Разработка подсистемы контроля доступа к ресурсам РСАО
|
Данный диплом содержит 196 страниц формата А4 и 6 листов графического материала формата А1.
В данном дипломном проекте производится разработка алгоритмов и программ подсистемы контроля доступа к ресурсам РСАО, предназначенной для контроль над ресурсами распределённой системы автоматизированного обучения (РСАО).
Разработка подсистемы контроля доступа к ресурсам РСАО, является частью комплекса работ по созданию РСАО. Основными задачами алгоритмов контроля доступа к ресурсам РСАО является: блокировка рабочей станции, обработка запросов пользователя к файловой системе и системному реестру, а также анализу исполняемых в системе процессов на допустимость.
Особое внимание уделено проблемам программной реализации разрабатываемых алгоритмов в рамках операционной системы Microsoft Windows95/98.
КЛЮЧЕВЫЕ СЛОВА: СКД, СИСТЕМА КОНТРОЛЯ ДОСТУПА, АВТОМАТИЗАЦИЯ, РАСПРЕДЕЛЁННАЯ СИСТЕМА АВТОМАТИЗИРОВАННОГО ОБУЧЕНИЕ, ИНФОРМАЦИОННАЯ ЗАЩИТА, ПРОГРАММИРОВАНИЕ, АЛГОРИТМЫ
ВВЕДЕНИЕ 10
2. ПОСТАНОВКА ЗАДАЧИ И ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ. 14
2.1. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ И ФУНКЦИОНИРОВАНИЯ РСАО. 15
2.2. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ К СИСТЕМЕ В ЦЕЛОМ. 43
2.3. ЭКОНОМИЧЕСКИЕ ТРЕБОВАНИЯ. 44
3. АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ. 46
3.1. СОВРЕМЕННЫЕ ТЕНДЕНЦИИ РАЗВИТИЯ ПЕРСПЕКТИВНЫХ МЕТОДОВ Н СРЕДСТВ ЗАЩИТЫ 50
3.2. МЕТОДЫ И АЛГОРИТМЫ КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ И СЕТЕЙ 53
3.2.1. Краткий анализ механизмов контроля доступа 53
3.2.2. Алгоритм блокировки рабочей станции 59
3.2.3. Алгоритм контроля над выполняемыми процессами. 60
3.2.4. Алгоритм контроля функционирования файловой системы. 60
3.2.5. Алгоритм контроля использования системного реестра. 62
3.2.6. Анализ существующих систем контроля доступа 63
4. АНАЛИЗ МЕТОДОВ РЕАЛИЗАЦИИ КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ В РАМКАХ ЗАДАННОЙ ОС 65
4.1. АЛГОРИТМ БЛОКИРОВКИ РАБОЧЕЙ СТАНЦИИ 65
4.2. АЛГОРИТМ КОНТРОЛЯ НАД ВЫПОЛНЯЕМЫМИ ПРОЦЕССАМИ. 65
4.3. АЛГОРИТМ КОНТРОЛЯ ФУНКЦИОНИРОВАНИЯ ФАЙЛОВОЙ СИСТЕМЫ. 65
