Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Оценка эффективности систем защиты информации
Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Оценка эффективности систем защиты информации
Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Оценка эффективности систем защиты информации
Магистерская работа содержит страницу, 12 рисунков, 3 таблицы, 43 источника и 2 приложения. Магистерская работа посвящена анализу уровня защищенности современных корпоративных сетей. Разработана методика, позволяющая получить количественную оценку уровня защищенности системы. Методика основана на анализе рисков информационной системы. С помощью методики можно выбирать наиболее эффективную систему защиты по обеспечиваемому уровню защищенности. Приведен пример использования разработанной методики и ее пошаговое описание. It is developed the method which allows getting quantitative valuation of the security level of corporate network. The method is based on risk analysis of IT system. The method allows choosing the most effective defense system for the obtained security level. There is an example of using of this method and its step-by-step description. М етоды оценки субъективной вероятности Копии научных трудов по результатам исследований DDoS distributed denial of servise — распределенный отказ в обслуживании. DoS denial of servise — отказ в обслуживании. IDS intrusion detection system — система обнаружения вторжений. IETF The Internet Engineering Task Force — рабочая группа по проблемным. FTP file transfer protocol — протокол передачи файлов. URL uniform resource locator — унифицированный указатель ресурса. VPN virtual private network — виртуальная частная сеть. ИБ — информационная безопасность. КС — компьютерная система. ЛПР — лицо принимающее решение. МЭ — межсетевой экран. ПО — программное обеспечение. СЗИ — система защиты информации. ЦП — цифровая подпись. В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой отечественной компании. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей нормативно-методической базы в области защиты информации. Вместе с тем многие ведущие отечественные компании сегодня используют некоторые дополнительные инициативы, направленные на обеспечение устойчивости и стабильности функционирования корпоративных информационных систем для поддержания непрерывности бизнеса в целом. Сейчас все чаще в информационных источниках встречается понятие системного подхода при построении СЗИ. Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый, целостный механизм - систему защиты. К сожалению, необходимость системного подхода к вопросам обеспечения безопасности информационных технологий пока еще не находит должного понимания у пользователей современных ИС. Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и вопросы безопасности. Каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае находит свои совершенно правильные решения. Однако, как показывает практика, совокупность таких правильных решений не дает в сумме положительного результата - система безопасности в общем и целом работает неэффективно. Если собрать всех специалистов вместе, то при наличии у каждого из них огромного опыта и знаний, создать систему информационной безопасности зачастую так и не удается. Разговаривая об одних и тех же вещах, специалисты зачастую не понимают друг друга, поскольку у каждого из них свой подход, своя модель представления системы защиты информации. Такое положение дел обусловлено отсутствием системного подхода, который определил бы взаимные связи отношения между существующими понятиями, определениями, принципами, способами и механизмами защиты. Таким образом, многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них. В то же время, большой объем имеющихся публикаций вряд ли может сформировать четкое представление о том как же приступить к созданию системы защиты информации для конкретной информационной системы, с учетом присущих ей особенностей и условий функционирования. При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые требования информационной безопасности. Практическая задача обеспечения информационной безопасности состоит в разработке модели представления системы процессов ИБ, которая на основе научно-методического аппарата, позволяла бы решать задачи создания, использования и оценки эффективности СЗИ для проектируемых и существующих уникальных ИС. Основной задачей модели является научное обеспечение процесса создания системы информационной безопасности за счет правильной оценки эффективности принимаемых решений и выбора рационального варианта технической реализации системы защиты информации. Специфическими особенностями решения задачи создания систем защиты являются: В магистерской дипломной работе разработана методика, позволяющая получать количественную оценку состояния защищенности информационной системы, при этом учитывая мнения экспертов, а также их опыт при оценке системы защиты на основании оценки вероятности угроз. Данная методика использует наработки из области рисков, позволяя строить СЗИ по своим характеристикам соразмерной масштабу угроз. Таким образом, методика должна позволить выбирать средства защиты оптимальные для каждой конкретной системы, характеризуемой специфическим набором угроз, требованиями и моделью нарушителя. Использование данной методики для оценки существующих систем позволит принять решение о целесообразности их усовершенствования, и позволит избежать неэффективного использования средств СЗИ при ее проектировании. Максимальное использование современных информационных и сетевых технологий является одной из приоритетных задач для любой компании. Разработка и внедрение коммерческих проектов, используя территориально разнесенные филиалы и представительства по всему миру, освоение новых рынков и открытие новых представительств невозможно без надежной и хорошо продуманной корпоративной сети. В англоязычной литературе синонимом корпоративной сети является понятие Intranet. На сегодняшний день технология Internet получила всеобщее признание. Наравне с интернетом развивается одноименная технология Intranet. В ее развитие выделяются огромные средства и усилия, и не удивительно, если завтра внимание человечества будет больше сконцентрировано на технологии Intranet, в которой используются те же средства и техника, что и в глобальной сети, но для осуществления коммуникаций только внутри организации. Назначение каждой из этих технологий отражено уже в ее названии: И хотя технология Intranet относительно нова, ее концепция стара, как сама Internet. Интрасеть или intranet -- это частная корпоративная сеть, использующая программные продукты и технологии Internet, например, Web-сервер. Интрасети могут быть изолированы от внешних пользователей Internet с помощью брандмауэров или просто функционировать как автономные сети, не имеющие доступа извне. Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляются деловым партнерам и другим группам пользователей. Другим способом обеспечения совместного доступа деловых партнеров к информации, хранящейся в интрасети, является создание экстрасети extranet. Этим термином обычно называют часть интрасети, предназначенную для доступа извне. Деловые партнеры часто создают экстрасети, обеспечивающие ограниченный доступ к отдельным частям своих интрасетей. Деловым партнерам доступны только те части интрасети, на которые они имеют соответствующие права доступа. Для конкурентов же любой доступ к такой интрасети закрыт. Например, компании достаточно организовать в своей локальной или территориально распределенной сети Web-сервер, снабдить пользователей Web-браузерами и при необходимости предусмотреть брандмауэр. Как и сама сеть Internet, интрасети быстро становятся ключевым элементом корпоративных информационных систем. Фактически, большинство проданных на сегодня Web-серверов используются именно в интрасетях [42]. Компании пришли к пониманию того, что такие "внутренние" Web-узлы являются идеальным средством распространения информации среди сотрудников. Поскольку все документы Web создаются в одном и том же формате HTML , они доступны любому работающему в сети сотруднику, у которого есть Web-браузер. Если Internet изменила способ взаимодействия коммерческих предприятий с "внешним миром", то интрасети совершенно меняют характер внутренних коммуникаций. Сети Intranet используются по трем основным направлениям: Корпоративная сеть, как правило, является территориально распределенной, то есть объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Часто узлы корпоративной сети оказываются расположенными в различных городах, а иногда и странах. Принципы, по которым строится такая сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети, даже охватывающей несколько зданий. Основное отличие состоит в пропускной способности каналов передачи данных между узлами КИС и в том, что территориально распределенные сети используют арендованные линии связи или сети общего пользования. Эти ограничения являются принципиальными, и при проектировании корпоративной сети следует предпринимать все меры для минимизации объемов передаваемых данных и защиты информации. В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Первая проблема, которую приходится решать при создании корпоративной сети - организация каналов связи. Если в пределах одного города можно рассчитывать на аренду выделенных линий, в том числе высокоскоростных, то при переходе к географически удаленным узлам стоимость аренды каналов становится просто астрономической, а качество и надежность их часто оказывается весьма невысокими. Естественным решением этой проблемы является использование уже существующих глобальных сетей. В этом случае достаточно обеспечить каналы от офисов до ближайших узлов сети. Задачу доставки информации между узлами глобальная сеть при этом возьмет на себя. Даже при создании небольшой сети в пределах одного города следует иметь в виду возможность дальнейшего расширения и использовать технологии, совместимые с существующими глобальными сетями. На сегодняшний день для создания корпоративных сетей все чаще используется сеть Internet. Последний пример резкого изменения технологии автоматизированной обработки корпоративной информации у всех на виду - он связан с беспрецедентным ростом популярности Internet в последние 5 лет. Использование сетей Internet для передачи данных — недорогой и доступный практически всем предприятиям способ а через телефонные сети и одиночным пользователям - существенно облегчил задачу построения территориальной корпоративной сети, одновременно выдвинув на первый план задачу защиты корпоративных данных при передаче их по незащищенным каналам сети с многомиллионным составом пользователей. Независимость от платформы, быстрая передача данных и графический интерфейс службы Web — вот только несколько свойств, благодаря которым Internet столь популярна и по-настоящему полезна. Internet уже стала стандартом международных электронных коммуникаций. Как крупные корпорации, так и мелкие компании стремятся сделать свои собственные сети не менее мощными и многофункциональными, чем сама Internet. Популярность Internet оказывает на корпоративные сети не только техническое и технологическое влияние. Так как Internet постепенно становится общемировой сетью интерактивного взаимодействия людей, то Internet начинает все больше и больше использоваться не только для распространения информации, в том числе и рекламной, но и для осуществления самих деловых операций - покупки товаров и услуг, перемещения финансовых активов и т. Влияние Internet на корпоративную сеть - это только один, хотя и яркий, пример постоянных изменений, которые претерпевает технология автоматизированной обработки информации на современном предприятии, желающем не отстать от конкурентов. Постоянно появляются технические, технологические и организационные новинки, которые необходимо использовать в корпоративной сети для поддержания ее в состоянии, соответствующем требованиям времени. Без внесения изменений корпоративная сеть быстро морально устареет и не сможет работать так, чтобы предприятие смогло успешно выдерживать жесткую конкурентную борьбу на мировом рынке. Как правило, срок морального старения продуктов и решений в области информационных технологий находится в районе 3 - 5 лет [4]. В самом частом случае корпоративная сеть или Intranet представляет из себя не только отдельную локальную сеть, но и несколько территориально удаленных локальных сетей. HTTP поддержка службы Web , SMTP и POP3 протоколы электронной почты , FTP протокол передачи файлов , NNTP группы новостей. Указанные сервисы можно комбинировать таким образом, чтобы создавать необходимую среду информационного обеспечения, удобную не только для пользователя, но и для службы поддержки, которой больше не надо будет прикладывать нечеловеческих усилий, чтобы добавить в систему новые ресурсы или информационные материалы. С точки зрения системной функциональности корпоративная сеть выглядит как единое целое, предоставляющее пользователям и программам набор полезных в работе услуг сервисов , общесистемных и специализированных приложений, обладающее набором полезных качеств свойств и содержащее в себе службы, гарантирующее нормальное функционирование сети. Ниже будет дана краткая характеристика сервисов, приложений, свойств и служб. Одним из принципов, положенных в основу создания сети, является максимальное использование типовых решений, стандартных унифицированных компонентов [43]. Конкретизируя этот принцип применительно к прикладному ПО, можно выделить ряд универсальных сервисов, которые целесообразно сделать базовыми компонентами приложений. Такими сервисами являются сервис СУБД, файловый сервис, информационный сервис Web-сервис , электронная почта, сетевая печать и другие. Проект КИС исключительно удобно описывать в терминах сервисов. Так, например, политику информационной безопасности целесообразно строить, исходя из потребности в защите существующих и вводимых в действие сервисов [4]. К общесистемным приложениям относят средства автоматизации индивидуального труда, используемые разнообразными категориями пользователей и ориентированные на решение типичных офисных задач. Это - текстовые процессоры, электронные таблицы, графические редакторы, календари, записные книжки и т. Как правило, общесистемные приложения представляют собой тиражируемые локализованные программные продукты, несложные в освоении и простые в использовании, ориентированные на конечных пользователей. Специализированные приложения направлены на решение задач, которые невозможно или технически сложно автоматизировать с помощью общесистемных приложений. Как правило, специализированные приложения либо приобретаются у компаний-разработчиков, специализирующихся в своей деятельности на конкретную сферу, либо создаются компаниями-разработчиками по заказу организации, либо разрабатываются силами самой организации. В большинстве случаев специализированные приложения обращаются в процессе работы к общесистемным сервисам, таким, например, как файловый сервис, СУБД, электронная почта и т. Собственно, специализированные приложения, рассматриваемые в совокупности в масштабах корпорации, как раз и определяют весь спектр прикладной функциональности. Как уже говорилось выше, срок службы системно-технической инфраструктуры в несколько раз больше, чем у приложений. Корпоративная сеть обеспечивает возможность развертывания новых приложений и их эффективное функционирование при сохранении инвестиций в нее, и в этом смысле должна обладать свойствами открытости следование перспективным стандартам , производительности и сбалансированности, масштабируемости, высокой готовности, безопасности, управляемости. Перечисленные выше свойства, по сути, представляют собой эксплуатационные характеристики создаваемой информационной системы и определяются в совокупности качеством продуктов и решений, положенных