
DOI: 10.14489/vkit.2016.01.pp.032-040
Щеглов К. А.
ПОСТАНОВКА И ПОДХОДЫ К РЕШЕНИЮ ЗАДАЧИ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ОБЩЕМ ВИДЕ
(c. 32-40)
Аннотация. Введена классификация угроз уязвимостей и сформулирована задача защиты информации от несанкционированного доступа в общем виде, состоящая в нивелировании угроз безусловных и условных, создаваемых угрозами уязвимостей реализации, в том числе в результате выявления ошибок программирования, технологических уязвимостей. Решение задачи защиты информации направлено на защиту от вторжений в информационную систему посредством реализации защиты от нивелирования актуальных угроз атак методами контроля и разграничения прав доступа субъектов (пользователей и процессов) к защищаемым объектам. Сформулированы задачи, которые должны решаться при проектировании и построении систем защиты информации от несанкционированного доступа, предназначенных для защиты от вторжений в информационную систему; изложен общий подход к построению системы защиты информации. На примерах решения практических задач защиты информационных систем от актуальных угроз атак проиллюстрированы возможности предлагаемого подхода к построению систем защиты информации и влияние его реализации на разрабатываемые методы и технические средства защиты информации.
Ключевые слова: угроза уязвимости; угроза атаки; защита информации; несанкционированный доступ; вторжение.
Shcheglov K. A.
FORMULATION AND SOLVING APPROACHES OF INFORMATION SECURING AGAINST UNAUTHORIZED ACCESS TASK IN GENERAL
(pp. 32-40)
Abstract. We introduce vulnerability threats classification and formulate unauthorized access prevention problem in general terms. This problem consists of lowering conditional and unconditional threats, created by vulnerability threats in implementations including programming errors discovering and technological vulnerabilities. Informational security problem solving is dedicated to informational system intrusion prevention by use of defense against actual attack threats by methods of control and access policy for subjects (users and processes) to secured objects. We formulate problems which must be solved while designing and building informational security systems against unauthorized access dedicated to prevent intrusions into informational system. We describe general way for informational system security design. With practical problems of informational systems security against modern threats examples we illustrate suggested method abilities (for building informational security systems) and how such implementation influences to developed methods and information security tools. All described technical solutions are implemented, approved and patented.
Keywords: Vulnerability threat; Attack threat; Information securing; Unauthorized access; Intrusion.
К. А. Щеглов (Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
K. A. Shcheglov (Saint Petersburg National Research University of Information Technologies, Mechanics and Optics) E-mail:
Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript
1. ГОСТ Р 50922–96. Защита информации. Основные термины и определения. Введ. 1997-07-01. М.: Изд-во стандартов, 1996. 12 с.
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. зам. директора ФСТЭК России 14 фев. 2008 г. // ФСТЭК России. 2008. URL: http://www. ispdn.info / laws / metodika-fstek-rossii-ot-14-fevralya-2008-g/ (дата обращения: 16.11.2015).
3. Harrison M., Ruzzo W., Ullman J. Protection in Operating Systems // Communication of ACM. 1976. V. 19, N 8. Р. 461 – 471.
4. Bell D. E., LaPadula L. J. Security Computer Systems: Unified Exposition and Multics Interpretation. Rev. 1. US Air Force ESD-TR-306. MTR-2997. MITRE Corp. Bedford, MA. March 1976. 129 р.
5. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника, 2004. 384 с.
6. Sandhu R., Coyne E. J., Feinstein H. L., Youman C. E. Role-Based Access Control Models // IEEE Computer (IEEE Press). 1996. V. 29, N 2. Р. 38 – 47.
7. Щеглов К. А., Щеглов А. Ю. Метод сессионного контроля доступа к файловым объектам. Вопросы практической реализации // Вестник компьютерных и информационных технологий. 2014. № 8. С. 54 – 60.
8. Милославская Н. Г., Толстой А. И. Интрасети: обнаружение вторжений. М.: ЮНИТИ-ДАНА, 2001. 587 с.
9. Васильев В. Рынок DLP переживает кризис доверия [Электронный ресурс]. URL: http://www.pcweek.ru/security/article/detail.php?ID=135206 (дата обращения: 16.04.2015).
10. Щеглов К. А., Щеглов А. Ю. Защита от атак на повышение привилегий // Вестник компьютерных и информационных технологий. 2015. № 1. С. 36 – 42.
