Содержание к диссертации
Введение
Глава 1. Общие вопросы анализа защищенности РЭИС 12
1.1. Анализ причин уязвимости РЭИС 12
1.2. Основные принципы организации защищенных РЭИС 15
1.3. Критерии качественной сегментации РЭИС 29
1.4. Анализ показателей защищенности РЭИС 41
Глава 2. Методы сравнительного анализа систем защиты РЭИС 54
2.1 Сравнительный анализ по функциональной полноте 54
2.2. Сравнительный анализ по закрываемым уязвимостям 62
2.3. Сравнительный анализ с использованием метода экспертных оценок 72
2.4. Сравнительная экономико-статистическая оценка 87
Глава 3. Анализ качества систем защиты рэис на основе активного атакующего воздействия 94
3.1- Вероятность осуществления НСД с использованием специализированных программно-аппаратных средств 94
3.2. Вероятность осуществления НСД с использованием последовательности элементарных операций по вскрытию 105
3.3. Совершенствование процесса конфигурирования систем защиты 117
Глава 4. Эффективность применения распределенных систем защиты РЭИС 133
4.1 Анализ структуры распределенных систем защиты 133
4.2 Методы обнаружения распределенных атак на сетевом и системном уровнях 142
4.3. Показатели качества распределенных систем защиты 154
Глава 5. Анализ и совершенствование структуры распределенных систем защиты РЭИС 168
5.1 Комплексная эффективность систем защиты 168
5.2 Вероятность блокировки НСД при наличии центра управления распределенной системой защиты 170
5.3. Оценка качества и выбор оптимальной структуры распределенных систем защиты 184
5.4. Совершенствование структуры распределенных систем защиты при реализации виртуальных сетей 194
Заключение 205
Библиографический список 209
Приложение
- Основные принципы организации защищенных РЭИС
- Сравнительный анализ с использованием метода экспертных оценок
- Вероятность осуществления НСД с использованием последовательности элементарных операций по вскрытию
- Показатели качества распределенных систем защиты
Введение к работе
В настоящее время в печати большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой в информационных системах различных структур. Об этом говорят следующие факты: библиография по теме насчитывает сотни наименований, вопросы защиты информации включены в программу подготовки специалистов в области информационных технологий, сформировался рынок систем защиты, разработанных в России и за рубежом.
Однако по мере развития и усложнения средств, методов и форм защиты все более обостряется проблема оценки их качества, выработки критериев, которым должен соответствовать тот или иной тип систем защиты. Это особенно актуально в контексте создания, внедрения и эксплуатации защищенных распределенных экономических информационных систем (РЭИС), вследствие того что именно защищенность как показатель качества РЭИС выходит в современных условиях на первый план.
Известно, что при организации тех или иных сетевых и
телекоммуникационных топологий потенциальная уязвимость
обрабатываемой в среде РЭИС информации резко возрастает. Это объясняется возникновением многовариантности возможных каналов доступа к процессорным узлам сети, массивам хранимой информации и сегментам сетевых топологий. В связи с этим оценка качества реализации механизмов защиты от несанкционированного доступа (НСД) является одной из основных задач при анализе защищенности РЭИС.
Попытки разработки методологических подходов и инструментальных средств, обеспечивающих анализ качества систем защиты и защищенности информационных систем, предпринимались многими отечественными и зарубежными авторами: В. Герасимовым, Д. Гроувером, Д. П. Зегенда, С. Мафтиком, Д. Сяо, Л. Дж. Хоффманом, В, В. Мельниковым, А.Г. Мамиконовым А. Астаховым и многими другими. Ими были
5 проанализированы отдельные методы и средства защиты, рассмотрены некоторые существующие системы защиты. Однако эти исследования носят разрозненный и неполный характер. Нам неизвестны в достаточной мере серьезные попытки ранжирования выделенных критериев качества систем защиты, привязки их к конкретным условиям функционирования РЭИС. Не проводилась сравнительная экономическая оценка потребительского качества систем защиты в связи с трудностями оценки затрат живого труда и машинного времени на их эксплуатацию и вскрытие.
