Алгоритмы обеспечения структурной скрытности распределенной информационно-вычислительной сети

Типовая структура информационно-вычислительной сети. Функции, процедуры, механизмы и средства защиты ИВС. Технология виртуальных частных сетей. Разработка алгоритмов управления интенсивностью информационного обмена удаленных сегментов распределенной ИВС.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 21.12.2012
Размер файла 2,1 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Здесь под информационным потоком будем понимать непрерывную последовательность пакетов сообщений, объединенных набором общих признаков, выделяющих его из общего сетевого трафика [9].
К характерным признакам состава и структуры распределенной ИВС на основе технологии ВЧС отнесем: идентификаторы элементов ИВС (их логические и физические адреса), образующих информационные потоки; версии установленного на элементах ИВС программного обеспечения; типы оборудования и средств защиты, входящих в состав ИВС.
Таким образом, злоумышленнику нетрудно путем анализа трафика выявить все характерные признаки структуры и алгоритмов функционирования распределенной ИВС на основе технологии ВЧС, а также идентификаторы элементов ИВС, выделяющие ИВС на фоне элементов ТКС. Остальные перечисленные признаки состава и структуры также нетрудно определить посредством уже обнаруженных. Это упростит для злоумышленника выбор средств и процесс нападения (воздействия)
Следовательно, необходима разработка механизмов, позволяющих скрывать (управлять) характерные признаки современных ИВС.

2.3 Механизмы защиты от несанкционированного наблюдения

Обеспечение конфиденциальности потока сообщений включает маскировку следующих параметров:

- частоту передачи сообщений;

- длины сообщений;

- конфигурации сообщений;

- конфигураций отправитель - получатель (адресов).

Для потенциального нарушителя кроме продолжительности сеанса может представлять интерес также длина каждого отдельного сообщения.

Меры защиты могут включать применение специальных алгоритмов шифрования; реализацию шифрования по возможности на транспортном уровне; дополнение полей записи, а также другие специальные и усложненные протоколы.

Дополнение (расширение) сообщений как механизм защиты ИВС может быть реализован двумя способами: генерацией ложных сообщений и дополнением блоков данных в протоколе передачи до некоторой постоянной длины. Такой механизм защиты имеет ограниченные возможности. Чтобы быть эффективным, поток избыточных сообщений должен приближаться к ожидаемому уровню реального трафика. Кроме того, содержимое блоков данных должно быть зашифровано или замаскировано для того, чтобы избыточные сообщения не могли быть определены и выделены из потока реальных сообщений.

Дополнение передаваемых данных (блоков) - процедура увеличения длины сообщения до определенного значения. Иногда криптографические алгоритмы защиты также требуют расширения сообщения, и это может одновременно служить механизмом защиты от несанкционированного наблюдения.

При реализации защиты от несанкционированного наблюдения возникают следующие трудности:

- механизмы защиты на различных уровнях сети должны знать информацию об адресе назначения при передаче данных;

- на всех уровнях указатели, определяющие соединения, должны быть явными;

- при увеличении потока сообщений в сети производительность сети уменьшается;

- при использовании механизмов расширения блоков получатель должен заранее договориться с отправителем, каким образом следует распознавать избыточные сообщения;

- если реализованы защитные меры против несанкционированного наблюдения, то тем не менее сбор необходимой статистики для реализации вторжения усложнится незначительно.

Следовательно, такой механизм защиты дорогостоящ и требует ресурсов канала передачи. Однако реализация механизма расширения сообщений на сетевом уровне протокола обеспечивает повышения эффективности использования сети в целом, поскольку позволяет избежать избыточности в длине блока. Это одна из основных причин сегментации данных с использованием протокола сетевого уровня, и в этом случае процедур расширения сообщений на транспортном уровне не требуется.

Перегруженность сети является одной из причин, почему расширение сообщений не реализуется на уровнях выше сетевого.

Проблема реализации некоторых механизмов расширения сообщений состоит в том, чтобы этот механизм был увязан с обеспечением конфиденциальности с целью не допустить идентификацию избыточных сообщений. Однако шифрование данных - основа большинства механизмов защиты и, конечно, поток защищенных сообщений - лишь один из возможных приемов шифрования.

Механизм расширения сообщений может быть реализован с помощью специальной процедуры, выполняемой на отдельном подуровне протокола. Назначение этой процедуры - генерировать избыточные сообщения в пункте отправления и сбрасывать их в пункте назначения. Производительность двух взаимодействующих объектов ИВС снижается при использовании такой процедуры. Кроме того, должен быть реализован некоторый протокол обеспечивающий координацию этой процедуры с трафиком канала передачи.

Поскольку снижение производительности ИВС нежелательно, процедуры генерации избыточных сообщений должны быть спланированы весьма тщательно: такой трафик должен использовать имеющиеся резервы линий связи и переключателей сети.

Соответствующий центр управления сетью должен уметь выявлять избыточность реальных сообщений, потому что избыточные сообщения не должны поступать в сеть. Если избыточный трафик не влияет на производительность сети за счет использования резервных мощностей ИВС, это наилучшее решения для пользователей сети.

2.4 Модель распределенной ИВС на основе технологии ВЧС с обеспечением скрытого канала связи

В современной практике защиты информации в ИВС принято использовать метод силового блокирования, основанный на механизмах идентификации, аутентификации и разграничения доступа. Однако в процессе передачи информации по каналам связи используется защита только относительно информационной составляющей трафика, обеспечиваемая криптографическими механизмами и механизмами обеспечения целостности данных. Такие механизмы применяются в технологиях виртуальных частных сетей.

Однако, с точки зрения защиты информации передаваемой по каналам связи от всей совокупности угроз ИБ, необходима разработка механизмов обеспечения скрытности информационного обмена в ИВС, основанных на технологиях ВЧС. Это связано с тем, что трудности в обнаружении виртуального канала связи существенно затруднят как несанкционированный перехват информационной составляющей трафика с целью вскрытия или воздействие на телекоммуникационное оборудование с целью нарушения сеанса связи, так и вскрытие структуры ИВС злоумышленником, как внутренним, так и внешним, с целью осуществления воздействий или несанкционированного доступа к ее элементам.