11. Итоги 2013: угрозы и эксплуатация Windows [Электронный ресурс]. URL: http://www.habrahabr.ru/ company/eset/blog/209694/ (дата обращения: 16.04.2015).
12. Щеглов К. А., Щеглов А. Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. 2013. Вып. 101, № 2. С. 36 – 43.
13. Щеглов К. А., Щеглов А. Ю. Защита от атак со стороны приложений, наделяемых вредоносными функциями. Модели контроля доступа // Вопросы защиты информации. 2012. Вып. 99, № 4. С. 31 – 36.
14. Щеглов К. А., Щеглов А. Ю. Математические модели эксплуатационной информационной безопасности // Вопросы защиты информации. 2014. Вып. 106, № 3. С. 52 – 65.
15. Щеглов К. А., Щеглов А. Ю. Метод контроля и разграничения прав доступа к сервисам олицетворения // Вестник компьютерных и информационных технологий. 2015. № 3. С. 48 – 54.
16. Свидетельство № 2014660889 о регистрации программы для ЭВМ. Комплексная система защиты информации «Панцирь+» для ОС Microsoft Windows / Щеглов А. Ю., Павличенко И. П., Корнетов С. В., Щеглов К. А.; опубл. 20.11.2014, Бюл. № 11 (97).
17. Щеглов К. А., Щеглов А. Ю. Технология изолированной обработки данных критичными приложениями // Вопросы защиты информации. 2015. Вып. 108, № 1. С. 15 – 22.
18. Щеглов К. А., Щеглов А. Ю. Модели и правила мандатного контроля доступа // Вестник компьютерных и информационных технологий. 2014. № 5. С. 44 – 49.
19. Щеглов К. А., Щеглов А. Ю. Непротиворечивая модель мандатного контроля доступа // Изв. вузов. Приборостроение. 2014. Т. 57, № 4. С. 12 – 15.
20. Щеглов К. А., Щеглов А. Ю. Практическая реализация мандатного контроля доступа к создаваемым файлам // Вестник компьютерных и информационных технологий. 2014. № 6. С. 50 – 54.
21. Пат. № 2534599 RU, МПК G06F 12/14. Система контроля доступа к ресурсам компьютерной системы с субъектом доступа «пользователь, процесс» / Щеглов А. Ю., Щеглов К. А.; заявитель и патентообладатель ЗАО «НПП «Информационные технологии в бизнесе». № 2013120208/08; заявл. 30.04.2013; опубл. 27.11.2014, Бюл. № 33. 13 с.
22. Пат. № 2534488 RU, МПК G06F 12/14. Система контроля доступа к ресурсам компьютерной системы с субъектом «исходный пользователь, эффективный пользователь, процесс» / Щеглов А. Ю., Щеглов К. А.; заявитель и патентообладатель ЗАО «НПП «Информационные технологии в бизнесе». № 2013128215/08; заявл. 18.06.2013; опубл. 27.11.2014, Бюл. № 33. 17 с.
23. Пат. № 2524566 RU, МПК G06F 12/14. Система контроля доступа к файлам на основе их автоматической разметки / Щеглов А. Ю., Щеглов К. А.; заявитель и патентообладатель ЗАО «НПП «Информационные технологии в бизнесе». № 2013112048/08; заявл. 18.03.2013; опубл. 27.07.2014, Бюл. № 21. 20 с.
24. Пат. № 2543564 RU, МПК G06F 12/14. Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам / Щеглов А. Ю., Щеглов К. А.; заявитель и патентообладатель ЗАО «НПП «Информационные технологии в бизнесе». № 2014110847/08; заявл. 20.03.2014; опубл. 10.03.2015, Бюл. № 7. 11 с.
1. Data protection. Basic terms and definitions. (1996). Ru Standard No. GOST R 50922–96. Moscow: Izdatel'stvo standartov.
2. Methods for determining the actual threat of personal data security that is being processing in the information systems containing personal data. (2008). FSTEK Russia. Available at: http://www.ispdn.info / laws / metodika-fstek-rossii-ot-14-fevralya-2008-g/ (Accessed: 16.11.2015).
3. Harrison M., Ruzzo W., Ullman J. (1976). Protection in operating systems. Communication of ACM, 19(8), pp. 461-471.
4. Bell D. E., LaPadula L. J. (1976). Security computer systems: unified exposition and multics interpretation. Rev. 1. US Air Force ESD-TR-306. MTR-2997. MITRE Corp. Bedford, MA. March 1976.