Анализ показывает, что задача оценки защищенности РЭИС должна разбиваться на следующие подзадачи: определение качества сегментации топологии РЭИС; оценка адекватности выбора базовых составляющих системы защиты РЭИС на основе перечня функциональных характеристик и потенциальных угроз, а также на основе экспертной оценки специалистов в области информационной безопасности; анализ стойкости базовых элементов системы защиты при тестировании известными атакующими алгоритмами; оценка эффективности, в том числе экономической, распределенной системы защиты РЭИС; совершенствование существующей системы защиты РЭИС, По утверждениям отечественных и зарубежных специалистов, решение этих задач наталкивается на трудности, связанные с известной нечеткостью и неопределенностью исследуемых процессов.
Перечисленные задачи и определили содержание настоящего исследования. Несмотря на большое количество публикаций, ни одна из этих задач не изучена в степени, достаточной для анализа защищенности, как одной из важнейших характеристик качества РЭИС,
Основной целью исследования является развитие методологии и инструментария анализа защищенности РЭИС на основе исследования параметров объектов защиты и разработки экономико-математических моделей для принятия решений при создании, эксплуатации и развитии РЭИС,
Поставленная в работе цель обусловила решение следующих научных проблем и практических задач:
Разработка концепции исследования защищенности РЭИС,
Разработка и развитие методов оценки качества:
сегментной топологии существующих РЭИС;
средств и методов защиты информации, составляющих систему защиты РЭИС;
реализации распределенных механизмов систем защиты РЭИС;
Разработка и развитие методов совершенствования структуры распределенных механизмов системы защиты РЭИС.
Разработка программного инструментария для анализа защищенности РЭИС.
Объектом исследования являются РЭИС предприятий различных ведомственных принадлежностей и организационно-правовых форм.
Предметом исследования являются процессы проектирования и использования РЭИС, направленные на повышение уровня защищенности РЭИС, как одной из важнейших характеристик потребительского качества РЭИС.
Теоретическую и методологическую базу исследования составляют научные труды российских и зарубежных ученых по теории выбора и принятия решений, экономико-математическому моделированию, а также теоретические и методологические вопросы оценки защищенности РЭИС, В проведенном исследовании использовались элементы теории информационных систем и статистического анализа. Также использовались вероятностные методы определения качества сложных систем, методы анализа предметной области и экспертные методы,
В работе обобщены результаты исследований автора за период 1992-2003 годы в области анализа качества систем защиты и оценки защищенности РЭИС.
Работа проведена в рамках пунктов Паспорта специальности 08.00.13 -математические и инструментальные методы экономики: 2,6. «Развитие теоретических основ, методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии»; 2,7, «Проблемы стандартизации и сертификации информационных услуг и продуктов для экономических приложений».
Эмпирической базой исследования явились экспериментальные и статистические данные, собранные в процессе эксплуатации РЭИС ряда организаций. Основные выдвигаемые научные положения и рекомендации экспериментально подтверждены. Поставленные эксперименты с РЭИС и их компонентами составляют основу предлагаемой методологии исследования защищенности РЭИС.
Научная новизна диссертационного исследования заключается в разработке целостного методологического и инструментального обеспечения для экономико-математического анализа защищенности РЭИС. Научную новизну содержат следующие положения:
Логически завершена и методически оформлена концепция анализа защищенности РЭИС на основе модели защиты с полным перекрытием, описывающая общие принципы построения систем поддержки принятия решений при оценке защищенности РЭИС,
Модифицирована классификация средств межсетевого экранирования, учитывающая, в том числе их программно-аппаратные особенности и позволяющая принимать более обоснованные решения при выборе базовых элементов системы защиты РЭИС.
Предложена экономико-математическая модель определения параметров сегментации РЭИС, учитывающая такие характеристики, как размер сегмента, состав информационных элементов и узлов сегмента.
