Введение к работе
Актуальность темы. На современном этапе развития общества, когда информационную эру сменяет цифровая, глобальным трендом становится циф-ровизация предприятий. Технологически цифровизация базируется на масштабируемой облачной платформе и безопасной и стабильной корпоративной сети телекоммуникаций, обеспечивающей разнообразные сетевые сценарии. При этом, поскольку корпоративные сети телекоммуникаций обеспечивают технологические процессы предприятия, основным приоритетом является их надежность и информационная безопасность (ИБ) в них. Очевидно, что циф-ровизация предприятия может быть успешной только в том случае, если облако и сеть будут в состоянии гарантировать безопасность корпоративных данных. Вместе с тем, подключение корпоративной сети к облачной платформе, внешним сетям, использование гаджетов и электронных сервисов потенциально приводят к ее уязвимости. Все это делает проблему защиты информации и обеспечение ИБ в корпоративных сетях телекоммуникаций в целом и задачу определения рисков ИБ в этих сетях в частности крайне актуальными.
При этом на первый план выходит создание быстродействующих методик как для оценки рисков ИБ в целом, так и локальных индикаторов состояния ИБ.
Компании в ходе осуществления своей профессиональной деятельности подвержены разнообразным информационным рискам, которые так или иначе влияют на ведение бизнеса, и негативно сказываются на финансовом положении организации. Современное положение дел бизнеса диктует необходимость использования в работе компаний, обоснованных технических и экономических методов и средств, позволяющих количественно и качественно измерять уровень обеспечения ИБ, а также адекватно оценивать финансирование затрат на ИБ. Для эффективного обеспечения ИБ организаций необходим направленный, регулярный, системный и комплексный подход, одну из важнейших ролей в котором играет комплексный аудит ИБ. Указанные проблемы затронуты, в частности, в диссертационной работе Созиновой Е.Н. «Метод обеспечения и проведения внутреннего аудита информационной безопасности организаций на основе риск-ориентированного подхода».
Построение практически любой системы ИБ должно начинаться с анализа рисков. До начала проектирования системы ИБ необходимо точно определить, какие условия и факторы могут повлиять на нарушение целостности системы, конфиденциальности и доступности циркулирующей в ней информации и оценить насколько они потенциально опасны.
Грамотный учет существующих угроз и уязвимостей корпоративной сети телекоммуникаций, выполненный на этой основе анализ рисков закладывает основу для выбора решений с необходимым уровнем ИБ при минимальных затратах.
На сегодняшний день уровень инфокоммуникационных технологий предоставляет нам возможность реализации современных сетевых приложений для проведения аудита ИБ, позволяющих оценить уровень защищенности корпоративной сети телекоммуникаций на основе вероятностных критериев оценки
рисков, предлагающих те или иные рекомендации по устранению уязвимостей корпоративной сети телекоммуникаций компании, которые напрямую зависят от особенностей построения этой сети. Такие системы, выступающие в качестве полноправных аудиторов ИБ, сочетают в себе обеспечение недостижимых для обычных аудиторов (в силу человеческого фактора) и систем полноты картины решаемых проблем и детальности их проработки.
В связи с распространением информационно-телекоммуникационных технологий и развитием всемирной системы объединённых компьютерных сетей Internet, реализация таких систем в виде Web-приложений, которые в свою очередь могут быть установлены на любом устройстве, несомненно представляет практический интерес и сможет найти широкое распространение. По сути подобные системы представляют собой экспертные web-сервисы для анализа рисков ИБ как всей инфраструктуры в целом, так и определенных её сегментов.
Степень разработанности темы исследований. Вопросы обеспечения ИБ мультисервисных сетей, к которым относится и большинство корпоративных телекоммуникационных сетей, рассмотрены в работах И.В. Котенко, А.А. Чечулина, А.П. Алферова, А.С. Кузьмина, Д.П. Зегжда, Б.Я. Рябко, А.А. Шелу-панова, А.Д. Новикова, Л.Г. Осовецкого, А.Г. Лысенко, Е.В. Зубкова, X. Ou, I. Ray, R. Dewri, A. Singhal, N. Poolsappasit, S. Owre, N. Shankar, J. Rushby, W. Diffie, N. Ferguson, B. Forouzan, B. Dillaway, J. Hogg, Kaur N. Harshna, P Docas, A.B. Shahri, Z. Ismail и др. Вопросам оценки рисков ИБ посвящены работы А.О. Калашникова, Ю.Ю. Громова, В.Н. Максименко, Г.А. Остапенко, М.В. Степашкина, М. Аль-Балуши, С.С. Соколова, Р.А. Нурдинова, Е.В. Ермилова, А.В. Львовой, О.Н. Выборновой, X. Ou, A. Singhal, H. Joh, A. Vorster, C. Alberts, A. Dorofee, L. Marino, J. Soo, A. Jones, D. Ashenden, K. Hoo. Рассмотренные методики либо не обладают достаточным быстродействием в своей работе, либо не учитывают всех рисков ИБ. С точки зрения защиты информации и согласно теории катастроф, это является не вполне корректным и может привести к большим потерям, что и определяет потребность в разработке новых методик и алгоритмов оценки рисков ИБ.
