СИСТЕМА ОБЕСПЕЧЕНИЯ ЦЕЛОСТНОСТИ ИНФОРМАЦИИ ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ Российский патент 2000 года по МПК G06F12/16 G06F15/16 

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерах любых типов, и может быть использовано для защиты информационных ресурсов как рабочих станций, так и серверов.

Известен способ обеспечения целостности информации при начальной загрузке системы. Подобный способ организации целостности реализован в ряде операционных систем, в частности в операционной системе Windows NT Server 4.0 (см. Валда Хиллей "Секреты Windows NT Server 4.0" - К.: Диалектика, 1997, с. 14-15). Подобный способ заключается в нахождении контрольных сумм файлов при загрузке системы. Под контрольной суммой файла понимается некоторое числовое значение, полученное в результате преобразования содержимого файла в соответствии с каким-либо математическим алгоритмом, являющееся уникальным для данного файла. Если содержимое файла было каким-либо образом изменено, то контрольная сумма данного файла тоже изменится. При несовпадении контрольных сумм каких-либо файлов с эталонными значениями на экран выводится сообщение о нарушении целостности. Данные сведения могут быть использованы администратором системы для облегчения восстановления работоспособности системы при каких-либо нарушениях в ее работе. При использовании подобного способа не обеспечивается целостность файлов, не использующихся при начальной загрузке системы. Следовательно, нет возможности отследить появление закладок в системе, если они не расположены в основных системных файлах. Кроме того, при редких перезагрузках системы отсутствует возможность проверки целостности основных системных файлов.

Известен способ обеспечения целостности, используемый в сетевых продуктах, например в сетевых базах данных Oracle (см. Eric Armstrong, Cynthia Closkey, Brian Linden, Maria Pratt "Oracle 7 (TM) Server Concepts Release 7.3." - Belmont, California, USA, 1996). В подобных продуктах проблемам обеспечения целостности уделено достаточно большое внимание. Обеспечивается целостность данных, под которой понимается возможность введения в отдельные поля (строки, столбцы, таблицы, группы таблиц) только допустимых значений (например только различных значений переменных в рамках какого-либо столбца, значений переменных только одного знака в рамках какой-либо строки и т.п.). Целостность на уровне команд, под которой понимается возможность выполнения командой действий только с теми данными, которые находились в БД в момент введения команды. То есть при одновременном введении команды и изменении данных команда будет исполнена с первоначальными (неизмененными) данными. Целостность на уровне транзакций, под которой понимается возможность источника (одного из компьютеров системы) передачи по сети не только данных, но также команд (как обычных, так и вложенных) и их гарантированный прием и исполнение приемником (другим компьютером системы). Целостность данных при восстановлении с резервных копий, под которой понимается возможность хранения в качестве эталона некоего варианта БД и восстановления БД по резервной копии с учетом тех изменений, которые заносятся во временные файлы с целью восстановления последней версии БД.

Подобный способ обеспечения целостности обладает рядом существенных недостатков:
1. Не обеспечивает целостности данных при прямом (не через интерфейс БД) доступе к файлам, то есть возможно несанкционированное изменение БД.

2. Не отслеживает целостность отдельных объектов в рамках системы, то есть оставляет возможность для внесения закладок в систему.

3. Не гарантирует правильности резервных копий, то есть к моменту восстановления в них могут быть внесены изменения.

4. Не проверяется корректность процессов, порожденных пользователями системы, следовательно возможны попытки атак путем переполнения трафика, что приведет к потере производительности системой.