8 Модель позволяет оценивать качество программно-аппаратной сегментации РЭИС в соответствии с заданными стоимостными и временными ограничениями.
4. Разработан универсальный методологический и инструментальный подход к оценке защищенности РЭИС, как на уровне распределенной системы защиты, так и на уровне ее базовых составляющих, включающий реализацию следующих этапов:
4.1. Сравнительная оценка качества систем защиты:
определен перечень характеристик базовых элементов системы защиты РЭИС, позволяющий на основе формализованных процедур провести их сравнительный анализ;
расширен перечень угроз информационным объектам и механизмам защиты РЭИС, позволяющий на основе формализованных процедур провести сравнительный анализ базовых элементов системы защиты РЭИС;
с использованием экспертных методов проранжирован перечень характеристик базовых элементов системы защиты РЭИС для определения качества конкретного базового элемента;
предложена экономико-статистическая методика сравнения ограниченного числа базовых элементов на завершающей стадии принятия решения о структуре системы защиты РЭИС, реализующая алгоритмы сравнения по альтернативному признаку, парного сравнения и др.
4.2. Оценка качества элементов системы защиты РЭИС на основе
активного воздействия на их механизмы:
- адаптирован метод определения вероятности вскрытия базовых
элементов системы защиты РЭИС с учетом наличия специализированных
программно-аппаратных средств: механизмов пассивного сетевого
сканирования и механизмов активного воздействия на потенциально
уязвимые места РЭИС;
сформирована последовательность атакующих элементарных операций на базовые составляющие системы защиты РЭИС, на основе которой определяется вероятность их вскрытия;
адаптирована методика расчета параметров качества конфигурирования программно-аппаратных элементов РЭИС, позволяющая определять трудоемкость конфигурирования отдельных составляющих системы защиты РЭИС.
4.3. Анализ качества и совершенствование распределенной системы защиты РЭИС:
адаптирован метод определения степени защищенности РЭИС с учетом распределенной структуры механизмов ее построения;
на основе модели оценки эффективности проектирования систем безопасности предложен метод определения вероятности вскрытия распределенной системы защиты РЭИС с центром управления, учитывающий том числе такой важный для сетевых топологий параметр, как удаленность центра управления от базовых элементов распределенной системы защиты;
предложена методика совершенствования структуры защищенной РЭИС, базирующаяся на методах анализа эффективности распределенных элементов информационных систем. Данная методика позволяет определять параметры реализации оптимальной структуры виртуальных сетей.
Практическая значимость исследования определяется тем, что основные положения, выводы, рекомендации, модели, методы и алгоритмы ориентированы на широкое использование предприятиями и организациями любой структуры, ведомственной принадлежности и формы собственности для оценки защищенности РЭИС.
Основные результаты диссертационной работы докладывались и обсуждались на Международных и Всероссийских симпозиумах и конференциях, в том числе: Международной научной конференции «Системный анализ и экономические стратегии управления» (Санкт-Петербург, 1994); Всероссийской научно-практической конференции
10 «Информационная безопасность в высшей школе» (Москва, 1995); Межгосударственной конференции «Экономико-организационные проблемы анализа, проектирования и применения информационных систем» (Ростов-на-Дону, 1997-2002); X Международной научно-технической конференции «Математические методы и информационные технологии в экономике, социологии и образовании» (Пенза, 2002) и на других.
Основные положения, полученные в результате проведенного исследования, используются при чтении курсов специальностей «Прикладная информатика» («Информационная безопасность») и «Организация и технология защиты информации» («Введение в специальность», «Теория информационной безопасности и методология защиты информации», «Защита информационных процессов в компьютерных системах», «История и современные методы защиты информации в России») в Ростовском государственном экономическом университете «РИНХ».