Существует несколько классов скрытности ИВС: опознавательная, объектовая и информационная (рисунок 2.4).

Рисунок 2.4 - Направления обеспечения скрытности

Опознавательная скрытность характеризует способность ИВС противостоять мерам, направленным на обнаружение сигнала (трафика) в сети, т.е. затрудняет его выделение из общей совокупности сигналов. Направлена на снижение контраста характеристик объекта и фона (чем он меньше, тем ниже вероятность обнаружения объекта).

Объектовая - усложняет распознавание объекта, обнаруженного по опознавательным признакам. Она скрывает признаки, характеризующие наличие определенных связей между объектами; объектом и его элементами (взаимное расположение частей объекта), и, в том числе деятельность персонала объекта (режим работы, количество персонала, его распределение по элементам объекта и т.д.).

Информационная - затрудняет НСД к информационному содержанию сообщения. Для ее решения используется шифрование сообщений.

В общем случае скрытность информационного обмена осуществляется в 3 этапа: информационная - шифрование непосредственно сообщения; объектовая - скрытие алгоритмов функционирования объекта и его структуры; опознавательная - скрытие факта наличия (присутствия) сигнала (трафика) в ССОП.

Обеспечение информационной скрытности реализовано в технологии ВЧС, однако среди современных средств защиты неизвестны технологии, обеспечивающие скрытность объектовую и опознавательную. Следовательно, необходима разработка модели, адекватно представляющей эти виды скрытности для распределенной ИВС, основанной на технологии ВЧС, т.е. обеспечивающей все три вида скрытности.

Анализ известных технических решений и патентный поиск, позволили сделать выводы, что для того, чтобы обеспечить все виды скрытности необходимо скрыть информацию о составе, структуре и алгоритмах функционирования распределенной ИВС на основе технологии ВЧС, т.е. скрыть факт наличия информационного обмена между сегментами ИВС, так как это описано далее. Причем такое скрытие является ни чем иным как управление характерными признаками ИВС в канале связи, т.е. на сетевом уровне ЭМВОС.

На структурном уровне система, обеспечивающая скрытность информационного обмена в ИВС не будет отличаться от системы представленной в ИВС, основанной на технологии ВЧС. Это связано с тем, что недостаток виртуальных частных сетей по отношению к скрытности заключается не в их структуре, а в их функциональности. Функциональные изменения необходимо осуществить лишь в ВЧС-модуле.

При выполнении требования по скрытности структуры распределенной ИВС можно использовать управление ее собственными характерными признаками. Для этого необходимо при помощи смены адресов ВЧС-модулей искусственно изменять видимую структуру распределенной ИВС, добавляя в нее новые элементы и связи между ними, создавая, таким образом, для злоумышленника видимость ложной структуры, состоящей из большего количества элементов и множества связей между ними. Причем за счет смены адресов новые элементы ИВС не будут ложными, а информационный поток, реализующий информационный обмен между элементами будет разбиваться на совокупность информационных потоков, как это представлено на рисунке 2.5.

Рисунок 2.5 - Видимое изменение структуры распределенной ИВС

Смена адресов ВЧС-модулей может осуществляться различными способами.

Один способ обеспечивается выбором адресов обоих ВЧС-модулей, участвующих в информационном обмене, из заданного диапазона по заранее заданному алгоритму.

Другой способ обеспечивается случайным выбором адресов обоих ВЧС-модулей и передаче их в закодированной части пакетов сообщений.

Для обеспечения диапазонов адресов ВЧС-модулей в зависимости от поставленной задачи и объемов информационного обмена достаточно выбрать некоторое количество (например, от 10 до 255) адресов подсети класса C. Размер последовательностей пакетов, передаваемых с одного адреса, может быть постоянным или изменяющимся, что зависит от требуемого закона распределения информационных потоков между «ложными» элементами ИВС.

В связи с тем, что помимо логических адресов, отображаемых в заголовках пакетов сетевого уровня, оборудование имеет физические адреса, отображаемые в заголовках физического уровня, которые можно обнаружить в рамках одного локального сегмента необходимо также предусмотреть смену физических адресов ВЧС-модулей на программном уровне, либо наличие маршрутизатора сразу после ВЧС-модуля.

Введение злоумышленника в заблуждения относительно структуры ИВС такими способами позволит получить выигрыш в следующих моментах:

- наличие большого количества элементов, имеющих различные адреса, в структуре ИВС и множества информационных потоков между ними существенно затруднит выделение распределенной ИВС и ее элементов на фоне множества элементов ТКС;

- отсутствие признаков, того, что видимая структура ИВС является ложной, не позволит злоумышленнику установить истинную структуру.

- отсутствие у злоумышленника информации об истинной структуре ИВС не позволит ему собрать воедино все пакеты, входящие в информационный поток, а значит, и декодировать полностью передаваемую информацию;

- отсутствие у злоумышленника информации об истинной структуре ИВС не позволит ему осуществить деструктивные воздействия (например, атака типа «отказ в обслуживании») на ВЧС-модули с целью нарушить сеанс связи.

Понятно, что функционирование ИВС, применяющей описанные механизмы, должно осуществляться так, чтобы не вызвать подозрений у злоумышленника, что вызывает дополнительную необходимость обеспечения скрытности алгоритмов функционирования такой системы.

При выполнении требования по скрытности алгоритмов функционирования можно использовать механизм управления характерными признаками алгоритмов функционирования. Таким механизмом является механизм маскирующего обмена. Маскирующий обмен можно реализовать различными способами.