Наиболее близким по технической сущности к заявляемому (прототипом) является способ обеспечения целостности, реализованный в системе разграничения доступом "Secret Net" (см. фиг. 1). Данная система 1 состоит из следующих блоков: блок 1.1 осуществляет управление системой и соединен с блоками проверки целостности по длинам файлов (блок 1.2), проверки целостности по контрольным суммам файлов (блок 1.3), проверки целостности по прочим параметрам объектов (блок 1.4), выработки результатов (блок 1.5). При этом вход блока 1.1 является первым входом 6 системы, а выход соединен с первыми входами блоков 1.2, 1.3, 1.4, 1.5, второй вход 11 системы является вторым входом блока 1.2 и третьим блоков 1.3, 1.4, 1.5, выход блока 1.2 соединен со вторым входом блока 1.3, выход блока 1.3 соединен со вторым входом блока 1.4, выход блока 1.4 соединен со вторым входом блока 1.5, выход которого является выходом 12 системы. Суть способа заключается в том, что каждому контролируемому объекту присваиваются некоторые характеризующие его параметры. При этом под объектами обеспечения целостности понимаются файлы или каталоги. Под характеризующими объект параметрами понимают их контрольные суммы, длины, права доступа, времена создания, модификаций, последнего доступа и т.п. При этом применительно к защищаемым компьютерам ведутся специальные базы данных, в которые заносится информация обо всех контролируемых параметрах файлов, каталогов. Кроме того, существует база данных перечня действий, которые должны быть предприняты в случае несанкционированных изменений объектов. Периодически, с заданным администратором системы интервалом, система производит нахождение контролируемых параметров применительно к указанным в ее базах данных объектам. Далее полученные и контрольные значения объектов сравниваются с целью определения несанкционированных изменений в системе. Конечной целью обеспечения целостности является получение списка измененных объектов для нахождения закладок и несанкционированных изменений в системе.

Рассмотрим работу данного механизма обеспечения целостности более подробно (см. фиг.1). Блоки 1.2, 1.3, 1.4 и 1.5 соединены последовательно, кроме того, информация со второго входа 11 системы может поступить на вход любого из блоков 1.2, 1.3, 1.4, 1.5. На первый вход 6 системы подается входная управляющая информация для системы обеспечения целостности (инициировать проверку целостности немедленно, прекратить проверку целостности, инициировать проверку целостности через определенное время и т.п.), которая поступает в блок управления (блок 1.1). При получении управляющей информации с первого входа 6 системы блок управления осуществляет ее обработку и передает соответствующие инструкции блокам проверки целостности по длинам файлов (блок 1.2), по контрольным суммам файлов (блок 1.3), по прочим параметрам объектов (блок 1.4), блоку выработки результатов (блок 1.5). В случае проверки целостности вышеуказанным блокам передается приказ начать проверку целостности. При этом блоки 1.2, 1.3, 1.4 сканируют файловую систему и получают со второго входа 11 системы информацию о ее текущем состоянии. Далее в блоках 1.2, 1.3, 1.4 производится сравнение полученной информации с информацией, хранящейся в базах данных блоков. Результаты сравнения передаются в блок выработки результатов (блок 1.5). Блок выработки результатов формирует выходной поток информации (выход 12 системы), использующийся системой защиты. Выходной поток информации содержит сведения о результатах проверки целостности и рекомендованные управляющие воздействия. Данный поток может быть использован прочими частями системы защиты или передан администратору безопасности системы. В случае, если блок 1.1 передает указание о настройке системы обеспечения целостности, то блоки 1.2, 1.3, 1.4 создают контрольные базы данных в зависимости от поступившей управляющей информации, блок 1.5 соответствующим образом изменяет базу данных выработки результатов. Связи от блока 1.2 к блоку 1.3, от блока 1.3 к блоку 1.4, от блока 1.4 к блоку 1.5 показывают передачу результатов проверки целостности от блоков к выходу 12 системы.

Подобный способ обеспечения целостности имеет ряд достоинств:
1. Позволяет осуществить практически непрерывный контроль за наиболее важными с точки зрения администратора системы объектами при помощи назначения для них наиболее высоких частот проверок.

2. Облегчает поиск поврежденных файлов, что позволяет быстро производить восстановление системы при сбоях в работе.

3. Позволяет не только найти несанкционированные изменения, но и определить факт произведенных изменений с последующим восстановлением системы.

Способ имеет следующие недостатки:
1. Невозможность в рамках данного способа отследить и пресечь попытку нарушения целостности, так как фиксируется только факт произошедшего нарушения.

2. При высокой интенсивности попыток несанкционированного доступа в систему снижается производительность системы, так как при этом необходим непрерывный контроль за целостностью файловой системы (из-за значительного входного потока данных для системы обеспечения целостности производительность вычислительной системы снижается). Если же уменьшить частоту проверок, то повышается вероятность проведения несанкционированных действий с информацией.