Отдельные результаты диссертационной работы использованы при анализе защищенности РЭИС в органах государственной статистики (Ростовский областной государственный комитет по статистике), образовательной деятельности (Ростовский государственный экономический университет «РИНХ»), в деятельности администраций субъектов РФ (администрация Ростовской области), на производственных предприятиях (ОАО «РОСТВЕРТОЛ») и иных видах деятельности. Акт и справки о внедрении результатов исследования приведены в приложении 1,
Результаты исследования использованы в типовом прикладном программном обеспечении: «Система поддержки принятия решений при оценке степени защищенности экономических информационных систем» (№ 2003612355, РОСПАТЕНТ). Свидетельство об официальной регистрации приведено в приложении 1.
Исследования, представленные в диссертационной работе, поддержаны Министерством образования РФ (грант ГОО-4.1-59 по фундаментальным исследованиям в области гуманитарных наук Министерства образования РФ
11 на 2001-2002 г.г., тема: «Теория и методы оценки качества информационных систем: качества сложных распределенных информационных систем»).
Также отдельные направления представленных-научных исследований реал изо вывались в рамках следующих грантов:
Гранта Санкт-Петербургского университета экономики и финансов, тема "Теоретическое и прикладное моделирование инвестиционного процесса на основе НТР и НТП (код темы 4-46, 1999-2000 г,г.);
Проекта Tempus TACIS иМ_СР-20579-1999 "Укрепление филиальной сети на основе новых информационных технологий (1999-2001 г,г-)-
Основные результаты диссертации изложены в 26 научных работах, в том числе в одной монографии, учебном пособии, тексте лекций и 3 методических разработках. Общий объем авторских публикаций по теме 28,77 печатных листа.
Диссертационная работа состоит из введения, 5 глав, заключения, библиографического списка и приложений. Работа содержит 31 таблицу, 29 рисунков и графиков. Библиографический список содержит 214 литературных источников.
Основные принципы организации защищенных РЭИС
Методы и механизмы защиты от НСД в общем виде могут быть сконцентрированы в структуре следующих программно-аппаратных компонентов РЭИС: 1. Межсетевые протоколы; 2. Межсетевые экраны; 3. Операционные системы; 4. Прикладные и/или инструментальные системы; 5- Специализированные системы защиты от НСД.
Открытость основного стека протоколов межсетевого и внутрисегментного взаимодействия TCP/IP, а также достаточная простота и очевидность других стандартных сетевых протоколов (NetBEUI, IPX/SPX и др.), диктует необходимость использования либо других, более защищенных протоколов, либо применения дополнительных средств защиты сетевого трафика (канальные шифраторы и др.). Однако применение таких средств значительно снижает степень адаптируемости сетевой топологии к изменениям конкретной прикладной среды. Это особенно сказывается при наличии пространственно и организационно удаленных узлах РЭИС, а также при подключении ее к внешним телекоммуникационным каналам. Вместе с тем, защитные механизмы данного уровня защищают информацию только в момент ее прохождения по каналам связи. Следовательно, при получении доступа к инициации процесса передачи данных возможно осуществление атаки, используя даже защищенные каналы связи.
Практически все современные операционные системы имеют встроенные на уровне ядра защитные механизмы, включающие, в том числе, функции фильтрации сетевого трафика по тем или иным параметрам. Однако, функциональность такой фильтрации недостаточна. Это объясняется конкретной направленностью действия защитных механизмов операционной системы - авторизация объектов и субъектов вычислительной системы. При успешной авторизации субъект может инициировать любой процесс из диапазона его полномочий. Практика показывает, что несанкционированное получение полномочий того или иного уровня» включая и администраторских, не является неразрешимой задачей при условии прозрачности архитектуры вычислительной системы и возможности осуществления определенных действий над объектами и субъектами взаимодействия в ее среде.