4.4. АЛГОРИТМ КОНТРОЛЯ ИСПОЛЬЗОВАНИЯ СИСТЕМНОГО РЕЕСТРА. 66
5. РАЗРАБОТКА АЛГОРИТМОВ ПОДСИСТЕМЫ КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ РСАО. 67
5.1. ВЫБОР ПРИНЦИПОВ ПОСТРОЕНИЯ АЛГОРИТМОВ ФУНКЦИОНИРОВАНИЯ 67
5.2. РЕАЛИЗАЦИЯ МОДУЛЬНОЙ АРХИТЕКТУРЫ 68
5.3 АЛГОРИТМ ИНИЦИАЛИЗАЦИИ ПОДСИСТЕМЫ 69
5.4. АЛГОРИТМ ОБРАБОТКИ СООБЩЕНИЯ 70
5.5. АЛГОРИТМ БЛОКИРОВКИ РАБОЧЕЙ СТАНЦИИ 71
5.6. АЛГОРИТМ КОНТРОЛЯ НАД ВЫПОЛНЯЕМЫМИ ПРОЦЕССАМИ. 72
5.7. АЛГОРИТМ КОНТРОЛЯ ФУНКЦИОНИРОВАНИЯ ФАЙЛОВОЙ СИСТЕМЫ. 73
5.8. АЛГОРИТМ КОНТРОЛЯ ИСПОЛЬЗОВАНИЯ СИСТЕМНОГО РЕЕСТРА. 74
6. РАЗРАБОТКА И ОПИСАНИЕ ПРОГРАММ, РЕАЛИЗУЮЩИХ АЛГОРИТМЫ КОНТРОЛЯ ДОСТУПА 75
6.1. РАЗРАБОТКА ПРОГРАММНЫХ МОДУЛЕЙ ПОДСИСТЕМЫ КОНТРОЛЯ ДОСТУПА РСАО 75
6.2. СТРУКТУРА ПОДСИСТЕМЫ РАСПРЕДЕЛЕНИЯ ДОСТУПА К РЕСУРСАМ РСАО 76
6.3. ФУНКЦИИ, ВЫПОЛНЯЕМЫЕ КОМПОНЕНТАМИ ПОДСИСТЕМЫ РАСПРЕДЕЛЕНИЯ ДОСТУПА К РЕСУРСАМ РСАО 77
6.3.1. Функции основного модуля подсистемы распределения доступа к ресурсам РСАО 77
6.3.2. Функции модуля контроля использования файловой системы 78
6.3.4. Функции модуля контроля использования системного реестра 78
6.3.5. Функции модуля контроля исполняемых процессов 78
6.3.6. Функции модуля блокировки рабочей станции РСАО 79
6.3.7. Функции модуля проверки допустимости выполнения запроса пользователя 79
6.3.8. Функции модуля взаимодействия с приложениями РСАО 80
7. РАЗРАБОТКА И ОПИСАНИЕ API ПРОГРАММ КОНТРОЛЯ ДОСТУПА 80
7.1. РАЗРАБОТКА ВНЕШНИХ ПОДКЛЮЧАЕМЫХ МОДУЛЕЙ 81
7.2. РАЗРАБОТКА ПРИЛОЖЕНИЙ РСАО 85
8. РАЗРАБОТКА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ 86
8.1. ОПИСАНИЕ ПРИМЕНЕНИЯ 86
8.1.1. Назначение программы 86
8.1.2. Условия применения программы 87
8.1.3. Организация входных и выходных данных 88
8.2. РУКОВОДСТВО СИСТЕМНОГО ПРОГРАММИСТА 88
8.2.1. Общие сведения о программе 88
8.2.2. Структура программы 89
8.2.3. Установка и настройка программы 93
8.3. РУКОВОДСТВО ПРОГРАММИСТА 93
8.3.1. Назначение программы 94
8.3.2. Обращение к программе 94
8.3.3. Организация входных и выходных данных 95
8.4. РУКОВОДСТВО ОПЕРАТОРА 95
8.4.1. Назначение программы 95
8.4.2. Условия выполнения программы 96
8.4.3. Выполнение программы 96