3. Не позволяет производить оперативную идентификацию субъектов, производящих несанкционированные изменения защищаемых объектов. Идентификация может быть проведена путем выявления находившихся в системе в момент изменения объектов пользователей, но нахождение конкретного пользователя многопользовательской системы может быть затруднено.

4. Не позволяет определять и воздействовать на те системные процессы, которые являются опасными для целостности контролируемых ресурсов.

Задача изобретения состоит в повышении защищенности информации вычислительных систем за счет введения дополнительных способов контроля целостности информационных объектов и повышении эффективности функционирования системы защиты. Реализуемый метод построения системы обеспечения целостности не имеет указанных выше недостатков. На фиг. 2 представлена структурная схема системы, реализующей предлагаемый способ обеспечения целостности информации. В систему обеспечения целостности добавлены блоки 2, 3, 4 и 5. При этом первый вход блока обеспечения целостности файловой системы 1 является первым входом 6 системы, отличающейся тем, что в систему добавлен блок контроля целостности по находящимся в системе пользователям 3, блок контроля целостности по находящимся в системе процессам 4, блок управления системой обеспечения целостности 2, при этом первый вход блока управления системой обеспечения целостности 2 является вторым входом 7 системы, второй вход блока обеспечения целостности по находящимся в системе пользователям 3 является третьим входом 8 системы, второй вход блока обеспечения целостности по находящимся в системе процессам 4 является четвертым входом 9 системы, выход блока выработки реакций 5 является выходом 10 системы, причем первый выход блока управления системой 2 соединен со вторым входом блока обеспечения целостности файловой системы 1, первый выход которого соединен с первым входом блока выработки реакций 5, второй вход\выход блока управления соединен со вторым входом\выходом блока выработки реакций 5, третий выход блока управления 2 соединен с первым входом блока обеспечения целостности по находящимся в системе пользователям 3, первый выход которого соединен с третьим входом блока выработки реакций 5, четвертый выход блока управления 2 соединен с первым входом блока обеспечения целостности по находящимся в системе процессам 4, первый выход которого соединен с четвертым входом блока выработки реакций 5. Решение вышеуказанной задачи объясняется тем, что кроме контроля целостности по различным параметрам объектов вычислительной системы (файлов и каталогов) производится контроль целостности по находящимся в системе пользователям и по протекающим в системе процессам. Контроль целостности по процессам позволяет произвести нахождение опасных для защищенности системы процессов и идентифицировать породившего их пользователя. Контроль целостности по пользователям позволяет произвести нахождение тех пользователей, чье присутствие может угрожать целостности системы, а также идентифицировать терминал, с которого было произведено вхождение в систему, время вхождения и прочую информацию, необходимую администратору системы. При этом передача информации от блока к блоку производится следующим образом: блок 1 получает информацию с первого входа 6 системы и от блока 2 и передает информацию в блок 5, блок 2 получает информацию со второго входа 7 системы и от блока 5 и передает информацию блокам 1, 3, 4, 5, блок 3 получает информацию с третьего входа 8 системы и от блока 2 и передает информацию блоку 5, блок 4 получает информацию с четвертого входа 9 системы и от блока 2 и передает информацию блоку 5, блок 5 получает информацию от блоков 1, 2, 3, 4 и передает информацию блоку 2 и на выход 10 системы. Если на блок 2 со входа 7 не поданы команды, то в зависимости от настройки системы блок 3 обеспечивает с заданной во время настройки периодичностью проверку целостности системы по пользователям, либо блок 4 обеспечивает с заданной во время настройки периодичностью проверку целостности системы по процессам, либо блоки работают параллельно. При этом информация о находящихся в системе пользователях поступает в блок 3 с третьего входа 8 системы, о процессах - в блок 4 с четвертого входа 9 системы. Полученные с третьего входа 8 системы сведения о пользователях, с четвертого входа 9 системы сведения о процессах сравниваются с хранящимися в контрольной базе данных. В случае нарушения целостности (то есть в системе появились запрещенные или неопознанные процессы или пользователи) соответствующая информация передается в блок 5. Блок выработки реакций 5 передает блоку управления 2 требование на проверку целостности вычислительной системы. Блок 2 вырабатывает управляющие воздействия, необходимые для проверки целостности и в заданной администратором безопасности последовательности запускает блоки 2, 3 и 4. Блок 1 обеспечивает проверку целостности файловой системы. При этом входной поток информации о состоянии файловой системы поступает с первого входа 6 системы. В блоке 1 происходит сравнение полученных сведений о состоянии файловой системы с хранящимися в контрольных базах данных. Результаты проверки целостности файловой системы передаются в блок 5, который формирует выходной поток информации (выход 10 системы), состоящий из сведений для администратора безопасности и управляющей информации для прочих частей системы защиты. В случае, если со второго входа 7 системы в блок 2 передается команда, происходит ее обработка и выработка соответствующих управляющих воздействий для блоков 1, 3, 4 и 5. Для блоков 1, 3 и 4 это могут быть команды на внеочередную проверку целостности или создание новых контрольных баз данных. При этом информация о пользователях и процессах системы поступает на третий вход 8 и четвертый вход 9 системы соответственно, информация о файловой системе поступает на вход 6. Для блока 5 это могут быть указания по смене реакций системы на появление результатов проверки целостности.