Степень защищенности прикладных систем и эффективность собственных защитных механизмов во многом зависят от целостности и нескомпроментированности соответствующих защитных механизмов операционной системы. Однако, как отмечалось выше, данное состояние операционной системы может быть нарушено, В результате прикладные защитные функции практически теряют смысл- Злоумышленник с достаточными полномочиями способен модифицировать или удалять файлы конфигурации, осуществлять подбор парольных или ключевых значений и т.д. Специализированные системы защиты от НСД в значительной степени повышают общую защищенность вычислительной системы, В месте с тем, они ориентированы в основном на защиту локальных ресурсов узлов РЭИС и не способны контролировать сетевую топологию. Данные средства могут функционировать в двух режимах: 1. Использование механизмов авторизации и других защитных механизмов операционной системы; 2, Использование собственных механизмов защиты.
В первом случае компрометация безопасности операционной системы приводит к тому, что защитные механизмы специализированной системы защиты теряют смысл. Во втором - система защиты привносит определенные трудности в процесс эксплуатации РЭИС (например, дополнительная авторизация). Вместе с тем, в случае необходимости серьезного переконфигурирования операционной системы, система защиты может стать неработоспособной и даже привести к потере информации- Поэтому специализированные системы защиты от НСД на узлах РЭИС используются, как правило, при обработке информации особой конфиденциальности. Тем более что они могут реализовать дополнительные программно-аппаратные функции (например, блокирование дисководов, клавиатуры и т.д.)- В отдельную группу можно выделить программные средства защиты, реализующие специальные функции, такие как цифровая подпись. Однако, для нарушения целостности и подлинности, обрабатываемой в РЭИС информации необходимо, в первую очередь, получить возможность доступа к ней. Следовательно, и здесь, актуальной остается именно задача защиты от НСД.
Из вышесказанного можно сделать следующие выводы, что при использовании описанных выше режимов: топология РЭИС остается прозрачной; возможна инициация сетевого взаимодействия даже с использованием защищенных каналов связи; доступна возможность реализации действий в среде РЭИС для несанкционированного получения определенных полномочий; реализуемы атаки на узлы РЭИС, используя "дыры в их программных составляющих.
Учитывая возможную пространственную и организационную удаленность элементов РЭИС, как друг от друга, так и от управляющего единого центра, система безопасности должна предусматривать реализацию хотя бы одного из своих механизмов на каждом возможном пути проникновения в РЭИС. Такая структура определяет модель системы безопасности с полным перекрытием [178]. Особенностью данной модели является также то3 что механизмы защиты отделяют защищаемые ими элементы (объекты) от общей топологии РЭИС, которые функционируют относительно независимо в соответствии с собственными правилами.
Сравнительный анализ с использованием метода экспертных оценок
Данный показатель следует рассматривать как дополнительный к основному показателю важности М., Он характеризует значимость характеристики с точки зрения количества присужденных ему "первых мест". Наряду с показателями относительной важности существенным является определение степени согласованности мнений экспертов. Для этого используем коэффициент вариации мнений экспертов- Он вычисляется по формуле: Далее возможно проведение оценки согласованности мнений экспертов. Цель проведения данной процедуры будет заключаться в выявлении экспертов, чье мнение особенно сильно разошлось с остальными, а также характеристик, по которым это расхождение наблюдается, В дальнейшем предполагается уточнение позиций этих экспертов. Для оценки степени сходимости мнений экспертов используют коэффициент парной корреляции Спирмена, который определяется по формуле [188]: где п - количество характеристик; d - разница между рангами, данными двумя исследуемыми экспертами у-ой характеристике, а также медиану Кемени, Определим алгоритм проведения данной процедуры [188]. Пусть имеется т ранжирований п характеристик- Представим каждое из них в виде матриц упорядочения, например L = h- и Т = t» ((hj) = 1,п), элементы которых определяются следующим образом; характеризует степень рассогласования между ранжированиями L и 7\ В матрице рассогласования D = {dg}(ifj = 1,т) будут представлены все (т-1)т/2 расстояний между /аранжированиями. Сумма элементов /- й строки матрицы D характеризует степень рассогласования j- го эксперта с остальными. Пример решения задачи. Результаты повторного опроса, в результате которого были уточнены мнения некоторых экспертов, показали, что эксперты имеют твердое мнение практически по каждой из характеристик. Изменения в результатах опроса носят незначительный характер.
