litceysel.ru
добавить свой файл
1 2 ... 8 9

Секция Защита информации в распределенных компьютерных системах


Защита информационных процессов

в распределенных компьютерных системах


Е.С.Абрамов, Л.К.Бабенко, О.Б.Макаревич, О.Ю.Пескова

Россия, г. Таганрог, ТРТУ


Разработка архитектуры системы обнаружения атак

на основе нейронной сети


Приводятся результаты исследования возможности применения искусственной нейронной сети для обнаружения сетевых атак. Предлагается оригинальный подход к реализации механизма корреляции предупреждений об атаках. Предлагается архитектура СОА.

Большинство современных систем обнаружения атак (СОА) осуществляют обнаружение атак путём контроля профилей поведения либо поиска специфических строковых сигнатур. Используя эти методы, практически невозможно создать полную базу данных, содержащую сигнатуры большинства атак. Основное преимущество систем обнаружения атак, использующих нейронные сети, в том, что нейросеть не ограничена знаниями, которые заложил в неё программист. Они имеют возможность учиться на предшествующих событиях – как на аномальном, так и на нормальном трафике. За счёт этого достигается высокая эффективность и адаптивность СОА.

Существуют различные варианты применения нейросетевых систем обнаружения атак (НСОА) – анализ всего сетевого трафика в защищаемом сегменте сети, анализ команд, вводимых пользователем, анализ переходов состояний и др. Далее описывается использование многослойного персептрона в качестве анализатора трафика и архитектура НСОА с корреляцией событий.

Рассмотрим вариант, когда нейросетевой подход используется для своевременного обнаружения в сетевом трафике IP-дейтаграмм, содержащих в своих заголовках признаки атак [1].

На вход нейронной сети подаются признаки заголовков всех IP-дейтаграмм, перехватываемых сенсорами СОА. На основании аналогии с обучающими данными нейросеть сигнализирует о наличии или отсутствии признаков атаки. Данная задача фактически представляет собой классификацию поступающих заголовков IP-пакетов по принципу, есть ли в них признаки атаки или нет. Поскольку такая классификация не поддаётся формальному описанию, а некоторые примеры «подозрительных» и «неподозрительных» пакетов известны, то для решения такой задачи может быть предложена нейронная сеть типа многослойный персептрон ввиду его способности к глобальной аппроксимации, которая в условиях неопределённости более предпочтительна, чем локальная.


Рассмотрим процесс формирования данных для СОА на основе нейронной сети. Характеристикой пакета будем считать восемнадцать элементов, как правило, представляющих в сети пакеты данных: протокол, связанный с событием; номер порта источника; номер порта хоста назначения; IP-адреса источника и получателя (0, если IP-адрес источника принадлежит интрасети и 1 в противоположном случае); тип ICMP пакета; кодовое поле ICMP-пакета; длина данных в пакете; флаги IP-дейтаграммы (MF и DF); байт TCP флагов.

Предложенный алгоритм используется для обнаружения известных и выявления новых атак.

Рассмотрим структуру подсистемы корреляции сообщений об атаках рис.1 [2].

Корреляция позволит решить следующие проблемы:

- уменьшить число ложных срабатываний (false positive);

- уменьшить число пропуска атак (false negative);

- получить более полную и точную информацию о причине возникновения предупреждения.

Пусть для реализации атаки необходимо предпринять ряд последовательных шагов: сбор разведывательной информации, проникновение, получение привилегий, выполнение определённых действий и т.п. Тогда этапы реализации можно организовать в «план атаки». Назначение модуля корреляции – на основании сообщений об атаках распознать план атаки.

Р
ис. 1. Подсистема корреляции сообщений об атаках

Для этого необходимо производить накопление сообщений сетевых датчиков (назовём их «примитивами»). Обычно они содержат большое число ложных сообщений. В блоке накопления сохраняются сообщения за определённый промежуток времени. По истечении этого времени «примитивы» подаются на вход блока корреляции. Блок корреляции реализует некоторую функцию объединения, которая на основании анализа входных данных формирует новое сообщение. Это сообщение позволяет получить синтетическую информацию о зарегистрированных атаках.