Один из способов маскирующего обмена заключается в том, чтобы скрыть реальный информационный поток среди ложных. Например, можно отправляя реальные пакеты сообщений одновременно (последовательно за короткий промежуток времени) отправлять ложные (рис. 2.6). Причем ложные пакеты можно отправлять с тех же адресов что и реальные, а можно с других. Таким образом, достигаются две цели:

- реальные пакеты сообщений «теряются» среди ложных;

- объем трафика передаваемого с различных адресов за короткий промежуток времени возрастает.

Рисунок 2.6 - Организация маскирующего обмена в распределенной ИВС

Несмотря на внешнее изменение логической структуры и алгоритмов функционирования, информационный обмен такой системы останется прозрачным для пользователей и вместе с тем существенно затруднит для злоумышленника процесс выделения объекта защиты из множества элементов ТКС, создавая для злоумышленника видимость «реального» функционирования совокупности элементов ТКС.

Следовательно, можно сделать вывод, что управление характерными признаками распределенной ИВС позволяет обеспечить скрытность ее информационного обмена.

Выбор вариантов реализации или их комбинации зависит от конкретно поставленной задачи и имеющихся возможностей и ресурсов. В то же время разработанная модель инвариантна по отношению к способам технической реализации технологии ВЧС, которая заложена в основу модели.

Дальнейшая декомпозиция функциональной модели не требуется, т.к. учтены все процессы, обеспечивающие скрытность информационного обмена.

Выводы по 2 разделу

1. Установлен факт отсутствия адекватных моделей обеспечения скрытности информационного обмена современных ИВС. Сформулированы выводы об актуальности и важности разработки таких моделей.

2. Дано определение характерным признакам ИВС.

3. Выделены характерные признаки современных ИВС.

4. Показана зависимость возможностей злоумышленника от наличия характерных признаков присущих современным ИВС и выделяющих их на фоне ТКС и сделан вывод о необходимости управления характерными признаками ИВС с точки зрения ее защиты.

5. Представлены классы скрытности ИВС и определено, что информационная скрытность обеспечивается механизмами технологии ВЧС.

6. Определено, что недостатки технологии ВЧС по отношению к скрытности заключаются не в их структуре, а в их функциональных особенностях.

7. Разработана функциональная модель обеспечения скрытности информационного обмена современных ИВС, основанная на управлении ее характерными признаками и учитывающая необходимость создания у злоумышленника видимости повседневного функционирования элементов ТКС.

8. Разработанная модель инвариантна к способу технической реализации технологии ВЧС.

информационный защита сеть алгоритм

3. Разработка предложений по обеспечению структурной скрытности распределенных Информационно-вычислительных сетей

3.1 Разработка алгоритмов обеспечения структурной скрытности распределенных ИВС

Деструктивные действия злоумышленников направлены на уязвимые места средств защиты, телекоммуникационного оборудования, операционных систем и системных приложений ИВС с целью реализовать присущие этим системам угрозы.

Сбор информации злоумышленником о недостатках программного и аппаратного обеспечения осуществляется из-за возможности вскрытия структуры распределенных ИВС путем анализа трафика.

Для обеспечения большей безопасности ИВС необходимо скрывать ее видимую структуру на фоне множества элементов ТКС. Но распределенные ИВС проявляют себя в каналах связи посредством информационного обмена удаленных сегментов.

Информационный обмен скрыть очень сложно, так как существующий механизм создания соединений известен [9], также как известна и структура передаваемых пакетов сообщений. Информация протоколов верхних уровней ЭМВОС инкапсулируется в пакеты следующих вниз за ними уровней и, в конце концов, в канал связи передается пакет канального уровня, заголовок которого имеет информацию о физических адресах отправителя и получателя данного пакета. Такая информация актуальна только в пределах локальных сегментов ИВС. При маршрутизации пакетов сообщений по каналам связи ТКС основную роль играют адреса сетевого уровня (IP-адреса).

В технологии виртуальных частных сетей информация прикладного и транспортного уровней ЭМВОС кодируется и в открытом виде по каналу связи передается только заголовок IP-пакета сообщений. Структура IP-пакета известна (рисунок 3.1). Это позволяет выделить из заголовка IP-пакета сообщений характерные признаки (адреса отправителя и получателя пакета сообщений), выделяющие информационный обмен распределенной ИВС на фоне информационного обмена других элементов ТКС. Выделение характерных признаков информационного обмена позволяет злоумышленнику изучить структуру ИВС, следовательно, путем их скрытия возможно обеспечить скрытность самого информационного обмена и структуры ИВС.

Рисунок 3.1 - Структура IP-пакета сообщений ВЧС-технологии

Как уже сказано в п. 2.3 недостаток виртуальных частных сетей заключается не в их структуре, а в принципах их функционирования. Таким образом, необходима разработка алгоритмов функционирования модулей виртуальных частных сетей в соответствии с функциональной моделью, описанной в п. 2.3.

Блок-схема алгоритма функционирования системы обеспечения структурной скрытности распределенной ИВС представлена на рисунке 3.2.

Рисунок 3.2 - Блок-схема алгоритма функционирования системы обеспечения структурной скрытности распределенной ИВС

В блок-схеме приняты следующие обозначения:

N - количество адресов отправителя;

S - количество адресов получателя;

Ато - текущий адрес отправителя;

Атп - текущий адрес получателя;

Аооп - обратный адрес отправителя у получателя;

Аопп - обратный адрес получателя у получателя;

Аооо - обратный адрес отправителя у отправителя;

Аопо - обратный адрес получателя у отправителя.