в ее основу. Разумеется, хорошие показатели по конкретным свойствам будут достигаться за счет грамотных технических решений системного конструирования. Так, система будет обладать свойствами безопасности, высокой готовности и управляемости за счет реализации в проекте корпоративной сети соответствующих служб. Общесистемные службы - это совокупность средств, не направленных напрямую на решение прикладных задач, но необходимых для обеспечения нормального функционирования информационной системы корпорации [4]. В качестве обязательных в корпоративную сеть должны быть включены службы информационной безопасности, высокой готовности, централизованного мониторинга и администрирования [4]. Чтобы дать некоторое представление о потенциальных возможностях корпоративных сетей Intranet, приведем несколько реальных примеров таких систем. По данным года фирма Digital Equipment имеет внутрикорпоративных Web-серверов. Компания Silicon Graphics поддерживает внутреннюю Web-сеть, которая содержит тыс. Другой крупный производитель — Boeing Aerospace — обладает сетью Intranet, распределенной по всей территории США, которой пользуются 96 тыс. Американский военно-морской флот установил защищенную сеть Intranet для обеспечения контроля за перемещением 11 своих авианосцев [5]. Поэтому не следует удивляться мнению аналитиков, что в следующем году более половины устанавливаемых сегодня серверов будут использоваться в сетях Intranet. Некоторые даже прогнозируют, что на каждый сервер Internet будет приходиться 4 сервера Intranet [5]. Пример корпоративной сети небольшого предприятия представлен на рисунке 1. Все о чем говорилось выше отображено на данной схеме: В корпоративной сети функционируют все необходимые сервисы для успешного ведения бизнес деятельности компании. Но наряду с преимуществами которые предоставляет корпоративная сеть, есть и ряд недостатков которые могут поставить под угрозу нормальное функционирование компании. Первостепенной и основной проблемой в корпоративных сетях была есть и будет безопасность информации. Так как сейчас, в эпоху информации, потеря информационных ресурсов может стать причиной банкротства. В связи с этим крупным компаниям приходиться тратить большие суммы денег на поддержание безопасности их сетей на должном уровне, но тем не менее это не делает технологию корпоративных сетей менее привлекательной для построения бизнеса. Как уже было отмечено выше одной из первостепенных задач для нормального функционированию КИС и возможности с ее помощью успешного ведения бизнеса является безопасность информационных потоков которые в ней циркулируют. В общем случае существуют следующие базовые виды угроз безопасности [6]. Каждой приведенной выше угрозе соответствует соответствующая предоставляемая услуга защищенной системы, т. Система при этом считается защищенной или безопасной, если обеспечивает все вышеперечисленные услуги [7]. Все угрозы для корпоративных сетей в общем случае могут быть поделены на две категории [7]: Угрозы, связанные с реализацией, поддержкой или с нарушением внутренней среды функционирования КИС: В действительности, правильная реализация продукта подразумевает, надежную аутентификацию и авторизацию пользователя, а также защищенные каналы связи с ним и между составляющими частями системы. Эти факторы напрямую уменьшают приведенные угрозы, связанные с нарушителем. Кроме того, верная реализация продукта подразумевает определенную настройку его составляющих частей и используемых технологий, что уменьшает риск неправильной поддержки и администрирования продукта. Кроме того, решение принципа работы с минимальными привелегиями, а также с защищенными каналами связи между компонентами системы позволяет снизить риски, связанные с безопасностью, при нарушении среды функционирования продукта, которое, может быть связано как с уязвимостями операционной системы и др. Остановимся более подробно на базовых угрозах, и приведем примеры реализации данных угроз. Конфиденциальность — свойство информации, которое заключается в том, что информация не может быть получена неавторизованным пользователем, то есть пользователем который не имеет привилегий на использование данной информации [1]. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого. Конфиденциальность призвана обеспечить защиту передаваемых данных от пассивных атак, то есть защита потока данных от возможности его аналитического исследования. Это означает невозможность для нарушителя обнаружить как источник информации, так и ее содержимое. Основным способом обеспечения конфиденциальности является шифрование информации на ключах пользователей. При этом ознакомиться с содержанием информации могут только владельцы ключей на которых зашифрована информация. Обеспечение этого свойства является, пожалуй, одним из важнейших, поскольку при нарушении целостности и доступности информации в результате порчи или кражи ее можно восстановить из архивов, а вот при нарушении конфиденциальности она станет общедоступной, что может повлечь огромные убытки. К угрозам нарушения конфиденциальности информации относят хищение копирование и утечку информации. Основными видами атак направленных на нарушение конфиденциальности является пассивное подслушивание и перехват в каналах связи, незаконное использование прав маскарадинг похищение ключевой информации. Примером перехвата может служить прослушивание канала в сети. Такая атака является пассивным воздействием и ведет к нарушению конфиденциальности информации. Наличие ключевой информации у злоумышленника может привести к нарушению конфиденциальности зашифрованных сообщений и тем самым нарушить их конфиденциальность. Зачем использовать сложные методы криптоанализа, требующие больших затрат, если можно использовать более простую схему, тем более что чаще всего сотрудники компаний сами того даже не подозревая могут распространять важные данные или к ним могут быть применены методы социальной инженерии которые в данный момент представляют большую угрозу для всех областей информационной деятельности. Целостность - свойство информации, которое заключается в том, что информация не может быть модифицирована неавторизованным пользователем [1]. Поддержание целостности ценной и секретной информации означает, что она защищена от неправомочной модификации. Существует множество типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Основная задача мер по обеспечению целостности заключается в возможности выявления факта модификации сообщения, что информация не была повреждена, разрушена или изменена любым способом. Искажение информации означает полный контроль над информационным потоком между объектами системы или возможность передачи сообщений от имени другого объекта. Для реализации целостности используются различные виды цифровой подписи, и однонаправленные функции хэширования. Примером нарушения целостности информация может быть подделка писем электронной почты, или документов, намеренное изменение информации с целью обмана либо выдачи себя за кого то другого что может повлечь за собой убытки или сказаться на репутации субъекта. То есть обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае должна быть гарантия что информация всегда доступна и поддерживается в пригодном состоянии. Цель взломщика - добиться, чтобы операционная система на атакованном объекте вышла из строя и, следовательно, для всех остальных объектов системы доступ к ресурсам данного объекта был бы невозможен. Основными видами атак приводящих к недоступности информации являются DoS-атаки отказ в обслуживании что приводит к невозможности законных пользователей информации ею воспользоваться в нужный момент. Разновидностью DoS-атаки, скорее ее усовершенствованием, является DDoS-атака. Ее отличительной чертой является распределенность по сети Internet: К сожалению на данный момент нет стопроцентной защиты от данного вида атак, как впрочем и от остальных. Примерами такого рода атак являются атаки на публичные WEB-сервера на которых хранятся разнородные данные, и как результат вывод их из строя и невозможность качественно предоставлять сервис. Атака может быть направлена на WEB-сервер компании, на почтовую службу или на шлюз корпоративной сети с целью отрезать ее от сети. Аутентичность — обеспечивается при помощи процедуры аутентификации. Аутентификация — это процедура проверки соответствия предъявленного идентификатора объекта КС на предмет принадлежности его этому объекту [1]. Угрозы нарушения аутентичности заключаются в том, что в результате проведения некоторых действий пользователь и или процесс выдает себя за другого пользователя и имеет возможность воспользоваться чужими правами и привилегиями. Примерами реализации такой угрозы являются: Наблюдаемость —— свойство ИС, которое делает возможным фиксирование деятельности пользователей и процессов, использования пассивных объектов, а так же однозначно устанавливать идентификаторы причастных к конкретным событиям пользователей и процессов с целью нарушения политики безопасности или скрытия факта ответственности за определенные события имевшие место [1]. Примерами реализации таких атак может быть: Нулевой уровень — случайное непреднамеренное ознакомление с информацией случайное прослушивание в канале ;. Первый уровень — нарушитель имеет ограниченные средства и самостоятельно создает способы и методы атак на средства защиты, а также на информационно-телекомуникационные системы при помощи распространенных программных средств и ЭВМ;. Второй уровень — нарушитель корпоративного типа имеет возможность создания специальных технических средств, стоимость которых соотносится с возможными финансовыми убытками при утере, изменении или уничтожении защищаемой информации. В этом случае для распределения вычислительной нагрузки при реализации атак могут использоваться локальные вычислительные центры. Третий уровень — нарушитель имеет научно-технический ресурс, который приравнивается к научно-техническому ресурсу специальной службы экономически развитой державы. Еще одним способом классификации нарушителей может быть их разделение на внешних и внутренних. По статистике, 80 процентов инцидентов безопасности происходит по вине сотрудников организаций, то есть внутренних нарушителей в результате своей преднамеренной или некомпетентной деятельности [5]. К внутренним нарушителям в первую очередь нужно отнести непосредственных пользователей и операторов информационной системы, в том числе руководителей различных уровней: Внешние нарушители представляют собой в первую очередь лица заинтересованные в нанесении ущерба компании. Типы нарушителей могут сильно отличаться, варьироваться по составу, возможностям и преследуемым целям. От одиночного нарушителя, действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовой группы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговора между нарушителями, относящимися к различным типам, а также подкупа и реализации других методов воздействия. Для корпоративных сетей организаций могут встречаться нарушители всех уровней. Это могут быть сотрудники компании, представляющие угрозу из-за своей некомпетентности или с целью преднамеренно нанести ущерб компании. К этой категории можно отнести обычных пользователей, которые зачастую даже не подозревают об опасности своих действий, так и администраторов сети и даже управляющий персонал некомпетентный в своей деятельности. Построение модели нарушителя является залогом успеха при проектировании СЗИ КИС а также при проверке СЗИ. Так как выявления возможного инициатора угроз позволяет более полно определить перечень угроз, оценить возможности злоумышленника и разрабатывать СЗИ для защиты от него. Поддержание требуемого уровня безопасности является актуальным вопросом для многих учреждений, как государственных, так и частных. Поэтому на решение этого вопроса тратится много средств. Проблема заключается в том, чтобы создать эффективную систему защиты, которая бы могла не только обеспечивать гарантированный уровень защиты, но максимально соответствовать нуждам компании. При этом, как правило, значительное внимание уделяется описанию различных технических решений, анализу преимуществ и недостатков известных аппаратных и программных средств и технологий защиты информации. В меньшей степени затрагиваются вопросы и меры организационного обеспечения ИБ компании - стратегия и тактика защиты информации, концепция и политика безопасности, планы защиты информационных ресурсов компании в штатных и внештатных условиях функционирования КИС, а также уровень защищенности всей системы в целом. Результативное решение задач анализа и синтеза СЗИ не может быть обеспечено одними лишь способами умозрительного описания их поведения в различных условиях — системотехника выдвигает проблемы, требующие количественной оценки характеристик. Такие данные, полученные экспериментально или путем математического моделирования, должны раскрывать свойства СЗИ. Основным из них является эффективность, под которой, согласно [3], понимается степень соответствия результатов защиты информации поставленной цели. Последняя, в зависимости от имеющихся ресурсов, знаний разработчиков и других факторов, может быть достигнута в той или иной мере, при этом возможны альтернативные пути ее реализации. Эффективность имеет непосредственную связь с другими системными свойствами, в том числе качеством, надежностью, управляемостью, помехозащищенностью, устойчивостью. Поэтому количественная оценка эффективности позволяет измерять и объективно анализировать основные свойства систем на всех стадиях их жизненного цикла, начиная с этапа формирования требований и эскизного проектирования. Обеспечение защиты информации на практике происходит в условиях случайного воздействия самых разных факторов. Некоторые из них систематизированы в стандартах, некоторые заранее неизвестны и способны снизить эффективность или даже скомпрометировать предусмотренные меры. Оценка эффективности защиты должна обязательно учитывать как объективные обстоятельства, так и вероятностные факторы. Нормативные документы по оценке безопасности ИТ практически не содержат конкретных методик, в результате чего величина разрыва между общими декларациями и конкретным инструментарием по реализации и контролю их положений является недопустимой. Исходя же из своего предназначения, методическая база должна охватывать все критически важные аспекты обеспечения и проверки выполнения требований, предъявляемых к информационной безопасности. Объективным видом оценки эффективности СЗИ является функциональное тестирование, предназначенное для проверки фактической работоспособности реализованных механизмов безопасности и их соответствия предъявленным требованиям, а также обеспечивающее получение статистических данных. В силу того, что средства безопасности обладают ограниченными возможностями по противодействию угрозам, всегда существует вероятность нарушения защиты, даже если во время тестирования механизмы безопасности не были обойдены или блокированы. Для оценки этой вероятности должны проводиться дополнительные исследования. В методическом плане определение эффективности СЗИ должно заключаться в выработке суждения относительно пригодности способа действий персонала или приспособленности технических средств к достижению цели защиты информации на основе измерения соответствующих показателей, например, при функциональном тестировании. Эффективность оценивается для решения следующих задач [11]: Факторы, влияющие на уровень защиты информации, систематизированы во многих нормативных документах. Однако, независимо от воли и предвидения разработчиков, возникают и иные, заранее неизвестные при проектировании систем защиты информации обстоятельства, способные снизить эффективность защиты или полностью скомпрометировать предусмотренные проектом меры информационной безопасности. Оценка эффективности защиты информации должна обязательно учитывать эти объективные