Рассмотрим теперь архитектуру НСОА с корреляцией сообщений об атаках. Сетевой трафик в реальном времени обрабатывается при помощи многослойного персептрона, обученного распознавать атаки на основе анализа параметров заголовков и порций данных. Сообщения о зарегистрированных атаках накапливаются в буфере сообщений. Через заданные промежутки времени сообщения передаются для анализа блоку корреляции, который формирует кластеры сообщений, относящихся к конкретным планам атак. После этого сообщения из буфера сохраняются в архивной базе данных для проведения корреляционного анализа за более значительный промежуток времени, и буфер очищается.

Результаты работы модуля корреляции попадают на входы нейросети типа многослойный персептрон, обученный распознавать последовательности наборов признаков (сообщений), характеризующих определённый план атаки. По результатам распознавания можно определить, на какой стадии осуществления находится обнаруженная атака, и предсказать её развитие.


Работа поддержана грантом РФФИ № 04-07-90137.


Библиографический список

1. Абрамов Е.С., Аникеев М.В, Макаревич О.Б., Подготовка данных для использования в обучении и тестировании нейросетей при обнаружении атак // Труды V Международной научно-практической конференции «Информационная безопасность», Таганрог, 2003 г.

2. Frederic Cuppens, Alexandre Miege, Alert Correlation in a Cooperative Intrusion Detection Framework // ONERA Centre de Toulouse, 2002 г.

З. Т. Адылова, Н.А. Игнатьев, А.Р. Марахимов, Ш.Ф. Мадрахимов, Е. Н. Игнатьева

Узбекистан, г. Ташкент, Институт Кибернетики,

Национальный Университет Узбекистана им. М.Улугбека,


МЕТОДОЛОГИЯ КОМПЛЕКСНОГО АНАЛИЗА, ОЦЕНКИ И УПРАВЛЕНИЯ

РИСКАМИ ОБЪЕКТОВ РАСПРЕДЕЛЕННОЙ КОМПЬЮТЕРНОЙ СЕТИ

Оценка безопасности сложных информационных систем (ИС) представляет собой трудно формализуемую и, более того, трудновыпол­нимую на практике из-за своей многоаспектности задачу. В настоящее время разработано довольно много методологических подходов к оценке безопасности отдельных информационных технологий, что же касается решения задач комплексной оценки безопасности сложных распределенных ИС, то в этой области трудно назвать какую-либо сложившуюся методологию. Предлагается методика, включающая два уровня оценки риска информационной системы: базовый и полный, а также систему обнаружения сетевых атак. Анализ состояния разработок по оценке рисков и состояния рынка средств по проектам ИБ, привели нас к выводу о необходимости своей разработки методики оценки рисков Поэтому мы предлагаем два взаимосвязанных метода оценки рисков: базовый и полный. В базовом методе, когда выявляются критичные к типичным угрозам ресурсы, применяются меры защиты стандартные, без оценки эффективности. В полном варианте реализуется цепочка:


Оценка ресурса → Выявление угроз → Выявление уязвимостей → Расчет ущерба от реализации ущерба → Расчет риска → Принятие контрмер → Расчет величины остаточного риска.

Реализация данной технологической цепочки предложена нами в виде системы баз данных объектов, угроз, уязвимостей, выбора мер по защите и инструментария для проведения оценки рисков и эффективности выполнения мероприятий по защите ИС.

Наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование АС (таких как МЭ, системы резервного копи­ро­вания и антивирусные средства), существует необходимость использо­ва­ния IDS (INTRUSION DETECTION SYSTEM - системы выявления атак), которые являются основным средством борьбы с сетевыми атаками[1,2].

Предложенный нами метод обнаружения атак на сетевом уровне с помощью искусственных нейронных сетей (ИНС) проводится путем идентификации и классификации сетевой активности на основе ограни­чен­ных, неполных и нелинейных источников данных.

Предлагается система для обнаружения сетевых атак, включающая :блок первичной обработки данных, которая представляет собой сканер событий в КС и процедур предобработки для НС. НС служит для классификации и формирования соответствующих входных данных для продукционной экспертной системы, которая принимает регулирующее обратное воздей­ст­вие.

Комплексная экспертная система управления информационной безопасности АИС «QALQON» разработана в среде визуального програм­мирования Delphi с использованием «клиент-серверной» платформы баз данных Database .