Была осуществлена корректировка мнений отдельных экспертов по ряду характеристик, что привело к уменьшению коэффициента вариации. Коэффициенты Спирмена являются значимыми. В результате был получен ранжированный в соответствии со значением Mj список характеристик средств зашиты, который приведен в таблицах 2.4, 2.5, 2.6» 2,7, 2.8.
В дальнейшем экспертам было предложено оценить каждую характеристику по 10-бальной шкале. В результате были определены весовые коэффициенты Wj (таблица 2.10). Затем были привлечены несколько ведущих в области информационной безопасности организаций, для проведения экспертной оценки конкретных МЭ. Было предложено определить Gg для каждого из МЭ. На основании этой оценки была рассчитана степень обеспечения защиты от НСД к информации в сегменте, защищенном МЭ SR(srr). В таблице 2-9 приведены эти значения для экспертизы с привлечением фирмы Tristan Security, специализирующейся в области анализа защищенности информационных систем различной топологии и конфигурации.
Как показывает анализ, степень соответствия систем защиты выделенным и проранжированным критериям, непосредственно влияющим на их стойкость к попыткам НСД, имеет для некоторых систем одинаковое значение. Поэтому дальнейший анализ может строиться на основе критериев, не связанных со стойкостью, но влияющих на общее качество системы защиты. Для оценки и выделения этих критериев были привлечены специалисты различных сфер деятельности и квалификации. При анализе оценок, данных критериям, можно исходить из того, что все эксперты образуют две группы: специалисты в области информационной безопасности и специалисты в области информационных технологий. Оценки имели три градации: критерий обязателен (1), критерий должен отсутствовать (2), не имеет значения (3).
Вероятность осуществления НСД с использованием последовательности элементарных операций по вскрытию
Программно-аппаратные системы защиты РЭИС, как объекты тестирования имеют ряд особенностей [84] : отсутствие полностью определенного эталона, которому должны соответствовать результаты тестирования; довольно высокая сложность систем защиты и, следовательно, невозможность разработки тестирующего алгоритма, достаточного для их исчерпывающей проверки; трудность в формализации критериев качества процесса тестирования и достигаемого при этом качества объектов тестирования; - наличие логических и вычислительных компонент, характеризующихся динамической структурой (например, самогенерируемые коды).
В работах, посвященных данной проблеме, описываются математические модели систем защиты, которые могут рассматриваться как абстрактный эталон [151]. Но в реальных условиях, когда практически невозможно создать абсолютно надежную систему, важны такие показатели, как криптостойкость и др. Данные показатели неоднозначны для систем, реализующих разные функции.
Системы защиты функционируют в условиях, когда факторы, предоставляющие потенциальную возможность нанесения ущерба РЭИС, практически не формализируются [72], Поэтому невозможно обеспечить их исчерпывающее тестирование, гарантирующее полную проверку защиты на всех направлениях атаки, В связи с этим тестирование целесообразно проводить в объемах, минимально необходимых, в некоторых заранее определенных интервалах изменения факторов и условий функционирования [84]. Это приводит к необходимости тщательного отбора методов тестирования и проверяемых параметров, соответствующих функциям системы защиты.
Показатели качества систем защиты, как сложных программных продуктов, очень трудно формализуются и измеряются [52], Поэтому интерпретация результатов тестирования в большой степени носит субъективный характер. О полноте тестирования можно сказать только после длительной эксплуатации системы защиты в реальных условиях.
В большинстве систем защиты имеются элементы, представляющие динамически изменяющиеся структуры, принимающие логические решения, которые зависят от случайного изменения входных данных и реальных условий функционирования [84]. Поэтому . невозможно разработать универсальный тест и приходится применять различные методы тестирования, различающиеся целевыми задачами, проверяемыми компонентами и методами оценки.