8.4.4. Завершение работы программы 97
9. ЭКСПЕРИМЕНТАЛЬНАЯ ПРОВЕРКА РАБОТОСПОСОБНОСТИ 97
10. ЭКОНОМИЧЕСКАЯ ЧАСТЬ 98
10.1. РАСЧЕТ ТРУДОЕМКОСТИ 98
10.2. РАСЧЕТ СМЕТЫ ЗАТРАТ 101
11. БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА 109
11.1. ОПАСНЫЕ И ВРЕДНЫЕ ФАКТОРЫ В УСЛОВИЯХ ВЦ 110
11.1.1. Анализ условий труда оператора вычислительной техники с оценкой тяжести и напряженности труда 112
11.1.2. Разработка мероприятий по обеспечению оптимальных условий зрительной работы при обработке информации на ПЭВМ. 119
11.2. АНАЛИЗ ПСИХОФИЗИОЛОГИЧЕСКИХ НАГРУЗОК ПРИ ОБРАБОТКЕ ИНФОРМАЦИИ И ИХ ВЛИЯНИЕ НА ЗДОРОВЬЕ И РАБОТОСПОСОБНОСТЬ ОПЕРАТОРА 124
11.3. ЭКОЛОГИЧНОСТЬ ПРОЕКТА 124
ЗАКЛЮЧЕНИЕ 126
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 127
ПРИЛОЖЕНИЯ 131
ПРИЛОЖЕНИЕ 1: ТАБЛИЦА СУЩЕСТВУЮЩИХ СРЕДСТВ КОНТРОЛЯ ДОСТУПА. 131
ПРИЛОЖЕНИЕ 2: ИСХОДНЫЕ ТЕКСТЫ ПРОГРАММНЫХ МОДУЛЕЙ 134
c0re32.dpr 134
c0re32.dof 134
c0re32.cfg 134
c0api_1.dpr 134
c0api_1.dof 134
c0api_1.cfg 134
c0api32.dpr 134
c0api32.dof 134
c0api32.cfg 134
c0pmon.dpr 134
c0pmon.dof 134
c0pmon.cfg 134
c0pmon_unit1.pas 134
c0re_ldr.dpr 134
c0re_ldr.dof 134
c0re_ldr.cfg 134
C0RE_PlugIn.pas 134
fmLock.dfm 134
fmLock.pas 134
logFile.dpr 134
logFile.dof 134
logFile.cfg 134
test.dpr 134
test.dof 134
test.cfg 134
ws_lock.dpr 134
ws_lock.dof 134
ws_lock.cfg 134
vxdf_pas.pas 134
vxdf_asm.asm 134
vxdf_def.def 134
vxdf_inc1.inc 134
vxdf_inc2.inc 134
c0fsu.dpr 134
c0fsu.dof 134
c0fsu.cfg 134
В данном дипломном проекте производится разработка алгоритмов и программ подсистемы контроля доступа к ресурсам РСАО, предназначенной для контроль над ресурсами распределённой системы автоматизированного обучения (РСАО).
Разработка подсистемы контроля доступа к ресурсам РСАО, является частью комплекса работ по созданию РСАО. Основными задачами алгоритмов контроля доступа к ресурсам РСАО является: блокировка рабочей станции, обработка запросов пользователя к файловой системе и системному реестру, а также анализу исполняемых в системе процессов на допустимость.
Особое внимание уделено проблемам программной реализации разрабатываемых алгоритмов в рамках операционной системы Microsoft Windows95/98.