Функционирование системы управления информационной безопасности АИС «QALQON» базируется на реализации следующих методов:

- базовый уровень оценки рисков;

- полный уровень оценки риска;

- обнаружение и отражение сетевых атак.

После отнесения отдельного объекта АИС к определенному классу, информация о котором имеется в «QALQON», автома­тически строится и модель угроз для всех составляющих АИС. Поскольку эта модель содержит все известные для указанного класса объектов угрозы, многие из которых, в силу конкретной реализации существующих систем защиты, могут не рассматриваться в качестве значимых для конкретной составляющей АИС.


На основе данных, полученных при построении моделей событий рисков, «QALQON» дает возможность получить оценки уровня рисков по всем крити­ческим сегментам и по их структурным составляющим и таким обра­зом выявить среди них те, с которыми связан наибольший риск. Помимо того, проведенный анализ позволяет сформировать модель угроз АИС с указанием уровня значимости каждой из угроз. Проводится работа по определению возможных мер защиты, в которой указывают все возможные меры защиты и противодействие угрозам, включенным в модель значимых угроз.

Следующим шагом должно стать определение значимости возможных мероприятий и мер защиты. Эта задача решается путем анализа того, как изменяется модель событий рисков в случае применения каждой из рассмат­риваемых мер. Должны быть получены новые оценки цены риска и вероятность события риска для случая, если анализируемая мера будет принята. На основании данных оценок определяется значимость каждого из возможных мероприятий и мер защиты и ИБС автоматически строит модель значимых мероприятий, мер и требований защиты АИС.

Далее строятся и анализируются возможные варианты комплексов мероприятий по защите. При наличии оценок стоимости этих мероприятий производится выбор наилучшего по критерию «эффективность – стоимость». При этом в качестве показателей эффективности используются значения ожидаемого снижения рисков и уровней остаточных рисков.

Базовый уровень оценки риска: в данном режиме реализована процедура последовательного опроса пользователя на основе введенных в базу данных системы вопросника и выдачи результата базовой оценки риска АИС. Подсистема полного уровня оценки риска позволяет выявить критические сегменты и объекты автоматизированной информационной системы организации с точки зрения информационной безопасности, а также строить модели угроз и модели рисков, связанных с отдельными составляющими АИС.

Полный уровень оценки риска включает выполнение следующей последовательности процедур:


- идентификация критических составляющих;

- построение модели угроз;

- построение модели защиты;

- построение модели событий рисков;

- оценка и анализ рисков нарушения ИБ;

- оценка эффективности мер и мероприятий по защите;

- оценка по критерию «эффективность – стоимость» вариантов комп­лек­сов мероприятий по защите.

Работа системы по полной оценке риска начинается с идентификации объектов АИС в базе данных структурных моделей. В качес­тве объектов структурной модели АИС идентифицируются информационные ресурсы, процессы обработки информации, среда и системы (программная и техническая обработка информации, подсистемы, локальные среды) и АИС в целом.

Подсистема обнаружения и отражения сетевых атак предназначена для оперативной защиты сети от несанкционированного доступа.

Подсистема обнаружения и отражения сетевых атак включает выполнение следующей последовательности процедур:

- обучение нейронной сети на данных сетевого трафика;

- мониторинг сети.

итогом работы программы является выявление всех ситуаций с подозрением на атаку. Данная информация является основой для принятия решений по управлению сетевой безопасностью для администратора сети.

Библиографический список

1. Cannady J. Artifical Neural Network for Misuse Detection. School of Computer and Information Sciences. Nova Southeastern University, 1998.

2. Адылова З.Т., Игнатьев Н.А., Мадрахимов Ш.Ф. Новые подходы к обеспечению информационной безопастности //Узбекский журнал "Проблемы информатики и энергетики" N 5-6, 2001, C. 8-15.

Д.П. Зегжда., М.О. Калинин

Россия, Санкт-Петербург, СЦЗИ СПбГПУ


Автоматизированное обнаружение уязвимостей настроек

безопасности в защищенных операционных системах

Частота инцидентов, связанных с безопасностью компьютерных систем, сегодня принимает угрожающий характер. Варианты нарушений информационной защиты могут варьироваться от целенаправленного воздействия изнутри системы до автоматизированной атаки посредством сетевого червя. Часто в качестве причины несанкционированного воздействия упоминают "слабость" подсистемы безопасности операционной системы (ОС). Однако все современные системы, в том числе и ОС, оснащены достаточно эффективным набором средств контроля и управления доступом. Поэтому в качестве основной причины инцидентов следует считать некорректное и неграмотное использование средств защиты и настроек безопасности системы.