Процесс тестирования систем защиты может включать: формализованное представление алгоритма тестирования для конкретной системы защиты; - тестирование системы защиты с ее реальным исполнением и разными уровнями детализации; - выявление уязвимых мест системы защиты и условий их проявления; - оценку возможности обхода механизма защиты и определение затрат на его реализацию.
Для формализованного представления алгоритма тестирования системы защиты необходимо определить правила формализации. Такие правила должны быть четко сформулированы, и их число должно быть относительно небольшим. Системы защиты можно представить как совокупность отдельных модулей, выполняющих конкретные функции и имеющих замкнутую структуру. Обычно они имеют самостоятельный режим работы. Примером могут служить алгоритмы шифрации данных и использование сигнатуры компьютера. Поэтому тестирование системы защиты необходимо проводить как минимум на трех уровнях [84]; контроль каждого модуля для выявления различий между результатами его работы, а также его интерфейса с общими правилами работы РЭИС; - совместное тестирование взаимосвязанных модулей для обнаружения противоречий между результатами их работы и правилами работы РЭИС; - системное тестирование для выявления противоречий между системой и ее целями.
Каждый уровень требует проведения трех видов тестирования [84]: - детерменированное тестирование; - случайное тестирование; - тестирование в реальном масштабе времени.
При детерменированном тестировании важно проверить каждую комбинацию приемов обхода системы защиты и соответствующую ей комбинацию результатов работы механизма защиты. Это позволяет выявлять отклонение результатов работы от заранее заданных с фиксированием сочетаний типа: приемы обхода-отклик системы.
Так как довольно сложно перебрать все возможные варианты атаки на систему защиты, возможно применение случайного тестирования. При этом осуществляются случайные действия по обходу системы с привлечением довольно большого числа специалистов, не проводящих процесс тестирования. В результате - более широкое варьирование условий работы.
Последующее расширение числа приемов обхода защиты возможно при применении тестирования в реальном масштабе времени [84]. В процессе такого тестирования проверяется работа систем защиты во взаимодействии с другими программами, динамики изменения объема оперативной памяти, конфигурации вычислительной системы и др. Корректное взаимодействие с другими программами особенно важно для систем защиты, так как они часто работают в фоновом режиме.
Выявление слабых мест систем защиты осуществляется на каждом уровне тестирования. При этом выявляется канал утечки информации, последствия утечки для других уровней защиты, причины уязвимости системы и так далее.
Определение возможности обхода системы защиты и затрат на это является самым важным для конечного пользователя этапом. Именно это и определяет экономическую зффективность механизма защиты. Для определения необходимых затратна обход системы защиты учитывают
Показатели качества распределенных систем защиты
Системы обнаружения атак системного уровня могут быть не столь быстры, как их аналоги сетевого уровня, однако они предлагают преимущества, которых не имеют последние, К этим достоинствам можно отнести более строгий анализ, пристальное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения. Кроме того: Л Подтверждают успех ала отказ атаки. Поскольку IDS системного уровня используют журналы регистрации, содержащие данные о событиях, которые действительно имели место, то IDS этого класса могут с высокой точностью определять - действительно ли атака была успешной или нет. В этом отношении IDS системного уровня обеспечивают дополнение к системам обнаружения атак сетевого уровня. Такое объединение реализует раннее предупреждение при помощи сетевого компонента и "успешность" атаки при помощи системного компонента. 2. Контролируют деятельность конкретного узла. IDS системного уровня контролирует деятельность пользователя, доступ к файлам, изменения прав доступа к файлам, попытки установки новых программ и/или попытки получить доступ к привилегированным сервисам. Например, IDS системного уровня может контролировать всю logon- и logoff-деятельность пользователя, а также действия, выполняемые каждым пользователем при подключении к сети- Для системы сетевого уровня очень трудно обеспечить такой уровень детализации событий. Технология обнаружения атак на системном уровне может также контролировать деятельность, которая обычно ведется только администратором. Операционные системы регистрируют любое событие» при котором добавляются, удаляются или изменяются учетные записи пользователей. IDS системного уровня могут обнаруживать соответствующее изменение сразу, как только оно происходит. IDS системного уровня могут также проводить аудит изменений политики безопасности, которые влияют на то, как системы осуществляют отслеживание в своих журналах регистрации и т.д.