обстоятельства, а ее характеристики, должны иметь вероятностный характер. Развитие подобной методологии, включая систему нормативных документов, содержащих количественные, измеримые показатели эффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков. Особую важность приобретает обоснование оптимальных значений показателей эффективности, учитывающее целевое предназначение информационной системы. Таким образом, при использовании современной методической базы, оценка эффективности СЗИ носит в основном нечеткий, субъективный характер [11]; практически полностью отсутствуют нормированные количественные показатели, учитывающие возможные случайные или преднамеренные воздействия. В результате достаточно сложно, а зачастую и невозможно, оценить качество функционирования информационной системы при наличии несанкционированных воздействий на ее элементы, а, соответственно, и определить, чем один вариант проектируемой системы лучше другого. Представляется, решением проблемы комплексной оценки эффективности СЗИ является использование системного подхода, позволяющего еще на стадии проектирования количественно оценить уровень безопасности и создать механизм управления рисками. Однако этот путь реализуем при наличии соответствующей системы показателей и критериев. В дипломном проекте описывается методика оценки уровня защищенности СЗИ со стороны рисков. В основу методики положена идея, что уровень рисков в защищенной системе должен быть минимален по отношению к уровню защищенности системы без защиты. В данной ситуации можно получить количественную оценку уровня защищенности информации. Методика оперирует вероятностными данным реализации угроз, которые в свою очередь являются источником неопределенности ввиду невозможности своего однозначного измерения. Уровень точности оценки во многом зависит от полноты списка выдвинутых требований к СЗИ и в соответствии с требованиями, списка выдвинутых угроз. Сегодня, деятельность любого предприятия во многом зависит от сети Internet и тех сервисов, которые она предоставляет, поэтому вопрос о целесообразности использования Internet возникает очень редко. В то же время очень остро ставится вопрос о том, чтобы была возможность использовать все привилегии и выгоды сети Internet с минимальным риском для деятельности предприятия. Поэтому сегодня на первый план выходит проблема обеспечения безопасности в КИС со стороны сетевого воздействия. И этот сегмент не стоит на месте и постоянно развивается, причем очень динамично. Основными средствами защиты КИС были, есть и остаются межсетевые экраны. В литературе можно встретить их синонимы такие как: Все эти термины подразумевают одно и то же, имеют одно функциональное назначение, но могут содержать в себе разный набор инструментов защиты. Сетевые экраны являются лишь инструментом системы безопасности. Они предоставляют определенный уровень защиты и являются средством реализации политики безопасности на сетевом уровне. Уровень безопасности, который предоставляет сетевой экран, может варьироваться в зависимости от требований безопасности. Существует традиционный компромисс между безопасностью, простотой использования, стоимостью, сложностью и т. Сетевой экран является одним из нескольких механизмов, используемых для управления и наблюдения за доступом к и из сети с целью ее защиты. Система firewall заменяет маршрутизатор или внешний шлюз сети gateway. Защищенная часть сети размещается за ним. Пакеты, адресованные Firewall, обрабатываются локально, а не просто переадресовываются. Пакеты же, которые адресованы объектам, расположенным за Firewall, не доставляются. По этой причине хакер вынужден иметь дело с системой защиты Firewall. Схема взаимодействия Firewall с локальной сетью и внешней сетью Интернет показана на рисунке 2. Такая схема проще и надежнее, так как следует заботиться о защите одной машины, а не многих. Чаще всего МЭ представляет из себя сетевую станцию с двумя и более сетевыми интерфейсами [13]. При этом через один интерфейс осуществляется связь с Интернет, а через второй — с защищенной сетью. МЭ совмещает функции маршрутизатора-шлюза, экрана и управления экраном. Недостатки FireWall происходят от ее преимуществ, осложняя доступ извне, система делает трудным и доступ наружу. Для многих программ, которые работают на нестандартных портах и не поддерживают прокси-сервера, для установки соединения придется либо открывать порты, либо отказаться от их использования. Служба FTP в системе может и отсутствовать, но если она есть, доступ возможен только в сервер FireWall и из него. Внутренние ПК не могут установить прямую FTP-связь ни с какой ЭВМ из внешнего мира. Процедуры telnet и rlogin возможны только путем входа в сервер. Как правило большинство МЭ запрещают пропуск ICMP трафика во внутреннюю сеть. Понятно, что в целях безопасности защищенная сеть не может иметь выходов во внешний мир помимо системы МЭ, в том числе и через модемы. Экран конфигурируется так, чтобы маршрут по умолчанию указывал на защищенную сеть. Для пользователей защищенной сети создаются специальные входы для FTP, telnet и других услуг. При этом может не вводится каких-либо ограничений по транспортировке файлов в защищенную сеть и блокируется передача любых файлов из этой сети, даже в случае, когда инициатором FTP-сессии является клиент защищенной сети. Внешние клиенты Интернет не могут получить доступа ни к одной из защищенных ЭВМ ни через один из протоколов. В большинстве случаев к МЭ экранам выдвигается ряд требований: Выполнения первых трех требований в МЭ используются следующие компоненты: Фильтрующие маршрутизаторы представляют собой простейший компонент сетевого экрана. Маршрутизатор передает данные в обоих направлениях между двумя или более разными сетями. Фильтрующий маршрутизатор делает то же самое, но решает не только как маршрутизировать пакет, но также следует ли этот пакет посылать куда-либо вообще. Это делается путем установки ряда фильтров, с помощью которых маршрутизатор решает, что делать конкретно с данным пакетом. При подготовке маршрутизатора для фильтрации пакетов, важны следующие критерии политики отбора: IP-адреса отправителя и получателя, номера TCP-портов отправителя и получателя, состояние бита TCP "ack", номера UDP-портов отправителя и получателя, и направление передачи пакетов т. Другой информацией, необходимой для формирования схемы безопасной фильтрации, является, меняет ли маршрутизатор порядок инструкций фильтрации с целью оптимизации фильтров, это может иногда изменить значение и привести к непреднамеренному доступу , и можно ли использовать фильтры для входящих и выходящих пакетов на каждом из интерфейсов. Если маршрутизатор фильтрует только выходные пакеты, тогда он является внешним по отношению своих фильтров и может быть более уязвим для атак. Кроме уязвимости маршрутизатора, это различие между фильтрами, используемыми для входных и выходных пакетов, является особенно важным для маршрутизаторов с более чем 2 интерфейсами. Другими важным моментом является возможность создавать фильтры на основе опций IP-заголовка и состояния фрагментов пакета. Формирование хорошего фильтра может быть очень трудным и требовать хорошего понимания типа услуг протоколов , которые будут фильтроваться. Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене обратного source адреса при прохождении пакета в одну строну и обратной замене адреса назначения destination в ответном пакете. NAT сокращает необходимость в глобально уникальных IP-адресах. Позволяет подключаться к Интернету организации с локально уникальными адресами путём трансляции этих адресов в глобально маршрутизируемое адресное пространство. Также NAT может использоваться для сокрытия IP-адресов локальной сети. Позволяет сэкономить IP-адреса, транслируя несколько внутренних приватных IP-адресов в один внешний публичный IP-адрес или в несколько, но меньше, чем внутренних. Позволяет предотвратить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициализации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Для остальных пакетов, поступающих снаружи, соответствующей трансляции не существует, поэтому они не пропускаются. Некоторые например, IPSec не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях например, в командах протоколов FTP или H. Необходимо хранить полные журналы аудита трансляций. Прокси-сервер является средством переадресации прикладных услуг через одну машину. Существует обычно одна машина защищенная ЭВМ , которая действует в качестве прокси-сервера для широкого списка протоколов Telnet, SMTP, FTP, HTTP, и т. Вместо непосредственного соединения с внешним сервером, клиент подключается к прокси-серверу, который в свою очередь инициирует соединение с запрашиваемым внешним сервером. В зависимости от используемого прокси-сервера можно конфигурировать внутренних клиентов так, чтобы они осуществляли это перенаправление автоматически, без информирования пользователя, другие могут требовать, чтобы пользователь сам подсоединялся к прокси-серверу и затем инициировал подключение в рамках специального формата. Применение прокси-сервера предоставляет существенные преимущества в обеспечении безопасности. Имеется возможность добавления списков доступа для протоколов, требующие от пользователей или систем обеспечения определенного уровня аутентификации прежде чем доступ будет предоставлен. Могут быть запрограммированы продвинутые прокси-серверы, иногда называемые ALG Application Layer Gateways , которые ориентированы на определенные протоколы. Например, ALG для FTP может отличать команду "put" от "get"; организация может пожелать разрешить пользователям выполнять "get" для файлов из Интернет, но запретить "put" для локальных файлов на удаленном сервере. Напротив, фильтрующий маршрутизатор может блокировать или нет FTP-доступ, но не может реализовывать частичные запреты. Прокси-серверы могут также конфигурироваться для шифрования потоков данных на основе разнообразных параметров. Организация может использовать эту особенность, чтобы разрешить криптографические соединения между двумя узлами, один из которых размещен в Интернет. Сетевые экраны обычно рассматриваются как средство блокировки доступа для злоумышленников, но они часто используются в качестве способа доступа легальных пользователей к узлу. Существует много примеров, когда легальному пользователю может быть нужно получать регулярно доступ к базовой странице во время презентаций, конференций и т. Доступ к Интернет бывает часто реализован через ненадежную машину или сеть. Правильно сконфигурированный прокси-сервер может допускать правильных пользователей в узел, блокируя доступ всех остальных. В настоящее время наилучшим вариантом сетевого экрана считается комбинация двух экранирующих маршрутизаторов и одного или более прокси-серверов в сети между маршрутизаторами. Такая схема позволяет внешнему маршрутизатору блокировать любые попытки использования нижележащего IP-уровня для нарушения безопасности IP-spoofing, маршрутизация отправителя, неправильная фрагментация пакетов , в то же время прокси-сервер защищает уязвимости на уровне верхних протоколов. Целью внутреннего маршрутизатора является блокировка всего трафика кроме направленного на вход прокси-сервера. Если реализована эта схема, может быть обеспечен высокий уровень безопасности. Огромное значение имеет хорошо настроенная система регистрации всех сетевых запросов, так как она позволяет администратору вовремя идентифицировать угрозы и принять меры по их устранению. Большинство сетевых экранов предоставляют систему журналов, которые могут настраиваться, чтобы сделать администрирование безопасности сети более удобным. Система мониторинга может быть централизована, и сконфигурирована так, чтобы посылать предупреждения при возникновении аномальной ситуации. Важно регулярно просматривать журнальные файлы при малейшем признаке вторжения или попытки взлома. Так как некоторые злоумышленники будут пытаться скрыть свои следы путем редактирования журнальных файлов, желательно защитить эти файлы. Существует много способов, включая: Системы FireWall часто используются в корпоративных сетях, где отдельные части сети удалены друг от друга. В этом случае в качестве дополнительной меры безопасности применяется шифрование пакетов. Система FireWall требует специального программного обеспечения. Если требуется дополнительная степень защиты, при авторизации пользователей в защищенной части сети могут использоваться аппаратные средства идентификации, а также шифрование имен и паролей. При выборе той или иной системы Firewall следует учитывать ряд обстоятельств. Существуют сетевые экраны в широком диапазоне цен и производительности. Сетевые экраны на базе бесплатного ПО могут быть построены за меньшую сумму. При использовании бесплатного ПО затратная часть составляет покупку аппаратной части и поиск квалифицированного администратора. Оба типа требуют регулярного обслуживания, установки пакетов обновления и корректировки программ, и непрерывного контроля. При оценке бюджета сетевого экрана, эти дополнительные издержки должны также учитываться наряду с аппаратной частью сетевого экрана. Сетевые экраны могут оказать помощь при обеспечении безопасности сети, они защищают от большого числа атак. Но важно иметь в виду, что они являются лишь частью решения. Они не могут защитить сетевой узел от всех типов атак. Системы выявления атак IDS решают задачу мониторинга информационной системы на сетевом, системном и прикладном уровнях с целью обнаружения нарушений безопасности и оперативного реагирования на них. Сетевые IDS служат в качестве источника данных для анализа сетевых пакетов, a IDS системного уровня хостовые - host based анализируют записи журналов аудита безопасности ОС и приложений. При этом методы анализа выявления атак остаются общими для всех классов IDS. Было предложено немало различных подходов к решению задачи обнаружения атак. В общем случае речь идет о преднамеренной активности, включающей, помимо атак, действия, выполняемые в рамках предоставленных полномочий, но нарушающие установленные правила политики безопасности. Однако все существующие IDS можно разделить на два основных класса: Статистические методы базируются на предположении о том, что активность злоумышленника всегда сопровождается какими-то аномалиями, изменением профиля поведения пользователей, программ и аппаратуры. Основным методом выявления атак, принятым в большинстве современных коммерческих продуктов, является сигнатурный анализ. Относительная простота данного метода позволяет с успехом внедрять его в практику. Эти требования определяют функциональность IDS, которые ищут злоумышленную активность методами как статистического, так и сигнатурного анализа. Существует два не исключающих друг друга подхода к выявлению сетевых атак: В первом случае изучаются лишь заголовки сетевых пакетов, во втором - их содержимое. Конечно, наиболее полный контроль информационных взаимодействий обеспечивается только путем анализа всего содержимого сетевых пакетов, включая их заголовки и области данных. Однако с практической точки зрения такая задача трудновыполнима из-за огромного объема данных, которые пришлось бы обрабатывать. Поэтому в большинстве случаев целесообразно прибегать для выявления атак к анализу сетевого трафика, в некоторых случаях сочетая его с анализом контента. Как уже было отмечено выше, соответствующие продукты делятся на системы IDS на базе сети и на базе хоста. Обе системы пытаются выявить вторжения, но обрабатывают совершенно разные данные. Система IDS на базе сети в попытке распознать атаку читает поток данных, подобно анализатору. Она состоит главным образом из регистрирующих все сетевые пакеты сенсоров, интерфейс которых подключен к предназначенному для анализа или копирования порту коммутатора. В качестве альтернативы для подключения в сеть такой системы можно применять концентраторы или разветвитель [16]. Система