Предварительно задают базу из N адресов отправителя и S адресов получателя. Значения N и S адресов отправителя и получателя выбирают в пределах N= 2-50, S= 2-50. Значения обратных адресов отправителя Аооо и получателя Аопо у отправителя и обратных адресов отправителя Аооп и получателя Аопп у получателя выбирают по случайному закону. Назначают из заданной базы текущие адреса отправителя Ато и получателя Атп и запоминают их. При этом назначенные адреса отправителя Ато и получателя Атп запоминают у получателя в качестве обратного адреса отправителя Аооп и обратного адреса получателя Аопп. Задают идентификаторы ложности и истинности пакетов сообщений. Формируют у отправителя информацию об обратных адресах отправителя Аооо и получателя Аопо, для чего у отправителя из предварительно заданной базы адресов выделяют в качестве обратных адреса отправителя Аооо и получателя Аопо и запоминают их. В сформированный у отправителя исходный пакет данных включают идентификатор его истинности, а при отсутствии у отправителя исходного пакета данных генерируют управляющий сигнал для формирования ложного исходного пакета данных. Формируют ложный исходный пакет данных и включают в него идентификатор его ложности. В полученный пакет данных включают обратные адреса отправителя Аооо и получателя Аопо. После преобразования кодированного пакета данных в формат TCP/IP, включения в него предварительно запомненных текущих адресов отправителя Ато и получателя Атп и передачи от отправителя к получателю информационного пакета сообщений, у отправителя заменяют его ранее назначенный текущий адрес Ато на предварительно запомненный обратный адрес отправителя Аооо. После выделения у получателя из принятого информационного пакета сообщений кодированных данных и декодирования их выделяют из декодированных данных обратные адреса отправителя Аооо и получателя Аопо, исходный пакет данных и его идентификатор. Сравнивают выделенный идентификатор с предварительно заданными идентификаторами ложности и истинности, и при совпадении выделенного идентификатора с идентификатором ложности исходный пакет данных не обрабатывают. Затем запоминают выделенные обратные адреса отправителя Аооо и получателя Аопо в качестве текущих адресов отправителя Ато и получателя Атп и заменяют текущий адрес получателя Атп на новый, выделенный из декодированных данных адрес получателя Аопо. Формируют у получателя информацию об обратных адресах отправителя Аооп и получателя Аопп, для чего выделяют у получателя из предварительно заданной базы адресов в качестве обратных адреса отправителя Аооп и получателя Аопп и запоминают их. Формируют у получателя уведомляющий пакет сообщений, для чего формируют исходный пакет данных с уведомлением о получении информационного пакета сообщений и промежуточный пакет путем включения в исходный пакет данных обратных адресов отправителя Аооп и получателя Аопп. Кодируют промежуточный пакет данных, преобразуют его в формат TCP/IP и включают в преобразованный пакет предварительно запомненные текущие адреса отправителя Ато и получателя Атп.

Передают сформированный уведомляющий пакет сообщений от получателя к отправителю, после чего у получателя заменяют его текущий адрес Атп на предварительно запомненный обратный адрес получателя Аопп.

Принимают у отправителя уведомляющий пакет, выделяют из него адреса отправителя Ато и получателя Атп, сравнивают их с предварительно запомненными у отправителя обратными адресами отправителя Аооо и получателя Аопо.

При несовпадении выделенных адресов с предварительно запомненными принятый уведомляющий пакет сообщений не анализируют, а при совпадении выделяют из принятого уведомляющего пакета сообщений кодированные данные, декодируют их и выделяют из них обратные адреса отправителя Аооп и получателя Аопп.

Выделенные из декодированных данных обратные адреса получателя Аопп и отправителя Аооп запоминают в качестве текущих адресов получателя Атп и отправителя Ато, а текущий адрес отправителя Ато заменяют на новый, выделенный из декодированных данных адрес отправителя Аооп. Формируют у отправителя информацию об обратных адресах отправителя Аооо и получателя Аопо.

3.2 Разработка алгоритмов управления интенсивностью информационного обмена удаленных сегментов распределенной ИВС

Особенность данных алгоритмов заключается в том, что они выводят управление характерными признаками (интенсивностью и временем информационного обмена) распределенных ИВС на новый уровень.

Они позволяют задавать интенсивность потока передаваемых пакетов данных.

Рисунок 3.3 - Разбиение временной оси на k интервалов

Управление интенсивностью достигается генерацией ложных пакетов данных. Для того, чтобы требуемая интенсивность не была статичной и имела стохастический характер, необходимо чтобы эта интенсивность имела распределение, совпадающее с заданным законом распределения. Для этого, в свою очередь требуется, чтобы эта интенсивность удовлетворяла статистическому критерию согласия.

Будем рассматривать критерий согласия .

Общее количество пакетов (суммарный трафик) равен .

Разобьем временную ось на интервалов.

Рисунок 3.4 - Разбиение временной оси на k интервалов

, т.е. - это количество пакетов, переданных за -ый промежуток времени.

Критерий согласия заключается в том, что для совпадения экспериментального распределения (нашей интенсивности) с теоретическим законом распределения, необходимо, чтобы выполнялась формула

(1)

где - суммарное количество передаваемых пакетов;

- значение теоретической вероятности предполагаемого закона;

- табличное значение, зависящее от общего количества пакетов , количества интервалов и уровень доверия .

(1) будет выполнено, если будет справедливо следующее соотношение:

(2)

из которого следует

(3)

Получено соотношение для . Если удовлетворяет неравенству при всех , то экспериментальное распределение (интенсивность трафика) имеет предполагаемое распределение.

В общем случае нам не известна интенсивность реального трафика, поэтому необходимо генерировать ложный трафик, чтобы суммарная интенсивность реального и ложного трафика имела необходимое распределение. Следовательно

(4)

Для -ого промежутка времени рассчитываем:

- сколько необходимо передать пакетов; мы заранее вычислить не можем (так как не знаем заранее интенсивности реального трафика), мы можем его узнать только к концу -ого промежутка времени, когда реальные пакеты (если они были) отосланы. Таким образом в конце

-ого промежутка времени можно рассчитать количество ложных пакетов для отправки

(5)

Рисунок 3.5 - Блок-схема алгоритма управления интенсивностью информационного обмена удаленных сегментов распределенной ИВС

Выводы по 3 разделу

1. Подтверждены выводы о необходимости скрытия структуры распределенных информационно-вычислительных систем в целях их защиты.