КЛЮЧЕВЫЕ СЛОВА: СКД, СИСТЕМА КОНТРОЛЯ ДОСТУПА, АВТОМАТИЗАЦИЯ, РАСПРЕДЕЛЁННАЯ СИСТЕМА АВТОМАТИЗИРОВАННОГО ОБУЧЕНИЕ, ИНФОРМАЦИОННАЯ ЗАЩИТА, ПРОГРАММИРОВАНИЕ, АЛГОРИТМЫ
ВВЕДЕНИЕ 10
2. ПОСТАНОВКА ЗАДАЧИ И ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ. 14
2.1. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ И ФУНКЦИОНИРОВАНИЯ РСАО. 15
2.2. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ К СИСТЕМЕ В ЦЕЛОМ. 43
2.3. ЭКОНОМИЧЕСКИЕ ТРЕБОВАНИЯ. 44
3. АНАЛИЗ СУЩЕСТВУЮЩИХ МЕТОДОВ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ. 46
3.1. СОВРЕМЕННЫЕ ТЕНДЕНЦИИ РАЗВИТИЯ ПЕРСПЕКТИВНЫХ МЕТОДОВ Н СРЕДСТВ ЗАЩИТЫ 50
3.2. МЕТОДЫ И АЛГОРИТМЫ КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ И СЕТЕЙ 53
3.2.1. Краткий анализ механизмов контроля доступа 53
3.2.2. Алгоритм блокировки рабочей станции 59
3.2.3. Алгоритм контроля над выполняемыми процессами. 60
3.2.4. Алгоритм контроля функционирования файловой системы. 60
3.2.5. Алгоритм контроля использования системного реестра. 62
3.2.6. Анализ существующих систем контроля доступа 63
4. АНАЛИЗ МЕТОДОВ РЕАЛИЗАЦИИ КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ В РАМКАХ ЗАДАННОЙ ОС 65
4.1. АЛГОРИТМ БЛОКИРОВКИ РАБОЧЕЙ СТАНЦИИ 65
4.2. АЛГОРИТМ КОНТРОЛЯ НАД ВЫПОЛНЯЕМЫМИ ПРОЦЕССАМИ. 65
4.3. АЛГОРИТМ КОНТРОЛЯ ФУНКЦИОНИРОВАНИЯ ФАЙЛОВОЙ СИСТЕМЫ. 65
4.4. АЛГОРИТМ КОНТРОЛЯ ИСПОЛЬЗОВАНИЯ СИСТЕМНОГО РЕЕСТРА. 66
5. РАЗРАБОТКА АЛГОРИТМОВ ПОДСИСТЕМЫ КОНТРОЛЯ ДОСТУПА К РЕСУРСАМ РСАО. 67
5.1. ВЫБОР ПРИНЦИПОВ ПОСТРОЕНИЯ АЛГОРИТМОВ ФУНКЦИОНИРОВАНИЯ 67
5.2. РЕАЛИЗАЦИЯ МОДУЛЬНОЙ АРХИТЕКТУРЫ 68
5.3 АЛГОРИТМ ИНИЦИАЛИЗАЦИИ ПОДСИСТЕМЫ 69
5.4. АЛГОРИТМ ОБРАБОТКИ СООБЩЕНИЯ 70
5.5. АЛГОРИТМ БЛОКИРОВКИ РАБОЧЕЙ СТАНЦИИ 71
5.6. АЛГОРИТМ КОНТРОЛЯ НАД ВЫПОЛНЯЕМЫМИ ПРОЦЕССАМИ. 72
5.7. АЛГОРИТМ КОНТРОЛЯ ФУНКЦИОНИРОВАНИЯ ФАЙЛОВОЙ СИСТЕМЫ. 73
5.8. АЛГОРИТМ КОНТРОЛЯ ИСПОЛЬЗОВАНИЯ СИСТЕМНОГО РЕЕСТРА. 74
6. РАЗРАБОТКА И ОПИСАНИЕ ПРОГРАММ, РЕАЛИЗУЮЩИХ АЛГОРИТМЫ КОНТРОЛЯ ДОСТУПА 75
6.1. РАЗРАБОТКА ПРОГРАММНЫХ МОДУЛЕЙ ПОДСИСТЕМЫ КОНТРОЛЯ ДОСТУПА РСАО 75
6.2. СТРУКТУРА ПОДСИСТЕМЫ РАСПРЕДЕЛЕНИЯ ДОСТУПА К РЕСУРСАМ РСАО 76
6.3. ФУНКЦИИ, ВЫПОЛНЯЕМЫЕ КОМПОНЕНТАМИ ПОДСИСТЕМЫ РАСПРЕДЕЛЕНИЯ ДОСТУПА К РЕСУРСАМ РСАО 77
6.3.1. Функции основного модуля подсистемы распределения доступа к ресурсам РСАО 77
6.3.2. Функции модуля контроля использования файловой системы 78
6.3.4. Функции модуля контроля использования системного реестра 78
6.3.5. Функции модуля контроля исполняемых процессов 78
6.3.6. Функции модуля блокировки рабочей станции РСАО 79
6.3.7. Функции модуля проверки допустимости выполнения запроса пользователя 79
6.3.8. Функции модуля взаимодействия с приложениями РСАО 80
7. РАЗРАБОТКА И ОПИСАНИЕ API ПРОГРАММ КОНТРОЛЯ ДОСТУПА 80