Уязвимости, возникающие в результате некорректного администрирования подсистемы защиты, будем называть уязвимостями настроек безопасности. Примерами уязвимостей, возникающих из-за ошибок администрирования, могут служить использование пустых паролей, некорректное задание прав доступа к ключевым системным файлам, оставление без изменений настроек, задаваемых по умолчанию при установке системы, неприменение пакетов обновлений, доверие к политике иерархического распространения прав. Данные примеры демонстрируют бреши в настройках безопасности, которые открывают широкие возможности неавторизованного доступа к данным.

Администратор, анализируя нарушения безопасности и природу известных уязвимостей, может изменять настройки безопасности таким образом, чтобы обеспечить должную защиту. Однако, применительно к современным многопользовательским системам с огромным количеством файлов, сервисов и пр. следует проводить огромное количество проверок. В связи с этим необходимы автоматизированные средства обнаружения уязвимостей настроек безопасности, что существенно бы облегчило работу администратора.

Программные средства обнаружения уязвимостей доступны сегодня для широкого круга ОС. Примерами таких средств служат известные программные продукты Enterprise Security Manager (Symantec Corp.) и Intrusion SecurityAnalyst (Intrusion Inc.). Анализ таких средств позволяет сделать ряд заключений:

1. На данный момент отсутствуют средства, направленные на всесторонний анализ всех объектов защиты ОС.

2. Не существует средств, которые позволяли бы выполнять произвольные проверки настроек безопасности.

3. Отсутствуют средства, которые оценивали бы влияние текущего распределения настроек безопасности (в частности, прав доступа) на возможные достижимые состояния системы.

В результате научных исследований Специализированного центра защиты информации Санкт-Петербургского государственного политехнического университета (СЦЗИ СПбГПУ) предложена и построена система обнаружения уязвимостей настроек безопасности «Декарт». Функциональные возможности системы «Декарт» позволяют использовать ее в среде современных ОС для обнаружения изъянов в настойках безопасности, расстановки прав доступа, распределении полномочий, приводящих к возникновению уязвимостей.


Основной задачей системы обнаружения уязвимостей настроек безопасности «Декарт» является логическое моделирование подсистемы безопасности ОС, определение множества состояний системы, достижимых из заданного, и проверка критериев безопасности.

В теории информационной безопасности компьютерная система рассматривается как совокупность активных сущностей (субъектов), осуществляющих доступ к информации, и пассивных сущностей (объектов), содержащих информацию. Средства защиты контролируют доступ. В том случае, когда доступ разрешается, система переходит в новое состояние, которое в соответствии с политикой безопасности является либо безопасным, либо небезопасным. Подсистемы защиты спроектированы таким образом, что все разрешаемые ими виды доступа должны переводить систему только в безопасные состояния.

Под состоянием системы понимается совокупность значений атрибутов безопасности объектов защиты. Объекты защиты — это любая однозначно идентифицируемая сущность, которая обладает атрибутами безопасности, которые могут быть настроены системным администратором. Например, для ОС Windows XP — это файлы, ключи реестра и т.д. Критерии безопасности — условия, выраженные в виде логических предикатов, при выполнении которых система является безопасной. Логическая модель безопасности системы — это совокупность пространства значений атрибутов безопасности всех типов объектов защиты и алгоритмов работы подсистемы безопасности.

Принцип работы системы «Декарт» основан на логическом доказательстве безопасности системы с помощью метода резолюций, основанного на определении достижимых состояний системы и проверки критериев безопасности в этих состояниях. В основе реализации лежат язык описания безопасности (ЯОБ) и логический процессор безопасности (ЛПБ).

Язык описания безопасности — это средство выражения состояний системы и критериев безопасности в форме логических предикатов с использованием синтаксиса языка Пролог. Системные состояния и поведение системы представляются в виде формализованного описания системных состояний (М-описание). Правила получения из заданного состояния новых (достижимых) состояний формируют П-описание. Критерии безопасности, представленные на ЯОБ, составляют К-описание.