2. Определены направления поиска эффективных технических решений по обеспечению структурной скрытности распределенных информационно-вычислительных сетей.

3. Разработаны алгоритмы, обеспечивающие структурную скрытность распределенных информационно-вычислительных систем, в основу которых заложена технология виртуальных частных сетей.

4. Разработанные алгоритмы позволяют создать у злоумышленника, имеющего доступ к каналу связи, видимость ложной структуры ИВС, затрудняя тем самым процесс выделения распределенной ИВС на фоне множества элементов ТКС.

5. К числу положительных свойств разработанных алгоритмов следует также отнести их инвариантность к выбору технической реализации технологии виртуальных частных сетей.

4. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ

4.1 Концепция экономического обоснования разработки научно-технического продукта

Обеспечение конфиденциальности обрабатываемой в ИВС информации требует применения сложных программно-аппаратных комплексов и строгих организационных мероприятий, что приводит к большим затратам. Сегодня заинтересованность во внедрении таких комплексов проявляют не только коммерческие организации, но и государственные.

В рассматриваемой информационно-вычислительной сети (ИВС) циркулирует конфиденциальная информация. Такая информация представляет экономический интерес для злоумышленников и конкурентов и может быть получена, удалена или модифицирована посредством несанкционированного воздействия на нее.

Разрабатываемая система защиты информационно-вычислительных сетей (ИВС) позволит с высокой эффективностью предотвращать несанкционированные воздействия на ИВС, что существенно снизит угрозу утечки конфиденциальной информации, не уменьшит производительность пользователей ИВС за счет того, что не потребует от них дополнительных действий (в отличие от других средств защиты).

Разработка такой системы не является типовой, т.е. ее методика и разработка являются уникальными для каждого предприятия (организации), поскольку у каждой ИВС есть свои отличительные особенности (архитектура ИВС, информационные процессы и программное обеспечение их реализующее).

Разрабатываемая система выполняется под конкретного заказчика, коим может быть предприятие (организация) как крупного, так и среднего бизнеса. Для малого бизнеса разработка и внедрение такой системы будет не рентабельно, так как стоимость защищаемой информации в этом случае будет ниже стоимости системы защиты.

В разработке участвуют: проектировщик системы и 2 разработчика, сроки проведения работ 10 месяцев. Ставка проектировщика - 40000 руб. в месяц, разработчика - 30000 руб. в месяц

Таким образом, можно рассчитать основную заработную плату за разработку:

Сзо = 10*40000 + 10*2*30000 = 1 000 000 руб.

Дополнительная заработная плата составляет 12% от суммы основной зар. платы;

Сзд = 1 000 000*0,12 = 120 000 руб.

Отчисления на социальные нужды 26%:

Ссн = 1 000 000 * 0,26 = 260 000 руб.

Накладные расходы составляют 33%:

Снр = (1 000 000 + 120 000)*0,33 = 369 600 руб.

Калькуляция расходов по статье «материалы» Таблица 4.1

Материалы

Единица измерения

Количество

Цена, руб.

Сумма, руб.

Бумага для принтера

пачка (500 листов)

1

120,00

120,00

Картридж для принтера

шт.

2

1 000,00

2 000,00

Расходы на получение патента на разрабатываемую систему защиты

шт.

1

5 000,00

5 000,00

Транспортные расходы

800,00

ВСЕГО:

7 920,00

Калькуляция расходов по статье «оборудование» Таблица 4.2

Оборудование

Единица измерения

Количество

Цена, руб.

Сумма, руб.

Сервер безопасности локального сегмента АС на котором проводится тестирование

шт.

1

50 000,00

50 000,00

ВСЕГО:

50 000,00

Транспортные расходы рассчитаны, исходя из стоимости доставки сервера безопасности службой доставки, и таким образом, составили 800 рублей.

Расчетный период внедрения программного продукта составляет пятнадцать дней. Система разрабатывается для конкретного заказчика, поэтому все индивидуальные особенности учитываются в период разработки. Внедрение будет состоять из установки программного обеспечения. Для этого необходимо наличие одного специалиста. Затраты на специалиста составят 100000 рублей (включая заработную плату сотрудника и командировочные расходы). Сумма на внедрение программного продукта предусматривает отдаленное расположение объектов ИВС заказчика.

Калькуляция себестоимости разработки Таблица 4.3

Статья затрат

Сумма, руб.

Материалы

7 920,00

Оборудование

50 000,00

Основная заработная плата

1 000 000,00

Дополнительная заработная плата

120 000,00

Отчисления на социальные нужды

260 000,00

Внедрение проекта

100 000,00

Накладные расходы

369 600,00

ИТОГО себестоимость:

1 907 520,00

В результате вычислений получаем себестоимость разработки равную 1 907 520,00 рублям.

В связи с развитием в последние годы негосударственного сектора экономики и расширением сферы применения информационно-вычислительных сетей обработки информации и управления в сфере предпринимательской деятельности, проблема защиты информации стала выходить за традиционные рамки. В настоящее время количество регистрируемых противоправных действий в информационной области неуклонно растет. Раскрытие конфиденциальной информации, помимо нанесения ущерба репутации компании, может привести к ее разорению. Так, потеря банком 20% конфиденциальной информации приводит к его разорению[25].

Необходимость в разработке средств защиты информации в области телекоммуникационных систем связана с тем, что существует множество субъектов и структур, заинтересованных в чужой информации и готовых заплатить за это высокую цену.

Защита информации должна по своим характеристикам быть соразмерной масштабам угроз. Для каждой системы имеется оптимальный уровень защищенности, который и нужно поддерживать.

Сопоставляя все возможные потери коммерческой структуры от раскрытия или утраты конфиденциальной информации со стоимостью проектируемой системы, можно сделать вывод, что реализация и внедрение проекта для него экономически целесообразно.