IDS на базе хоста использует агентов [16]. Они работают как небольшое дополнительное программное обеспечение на контролируемых серверах или рабочих местах и анализируют активность на основании данных журналов регистраций и аудита в поисках признаков опасных событий. Самый старый и наиболее распространенный метод выявления атак — так называемое сопоставление с шаблоном. Как и при сканировании вирусов, он опирается на список шаблонов или сигнатур, на основании которых делается заключение об атаке. Проще говоря, подобные системы сравнивают каждый пакет данных со всеми шаблонами и при совпадении с одним из них считают, что обнаружили вторжение. Недостаток метода заключается, прежде всего, в больших затратах, а кроме того — в плохой масштабируемости [4]. Намного эффективнее метод анализа протоколов, в процессе которого последовательного сравнения с шаблоном не производится, а сначала декодируются используемые при взаимодействии протоколы. Отклонения от разрешенного стандарта уже служат первыми вероятными признаками атаки. Дополнительно могут использоваться определенные шаблоны, правда, трафик данных сравнивается только с относящимися к соответствующему протоколу шаблонами, что значительно повышает производительность. Однако на практике граница между анализом протоколов и оптимизированным с учетом протокола сопоставлением с шаблонами остается нечеткой. В теории кроме анализа протоколов и сопоставления с шаблоном имеется еще и статистический метод [16]. Однако этот метод еще не получил практического признания, и почти все существующие коммерческие системы применяют сопоставление с шаблоном или анализ протоколов вместе с сопоставлением с шаблоном. Как и у систем защиты от вирусов, эффективность системы IDS на базе сети во многом зависит от актуальности шаблона. Поскольку новые уязвимые места обнаруживаются ежедневно и злоумышленники не упускают случая многими из них воспользоваться, система IDS должна быть всегда актуальной. Если ее шаблоны обновляются только раз в месяц, то нужно учитывать, что в промежутке между обновлениями могут появиться новые, не распознаваемые системой атаки. Системы на основе анализа протокола способны лишь частично закрыть этот пробел — только в случае, если новые атаки реализуются с отклонением от протокола. Самая большая проблема сегодняшних систем выявления атак заключается в высоких операционных издержках из-за большого количества ложных сигналов тревоги. Они возникают, если шаблон из списка встречается в обычном потоке данных, даже при отсутствии атаки, или когда обычные приложения используют незначительные модификации стандартных протоколов, что в конечном итоге приводит к подаче системой IDS сигнала тревоги. Иногда причиной служат сетевые ошибки, неправильно сконфигурированные сервер или рабочее место. Во избежание ложных сигналов тревоги применяются различные подходы. Прежде всего можно использовать комплексные шаблоны: Однако комплексные шаблоны ухудшают производительность сенсора, и вряд ли этот путь является перспективным — ведь производители постоянно пытаются превзойти и так уже довольно высокую максимальную пропускную способность сенсоров. Другая возможность заключается в корреляции потенциально известных атак с информацией о фактически имеющейся инфраструктуре ИС. Специфическое для Windows злонамеренное действие, направленное против рабочей станции UNIX, является либо полностью ошибочным, либо, по крайней мере, бессмысленным, так как нацелено на уязвимое место, которого нет у конечной системы. Следовательно, сигнал тревоги можно либо отфильтровать, либо значительно снизить его приоритет. В качестве источника информации по инфраструктуре служат, например, результаты сканирования сети или специальных сенсоров. Во время анализа система считывает общий сетевой трафик и выясняет на основе содержащейся в пакетах данных информации, какая операционная система или какие приложения находятся по определенному конечному адресу в контролируемой сети. Наиболее оптимальный вариант — коррелировать данную информацию в режиме реального времени с регистрацией сигналов тревоги, поступающих от системы выявления атак. В большинстве случаев администраторы, пытаясь избежать ложных сигналов об атаке, вручную подстраивают сенсоры системы IDS. При этом они деактивируют определенные шаблоны для конкретных групп сенсоров или IP-адресов. Такая работа требует не только больших затрат и средств, она может привести к тому, что сенсоры станут почти слепыми, а это ставит под сомнение смысл всего проекта по внедрению IDS. В целом проблема ложных сигналов тревоги в системах с классической технологией выявления на базе анализа протоколов и сопоставления с шаблоном не разрешаема. Лишь совершенно новая идея для выявления атак способна повлиять на улучшение ситуации [17]. Кроме того, независимо от проблематики ложных сигналов тревоги, операционные издержки при использовании системы IDS очень высоки. Система IDS распознает только те вторжения, для которых ей удается подобрать известный шаблон в потоке данных или выявить очевидное отклонение от сетевого протокола. Итак, важными признаками качественной системы выявления атак является не только и не столько то, какой объем трафика она способна контролировать и анализировать, а, прежде всего, точность обнаружения и имеющиеся инструменты у администратора для дополнительного слежения и анализа вручную. В этом случае простое и быстрое получение информации о другой протоколируемой деятельности по тому же самому исходному или конечному адресу — только начало работы. Самая лучшая скорость распознавания ничего не даст, если человек не справляется с потоком информации, который такая система выдает. Занять за короткий промежуток времени всю имеющуюся память сигналами тревоги об атаках для системы IDS — не проблема. И все же этот аспект часто не принимается во внимание при выборе решения. Позже в процессе внедрения компании вынуждены управлять данными о событиях размером более 1 Гбайт, так как, вопреки обещаниям производителей, многие случаи классифицируются как вторжение далеко не сразу. Но если позже возникает необходимость повторно отследить инцидент, произошедший месяца три назад, в распоряжении администратора должны быть необходимые данные на тот момент времени. При проектировании СЗИ с применением IDS, должны учитываться ограничения имеющихся систем. Чаще всего производители указывают предельные значения: Однако обычно они не указывают, как много или какие именно вторжения система IDS не может обнаружить. Проблема снова заключается в технологии выявления, поскольку и при анализе протоколов она частично базируется на шаблонах. Когда в потоке данных присутствует определенный шаблон, атака распознается. Но если атака происходит, а шаблон при этом не появляется, то система ее не обнаруживает. Часто системы выявляют вторжение по характерной последовательности байт при атаке посредством известного автоматизированного инструмента вторжения, так называемого эксплоита. Если злоумышленник обладает достаточным опытом, у него есть хороший шанс создать такой инструмент самому и провести атаку так, чтобы она осталась незамеченной со стороны системы IDS на базе шаблонов. Многие вторжения происходят на уровне приложения и, хотя они используют общий основной принцип, являются еще и очень индивидуальными. Нет никаких шаблонов, которые можно было бы распознать на сетевом уровне. Способная выявить такие атаки система IDS должна была бы, вместо поиска шаблонов, знать логику индивидуальных приложений и отслеживать их текущий статус. Ввод десятизначного числа может быть разрешен в одном поле формы Web, а в другом поле или по другому URL он может привести к несанкционированному выполнению команд. Многие современные системы выявления атак не предлагают такую функциональность. Соответственно нужно с осторожностью пользоваться статистическими данными и исследованиями, где дается оценка системы IDS на базе глобально распределенных сенсоров. Высказывания об атаках преимущественно через порт 80 действительны только в отношении некоторых из них — на базе готовых эксплоитов, но не касаются все чаще встречающихся индивидуальных атак, специфичных для приложений. Такие атаки сенсоры системы IDS обнаруживают лишь в исключительных случаях. Концептуально сигнатура сетевой атаки практически не отличается от сигнатуры вируса. Она представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Так, перечисленные ниже признаки могут рассматриваться в качестве сигнатур атак [5]: Методы анализа контента имеют еще один существенный недостаток. Они не работают, когда атакующие программы DDoS, trojans обращаются к шифрованию трафика. Например, в Back Orifice trojan или Barbwire DDoS-команды, передаваемые между клиентом и сервером менеджером и агентом , шифруются посредством алгоритма blowfish. Методы обнаружения такого рода атак ограничиваются анализом заголовков сетевых пакетов. В настоящее время IDS начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако имеется ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Приведем некоторые из них: Стоимость современных IDS в аппаратном исполнении колеблется от USD до и даже выше [18]. Здесь стоимость определяет в первую очередь масштаб предприятия требования к пропускной способности и набор сигнатур атак. В то же время на рынке существуют продукты программного исполнения которые значительно дешевле и более доступны. Как и в случае с МЭ, а в отношении IDS еще существенней, уровень защищенности обеспечиваемый данным средством на 80 процентов зависит от компетентности администраторов и выхода обновлений сигнатур. В прессе существует множество примеров когда системы IDS бездействовали из-за отсутствия тонкой настройки под конкретную систему, снижая тем самым целесообразность своего применения фактически к нулю. В настоящее никто не станет отрицать важность системы антивирусной безопасности на предприятии — это в большинстве случаев наиболее актуальная система, из всего ряда развернутых систем обеспечения информационной безопасности. Конечно подобная ситуация возникла не сама по себе, а обусловлена в первую очередь лавинообразным ростом числа новых компьютерных вирусов. Данное положение вещей подтверждается неоднократными исследованиями различных авторитетных компаний. Так, например, из отчета по итогам года, приведенного на рисунке 2. Помимо этого, сети компаний находятся в постоянном развитии, соответственно растет и число точек проникновения вирусов в корпоративные сети. Когда-то вредоносный код попадал на компьютер к пользователю только посредством переносных носителей информации. В настоящее время, как правило, основными точками проникновения являются, в первую очередь — электронная почта, шлюзы центральная точка входа в корпоративную сеть и серверы Интернет Web browsing — различные CGI скрипты и прочий вредоносный код скачиваемый пользователем. Одновременно с развитием корпоративной сети, необходимо, что бы система антивирусной защиты, в лучшем случае опережала ее развитие на шаг или же изменялась одновременно и в соответствии с расширением количества или качества сервисов, предоставляемых пользователям данной сети [20]. Чтобы подчеркнуть данное высказывание приведем небольшую классификацию вирусов, и опишем угрозы которые они несут для КИС. Программа этого типа может служить для опосредованного выполнения операций, которые несанкционированный пользователь не может выполнить непосредственно. Например, для получения доступа к файлам другого пользователя на компьютере, находящемся в совместном пользовании нескольких человек, злоумышленник может создать программу "троянского коня", которая в ходе выполнении изменит параметры контроля доступа к файлам соответствующего пользователя, сделав эти файлы открытыми для всех. Создав такую программу, автор может спровоцировать других пользователей запустить ее, поместив эту программу в общедоступный каталог и присвоив ей имя, которое большинству пользователей покажется именем полезной программы или утилиты. Примером может служить программа, якобы создающая список файлов пользователя в нужном формате. После того как какой-нибудь пользователь запустит такую программу, автор программы может получить доступ к информации, содержащейся в файлах этого пользователя. Примером "троянского коня", который очень трудно выявить, является компилятор, модифицированный с целью внедрения дополнительного кода в компилируемые программы определенного вида, например в программы входа в систему [21]. Этот код представляет собой лазейку в модуле регистрации, который позволяет автору программы войти в систему с помощью специального пароля. Обнаружить такого "троянского коня" по исходному коду программы входа в систему невозможно. Вторым источником мотивации для написания "троянского коня" является разрушение данных. В этом случае программа, которая выполняет какие-то полезные функции например, программа-калькулятор , может без каких бы то ни было внешних проявлений удалить файлы пользователя. Вирус представляет собой программу, которая может "заражать" другие программы путем их модификации. В модифицированный код включается код вируса, в результате чего код вируса может продолжать заражать другие программы. Внесенный в компьютерную систему, типичный вирус временно захватывает управление дисковой операционной системой компьютера. Затем, при каждом контакте зараженного компьютера с незараженным программным обеспечением очередная копия вируса помещается в новую программу. Таким образом инфекция может передаваться от компьютера к компьютеру ничего не подозревающими пользователями, обменивающимися содержимым магнитных дисков или пересылающими программы по сети. Сеть, с ее возможностями доступа к приложениям и системным службам других компьютеров, является прекрасной средой для распространения вируса. Сетевые программы-"черви" используют сетевые соединения для распространения от одной системы к другой. Во время работы на отдельном компьютере сетевой "червь" может вести себя как компьютерный вирус или внедрять "троянских коней", либо выполнять какие-то другие разрушительные или подрывные операции. Для размножения сетевой "червь" использует какое-нибудь из сетевых средств доставки информации. Примерами таких средств могут быть следующие службы. Новая копия программы-"червя" в результате оказывается запущенной в удаленной системе, где в дополнение ко всем другим предусмотренным операциям "червь" продолжает размножаться указанным выше способом. Сетевой "червь" во многом подобен компьютерному вирусу: В фазе распространения обычно выполняются следующие функции. Перед тем как копировать себя в другую систему, сетевой "червь" может также пытаться проверить, не была ли система уже инфицирована ранее. В многозадачной среде он может также скрывать свое присутствие с помощью назначения себе названия, соответствующего системному процессу, или с помощью использования какого-либо другого имени, не вызывающего подозрения у системного оператора. Так же как и вирусам, сетевым "червям" трудно противостоять. Однако меры сетевой защиты в совокупности с мерами по защите отдельных компьютерных систем при условии их правильной разработки и применения значительно уменьшают опасность, которую представляют собой "черви". Вирусы могут делать все, что могут делать обычные программы. Единственное различие состоит в том, что вирус присоединяется к другой программе и выполняется скрытно в процессе работы программы-носителя. Во время своего выполнения вирус может выполнить любую операцию, например стереть файлы документов и программы. Жизненный цикл типичного вируса состоит из четырех этапов [6]. Работа большинства вирусов построена в соответствии с архитектурными принципами конкретной операционной системы и в некоторых случаях даже конкретных аппаратных средств. Таким образом, в их основе лежит использование недостатков и нюансов тех или иных систем. С тех пор как появились