В конечном итоге системы обнаружения атак на системном уровне могут контролировать изменения в ключевых системных файлах или исполняемых файлах. Попытки перезаписать такие файлы или инсталлировать "троянских коней11 могут быть обнаружены и пресечены. Системы сетевого уровня не всегда реализуют такой тип деятельности. 3, Обнаруживают атак, которые упускают системы сетевого уровня. IDS системного уровня могут обнаруживать атаки, которые не могут быть обнаружены средствами сетевого уровня- Например, атаки, осуществляемые с самого атакуемого сервера, не могут быть обнаружены системами обнаружения атак сетевого уровня, 4. Совместимы с сетями с шифрованием и коммутацией. Поскольку IDS системного уровня устанавливается на различных хостах сети предприятия, она может преодолеть некоторые из проблем, возникающие при эксплуатации систем сетевого уровня в сетях с коммутацией и шифрованием.
Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами, В результате бывает трудно определить наилучшее место для установки IDS сетевого уровня. Иногда могут помочь административные порты (managed ports) и порты отражения (mirror ports, span ports) траффика на коммутаторах, но эти методы не всегда применимы. Обнаружение атак на системном уровне обеспечивает более эффективную работу в коммутируемых сетях, т.к. позволяет разместить IDS только на тех узлах, па которых это необходимо. Определенные типы шифрования также представляют проблемы для систем обнаружения атак сетевого уровня, В зависимости от того, где осуществляется шифрование (канальное или абонентское), IDS сетевого уровня может остаться "слепой" к определенным атакам- IDS системного уровня не имеют этого ограничения. К тому же ОС, и, следовательно, IDS системного уровня, анализирует расшифрованный входящий трафик, J, Обнаруживают и реагируют почти в реальном масштабе времени. Хотя обнаружение атак па системном уровне не обеспечивает реагирования в действительно реальном масштабе времени, оно, при правильной реализации, может быть осуществлено почти в реальном масштабе, В отличие от устаревших систем, которые проверяют статус и содержания журналов регистрации через заранее определенные интервалы, многие современные IDS системного уровня получают прерывание от ОС, как только появляется новая запись в журнале регистрации. Эта новая запись может быть обработана сразу же, значительно уменьшая время между распознаванием атаки и реагированием на нее.
Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распознавания ее системой обнаружения атак, но во многих случаях злоумышленник может быть обнаружен и остановлен прежде, чем нанесет какой-либо ущерб. 6. Не требуют дополнительных аппаратных средств. Системы обнаружения атак на системном уровне устанавливаются на существующую сетевую инфраструктуру, включая файловые сервера, Web-сервера и другие используемые ресурсы. Такая возможность может сделать IDS системного уровня очень эффективными по стоимости, потому что они не требуют еще одного узла в сети, которому необходимо уделять внимание, осуществлять техническое обслуживание и управлять им. 7, Имеют низкую гієну. Несмотря на то, что системы обнаружения атак сетевого уровня обеспечивают анализ трафика всей сети, очень часто они являются достаточно дорогими, С другой стороны, системы обнаружения атак на системном уровне могут приобретаться покупателем в случае необходимости и контролировать лишь некоторые узлы предприятия, без контроля сетевых атак. Возможность реагирования на атаки является определяющей для любой системы обнаружения атак. Варианты реагирования можно разделить на три типа: уведомление (notification), запоминание (storage) и активное реагирование (active response) (см, таблицу 4.1).
Похожие диссертации на Инструментальные методы анализа защищенности распределенных экономических информационных систем