Для реализации предложенного способа обеспечения целостности необходима система обеспечения целостности, представляющая собой программное, аппаратное или программно-аппаратное обеспечение, устанавливаемое в защищаемой вычислительной системе, при помощи которого обеспечивается функционирование системы обеспечения целостности.

Рассмотрим функционирование системы обеспечения целостности по предлагаемому способу. В исходном состоянии система обеспечения целостности производит проверку находящихся в вычислительной системе процессов (блок 4) и (или) пользователей (блок 3). В случае обнаружения в вычислительной системе неопознанных или заведомо запрещенных процессов и (или) пользователей производится проверка целостности файловой системы компьютера. Результаты проверки файловой системы сообщаются администратору системы защиты. Администратор системы безопасности может установить автоматическую реакцию на нарушение целостности системы (блок 5): полная или частичная проверка файловой системы компьютера, автоматическое поражение в правах или удаление из системы пользователя, вызвавшего нарушение целостности системы. При этом пользователь может быть идентифицирован путем сопоставления опасного процесса, имени породившего его пользователя и консоли, с которой данный пользователь произвел вход в систему. Подобные автоматические реакции могут быть заданы не только для отдельных пользователей или процессов, но и для групп пользователей и групп процессов. Возможно задание каких-либо иных реакций на нарушение целостности, определяемых администратором системы безопасности.

Рассмотрим структуру блока обеспечения целостности по пользователям вычислительной системы 3 (см. фиг. 3). Данный блок состоит из блоков управления (блок 3.1), проверки целостности системы по пользователям (блок 3.2), блока выработки результатов (блок 3.3). При этом первый вход блока 3.1 является первым входом 13 системы, а выход соединен с первыми входами блоков 3.2, 3.3, первый вход блока 3.2 является вторым входом 8 системы, а выход соединен со вторым входом блока 3.3, третий вход блока 3.3 соединен с вторым входом 8 системы, а выход является выходом 14 системы. Блок функционирует следующим образом. На первый вход 13 системы передается команда о начале проверки целостности, создании базы данных или внесении изменений в блок выработки результатов. В первом случае блок 3.1 вырабатывает необходимые управляющие воздействия и передает их блоку 3.2. Блок 3.2 получает со второго входа 8 системы информацию о находящихся в системе пользователях, которую сверяет с контрольной базой данных. Результаты проверки передаются блоку 3.3, который осуществляет выработку результатов проверки и передает информацию на выход 14 системы. Во втором случае блок 3.1 вырабатывает необходимые управляющие воздействия и передает их блоку 3.2. Блок 3.2 получает со второго входа 8 системы информацию и на ее основе создает базу данных. В третьем случае блок 3.1 вырабатывает необходимые управляющие воздействия и передает их блоку 3.3. Блок 3.3 со второго входа 8 системы получает информацию и на ее основе создает новую базу данных выработки реакций.