вирусы, началась и бесконечная борьба между авторами вирусов и авторами антивирусных программ. Как только вырабатывались эффективные методы противодействия уже известным вирусам, появлялись новые типы вирусов. В [22] предлагается следующая классификация наиболее важных типов вирусов. Существуют и другие, гораздо более хитроумные решения. Например, вирус может перехватывать обращения к функциям ввода-вывода и при попытках прочитать подозрительные части диска с помощью этих функций возвращать оригинальные неинфицированные версии программ. Таким образом, применяемая в данном случае характеристика стелс скрытный относится не столько к вирусам, сколько к технологии, обеспечивающей вирусу защиту от обнаружения. Полиморфный вирус создает при размножении копии, эквивалентные по функциональности, но существенно различающиеся по двоичному представлению кода [6]. Как и в случае с вирусами-невидимками, это делается с целью противостоять программам, обнаруживающим вирусы. Для таких вариаций представления кода вирус может вставлять в свой код генерируемые случайным образом избыточные команды или же изменять порядок следования не зависящих друг от друга команд. Более эффективным подходом является шифрование. Часть вируса, называемая механизмом управления мутациями mutation engine , генерирует случайное значение ключа, с помощью которого шифрует остальной код вируса. Ключ сохраняется вместе с вирусом, а механизм управления мутациями видоизменяется. Во время запуска инфицированной программы вирус с помощью сохраненного ключа расшифровывается. При новом инфицировании генерируется новый ключ. Еще одним оружием в арсенале авторов вирусов является пакет инструментальных средств для разработки вирусов. Такой пакет позволяет даже относительному новичку быстро создать целый набор вирусов разных типов. Хотя вирусы, созданные с помощью пакета инструментальных средств разработки, обычно оказываются менее изощренными в сравнении с вирусами, созданными "с нуля", неограниченное число новых вирусов, которые можно генерировать с помощью пакета, представляет собой достаточно серьезную проблему для схем антивирусной защиты. За последние годы число вирусов, регистрируемых на корпоративных узлах, стремительно возросло [23]. Практически весь этот прирост связан с распространением нового типа вирусов, называемых макровирусами. Согласно информации NCSA National Computer Security Agency — Национальное агентство компьютерной безопасности США макровирусы сегодня составляют две трети от общего количества вирусов [24]. Существование макровирусов построено на использовании средств поддержки макросов, предлагаемых в Word и других офисных приложениях например, Microsoft Excel. По сути, макрос представляет собой программу, встроенную в документ текстового процессора или файл какого-то другого типа. Обычно пользователи используют макросы для того, чтобы автоматизировать выполнение часто выполняемых действий, что позволяет сэкономить время. Язык макросов чаще всего является каким-нибудь вариантом языка программирования Basic. Пользователь может записать последовательность нажатий клавиш в виде макроса, а затем настроить программу так, чтобы записанный макрос вызывался нажатием функциональной клавиши или какой-то специальной комбинацией клавиш. Создание макровирусов оказывается возможным благодаря существованию автоматических макросов. Это макросы, которые выполняются автоматически, без явной активизации их пользователем. Типичными автоматически происходящими событиями являются открытие, закрытие файла, а также запуск приложения. Во время своего выполнения макрос может копировать себя в другой документ, удалять файлы и выполнять любые другие действия, разрушающие систему пользователя. В Microsoft Word имеется три типа автоматических макросов. Обычно распространение макровируса происходит следующим образом. Автомакрос или командный макрос вставляется в документ Word, который передается в компьютерную систему по электронной почте или с внешнего носителя информации. В какой-то момент после открытия документа макровирус начинает выполняться. Он копирует свой код в глобальный файл макросов. При следующем запуске Word становится активным инфицированный глобальный файл макросов. При выполнении макрос может размножаться и выполнять действия, наносящие вред системе. В современные версии Word встроена защита от макровирусов. Microsoft предоставляет в распоряжение пользователя средство защиты от макровирусов, выявляющее подозрительные файлы Word и предупреждающее пользователя об опасности, связанной с открытием файлов, содержащих макросы. Ведущие разработчики антивирусных программ тоже создали средства для обнаружения и удаления опасных макровирусов. Однако, как и в случае любых других вирусов, борьба в области макровирусов продолжается и не всегда в лучшую сторону. Идеальным решением проблемы вирусов является предотвращение инфицирования: Этой цели в общем достичь невозможно, хотя предпринятые превентивные меры могут снизить число успешно завершенных вирусами атак. Почти идеальный подход должен обеспечивать выполнение следующих требований. Если вирус обнаружен, но его не удается идентифицировать или удалить из системы, альтернативой является удаление инфицированной программы с последующей ее новой загрузкой с резервной копии. Технологии разработки вирусов и антивирусов идут рука об руку. Первые вирусы представляли собой сравнительно простые фрагменты кода и могли быть удалены с помощью относительно простых антивирусных программ. По мере усложнения вирусов антивирусное программное обеспечение тоже становилось все сложнее и изощреннее. В [22] антивирусные программы разделяются на четыре поколения. Антивирусные программы-сканеры первого поколения для идентификации вирусов использовали характерные для соответствующих вирусов сигнатуры. Вирусы могли содержать "групповые символы", но все копии вируса имели в основном одну и ту же структуру и неизменный код. Такие программы-сканеры, использующие сигнатуры, могли обнаруживать только известные вирусы. Другой тип сканеров первого поколения предполагал поиск несоответствий текущих значений длин файлов со значениями, сохраненными в специальной базе данных. Сканеры второго поколения уже не ориентированы на конкретные сигнатуры. Вместо этого в них начали применять эвристический анализ, с помощью которого можно было сделать вывод о возможном наличии в программе вируса. Одна из разновидностей таких сканеров предполагала поиск в программе фрагментов кода, характерного для вирусов. Например, сканер мог искать начало цикла шифрования, используемого полиморфным вирусом, и пытаться открыть ключ шифрования. Получив ключ, сканер мог расшифровать тело вируса, идентифицировать вирус, удалить его из программы и вернуть программу в рабочее состояние. Другим подходом, применявшимся в антивирусных программах второго поколения, была проверка целостности. С каждой программой можно связать контрольную сумму. Если вирус инфицирует программу, не меняя при этом контрольной суммы, то проверка целостности обязательно это обнаружит. Чтобы противостоять вирусам, которые при заражении могут менять соответствующую контрольную сумму, можно использовать некоторую функцию хэширования с шифрованием. Ключ шифра хранится отдельно от программы, чтобы вирус не мог сгенерировать новый хэш-код и зашифровать его. Использование функции хэширования с шифрованием вместо обычной контрольной не дает вирусу возможности модифицировать программу таким образом, чтобы результат хэширования после инфицирования не изменялся. Программы третьего поколения представляли собой резидентные программы, выявляющие вирусы по выполняемым ими действиям, а не по их структуре в инфицированной программе. Преимуществом таких программ было то, что для них не требовалось постоянно обновлять базу данных сигнатур и эвристик для все большего числа вирусов. Вместо этого достаточно было определить относительно небольшой набор действий, характеризующих возможные проявления вируса. Продукты четвертого поколения представляют собой пакеты, объединяющие в единое целое все существующие антивирусные технологии. Такой подход, помимо выполнения сканирования и наличия компонентов, позволяющих регистрировать определенные действия вирусов, предполагает наличие средств управления доступом, с помощью которых можно ограничить возможности вирусов по проникновению в систему и по внесению изменений в файлы с целью распространения инфекции под видом обновления. С появлением пакетов четвертого поколения появилась возможность построения всеобъемлющей стратегии антивирусной защиты, являющейся неотъемлемой частью общих мероприятий по обеспечению защиты компьютерной системы. Обычная корпоративная сеть включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и, как правило, имеет очень сложную структуру. При этом стоимость обслуживания такой сети катастрофически растет вместе с увеличением числа подключаемых объектов сети. Очевидно, расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Однако существует принципиальная возможность их снижения путем реализации централизованной установки, управления и обновления всем антивирусным комплексом защиты корпоративной сети. Важно отметить, что при начальном построении системы антивирусной безопасности важно точно определить точки, которые мы будем защищать и свести огромную архитектуру сети к четкой функциональной модели. Пример простейшей функциональной модели приведен на рисунке 2. На данной модели не показан, например, сервисный и сетевой уровень, то есть если имеется необходимость обеспечения антивирусного контроля на данных уровнях автоматизированной системы, то необходимо добавить их в функциональную модель. Взглянув на конкретную функциональную модель, становится, очевидно, что антивирусную безопасность в данной корпоративной сети не обеспечить за счет антивирусов устанавливаемых на рабочих станциях и серверах. Да, бесспорно, есть решения, включающие несколько антивирусных продуктов для разных точек проникновения , но нет одного продукта, который бы мог контролировать все участки корпоративной сети [25]. При таком положении дел важно помнить о централизованном контроле и управлении всеми антивирусными продуктами, которые используются на предприятии. Необходимо, чтобы администратор мог с единой консоли отслеживать все точки проникновения вирусов и, эффективно управлять всеми присутствующими в сети предприятия точками антивирусной защиты. В нынешних условиях развития вирусной индустрии, отсутствие подобного рычага у администратора приведет в лучшем случае к потере контроля над несколькими объектами сети предприятия устаревшие базы вирусных сигнатур, отключенный режим сканирования в реальном времени, вообще не установленное антивирусное ПО , а в худшем — к потере контроля вообще над частью системы антивирусной защиты. Сложность создания комплексного централизованного управления и является нелегкой задачей для успешного создания эффективных корпоративных систем антивирусной защиты, что, в конечном счете, и приводит к столь вероятной угрозе проникновения компьютерных вирусов в корпоративные сети. Для того, что бы окончательно определиться — какой должна быть система антивирусной защиты КИС, необходимо задуматься, что еще должно в ходить в ее функциональность. Для начала используем те требования, которые предъявляет к подобным системам международный, наиболее авторитетный, стандарт в области управления информационной безопасностью — ISO [10]. Если проанализировать данный стандарт, то можно выделить ряд требований, предъявляемых к самой системе антивирусной безопасности и к необходимым возможностям по управлению данной системой: Безусловно, в любом из общих стандартов по информационной безопасности, невозможно полностью отразить все требования, для каждой из подсистем защиты, вследствие чего, существует необходимость в дополнении и более подробном описании каждого из указанных выше требований. Конечно, есть требования может быть даже субъективные , которые не описаны стандартами, но на них всегда обращают при построении любой из корпоративных систем. В первую очередь идет речь, например, о производительности и удобности эксплуатации антивирусных решений. Конечно, данные требования никто в стандарт по безопасности вносить не будет, но они существуют и играют не последнюю роль при выборе конкретных решений. Список и раскрытие этих требований перечислены ниже [25]. Конечно, стоимость довольно часто играет одну из главных ролей при выборе решения, ведь это прямые затраты, которые должны обеспечить надежное функционирование всей корпоративной сети предприятия. При этом многие упускают из виду то, что все антивирусные решения продаются на ограниченный период времени, затем необходимо или обновлять лицензии, или продлевать техническую поддержку что на практике, в общем-то, одно и то же. В конечном счете, довольно привлекательное решение в ценовом варианте, может оказаться значительно дороже конкурентных предложений. Очень важно сразу обратить внимание на лицензионную политику производителя. И может оказаться так, что, купив какое-то количество лицензий, антивирус откажется защищать все объекты сети вашего предприятия, так как их окажется чуть больше, вследствие использования каких-либо служебных почтовых ящиков или временных тестовых стендов. Достаточно важна, поскольку напрямую оправдывает финансовые затраты на приобретение и эксплуатацию антивирусного ПО. Безусловно, на данный момент практически отсутствуют антивирусы, которые не обнаруживают весь спектр вредоносного кода. Но, тем не менее, необходимо обращать на это внимание, например, антивирус, устанавливаемый для защиты Lotus Domino, должен обладать возможностью блокирования скриптов, позволяющих выполнить неавторизованные действия от имени пользователя. Никто не станет отрицать, что одно из важных свойств продукта а точнее производителя — способность своевременно и быстро реагировать на появление новых угроз. Возможность централизованного администрирования антивирусного программного обеспечения чрезвычайно актуальна, так как нельзя полагаться на то, что конечные пользователи будут поддерживать работоспособность и обновление антивирусной защиты на своих рабочих станциях. При этом бывает так, что в результате системного сбоя не обязательно самого антивирусного ПО происходит сбой системы обновления. А это уязвимость во всей системе. Даже подобные единичные случаи, среди сотен защищаемых объектов могут привести к непоправимым последствиям. Сейчас появилось большое количество пользователей, которые выполняют свою работу дома, подключаясь к ресурсам корпорации удаленно, создавая тем самым новые точки проникновения вирусов. Поэтому администратору необходимо поддерживать их на том же уровне антивирусной защиты, что и локальных пользователей. Сегодня администраторы могут быть ответственны за сотни рабочих станций и десятки различных сегментов сети предприятия, проверить каждый объект сети самостоятельно невозможно. Поэтому понятно требование администратора, который хочет при помощи антивирусного ПО автоматизировать процесс распространения и обновления. При этом максимально минимизировать трафик и время распространения обновлений. Если администратор антивирусной системы не сможет получить мгновенную единую картину всех уязвимых точек сети, то они могут упустить из виду потенциальную и, как правило, реальную вирусную атаку. Если администратор сам является удаленным пользователем, интерфейс броузера как административной консоли дает ему возможность администрирования всего предприятия независимо от своего местонахождения. При этом Web интерфейс оказывается наиболее привычным, по сравнению с обычным GUI интерфейсом, так как довольно часто дизайнерские способности производителей антивирусов оставляют желать лучшего. А Web интерфейс достаточно прост и удобен. Возможность четкой и детальной настройки антивирусной системы. Что