Выразительность, понятность и расширяемость ЯОБ позволяет описывать и подавать на вход ЛПБ широкий класс моделей безопасности, основанных на модели состояний и переходов. В СЦЗИ СПбГПУ имеется опыт практического применения ЯОБ для описания распространенных моделей, включая модель Белла-Ла Падулы, модель Харрисона-Руззо-Ульмана, модели ОС UNIX и Windows 2000, ролевой контроль доступа.

Логический процессор безопасности — автоматический инструмент обработки спецификаций, заданных на ЯОБ, использующий машину логического вывода, построенную на основе Пролог-ядра. ЛПБ осуществляет сопоставление пространства состояний системы, правил контроля доступа и критериев безопасности.

Для достижения автоматизации процесса обработки критериев безопасности на базе ЯОП и ЛПБ разработан ряд программных средств, составляющих в совокупности систему «Декарт».

Система «Декарт» во многом превосходит по своим возможностям любые современные сканеры уязвимостей, которые основаны на простом поиске и не используют никаких моделей и методов анализа:

1. Пользователи системы «Декарт» могут осуществлять задание произвольных критериев, по которым производится поиск уязвимостей с помощью редактора критериев и производить по ним проверку ОС.

2. Логическое моделирование и использование Пролог-системы в качестве машины вывода позволяют не только обнаруживать уязвимости настроек безопасности, но и объяснять последствия их использования нарушителем. Система «Декарт» допускает ведение трассы логического вывода в процессе поиска уязвимостей, что позволяет составить картину поведения подсистемы защиты и раскрыть причины возникновения той или иной уязвимости.

3. Вычисление системой «Декарт» пространства достижимых состояний в ходе поиска уязвимостей позволяет проанализировать не только заданное состояние системы, но также спрогнозировать поведение подсистемы защиты и определить возможные уязвимости в последующих состояниях.

4. Компоненты системы позволяют проводить анализ существенно большего множества объектов защиты, чем известные средства: пользователей и их привилегий; групп; параметров локальной политики безопасности ОС; элементов NTFS; элементов реестра; разделяемых ресурсов; сервисов; объектов ядра; принтеров, а также их атрибутов безопасности.


Универсальность механизма доказательства позволяет использовать систему «Декарт» для решения различных задач — от автоматизации процесса сертификационных испытаний до обучающего тренажера администраторов безопасности.

Таким образом, авторами предложены подход и средство, направленные на выполнение автоматизированного обнаружение уязвимостей настроек безопасности в защищенных ОС. Реализованная система обнаружения уязвимостей настроек безопасности «Декарт» выгодно отличается теоретически и функционально от известных зарубежных программных продуктов, выполняющих анализ средств защиты.


В.В. Корнеев, В.В. Райх, И.Н. Синица, Д.В. Финогенов

Россия, г. Москва, ФГУП "НИИ "Квант"


обнаружение компьютерных атак на основе анализа

данных мониторинга несколькими способами


В целях решения задачи обнаружения компьютерных атак может быть использован достаточно широкий круг методов сбора и анализа данных мониторинга. При этом каждый из методов имеет свои достоинства и недостатки, выражающиеся в различии надежностных и качественных характеристик, требованиях к вычислительным ресурсам, сложности реализации и времени срабатывания. Очевидно, что применение в одной системе обнаружения атак (СОА) нескольких методов может компенсировать их недостатки и, тем самым, позволит добиться лучших результатов по точности детектирования атак по сравнению с системами, использующими только какой-либо один из методов анализа.

В целом принято выделять две группы методов обнаружения компьютерных атак: основанные на знаниях и основанные на поведении. Если СОА использует информацию об уже известных атаках и способах их осуществления, то она относится к системам, основанным на знаниях. Если же для обнаружения атаки система использует информацию о закономерностях (профиле) поведения системы, в которой осуществляется мониторинг, то она относится к системам, основанным на поведении.


Воплощением методов, основанных на знаниях, является сигнатурный анализ, также широко применяемый в антивирусных средствах. Любой компьютерной атаке соответствует определенный сетевой трафик (для удаленной атаки) или поток системных событий (для локальной атаки), фиксируемый средствами аудита и мониторинга. Данная информация однозначно отличает каждую атаку от любой другой атаки или штатного поведения контролируемой системы и называется сигнатурой. Так, например, сигнатурный анализ был признан наиболее эффективным в случаях атомарных или подобных им по проявлениям атак, когда деструктивное воздействие заключается или завершается одним ключевым сетевым пакетом, особенности которого достаточно просто выявить для формирования сигнатуры. В процессе сигнатурного анализа активность в сети, данные системного аудита или данные других индикаторов сравниваются с содержимым базы данных сигнатур уже известных атак, и при совпадении подается сигнал тревоги.