7.1. РАЗРАБОТКА ВНЕШНИХ ПОДКЛЮЧАЕМЫХ МОДУЛЕЙ 81
7.2. РАЗРАБОТКА ПРИЛОЖЕНИЙ РСАО 85
8. РАЗРАБОТКА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ 86
8.1. ОПИСАНИЕ ПРИМЕНЕНИЯ 86
8.1.1. Назначение программы 86
8.1.2. Условия применения программы 87
8.1.3. Организация входных и выходных данных 88
8.2. РУКОВОДСТВО СИСТЕМНОГО ПРОГРАММИСТА 88
8.2.1. Общие сведения о программе 88
8.2.2. Структура программы 89
8.2.3. Установка и настройка программы 93
8.3. РУКОВОДСТВО ПРОГРАММИСТА 93
8.3.1. Назначение программы 94
8.3.2. Обращение к программе 94
8.3.3. Организация входных и выходных данных 95
8.4. РУКОВОДСТВО ОПЕРАТОРА 95
8.4.1. Назначение программы 95
8.4.2. Условия выполнения программы 96
8.4.3. Выполнение программы 96
8.4.4. Завершение работы программы 97
9. ЭКСПЕРИМЕНТАЛЬНАЯ ПРОВЕРКА РАБОТОСПОСОБНОСТИ 97
10. ЭКОНОМИЧЕСКАЯ ЧАСТЬ 98
10.1. РАСЧЕТ ТРУДОЕМКОСТИ 98
10.2. РАСЧЕТ СМЕТЫ ЗАТРАТ 101
11. БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ ПРОЕКТА 109
11.1. ОПАСНЫЕ И ВРЕДНЫЕ ФАКТОРЫ В УСЛОВИЯХ ВЦ 110
11.1.1. Анализ условий труда оператора вычислительной техники с оценкой тяжести и напряженности труда 112
11.1.2. Разработка мероприятий по обеспечению оптимальных условий зрительной работы при обработке информации на ПЭВМ. 119
11.2. АНАЛИЗ ПСИХОФИЗИОЛОГИЧЕСКИХ НАГРУЗОК ПРИ ОБРАБОТКЕ ИНФОРМАЦИИ И ИХ ВЛИЯНИЕ НА ЗДОРОВЬЕ И РАБОТОСПОСОБНОСТЬ ОПЕРАТОРА 124
11.3. ЭКОЛОГИЧНОСТЬ ПРОЕКТА 124
ЗАКЛЮЧЕНИЕ 126
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 127
ПРИЛОЖЕНИЯ 131
ПРИЛОЖЕНИЕ 1: ТАБЛИЦА СУЩЕСТВУЮЩИХ СРЕДСТВ КОНТРОЛЯ ДОСТУПА. 131
ПРИЛОЖЕНИЕ 2: ИСХОДНЫЕ ТЕКСТЫ ПРОГРАММНЫХ МОДУЛЕЙ 134
c0re32.dpr 134
c0re32.dof 134
c0re32.cfg 134
c0api_1.dpr 134
c0api_1.dof 134
c0api_1.cfg 134
c0api32.dpr 134
c0api32.dof 134
c0api32.cfg 134
c0pmon.dpr 134
c0pmon.dof 134
c0pmon.cfg 134
c0pmon_unit1.pas 134
c0re_ldr.dpr 134
c0re_ldr.dof 134
c0re_ldr.cfg 134
C0RE_PlugIn.pas 134
fmLock.dfm 134
fmLock.pas 134
logFile.dpr 134
logFile.dof 134
logFile.cfg 134
test.dpr 134
test.dof 134
test.cfg 134
ws_lock.dpr 134
ws_lock.dof 134
ws_lock.cfg 134
vxdf_pas.pas 134
vxdf_asm.asm 134
vxdf_def.def 134
vxdf_inc1.inc 134
vxdf_inc2.inc 134
c0fsu.dpr 134
c0fsu.dof 134
c0fsu.cfg 134
В последнее время в системах организационно-технического типа обмен электронными документами все чаще используется вместо бумажного документооборота, а место телефонных звонков и служебных записок занимают сообщения электронной почты. Для решения сложных управленческих задач все шире применяются вычислительные системы и информационно-вычислительные сети (ИВС), в которых информация передается с использованием телефонных линий и каналов спутниковой связи.