отличает антивирусное программное обеспечение для корпоративного использования, от программного обеспечения для домашнего использования — необходимость в наличие большей детализации настроек. Это связано с тем, что требования для разных объектов сети зачастую сильно разнятся. К сожалению, многие антивирусные производители не считают необходимым расширять возможности по настройке всего комплекса. Таким образом на сегодняшний день вирусные угрозы представляют для современных КИС наибольшую опасность. Это показуют и исследования статистики нарушений и мнение экспертов в этой области. Из этого можно сделать вывод что обеспечение должного уровня антивирусной защита в современных КИС должно являться неотъемлемой частью общей программы защиты и проблемы вирусной активности должны решаться в первую очередь для обеспечения должного уровня гарантий безопасности. Широкое распространение глобальных сетей передачи данных предоставляет возможность объединять территориально разбросанные локальные сети организаций для создания так называемых частных виртуальных сетей VPN. Глобальные сети в этом случае выступают как транспортный компонент, объединяющий локальные сети в единую информационно-вычислительную систему. Создание VPN велось и до стремительного роста глобальных сетей, однако для их объединения служили выделенные каналы передачи данных, что приводило: Территориально-распределенная КИС основанная на технологии VPN. Использование коммутируемых каналов глобальных сетей передачи данных позволило добиться гибкости, масштабируемости и универсальности при построении VPN. Кроме того, расширение Internet позволило многим компаниям перевести часть персонала на домашний режим работы. В этом случае сотрудник имеет постоянную связь с фирмой в рамках, например, системы электронного документооборота, при этом проблемы связи его с сетью офиса решаются посредством провайдеров. Необходимость в обеспечении безопасности сетей на основе протокола IP постоянно возрастает. В современном, сильно связанном мире бизнеса при наличии Интернета, интрасетей, дочерних отделений и удаленного доступа критически важная информация постоянно перемещается через границы сетей. Задача сетевых администраторов и других специалистов информационных служб состоит в том, чтобы этот трафик не допускал: Указанные проблемы известны как обеспечение целостности данных, конфиденциальности и аутентификации. Кроме того, необходима защита от воспроизведения информации. Для решения проблемы передачи информации через открытые каналы интернет используют VPN решения. VPN- это объединение ряда локальных сетей, подключенных к сети общего назначения, в единую виртуальную логически выделенную сеть. VPN средства организовывают защищенный туннель между двумя точками средствами криптографии. При этом они предоставляют широкие возможности по выборам алгоритмов аутентификации, шифрования и проверки целостности потока данных [27]. При использовании VPN ресурсы компании могут быть легко консолидированы и употреблены с большей эффективностью. По причине того, что VPN может работать по сети интернет, у компании не возникнет значительных затрат связанных с покупкой дополнительного оборудования и арендой линий связи. Использование выделенных арендованных линий связи может привести к повышению издержек до сотен тысяч долларов, а такие затраты весьма сложно оправдать. К тому же главным достоинством VPN является возможность обеспечения безопасности множества коммуникационных потоков посредством одного механизма. Более конкретно — потоки информации защищены от нежелательных получателей с использованием криптографических методов. С помощью VPN можно избежать ряда угроз. VPN обеспечивает целостность и конфиденциальность данных путем шифрования а также их аутентификацию при помощи использования специальных протоколов и схем аутентификации. Также средства VPN за счет скрытия информации относящейся к транспорту IP пакетов защищены от ряда сетевых атак, таких как IP-spoofing и hijacking, также они защищены от атак типа man-in-the-middle [28]. Конечно в реализации самого ПО для создания VPN или его аппаратной реализации могут быть уязвимости но как правило на практике используются проверенные временем решения известных разработчиков, которые выпускают постоянные обновления и заплатки для своих продуктов. Основные требования, которые должны выполнять решения VPN, следующие: Можно выделить четыре основных варианта построения сети VPN, которые используются при создании корпоративных VPN сетей: Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики. Этот вариант представляет собой топологию сеть-сеть. В этой конфигурации каждый шлюз расположен на конце сети и обеспечивает безопасность канала связи между двумя или более сетями. Конфигурация этого типа лучше всего подходит для соединения территориально разделенных локальных сетей. Основное преимущество данной конфигурации заключается в том, что удаленные локальные сети в VPN прозрачны для конечного пользователя. Фактически шлюзы VPN являются для пользователей условными маршрутизаторами. Структуры сеть-сеть VPN могут быть использованы для связи внутренних сетей, как если бы они имели смежные каналы. Данные, передаваемые между сетями интранет, сохраняют конфиденциальность во время передачи. Эта схема применима также для внешних сетей extranet нескольких компаний, где каждая компания разделяет свои ресурсы только с партнерами по бизнесу. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального. Подключение к сети VPN двух стационарных компьютеров. Примером Extranet VPN является объединение сетей различных корпорация для ведения совместной деятельности. Простой способ обеспечить мобильным пользователям возможность соединения с корпоративной сетью дает виртуальная защищенная сеть, или структура, хост-сеть VPN. В конфигурации такого рода каждый хост независимо связывается с локальной сетью через шлюз VPN. Каждый хост аутентифицируется, и для него организуется VPN-туннель. Мобильный хост может быть присоединен любым способом, будь то коммутируемая линия dial-up , соединение с локальной сетью или беспроводное соединение. Структура хост-сеть оправдана в случае удаленного доступа. Мобильный пользователь может иметь программное обеспечение VPN на своем портативном компьютере и соединяться с внутренней вычислительной сетью через шлюз VPN. Эта схема VPN может быть использована и для сотрудников, работающих дома со своего домашнего компьютера. Медленный, но уверенный рост использования цифровых и кабельных модемов делает привлекательной возможность работать из дома. VPN делает поток информационного обмена конфиденциальным и нечитаемым до того момента, когда он попадает в корпоративный шлюз VPN. Широкое распространение VPN, построенных на основе глобальных сетей передачи данных, делает их уязвимыми по отношению к атакам потенциального нарушителя, поскольку такая конфигурация наследуют все уязвимости стека используемых протоколов. Средства обеспечения информационной безопасности трансформируют IP-пакеты, встраивая их внутрь других пакетов инкапсуляция , которые затем маршрутизируются через Internet. Таким образом, информационный поток трансформируется в другой информационный поток туннелирование. При этом шифруются не только поля данных передаваемого IP пакета, но и адресная часть, и служебные поля данных. Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol протокол трансляции канального уровня , Layer 2 Tunneling Protocol протокол туннелирования канального уровня , Point-to-Point Tunneling Protocol протокол туннелирования точка точка , а также протокол IP Security IPSec , предложенный комитетом IETF. Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня AppleTalk, IP и IPX сначала инкапсулируются в другие пакеты протокола канального уровня РРР , а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты. Виртуальные частные сети на основе протокола SSL Secure Sockets Layer предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-броузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, как правило, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки. Все продукты для создания VPN можно условно разделить на две категории: Программное решение для VPN - это, как правило, готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа в ряде случаев может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого. В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения, - компьютер, частную как правило операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать, и ожидаемого объема трафика. Развертывать аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN-решений является гораздо более высокая производительность. К минусам аппаратных VPN-решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации. Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Второе преимущество - более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Примером такого интегрированного решения может служить VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т. Как правило, выбор VPN решения определяется тремя факторами: Процесс шифрования данных требует существенных вычислительных ресурсов и может перегрузить компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных. В этом случае, чтобы разгрузить центральный процессор, возможно, придется установить специальные ускорительные платы. Какой бы путь ни был выбран, все равно придется столкнуться с проблемой управления VPN-устройствами и поддержания согласованных правил безопасности для VPN и межсетевых экранов в масштабах всей организации. Если сотрудники не обладают достаточными навыками в этой области, можно доверить создание виртуальной частной сети независимой компании, оказывающей соответствующие услуги. Следует также отметить, что использование VPN не является поводом для отказа от специализированных средств безопасности. Необходимо упомянуть еще одну особенность VPN - использование этой технологии снижает производительность сети, что обусловлено задержками установления защищенного соединения между VPN-устройствами, задержками шифрования данных, задержками контроля их целостности и увеличенным трафиком из-за использования более длинных заголовков пакетов. В общем средства VPN позволяют осуществлять безопасную передачу данных по открытым каналам связи, при этом обеспечивая надежную криптографическую защиту данных от всевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности их настройки, что требует определенного квалификационного уровня системного администратора и знание технологии VPN и используемых протоколов. В современных КИС численность рабочих станций уже давно превысила цифру в единиц. При всем этом перечень прикладного ПО, которое используется пользователями в КИС, также может быть довольно большим. Многие администраторы сталкиваются с проблемой обновления ОС и приложений в локальной сети. Чтобы обеспечивать должный уровень безопасности ПО не должно содержать в себе потенциально опасных уязвимостей. Разработчики ПО при обнаружении уязвимостей сразу же выпускают к нему заплатки или патчи. Суть проблемы как раз и заключается в том, чтобы установить эти обновления на рабочие станции КИС. ПО может иметь в себе встроенные средства обновления, а производители данного ПО, как правило, регулярно обновляют свои веб-сайты новыми версиями ПО. Но если в сети насчитывается большое количество компьютеров, то обновление каждого из них займет определенный процент времени администратора, а также повлечет большой расход интернет трафика. Для автоматизации процесса обновления, а также экономии ресурсов компании используется специализированное ПО для централизованного обновления. Сервер обновлений скачивает все необходимые заплатки с определенной периодичностью на свой локальный диск, а рабочие станции для обновления подключаются уже непосредственно к нему. Чаще всего эти средства обновления рассчитаны на конкретную операционную систему или антивирусный продукт. Выгоды такого решения очевидны: К тому же централизованная система обновлений уменьшает вероятность загрузки поддельных пакетов обновлений, измененных злоумышленником с целью нарушения безопасности организации. Многие программы обновления поддерживают проверку ЦП производителя для загружаемых пакетов и обеспечивают защищенный режим взаимодействия, исключая возможность подмены злоумышленником сервера обновлений и самих пакетов обновлений. Таким образом, централизованная система обновления ПО в КИС способствует повышению уровня защищенности всей системы в целом, экономит время администраторов и ресурсы компании. В то же время такие системы перекрывают многие угрозы, такие как переполнение буфера, отказ в обслуживании и пр. Для обеспечения должного уровня защищенности КИС в ней обязательно должна присутствовать система централизованного обновления ПО. В разделе были описаны основные средства и технологии, применяемые в настоящее время для защиты КИС в сетевом аспекте. Конечно, кроме перечисленных решений может существовать и масса других, отличающихся своими характеристиками, реализацией или набором средств. Как раз и выбор оптимального набора средств является одним из вопросов, решаемых в данной дипломной работе. Любая целенаправленная деятельность человека, начиная от бытовой и оканчивая профессиональной, представляет собой непрерывную последовательность принимаемых и реализуемых решений. Поэтому умение принимать эффективные решения отличает высококвалифицированных специалистов и жизненно успешных людей. Это обстоятельство определило давний и неугасающий интерес к разработке формальных методов, правил-алгоритмов, процедур, которым можно обучить, как альтернативы субъективному интуитивному искусству принятия решений. В процессе исследований было установлено, что принимаемые решения различаются по значимости последствий, особенностям ситуаций, в которых принимается решение, степени полноты и точности исходной информации, но с формальной точки зрения имеют общую методологию и инструментарий реализации. При этом большинство формальных процедур принятия решений является инвариантными предметной области. Широкое распространение современной вычислительной техники, ее интенсивное использование во всех сферах как средства автоматизации интеллектуальной деятельности человека, придало дополнительный импульс изучению и формализации процессов принятия решений. Они отличаются сложностью, возможными последствиями, но с формальной точки зрения могут быть представлены одной обобщенной моделью, инвариантной конкретному содержанию проблемы принятия решений. Анализ позволяет выделить следующие основные задачи обобщенной процедуры принятия решения: В теории принятия решений совокупность перечисленных задач образует общую проблему принятая решений, третья называется задачей оценивания, а четвертая — задачей оптимизации. Конечной целью решения общей задачи принятия решений является выбор из допустимого множества решений X единственного наилучшего, то есть экстремального по выбранным частным критериям решения. Выше было показано, что задача многокритериальной оптимизации 3. Эта некорректность может быть устранена путем регуляризации задачи, то есть введением некоторой дополнительной информации. При реализации неконструктивного подхода источником регуляризационной информации является ЛПР. Однако ЛПР данную информацию не формализует, а использует на интуитивном уровне [31]. Общий подход к решению этой проблемы заключается в трансформации многокритериальной задачи в однокритериальную со скалярным критерием. Это обусловлено следующими двумя причинами. Во-вторых, все методы поиска экстремума ориентированы на скалярную функцию. Существует несколько способов трансформации многокритериальных оптимизационных задач в однокритериальные. Одним из этих методов является метод главного критерия, который мы в дальнейшем используем для решения оптимизационной задачи по оценке эффективности системы защиты. Принцип