Структура блока обеспечения целостности по протекающим процессам системы 4 представлена на фиг. 4. Данный блок состоит из блоков управления (блок 4.1), проверки целостности системы по процессам (блок 4.2), блока выработки результатов (блок 4.3). При этом первый вход блока 4.1 является первым входом системы 15, а выход соединен с первыми входами блоков 4.2, 4.3, первый вход блока 4.2 является вторым входом 9 системы, а выход соединен со вторым входом блока 4.3, третий вход блока 4.3 соединен со вторым входом 9 системы, а выход является выходом 16 системы. Блок функционирует следующим образом. На первый вход 15 системы передается команда о начале проверки целостности процессам, создании базы данных или внесении изменений в блок выработки результатов. В первом случае блок 4.1 вырабатывает необходимые управляющие воздействия и передает их блоку 4.2. Блок 4.2 получает со второго входа 9 системы информацию о находящихся в системе процессах, которую сверяет с контрольной базой данных. Результаты проверки передаются блоку 4.3, который осуществляет выработку результатов проверки и передает информацию на выход 16 системы. Во втором случае блок 4.1 вырабатывает необходимые управляющие воздействия и передает их блоку 4.2. Блок 4.2 получает со второго входа 9 системы информацию и на ее основе создает базу данных. В третьем случае блок 4.1 вырабатывает необходимые управляющие воздействия и передает их блоку 4.3. Блок 4.3 со второго входа 9 системы получает информацию и на ее основе создает новую базу данных выработки реакций.

К достоинствам предлагаемой системы могут быть отнесены следующие возможности:
1. Возможность оперативного отслеживания факта появления опасных для безопасности системы процессов и находить породивших их пользователей.

2. Возможность оперативного отслеживания факта появления опасных для безопасности системы пользователей и сопоставление пользователей и порожденных ими процессов.

3. Возможность в рамках данного способа отследить и пресечь попытку нарушения целостности, так как фиксируется не только факт произошедшего нарушения, но и попытка подобного нарушения.

4. Обеспечивает экономное использование ресурсов вычислительной системы, так как загрузка остается минимальной из-за незначительного входного и выходного потоков данных при контроле целостности по процессам и пользователям. При этом нет необходимости постоянно контролировать целостность файловой системы, а только при подозрении на нарушение.

5. Возможность установки в любой системе и перенастройки при любых изменениях системы, что обеспечивается малым объемом вводимого входного потока данных при контроле целостности по процессам и пользователям.

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерах любых типов, и может быть использовано для защиты информационных ресурсов как рабочих станций, так и серверов. Техническим результатом является повышение защищенности информации вычислительных систем за счет введения дополнительных способов контроля целостности информационных объектов и повышение эффективности функционирования системы защиты. Система содержит блок обеспечения целостности файловой системы, блок контроля целостности по находящимся в системе пользователям, блок контроля целостности по находящимся в системе процессам, блок управления системой обеспечения целостности, блок выработки реакций. 4 ил.

Система обеспечения целостности ресурсов информационной вычислительной системы, содержащая блок обеспечения целостности файловой системы, причем первый его вход является первым входом системы, отличающаяся тем, что в систему введены блок контроля целостности по находящимся в системе пользователями, блок контроля целостности по находящимся в системе процессам, блок управления системой обеспечения целостности, при этом первый вход блока управления системой обеспечения целостности является вторым входом системы, второй вход блока обеспечения целостности по находящимся в системе пользователям является третьим входом системы, второй вход блока обеспечения целостности по находящимся в системе процессам является четвертым входом системы, выход блока выработки реакций является выходом системы, причем первый выход блока управления системой соединен с вторым входом блока обеспечения целостности файловой системы, первый выход которого соединен с первым входом блока выработки реакций, второй вход/выход блока управления соединен с вторым входом/выходом блока выработки реакций, третий выход - с первым входом блока обеспечения целостности по находящимся в системе пользователям, первый выход которого соединен с третьим входом блока выработки реакций, четвертый выход блока управления соединен с первым входом блока обеспечения целостности по находящимся в системе процессам, первый выход которого соединен с четвертым входом блока выработки реакций.