5. Shcheglov A. Iu. (2004). Protection of computer data from unauthorized access. St. Petersburg: Nauka i technika.
6. Sandhu R., Coyne E. J., Feinstein H. L., Youman C. E. (1996). Rolebased access control models. IEEE Computer (IEEE Press), 29(2), pp. 38-47.
7. Shcheglov K. A., Shcheglov A. Iu. (2014). Method of session control access to file objects. Issues of practical implementation. Vestnik komp'iuternykh i informatsionnykh tekhnologii, (8), pp. 54-61. doi: 10.14489/vkit.2014.08. pp.054-060.
8. Miloslavskaia N. G., Tolstoi A. I. (2001). Intranets: intrusion detection. Moscow: IuNITI-DANA.
9. Vasil'ev V. DLP market is experiencing a crisis of confidence. Available at: http://www.pcweek.ru/security/ article/detail.php?ID=135206 (Accessed: 16.04.2015).
10. Shcheglov K. A., Shcheglov A. Iu. (2015). Protecting against privilege escalation oriented attacks. Vestnik komp'iuternykh i informatsionnykh tekhnologii, (1), pp. 36-42. doi: 10.14489/vkit.2015.01.pp.036-042
11. The results of the 2013: the threat of OS Windows exploitation. Available at: http://www.habrahabr.ru/ company/eset/blog/209694/ (Accessed: 16.04.2015).
12. Shcheglov K. A., Shcheglov A. Iu. (2013). Protection against attacks on vulnerabilities in applications. The access control model. Voprosy zashchity informatsii. 101(2), pp. 36-43.
13. Shcheglov K. A., Shcheglov A. Iu. (2012). Protection against attacks from applications, giving malicious functions. The access control model. Voprosy zashchity informatsii. 99(4), pp. 31-36.
14. Shcheglov K. A., Shcheglov A. Iu. (2014). Mathematical models of operational information security. Voprosy zashchity informatsii, 106(3), pp. 52-65.
15. Shcheglov K. A., Shcheglov A. Iu. (2015). Method and tool of access control to impersonation services. Vestnik komp'iuternykh i informatsionnykh tekhnologii, (3), pp. 48-54. doi: 10.14489/vkit.2015.03.pp.048-054.
16. Shcheglov A. Iu., Pavlichenko I. P., Kornetov S. V., Shcheglov K. A. (2014). A complex system of information protection «Pantsir'+». Certificate for registration of PC program No. 2014660889. Russian Federaion.
17. Shcheglov K. A., Shcheglov A. Iu. (2015). Technology of isolated data processing with critical applications. Voprosy zashchity informatsii, 108(1), pp. 15-22. Shcheglov K. A., Shcheglov A. Iu. (2014). Models and rules for mandatory access control. Vestnik komp'iuternykh i informatsionnykh tekhnologii, (5), pp. 44-49. doi: 10.4489/vkit.2014.02.pp.044-049.
18. Shcheglov K. A., Shcheglov A. Iu. (2014). Consistent model of mandatory access control. Izvestiia vuzov. Priborostroenie, 57(4), pp. 12-15.
19. Shcheglov K. A., Shcheglov A. Iu. (2014). Practical implementation of mandatory access control to newly created file objects. Vestnik komp'iuternykh i informatsionnykh tekhnologii, (6), pp. 50-54. doi: 10.14489/vkit.2014.06. pp.050-054.
20. Shcheglov A. Iu., Shcheglov K. A. (2013). The access control system to resources of the computer system with following subjects: «User, Process». Ru Patent No. 2534599. Russian Federation. Moscow.
21. Shcheglov A. Iu., Shcheglov K. A. (2013). The access control system to resources of the computer system with following subjects: «Initial User, Effective User, Process». Ru Patent No. 2534488. Russian Federation. Moscow.
Статью можно приобрести в электронном виде (PDF формат).
Стоимость статьи 350 руб. (в том числе НДС 18%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.
После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.
Для заказа статьи заполните форму:
{jform=1,doi=10.14489/vkit.2016.01.pp.032-040}
.
This article is available in electronic format (PDF).
The cost of a single article is 350 rubles. (including VAT 18%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.
After depositing your payment on our bank account we send you file of the article by e-mail.
To order articles please fill out the form below:
{jform=2,doi=10.14489/vkit.2016.01.pp.032-040}
.
.
|
Archive
Разработка концепции и создание сайта - ООО «Издательский дом «СПЕКТР»