Все это происходит в условиях, когда существующие информационно-справочные и информационно-расчетные системы первоначально создавались как обособленные объекты. В дальнейшем усложнение решаемых задач привело к возникновению объективной необходимости объединения существующих рабочих станций, мини- ЭВМ, универсальных ЭВМ и локальных вычислительных сетей (ЛВС) различного назначения. Получившиеся и получающиеся в результате такого объединения ИВС включают в себя системы, использующие как отечественные операционные системы, так и многочисленные варианты платформ UNIX, MS-DOS, Windows, Macintosh System, NetWare, а также множество вариантов сетевых протоколов TCP/IP, VMS, MVS и т.д.
Столь сложная организация сетевых систем создает реальные предпосылки для успешного осуществления всевозможных нарушений. В частности, усложнение структуры ИВС и использование в них разнотипных операционных систем приводит к значительному упрощению несанкционированного доступа (НСД) к секретной и конфиденциальной информации.
В этих условиях обеспечить безопасность информации возможно только при условии принятия специальных мер, основанных на реализации процедур контроля доступа к ресурсам ИВС и шифрования передаваемой по линии связи информации. Однако большинство находящихся сейчас в эксплуатации как автономных, так и сетевых операционных систем были разработаны без учета требований по защите информации. Поэтому они оказались либо вообще незащищенными, либо средства защиты и контроля доступа в них играют роль дополнений к исходной системе.
Все это происходит в условиях, когда существующие информационно-справочные и информационно-расчетные системы первоначально создавались как обособленные объекты. В дальнейшем усложнение решаемых задач привело к возникновению объективной необходимости объединения существующих рабочих станций, мини- ЭВМ, универсальных ЭВМ и локальных вычислительных сетей (ЛВС) различного назначения. Получившиеся и получающиеся в результате такого объединения ИВС включают в себя системы, использующие как отечественные операционные системы, так и многочисленные варианты платформ UNIX, MS-DOS, Windows, Macintosh System, NetWare, а также множество вариантов сетевых протоколов TCP/IP, VMS, MVS и т.д.
Столь сложная организация сетевых систем создает реальные предпосылки для успешного осуществления всевозможных нарушений. В частности, усложнение структуры ИВС и использование в них разнотипных операционных систем приводит к значительному упрощению несанкционированного доступа (НСД) к секретной и конфиденциальной информации.
В этих условиях обеспечить безопасность информации возможно только при условии принятия специальных мер, основанных на реализации процедур контроля доступа к ресурсам ИВС и шифрования передаваемой по линии связи информации. Однако большинство находящихся сейчас в эксплуатации как автономных, так и сетевых операционных систем были разработаны без учета требований по защите информации. Поэтому они оказались либо вообще незащищенными, либо средства защиты и контроля доступа в них играют роль дополнений к исходной системе.