Описанный подход является наиболее простым в реализации, обладает высокой точностью и быстродействием при обнаружении атак. Однако его существенный недостаток – необходимость постоянного пополнения используемой базы сигнатур.

Методы, основанные на поведении, были разработаны для компенсации описанного недостатка. Их воплощением является статистический анализ. В данном случае поведение системы характеризуется набором показателей, временные ряды значений которых собираются датчиками системы мониторинга, при этом периодичность сбора значений и их состав могут быть выбраны, исходя из специфики контролируемой системы.

В дальнейшем значения показателей сравниваются с выявленными ранее значениями, соответствующими штатной работе – профилем. В случае несовпадения фиксируется факт атаки.

Задача составления профиля штатного поведения является достаточно трудоемкой и к настоящему времени не имеет универсального решения. Дополнительной трудностью является также то, что сам профиль с течением времени может изменяться. Кроме того, статистическим методам свойственна высокая вероятность ошибки второго рода. В последнее время среди поведенческих методов, в той или иной мере основанных на измерении и рассмотрении статистических значений, в особый класс выделяют интеллектуальные методы анализа данных, основным достоинством которых является способность к самообучению, т.е. автоматизации процессов формирования и адаптации с течением времени профилей поведения контролируемых систем. Статистический и нейросетевой (определенный вид параметрических статистических методов) методы выявления аномального поведения в локальной сети характеризуются необходимостью некоторого временного периода на формирование профилей. При этом для нейросетевого подхода преимуществом является автоматическое формирование профилей поведения (которыми, по сути, являются сами обученные нейронные сети), а для статистического – меньшая, по сравнению с нейросетвым, ресурсоемкость.


Таким образом, сигнатурные и поведенческие методы обладают взаимоисключающими достоинствами и недостатками, поэтому их совместное применение в составе единой СОА сулит существенные преимущества.

Важнейшую роль при использовании нескольких методов анализа приобретает выбор и применение того или иного метода принятия решений об обнаружении компьютерных атак. Причем указанная проблема имеет два уровня: принятие решения в рамках одного метода анализа (сигнатурного или поведенческого) и принятие решения при одновременном использовании нескольких методов, особенно если их результаты расходятся.

В настоящее время наиболее распространенным методом принятия решений является подход на основе правил, по сути превращающий систему обнаружения атак в продукционную экспертную систему. Также могут быть применены методы анализа иерархий, интеллектуальные методы и др. Особо стоит отметить перспективность интеллектуальных методов, в частности, искусственных нейронных сетей, главным преимуществом которых является способность самостоятельно формировать и адаптировать свое представление о нормальном поведении системы, чтобы в последующем фиксировать отклонения от него, а также способности решать задачи распознавания ситуаций, в которых следует отдавать предпочтение определенному методу обнаружения атак. Таким образом, потенциально применение нейросетей позволит решить как задачу автоматизации формирования и адаптации профилей, так и задачи принятия согласованных решений и автоматизации формирования сигнатур новых обнаруженных атак.


В.В. Корнеев, В.В. Синица, Д.В. Финогенов

Россия, г. Москва, ФГУП НИИ «Квант»


О НАПРАВЛЕНИЯХ СОВЕРШЕНСТВОВАНИЯ СИСТЕМ ОБЕСПЕЧЕНИЯ

БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИВС НА БАЗЕ СРЕДСТВ

ДИНАМИЧЕСКОГО МОНИТОРИНГА

Весь спектр угроз, существующих применительно к распределенным информационным ресурсам, можно классифицировать по различным признакам. Если, не углубляясь в подробности, охарактеризовать меры защиты, позволяющие комплексно нейтрализовать данные угрозы, то можно отметить следующее. Общепринятые подходы к обеспечению защиты сетевых ресурсов от НСД требуют осуществления целого комплекса организационных мероприятий и применения программно-технических средств, реализующих идентификацию и аутентификацию пользователей, разграничение доступа, а также и аудит, если это возможно. Однако для осуществления комплексной защиты этого недостаточно. В реальной жизни никогда нельзя быть уверенным, что реализация мер и средств защиты осуществлена безупречно. Любая технология может содержать концептуальные просчеты, а реализация даже совершенной технологии может быть осуществлена с ошибками, незаметными на первый взгляд. Данными просчетами и ошибками могут воспользоваться потенциальные злоумышленники. Вот почему реализация только вышеперечисленных методов и способов защиты недостаточна.