базируется на выделении главного критерия и переводе всех остальных критериев в ограничения. Для этого проводится анализ конкретных особенностей многокритериальной задачи, из множества частных критериев выбирается один — самый важный, и он принимается в качестве единственного критерия оптимизации. Для каждого из остальных частных критериев назначается предельное значение, ниже которого он не может опускаться. Таким образом, все частные критерии, кроме одного превращаются в ограничения, дополнительно суживающие область допустимых решений X. Тогда исходная многокритериальная задача 3. Вывод главного оптимизационного критерия и уровней ограничений для всех других критериев является субъективной операцией, осуществляемой экспертами или ЛПР. Следует отметить, что можно рассмотреть несколько различных вариантов и сравнить результаты. При реализации рассмотренного метода необходимо обращать особое внимание на то. В любой области деятельности для выбора эффективной системы, эта система должны характеризоваться некоторыми параметрами, на основании которых и делается выбор. В качестве таких параметров для СЗИ можно выделить следующие: Как уже было отмечено выше, выбор оптимальной системы по такому множеству ее характеристик является классической задачей оптимизации и не всегда может иметь эффективное решение. Тем более что многие параметры противоречивы: Поэтому в нашей методике будет производиться оценка эффективности системы по параметру защищенности, как основного показателя, характеризующего уровень обеспечиваемой защиты СЗИ, а на остальные характеристики вводятся ограничения. Будем оценивать защищенность системы Z количественно в зависимости от стоимости защищаемой информации, вероятности взлома, стоимости самой системы защиты, производительности системы: Ц сзи — стоимость СЗИ;. П — производительность системы. С учетом введенного понятия защищенности системы оптимизационная задача состоит в обеспечении максимального уровня защищенности как функции стоимости защищаемой информации и вероятности взлома при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы: С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты. При этом, кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейших характеристик системы. Например, обязательно должно учитываться влияние системы защиты на загрузку вычислительного ресурса защищаемого объекта. В общем случае загрузка вычислительного ресурса определяется количеством прикладных задач, решаемых объектом в единицу времени. Исходные параметры для задачи проектирования системы защиты, а также возможности сведения задачи к однокритериальной [ 32] проиллюстрированы рисунке. Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности на сегодняшний день является наиболее часто используемым на практике подходом. Риск R — это потенциальные потери от угроз защищенности: По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности. С другой стороны, можно рассматривать риск как потери в единицу времени: В качестве основного критерия защищенности будем использовать коэффициент защищенности D , показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой. R нез — риск в незащищенной системе. Таким образом, в данном случае задача оптимизации выглядит следующим образом: Для решения этой задачи сведем ее к однокритериальной посредством введения ограничений. Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты — обеспечение безопасности информации. Производительность системы П сзи рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний в зависимости от того, защищается ли система оперативной обработки, либо реального времени [ 32]. На практике возможно задание ограничения по производительности влияние на загрузку вычислительного ресурса защищаемой системы не непосредственно в виде требуемой производительности системы, а как снижение производительности dП сзи информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом: Заметим, что на наш взгляд, именно такой принцип сведения задачи к однокритериальной целесообразен [32] , так как в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Кроме того, обычно вводится ограничение на стоимость системы защиты. Если рассчитанное значение коэффициента защищенности D не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности: В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности. Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины: W — количество видов угроз, воздействующих на систему;. Соответственно, для коэффициента потерь от взломов системы защиты имеем: Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем: Для незащищенной системы , для защищенной системы. Если в качестве исходных параметров заданы вероятности появления угроз Q i то коэффициент защищенности удобно считать через вероятности появления угроз. Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому мы отдельно рассмотрим основные пути решения данной задачи, рассмотрим возможные способы задания вероятностей и интенсивностей угроз. Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты — вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых должен быть собран весьма обширный материал о происшествиях в данной области. Во-вторых данный подход оправдан далеко не всегда. Если информационная система достаточно крупная содержит много элементов, расположена на обширной территории , имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии для которых пока нет достоверной статистики , оценки угроз могут оказаться недостоверными. Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, то есть всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на сайтах специализированных организаций. Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее. В рамках данного подхода предусмотрено два разных способа. При этом способе для расчета защищенности константа а может быть выбрана любой. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь: Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа — это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме. При этом необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность достоверность ответов для каждого вопроса. Эксперт оценивает эффективность вероятность отражения угроз элементами защиты р i и вероятность появления угроз Q i Вероятности эксперт задает лингвистическими оценками: Затем эти лингвистические оценки при помощи словаря переводятся в числа р i и Q i в диапазоне [0; 1]. В приложении А описываются дополнительные методы экспертных оценок. Для задания вероятности появления угрозы возможна оценка вероятности появления угрозы i-того вида в общем потоке угроз: Исходя из заданной квалификации экспертов, рассчитываются их веса значимость в группе по формуле: После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности результатов. Согласованность рассчитывается при помощи среднеквадратического отклонения и выражается в процентах. Минимальная согласованность достижима при максимальном разбросе оценок экспертов. Важнейшей характеристикой защищаемого объекта как следствие, и системы защиты является стоимость потерь от взлома. Рассмотрим возможные способы задания стоимости потерь. Метод позволяет установить ценность ресурсов. Ценность физических ресурсов в данном методе зависит от цены их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: Для оценки возможного ущерба рекомендуется воспользоваться некоторыми из перечисленных критериев: V i [6um]объем информации. Чтобы точнее определить ущерб в результате реализации угроз информации необходимо прибегнуть к некоторой классификации угроз и выделить тот принцип классификации который в большей мере характеризует стоимость потерь. Очевидно, что стоимость потерь С i удобнее задавать для угроз, классифицированных по целям атаки. Что касается характеристики интенсивности угроз, то она определяется с помощью средств аудита и сетевого мониторинга, которые различают угрозы по принципам и характеру воздействия на систему механизму атаки, способу проникновения. Вероятность отражения угрозы средствами защиты р i определяется в соответствии с теми механизмами, которые реализованы в каждом средстве. Причем каждый из механизмов в общем случае может отражать несколько видов атак. Таким образом, необходимо задавать соответствие между всеми этими параметрами см. Для успешного приведения в соответствие различных параметров оценки защищенности необходимо корректное построение модели нарушителя. В этой модели должны быть отражены практические и теоретические возможности нарушителя, его априорные знания, время и место действия. Задание соответствия между стоимостью потерь и интенсивностью угроз можно осуществлять следующим образом: Статистический подход является основным, как обладающий большей достоверностью. Из анализа статистики можно выявить вероятности нанесения определенных видов ущерба при определенных видах взломов. Однако на практике далеко не всегда подобная статистика существует, в частности, при внедрении новых технологий защиты информации, новых версий ОС или приложений и т. В этом случае может использоваться пессимистический подход. Если не имеется достаточной статистики, можно воспользоваться другим способом. Будем считать, что при проникновении в систему злоумышленник наносит наибольший вред, какой он только может причинить. Именно этот подход мы используем для определения стоимости потерь в случае реализации хотя бы одной из угроз. К тому же, как показывает практика, при преодолении злоумышленником хотя бы одного из барьеров защиты, общий уровень защищенности всей системы резко снижается, что может привести к ее полной компрометации. Исходя из этих убеждений наш подход к оценке ущерба вполне обоснован, и уровень потерь будет равен максимальному при любых видах атак и нарушений. При задании соответствия между интенсивностью угроз и вероятностью их отражения нужно учитывать, что, если в системе реализовано несколько механизмов, отражающих некоторую атаку, вероятность преодоления защиты рассчитывается следующим образом. Если p k есть вероятность отражения i-той угрозы каждым средством защиты, то вероятность взлома системы будет: Качественная зависимость изменения основных параметров, характеризующих систему защиты, от ее сложности — используемого набора механизмов защиты, представлена. Проанализировав характер зависимостей от сложности системы, можем сказать, что стоимость системы защиты возрастает неограниченно, а производительность снижается в пределе до нуля. Это в свою очередь приводит к тому, что при дальнейшем нарастании сложности и, соответственно, увеличении цены, а также снижении производительности увеличение коэффициента защищенности происходит незначительно. Следовательно, при проектировании системы защиты, параметры защищенности которой расположены в области насыщения, целесообразно проанализировать параметры альтернативных вариантов. То есть целесообразно исследовать возможность использования менее сложных систем защиты и, задав некоторый промежуток снижения коэффициента защищенности dD , выбрать систему, уровень защищенности которой удовлетворяет полученному D-dD. Конечно, если таковые имеются. При этом может быть получен ощутимый выигрыш в цене и производительности. В этом и состоит применение известного метода последовательных уступок при выборе оптимальной системы защиты. Этот метод, как уже упоминалось, подразумевает сведение многокритериальной задачи оптимизации к однокритериальной. Метод последовательных уступок представляет собою итерационную человеко-машинную процедуру, используя которую разработчик, давая допустимые приращения одним параметрам в частности, задавая снижение коэффициента защищенности , анализирует изменение других, принимая решение о допустимости вводимых уступок. Таким образом, весь процесс анализа уровня безопасности условно можно разделить на этапы сбора и анализа полученных данных и модификации параметров системы защиты. Оценка защищенности с учетом приведенных выше расчетных формул и выбор оптимального варианта системы защиты необходимого набора механизмов защиты осуществляется следующим образом: Для получения более точных данных приближенных к реальности и в большей степени соответствующих специфике организации, на первом этапе подготовительном , предшествующем этапу расчета параметров, требуется провести тщательное описание системы. Этот пункт является неотъемлемой частью многих международных стандартов в области информационной безопасности. Его значимость очевидна, так как чем лучше специалист знает объект который ему предстоит защищать, тем более точную оценку он сможет получить[8]. На данном шаге описываются цели создания информационной системы, ее границы, информационные ресурсы, требования в области ИБ и компонентов управления информационной системой и режимом ИБ. Описание информационной системы рекомендуется выполнять в соответствии со следующим планом: Первый подход - назовем его наукообразным - заключается в том, чтобы освоить, а затем применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании как ее собственника к оценке стоимости защищаемой информации, определению вероятностей потенциальных угроз и уязвимостей, а также потенциального ущерба. Если информация не стоит ничего, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален - и руководство это подтверждает - проблемой ИБ можно, наверное, не заниматься. Если же информация стоит определенных денег, угрозы и потенциальный ущерб ясны, то понятны и рамки бюджета на корпоративную систему ИБ. Существенно, что при этом становится возможным привлечь руководство компании к осознанию проблем ИБ и построению корпоративной системы защиты информации и заручиться его поддержкой. В качестве такого подхода для оценки стоимости системы защиты может использоваться данная методика без введения ограничений на параметр Ц СЗИ , а ориентироваться только на требуемый уровень защищенности [5]. Второй подход назовем его практическим состоит в следующем: Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Это и есть та самая оценка на основе практического опыта best practice , на которую можно положиться. Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов[4]. В данном разделе была описана пошаговая методика оценки средств СЗИ. Описаны параметры, с которыми оперирует методика, методы их получения и оценки. Также был описан принцип оценки рисков, положенный в основу методики и выведена формула для получения количественной оценки уровня защищенности, обеспечиваемого СЗИ. Разработанная нами методика позволяет оценить уровень защищенности КИС при определенном наборе средств СЗИ и, соответственно, оценить эффективность средств СЗИ. Относительно КИС проведем оценку СЗИ по данной методике именно в аспекте сетевой защиты. Так как эта область ИБ является очень динамичной и требует к себе особого внимания. Уровень защищенности и эффективность средств защиты будем оценивать для сети представленной на рисунке 4. Этот пример отражает в себе корпоративную сеть небольшого предприятия, с несколькими филиалами и сотрудниками, работающими на дому с возможностью удаленного подключения к сети. На компьютерах сотрудников установлена операционная система MS Windows SP4 с последним набором обновлений и стандартным ПО от Microsoft. На контроллере домена установлена ОС Windows Server. Для данной сети защищаемая информация хранится как на локальных компьютерах пользователей по отделам, так и на файл-сервере. Причем с этими данными пользователи должны иметь возможность работать как в локальной сети, так и удаленно из дома или из другого филиала предприятия. Для оценки уровня критичности данного сервиса отметим сделаем предположение, что 30 процентов персонала компании, имеющие доступ к защищаемой информации работают удаленно. Это обусловлено повышенной мобильностью персонала, частыми командировками, а также с целью повышения общей продуктивности персонала многие сотрудники работают на дому. Как уже говорилось в первом разделе, в данном примере определения уровня защищенности КИС будет определяться только в сетевом аспекте, с защитой как от внешнего так и о внутреннего злоумышленника. В первую очередь нам нужно оценить информационные угрозы, вероятности их отражения СЗИ, а также величину потерь в результате реализации угроз. Для этого получения точных оценок требуется наиболее полное перечислений угроз сетевой безопасности для описанной сети. Важно выявить и идентифицировать полный список угроз, так как именно в этом случае будет получена точная оценка. Для перечня угроз можно использовать как стандарты в области безопасности, которые содержат в себе списки угроз и контрмер по защите от них, так и личный опыт по защите в данной области. В большинстве случаев стандарты дают только общий список угроз, берущийся за основу и достаточный для базового уровня защищенности. Для обеспечения более высоких требований к информационной безопасности этот список должен быть дополнен [5]. Применительно к конкретной системе этот список может дополняться пунктами, характеризующими данную систему и составленных на основе её специфики, области ее деятельности предприятия, специфической модели нарушителя, и стоимости информации. За основу списка взят список угроз из германского стандарта BSI [9]. Этот стандарт появился в Германии в г. Можно выделить следующие блоки этого документа: При этом все каталоги структурированы следующим образом. Все компоненты рассматриваются по такому плану: Фактически сделана попытка описать с точки зрения ИБ наиболее распространенные компоненты информационных технологий и максимально учесть их специфику. Стандарт оперативно пополняется и обновляется по мере появления новых компонентов. Каталоги угроз безопасности и контрмер, содержащие по позиций, являются наиболее подробными из общедоступных. Ими можно пользоваться самостоятельно - при разработке методик анализа рисков, управления рисками и при аудите информационной безопасности. Мы также ссылаемся на этот стандарт для определения базовых угроз безопасности. В соответствие с тем, что наша оценка защищенности дается в сетевом аспекте угрозы из стандарта выбирались из двух подклассов: Угрозы которым подвержена корпоративная сеть в области сетевой защиты следующие [9]: Следующим пунктом методики является оценка информационных ресурсов компании и оценка ущерба в результате реализации угроз. Этот пункт является важным звеном методики. Он позволяет ранжировать информационные ресурсы компаний по степени их критичности для ведения нормальной деятельности предприятия. На этом этапе становится понятно какие ресурсы требуют защиты в первую очередь и какие средства на это могут быть потрачены. То есть этот пункт позволяет нам определить в первую очередь стоимость информационных ресурсов, а во-вторых, задает предел стоимости СЗИ. Для оценки уровня ущерба выраженного в денежном эквиваленте мы используем пессимистический подход и будем считать что убытки будут максимальны при реализации хотя бы одной из угроз. В частном случае, как правило, каждая из угроз представляет для информации определенное воздействие, которое не может характеризоваться полным разрушением информации либо ее непригодностью. К тому же практика и данные статистики защиты КИС показывают, что реализации хотя бы одной из угроз может привести к компрометации и нарушении целостности всей системы. А злоумышленники, как правило, начинают свое вторжение с мельчайших угроз и ошибок в деятельности персонала, последовательно увеличивая свои привилегии в системе. В нашем случае для простоты примера мы воспользуемся именно пессимистическим способом оценки стоимости информации. При этом угрозы классифицируем по способу воздействия на информацию. Разделим их на две группы: В качестве основного источника защищаемой информации определен файл сервер находящийся внутри КИС. Для оценки вероятности отражения угроз каждым из средств защиты использовался метод экспертной оценки. В качестве экспертов выступали сотрудники кафедры БИТ. Результат экспертной оценки вероятностей отражения угроз СЗИ приведен в таблице 4. Общий уровень защищенности обеспечиваемый СЗИ будем считать по формуле 3. Таким образом, подставляя значения вероятностей p i и сумму потерь С i в формулу 3. Таблица вероятностей отражения угроз безопасности СЗИ, полученная экспертным методом оценки. В данном случае была произведена оценка защищенности уже существующей реальной системы с необходимым набором средств защиты. В практике чаще возникают ситуации когда необходимо выбрать из набора средств только те, которые в большей степени соответствуют нуждам компании, в данном случае обеспечивают наибольший уровень защиты, при этом система должна иметь минимальную стоимость и оказывать минимальное воздействие на производительность всей системы в целом. Применим методику для выбора оптимальной системы защиты для той же системы. При этом введем ограничения на стоимость такой системы защиты. Предположим, что система защиты должна составлять от 10 до 20 процентов от общей стоимости КИС. Именно такой подход предлагают многие современные эксперты при оценке стоимости СЗИ. Допустим, что общая стоимость нашей КИС согласно данных ее владельца составляет грн.. В этом случае целесообразно на систему защиты потратить грн.. В общем случае ограничения на стоимость СЗИ ограничиваются сверху стоимостью информации. Оценим уровень защищенности при использовании следующих средств защиты: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты. Оценка приведена в таблице 4. Стоимость такого решения составит порядка грн [35]. В качестве альтернативного набора средств будем использовать МЭ, VPN-шлюз, и систему IDS таблица 4. Стоимость второго решения будет составлять грн [35]. Таблица вероятностей отражения угроз СЗИ состоящей из 4 компонентов: Стоит отметить что снижение производительности, оказываемое системой защиты на КИС находится в пределах допустимых 10 процентов [32]. В нашем случае уровень производительности системы задается каналом доступа в сеть интернет. Таблица вероятностей отражения угроз СЗИ состоящей из 3 компонентов: МЭ, VPN-шлюз, система IDS. Из проведенного анализа можно выделить как более эффективный первый набор СЗИ, так как он обеспечивает больший уровень защищенности и при этом требует меньших капиталовложений. С помощью методики мы определили, что для данного примера КИС наиболее оптимальным решением по защите будет являться набор средств состоящий из: МЭ, VPN-шлюза, антивирусного сервера и сервера обновлений ПО. Если при анализе будет использоваться значительно большее количество вариантов СЗИ, для выбора наиболее эффективного может использоваться метод последовательных уступок, который был описан в предыдущем разделе. В магистерской работе была разработана методика, позволяющая оценить уровень защищенности КИС. Результатом методики является количественная оценка уровня защищенности. В результате количественной оценки можно более точно сравнивать несколько вариантов защиты и таким образом выбирать наиболее эффективный. На вход методики подаются вероятности реализации угроз и уязвимостей относительно защищаемой КИС, стоимость защищаемых ресурсов оценка потери в случае выхода из строя информационного ресурса и частота угроз каждого вида в общем потоке угроз. Вводятся ограничения на стоимость СЗИ и снижение уровня производительности системы, оказываемое СЗИ. На выходе методики получаем количественную оценку защищенности для всей СЗИ в целом. На первом шаге составляется список угроз, характеризующий ИС со стороны информационной безопасности, определяем вероятности угроз и вероятности отражения угроз системой защиты, стоимость информационных ресурсов. На втором шаге вводятся ограничения на стоимость СЗИ и на снижения уровня производительности КИС, оказываемое на КИС системой защиты. На третьем шаге производится оценка по математическим формулам общего уровня защищенности КИС обеспечиваемого выбранными средствами защиты. На четвертом шаге из множества вариантов защиты оцененных по методике выбирается тот, который максимально соответствует требованиям и не выходит за рамки вводимых ограничений. Фактически уровень защищенности определяется как отношение рисков в защищенной системе к рискам незащищенной системе. В методику положен подход оценки систем при помощи рисков. Подход на основе рисков сейчас внедряется в многие области информационной безопасности так как он позволяет более точно описывать информационные ресурсы через характерные им уязвимости, стоимость самих ресурсов, и ранжировать риски и соответственно информационные ресурсы по степени критичности для деятельности организации. К преимуществам методики следует отнести простоту ее реализации, распространённый математический аппарат, доступность для понимания. В качестве недостатков можно отметить в первую очередь то, что методика не учитывает особенностей функционального взаимодействия средств защиты. Примером сказанного может выступать случай, когда устройство VPN доступа находится за антивирусным шлюзом и последний не может проверять зашифрованный трафик. Для разрешения такой ситуации требуется более детальная проработка средств защиты и их совместимости на начальных этапах проектирования СЗИ. Таким образом, разработанная методика может использоваться для определения обеспечиваемого уровня защиты СЗИ, как на начальных этапах проектирования СЗИ так и на стадии оценки уровня защиты уже существующих систем с целью их модификации или при проведении аудита. Разработанная методика может применяться для оценки уровня защищенности организаций всех сфер деятельности, так как она характеризует информационную систему со стороны рисков и соответственно может быть конкретизирована под конкретную организацию. Степень конкретизации зависит от уровня зрелости организации, специфики ее деятельности, требуемого уровня защищенности и модели злоумышленника и прочих факторов. То есть в каждом конкретном случае методика может быть адаптирована под конкретные нужды предприятия с учетом специфики его функционирования и ведения бизнеса. Уровень точности получаемой на выходе оценки зависит в первую очередь от полноты списка угроз и уязвимостей, как основных составляющих риска, точности оценки информационных ресурсов, а также точности оценки вероятностных характеристик реализации угроз. Для оценки этих характеристик может потребоваться привлечение, как технических специалистов, так и представителей управления самой компании, что позволяет в дальнейшем результативней финансировать и контролировать процесс внедрения СЗИ. М етоды оценки субъективной вероятности. Как правило, на практике субъективную вероятность приходится привлекать в следующих случаях: В таких ситуациях субъективную вероятность можно рассматривать как меру уверенности эксперта в возможности наступления события. Она может быть представлена по-разному: Покажем, как определить субъективную вероятность. Разделим процесс на три этапа [5]: Первый этап позволяет выделить объект исследования - некоторое множество событий. Далее проводится предварительный анализ свойств этого множества устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий. На основе такого анализа выбирается один из подходящих методов определения субъективной вероятности. На этом же этапе проводится подготовка эксперта или группы экспертов, ознакомление его с методом и проверка понимания поставленной задачи экспертами. Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события. Здесь далеко не всегда удается установить окончательное распределение, поскольку результаты могут быть противоречивыми. Третий этап заключается в исследовании и обобщении результатов опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то это доводится до сведения экспертов и ответ уточняется так, чтобы они соответствовали аксиомам. Для некоторых методов определения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Примеры таких методов - метод главного значения для конечного множества независимых событий и минимаксный метод для зависимых событий. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов. Например, в методе Делфи, после анализа вероятностей, представленных отдельными экспертами, предполагается повторение второго этапа, то есть повторный опрос. Далее вновь следует третий этап, и в случае необходимости процедура выполняется еще раз. Методы определения субъективной вероятности можно классифицировать в зависимости от формы поставленных перед экспертами вопросов или от характеристик событий и случайных величин, а также от числа привлекаемых экспертов. В задачах оценки рисков в условиях неопределенности требуется оценивать вероятность возможность состояний внешней среды неопределенных факторов. Поскольку внешняя среда может принимать лишь одно значение из заданного множества, то при оценке субъективных вероятностей обычно применяют методы, предназначенные для множеств несовместных событий. Среди методов, служащих для оценки вероятностей в случае конечных множеств несовместных событий, наибольшее практическое значение имеют три: Для практической реализации указанных методов необходима их детальная доработка и адаптация к характеру решаемых задач. Также понадобится разработать и реализовать конкретные алгоритмы проведения опроса экспертов по этим методам. В качестве дополнения к таким алгоритмам нужны процедуры графического представления данных, подготовленных экспертом. Это позволит эксперту вносить необходимые корректировки в свои прежние оценки исходя из общей картины. А для обработки вероятностей, представленных несколькими экспертами, следует создавать процедуры агрегирования вероятностей. В их основу может быть положен метод взвешенной суммы. Для лучшей согласованности оценок экспертов обычно разрабатывают итеративную процедуру проведения экспертизы, основанную на методе Делфи. Условно методы нахождения субъективной вероятности можно разделить на следующие три группы. Первая, самая многочисленная группа, - это прямые методы, состоящие в том, что эксперт отвечает на вопрос о вероятности события. К ним относятся метод изменяющихся интервалов, метод фиксированных интервалов, метод отношений, графический метод, метод собственного значения, методы оценки параметров распределения и др. Независимо от конкретного метода данной группы эксперт должен оценивать непосредственно вероятность событий. Вторую группу образуют методы, в которых вероятность событий выводится из решений экспертов в гипотетической ситуации. Примером является метод лотерей, а также метод равноценной корзины. Формально говоря, применение методов второй группы требует от эксперта сравнения не вероятностей как таковых, а полезности альтернатив, при которых исход зависит от реализации случайной величины. Многие эксперты отмечают возрастающую сложность вопросов и более существенные ошибки при применении этих методов по сравнению с методами первой группы. Третья группа - это гибридные методы, требующие от экспертов ответов на вопросы как о вероятности, так и о полезности. К гибридным методам относятся некоторые разновидности метода лотерей. Постановка задачи заключается в том, что путем опроса экспертов следует построить вероятностное распределение на конечном множестве несовместимых взаимоисключающих событий. В этом методе эксперту или группе экспертов предъявляется список всех событий. Эксперт должен указать последовательно вероятность всех событий. Возможны различные модификации метода. В одной из модификаций предлагается сначала выбрать наиболее вероятное событие из предложенного списка, а затем оценить его вероятность. После этого событие из списка удаляется, а к оставшемуся списку применяется уже описанная процедура.
Элементы договора в римском праве
Лилейник милдред митчел описание фото
Защита прав потребителя 612 постановление
В какие страны нужен загранпаспорт нового образца
Поверь он для нее находит время
Полидекса инструкция для носа