5. Вопросы интеллектуальной собственности

В процессе проведения патентно-информационного поиска по уровню техники были выявлены следующие аналоги заявленного изобретения:

№2152691. Реферат

Изобретение относится к системам защиты для подсоединения первой компьютерной сети ко второй компьютерной сети. Техническим результатом является то, что каждая материнская плата обеспечивает преобразование протокола из первого протокола во второй протокол и удаляет адресную информацию об источнике и о назначении из коммуникационных сообщений, переданных на другую компьютерную материнскую плату, промежуточные программные средства интерфейса прикладных программ или программные средства динамической библиотеки связи обеспечивают управление коммуникационными сообщениями между двумя материнскими платами для прохождения кодов, необходимых для запроса и получения сервиса от другой компьютерной сети, который достигается тем, что устройство защиты имеет пару компьютерных материнских плат, каждая из которых имеет сетевой интерфейсный адаптер для приема и передачи коммуникационных сообщений от компьютерной сети на адаптер передачи, которые должны быть переданы в другую компьютерную сеть через адаптер передачи и сетевой интерфейсный адаптер, имеющихся на второй компьютерной материнской плате. 2 с. и 9 з.п.ф-лы, 1 ил.

Способ заключается в выполнении следующих действий: принимают на первый сетевой интерфейс из первой компьютерной сети коммуникационное сообщение в первом формате сетевого протокола. Преобразуют коммуникационное сообщение во второй формат сетевого протокола, в результате чего информация об адресах источника и назначения удаляется из коммуникационного сообщения. Передают коммуникационное сообщение во второй сетевой интерфейс. Осуществляют обратное преобразование во втором сетевом интерфейсе коммуникационного сообщения в первый формат сетевого протокола. Передают коммуникационное сообщение после обратного преобразования во вторую компьютерную сеть.

Недостатком известного способа является высокая вероятность нарушения конфиденциальности информации при использовании распределенной сети, а именно прослушивание и реконструкция трафика распределенной сети в некоторой точке сети Интернет, а также высокая вероятность нарушения нормального функционирования распределенной сети.

№2163727. Реферат

Изобретение относится к вычислительной технике, а именно к информационным вычислительным системам, реализуемым на компьютерных сетях, и может быть использовано для защиты информационных ресурсов в корпоративных сетях. Технический результат заключается в повышении защищенности ресурсов информационной вычислительной сети, повышении эффективности управления доступом к ресурсам за счет реализации в системе мандатного принципа управления доступом, сокращении оборудования в системе защиты и реализации оперативного управления соединением по параметрам безопасности. Технический результат достигается за счет того, что в систему комплексной защиты ресурсов информационной вычислительной сети, содержащую М межсетевых экранов корпорации, дополнительно введен блок формирования закрытого протокола, блок аутентификации клиента по IP-адресу, блок разрешения доступа по логическому имени сервера, блок выработки мандата на требуемые действия, блок проверки мандата клиента мандатом на требуемые действия и блок оперативного управления, введена клиентская часть системы защиты, введена серверная часть системы защиты. 7 ил.

Способ заключается в выполнении следующих действий: клиент согласовывает свои права доступа с межсетевым экраном, для чего на межсетевом экране проходят проверки. Если все проверки пройдены, то направляется пакет, разрешающий соединение между клиентом и межсетевым экраном. Далее пакет, разрешающий соединение, приходит к клиенту, проходя блок приемо/передатчика и блок шифрования/ расшифрования и электронной подписи. Затем его передают в блок формирования закрытого протокола. После чего отправляют пакет, устанавливающий соединение по стандартному соединению, но в каждом пакете заменяют IP-адреса сервера назначения на IP-адрес межсетевого экрана корпорации.

Недостатком известного способа является относительно низкая безопасность распределенной сети вследствие существования высокой вероятности нарушения ее нормального функционирования.

№2182355. Реферат

Изобретение относится к области вычислительной техники и может быть использовано при построении защищенных корпоративных виртуальных частных сетей, использующих в качестве связевой инфраструктуры сети публичного доступа, в частности сеть Интернет. Техническим результатом является обеспечение защиты, исключающей проникновение в локальную вычислительную сеть корпоративной виртуальной частной сети публичного доступа, а также съем информации пользователями сети публичного доступа. В способе определяют идентификаторы источника и получателя сообщений. Кодируют данные пакета и формируют выходной пакет. Преобразуют выходной пакет в формат TCP/IP и передают его в сеть Интернет, где определяют соответствие содержащихся в нем адресов сети Интернет и идентификаторов предварительно записанным в блоке памяти адресам и идентификаторам. При их совпадении передают декодированные данные пакета получателю сообщений. 2 с.п. ф-лы, 2 ил., 3 табл.

Способ заключается в выполнении следующих действий: предварительно формируют таблицы адресов источников и получателей и их соответствия идентификаторам. Формируют у отправителя исходный пакет данных. Определяют идентификаторы отправителя и получателя. Кодируют данные пакета. Добавляют в пакет сообщений дополнительную информацию (идентификаторы отправителя и получателя). Преобразуют выходной пакет в формат TCP/IP. Включают в преобразованный пакет данных в формате TCP/IP текущие адреса отправителя и получателя. Передают сформированный пакет. Принимают у получателя переданный пакет. Выделяют из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений. Сравнивают у получателя выделенные из полученного пакета сообщений адреса и идентификаторы отправителя и получателя сообщений с предварительно запомненными адресами и идентификаторами отправителя и получателя сообщений. При их несовпадении принятый пакет сообщений не анализируют, а при их совпадении выделяют из полученного пакета закодированные данные. Декодируют полученные данные. Определяют соответствие содержащихся в полученном пакете адресов отправителя сообщений и получателя сообщений и идентификаторов отправителя сообщений и получателя сообщений предварительно записанным в третьем блоке памяти адресам отправителя сообщений и получателя сообщений и идентификаторам отправителя сообщений и получателя сообщений. Передают декодированные данные пакета получателю сообщения при совпадении.