Помимо них целесообразно наличие следующих компонентов:

1. Периодическое выявление потенциальных уязвимостей защищаемой информационно-вычислительной системы (ИВС).

2. Оперативное устранение выявленных уязвимостей.

3. Мониторинг как сетевой, так и локальной активности в защищаемой системе.

4. Оперативное реагирование на выявленные деструктивные и несанкционированные действия.

Коротко охарактеризуем средства, которые могут реализовать перечисленные компоненты системы защиты информации.

1. Программное средство тестирования защищенности ИВС – должно позволять вести автоматизированный поиск уязвимостей сетевых сервисов. Обнаружение уязвимостей осуществляется в три этапа. На первом этапе осуществляется сбор данных о сети. По его окончании, на основе собранных данных, пользователю дается возможность выдвинуть гипотезу о наличии в системе сервисов с потенциальными уязвимостями. Затем на завершающем этапе проверяется истинность или ложность данной гипотезы путем эмуляции атак на ресурсы в соответствии с выдвинутыми гипотезами. Стоит отметить, что эффективность применения данного средства в значительной степени зависит от наполнения базы уязвимостей.

2. Средство анализа трафика ЛВС – должно обеспечивать анализ трафика, проходящего через него, и информировать о попытках проведения сетевых атак или подозрительной сетевой активности. Его основные составляющие: устройство мониторинга и консоль управления. Анализ трафика может осуществляться на основе сигнатурного метода. Для описания сигнатур должен применяться специализированный язык описания правил. Таким образом, эффективность анализа трафика зависит от полноты базы сигнатур и корректности этих сигнатур по отношению к параметрам трафика. Особенность данного средства состоит в том, что устройства мониторинга могут быть распределены по сети и находиться на значительном удалении от консоли управления.

3. Средство перенаправления выявленного воздействия на ложные цели при обеспечении функционирования истинного ресурса и проведения анализа событий, распределенных по времени – предназначено для защиты ресурсов http, ftp и почтовых серверов. Средство должно позволять обнаруживать атаки на информационные ресурсы и перенаправлять обращения злоумышленника на ложные ресурсы или блокировать доступ злоумышленника, как в автоматическом, так и в ручном режиме.


4. Система обнаружения атак (СОА) доменного типа для обеспечения информационной безопасности корпоративной компьютерной сети. Может состоять из совокупности программных датчиков и агентов реакций, располагаемых на хостах домена, и консоли администратора. Датчики регистрируют различные события в домене. Консоль администратора (с вмешательством администратора или в автоматическом режиме) принимает решение об ответных действиях на те события, извещения о которых поступают от датчиков, и посылает соответствующие команды агентам реакции. Для принятия решений консоль администратора пользуется базой правил, описанных на специальном языке. Особенность данной СОА заключается в том, что датчики способны регистрировать не только события, происходящие в сети, но и локальные события на хостах. Поэтому для эффективного использования СОА, прежде всего, необходимо выработать политику безопасности в защищаемом домене. Данная политика безопасности, в том числе, должна регламентировать и порядок доступа пользователей компьютеров к своим локальным ресурсам.

На основе представленного анализа функциональных возможностей средств можно выделить следующие области их применения.

Для разграничения доступа на сетевом уровне можно использовать межсетевой экран. Для выявления уязвимостей в защищаемой ИВС – средство тестирования защищенности информационных систем. Для мониторинга событий, происходящих в контролируемой сети -- средство анализа трафика ЛВС, систему обнаружения вторжений доменного типа и средство перенаправления выявленного негативного воздействия на ложные цели. При этом каждое из перечисленных средств предназначено для отслеживания потоков событий, различающихся как по степени интенсивности, так и по источникам их происхождения.



следующая страница >>