Недостатком известного способа является относительно невысокая безопасность распределенной ВС из-за существования высокой вероятности распознавания структуры ВС путем идентификации адресов корреспондентов при анализе трафика в некоторой точке сети Интернет.

Рассмотрим аналоги заявленного изобретения в таблице, согласно ГОСТ Р 15.011-96.

Предмет поиска (объект исследования, его составные части)

Страна выдачи, вид и номер охранного документа. Классификационный индекс*

Заявитель (патентообладатель), страна. Номер заявки, дата приоритета, конвенционный приоритет, дата публикации*

Название изобретения (полной модели, образца)

Сведения о действии охранного документа или причина его аннулирования (только для анализа патентной чистоты)

Элементы аппаратуры и схем, отнесенных к группам H04L 15/00 или H04L 17/00 (H04L13/00),

Защита от обращений к памяти посторонних пользователей (G06F12/14)

RU,

2152691,

C1

МАЦУСИТА ЭЛЕКТРИК КОРПОРЕЙШН ОФ АМЕРИКА (US),

96118130/09

1995.06.08

СИСТЕМА ЗАЩИТЫ ДЛЯ СВЯЗАННЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ

по данным на 15.01.2007 - прекратил действие

Соединение запоминающих устройств, устройств ввода-вывода или устройств центрального процессора или передача информации или других сигналов между этими устройствами (G06F13/00),

Защита от обращений к памяти посторонних пользователей (G06F12/14)

RU,

2163727,

C2

Щеглов А.Ю.,

Чистяков А.Б.,

Клипач В.С.,

Джабаров А.А.,

Бутенко В.В.,

98123403/09

1998.12.30

СИСТЕМА ЗАЩИТЫ ВИРТУАЛЬНОГО КАНАЛА КОРПОРАТИВНОЙ СЕТИ С МАНДАТНЫМ ПРИНЦИПОМ УПРАВЛЕНИЯ ДОСТУПОМ К РЕСУРСАМ, ПОСТРОЕННОЙ НА КАНАЛАХ СВЯЗИ И СРЕДСТВАХ КОММУТАЦИИ СЕТИ СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ

по данным на 15.01.2007 - прекратил действие

Защита от обращений к памяти посторонних пользователей (G06F12/14),

Устройства для программного управления, например блоки управления (G06F9/00)

RU,

2182355,

C1

ООО "Микротест-ТЕЛ",

2001126730/09

2001.10.03

СПОСОБ ЗАЩИТЫ КОРПОРАТИВНОЙ ВИРТУАЛЬНОЙ ЧАСТНОЙ КОМПЬЮТЕРНОЙ СЕТИ ОТ НЕСАНКЦИОНИРОВАННОГО ОБМЕНА ИНФОРМАЦИЕЙ С ПУБЛИЧНОЙ ТРАНСПОРТНОЙ СЕТЬЮ И СИСТЕМА ДЛЯ ЕГО ОСУЩЕСТВЛЕНИЯ

по данным на 15.01.2007 - прекратил действие, но может быть восстановлен

Выводы

В процессе проведения патентно-информационного поиска по уровню техники был выявлен наиболее близкий по своей технической сущности к заявленному способу - «Способ защиты корпоративной виртуальной частной компьютерной сети от несанкционированного обмена информацией с публичной транспортной сетью» по патенту РФ № 2182355 МПК G06F 12/14, 9/00, опубликованный 10.05.2002 г., который и был взят за прототип.

ЗАКЛЮЧЕНИЕ

В дипломном проекте была описана типовая структура информационно-вычислительной сети и проведен анализ угроз информационно-вычислительным сетям. Сделаны выводы о перспективности технологии виртуальных частных сетей. Обоснована необходимость разработки механизмов обеспечения структурной скрытности распределенных информационно-вычислительных сетей. Было решено за основу исследований принять технологию виртуальных частных сетей. Сделан вывод о том, что структурная скрытность распределенной информационно-вычислительной сети может быть достигнута путем обеспечения скрытности ее информационного обмена. Все это позволило четко сформулировать задачи для дипломного проектирования.

В процессе решения поставленных задач был установлен факт отсутствия адекватных моделей обеспечения скрытности информационного обмена современных информационно-вычислительных сетей, была разработана модель распределенной информационно-вычислительной сети на основе виртуальных частных сетей. Дано определение характерных признакам информационно-вычислительных сетей. На основе разработанной модели были выявлены характерные признаки распределенной информационно-вычислительной сети, основанной на технологии виртуальных частных сетей, позволяющие выделить ее на фоне множества элементов телекоммуникационной системы.

Показана зависимость возможностей злоумышленника от наличия характерных признаков присущих современным информационно-вычислительным сетей и выделяющих их на фоне телекоммуникационной системы и сделан вывод о необходимости управления характерными признаками ИВС с точки зрения ее защиты.

В процессе разработки модели обеспечения скрытности информационного обмена были предложены классы скрытности информационно-вычислительных сетей и выявлено, что один из классов достигается путем использования технологии виртуальных частных сетей, что подтвердило правильность выбора данной технологии за основу исследований. Также было определено, что недостаток виртуальных частных сетей по отношению к скрытности заключается не в их структуре, а в их функциональных особенностях.

Разработана функциональная модель обеспечения скрытности информационного обмена современных информационно-вычислительных сетей, основанная на управлении ее характерными признаками, учитывающая необходимость создания у злоумышленника видимости повседневного функционирования элементов телекоммуникационной системы и инвариантная к способу технической реализации технологии виртуальных частных сетей.

В процессе разработки предложений по обеспечению структурной скрытности современных информационно-вычислительных сетей были подтверждены выводы о необходимости скрытия структуры распределенных информационно-вычислительных сетей в целях их защиты.

Определены направления поиска эффективных технических решений по обеспечению структурной скрытности распределенных информационно-вычислительных сетей.

Разработаны алгоритмы, обеспечивающие структурную скрытность распределенных информационно-вычислительных сетей, в основу которых заложена технология виртуальных частных сетей. Описанные алгоритмы позволяют создать у злоумышленника, имеющего доступ к каналу связи, видимость ложной структуры ИВС, затрудняя тем самым процесс выделения распределенной ИВС на фоне множества элементов ТКС.

К числу положительных свойств разработанных алгоритмов следует также отнести их инвариантность к выбору технической реализации технологии виртуальных частных сетей, заложенная на уровне разработки функциональной модели.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного подхода, отсутствуют. Результаты поиска известных решений в данной и смежных областях техники показали, что общие признаки не следуют явным образом из уровня техники. Таким образом, новизна подхода очевидна.

Экономическая эффективность применения предложенных технических решений обоснована.

Таким образом, поставленные на дипломное проектирование задачи выполнены, а цель дипломного проекта достигнута - разработаны алгоритмы обеспечения скрытности распределенных информационно-вычислительных систем, применение которых позволяет снять ряд существенных противоречий в области защиты информации.

Список использованной литературы

1. Коцыняк М.А., Максимов Р.В. Показатели защищенности информации в автоматизированных системах. Деп. Рукопись. - М.: ЦВНИ МО РФ, справка №13709. Серия Б. Выпуск № 68. Инв. В5742, 2004.

2. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд. - СПб.: Питер, 2003.-864 с.: ил.

3. Блахнов Л.Л., Игнатенков В.Г. Инфокоммуникационные сети: архитектура, технологии, стандартизация. - М.: Радио и связь, 2004. - 56 с.: ил.

4. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через «Internet»/ Под научной редакцией проф. Зегжды П.Д. - М.: ДМК, 1999. - 336с.

5. Лукацкий А. В. Обнаружение атак. - СПб.: БХВ - Петербург, 2001. - 624 с.: ил.

6. Мафтик С. Механизмы защиты в сетях ЭВМ - М.: Мир, 1993. - 11 с.

7. Конеев И. Р., Беляев А. В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003. - 752 с.: ил.

8. Максимов Р.В., Павловский А.В., Зорин К.М. Необходимость и особенности организации маскирующего обмена в современных цифровых системах связи. Сборник трудов всеармейской НТК «Инновационная деятельность в ВС РФ» 2006. 3 с.

9. Олифер В.Г., Олифер Н.А. Сетевые операционные системы. - СПб.: Питер, 2001. -544 с.: ил.

10. Мельников Д.А. Информационные процессы в компьютерных сетях. - М.: Кудрин-образ. - 1999. - 60 с.

11. Гуров А. И. Инфосервис. // Системы безопасности. - 1995. №1.

Размещено на Allbest.ru


Подобные документы

  • Анализ современных информационно-вычислительных сетей предприятия. Построение модели незащищенной информационно-вычислительной сети предприятия. Виды удаленных и локальные атак. Анализ сетевого трафика. Методы защиты информационно-вычислительной сети.

    курсовая работа [640,2 K], добавлен 26.06.2011

  • Основные определения, необходимые для разработки алгоритма распределения программных модулей по вычислительным модулям вычислительной сети. Распределение операторов вычислительной системы с распределенной памятью для информационно-логической граф-схемы.

    курсовая работа [2,1 M], добавлен 08.01.2016

  • Проблематика построения виртуальных частных сетей (VPN), их классификация. Анализ угроз информационной безопасности. Понятия и функции сети. Способы создания защищенных виртуальных каналов. Анализ протоколов VPN сетей. Туннелирование на канальном уровне.

    дипломная работа [2,6 M], добавлен 20.07.2014

  • Параметры локальной вычислительной сети: среда передачи; структура, топология и архитектура сети; выбор операционных систем и активного оборудования. Анализ информационных потоков в распределенной системе. Расчет дальности беспроводной связи радиолиний.

    дипломная работа [3,3 M], добавлен 28.11.2012

  • Общий анализ структуры локальной вычислительной сети военного назначения. Необходимость повышения защиты информации путем использования дополнительных средств защиты. Создание виртуальных защищенных сетей в рамках локальной компьютерной сети объекта.

    дипломная работа [1,2 M], добавлен 20.10.2011

  • Цели создания виртуальных частных сетей, их классификация. Принцип работы, преимущества и недостатки данной технологии. Процесс обмена данными. Архитектура локальной сети, защита ее сегментов. Структура интегрированной виртуальной защищенной среды.

    курсовая работа [2,8 M], добавлен 28.03.2014

  • Организационная структура Центра службы занятости. Выбор конфигурации вычислительной сети, системы электронного документооборота. Проектирование структурной схемы вычислительной сети Центра службы занятости, схема размещения сетевой инфраструктуры.

    курсовая работа [3,0 M], добавлен 22.07.2011

  • Соединение компьютеров в сеть. Разработка локальной вычислительной сети. Организация информационного обмена данными между рабочими станциями, организация доступа пользователей к ресурсам ЛВС. Имитационная и математическая модели модернизированной сети.

    дипломная работа [2,8 M], добавлен 27.11.2012

  • Понятие и основные характеристики локальной вычислительной сети. Описание типологии "Шина", "Кольцо", "Звезда". Изучение этапов проектирования сети. Анализ трафика, создание виртуальных локальных компьютерных сетей. Оценка общих экономических затрат.

    дипломная работа [990,2 K], добавлен 01.07.2015

  • Разработка блок-схемы распределенной АСОИиУ фирмы и структурной схемы ЛВС центрального и удаленных офисов фирмы. Правила построения всех сетей фирмы, варианты связи, требуемое оборудование. Настройка рабочих параметров системы управления базами данных.

    дипломная работа [5,5 M], добавлен 15.12.2013

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.