Также необходимо отметить вклад в развитие теоретических основ управления рисками ИБ в работах ряда зарубежных университетов и коммерческих структур: BSI, CMU, IEC, ISO, MITRE, NIST. Анализ работ в данной области показывает, что при всей значимости проведенных исследований, проблема количественной и качественной оценки рисков ИБ корпоративной сети телекоммуникаций изучена и практически проработана пока не в полной мере.
В настоящее время существует достаточно большое количество автоматизированных систем, решающих различные задачи анализа рисков ИБ, но ни одна из этих систем не учитывает аспекты, специфичные для телекоммуникационной отрасли. Здесь стоит обратить внимание на то, что корпоративные сети телекоммуникаций имеют множество уязвимостей, возникающих как при разработке системного программного обеспечения, так и при неправильной конфигурации оборудования. Кроме того, анализ транспортного оборудования автоматизированными системами анализа рисков ИБ такого рода, как правило, не проводится, редкостью также можно считать и сканирование портов обору-
дования сети. Необходимо отметить, что компании должны не только осуществлять мониторинг состояния портов своего оборудования, но отслеживать скачки трафика, связанные с DoS/DDoS-атаками, так как на данном этапе их функционирования это является вполне выполнимой задачей. В настоящее время систем анализа и выявления причин скачков телекоммуникационного трафика известно не так много.
Примерами подобных автоматизированных систем являются программные комплексы анализа и контроля информационных рисков: CRAMM (компания Insight Consulting, Великобритания), RiskWatch (компания RiskWatch, США), ГРИФ (компания Digital Security, РФ) и АванГард (Институт системного анализа РАН, РФ). Так же на западном рынке можно встретить такие системы как SIS SI, COBRA, MINIRISK и некоторые другие.
В связи с вышесказанным задача создания новых эффективных алгоритмов и методов анализа рисков ИБ корпоративной сети телекоммуникаций является актуальной. Несомненный интерес представляет разработка эффективных методик определения угроз ИБ корпоративной сети телекоммуникаций, на основе которых возможно создания быстродействующих алгоритмов оценки угрозы ИБ. К решению описанной выше проблемы необходим комплексный подход, а именно, требуется качественно и количественно оценивать уровень угрозы ИБ как всей корпоративной сети телекоммуникаций, так и определенных ее сегментов на основе анализа телекоммуникационного трафика.
Известны работы таких авторов как С.С. Корт, А.Ф. Супруна, А.А. Азарова, М.В. Бурса, И.Я. Львовича, Т.З. Чана, Т.К. Ха, Г. Кабуракиса, P.K. Sree, I.R. Babu, Z. Xia, S. Lu, J. Li, J. Tang, K. Waldorf, которые занимались рассмотрением вопросов, связанных сетевыми атаками и аномалиями. Работы О.И. Шелу-хина, А.В. Осина, В.Г. Карташевского, А.В. Рослякова, Е. Федера, О.К. Филипповой, М.В. Мещерякова, Д.В. Белькова, Г.А. Кучука, К.М. Можаева, К.М. Руккаса, А.И. Гетмана, А.А. Подорожняка, М.А. Бурановой, Н.В. Киреевой, J. Beran, R. Sherman, M.S. Taqqu, W. Willinger, S. Bates, S. Wenger, G.D. Knorr, J. Ott, F. Kossentini, S. Molnar, A. Vidacs, M.E. Crovella, A. Bestavros, R. Addie, I. Norros посвящены анализу телекоммуникационного трафика и, в частности, исследованиям его фрактального характера по таким фрактальным параметрам, как показатель Херста, корреляционна размерность, R/S-анализа и др. Исследования, посвященные вопросам определения сетевых атак путем анализа сетевого трафика фрактальными методами, основанными на вычислении оценок признаков его самоподобия показали, что далеко не всегда можно однозначно и своевременно определить наличие сетевой атаки по значению показателя Херста и (или) корреляционной размерности трафика. На взгляд автора| такой подход не в полной мере использует возможности фрактального анализа.
Таким образом, анализ степени проработанности темы исследований позволяет сделать заключение, во-первых, о необходимости разработки на основе вероятностного подхода модели анализа рисков ИБ, позволяющей учитывать различные угрозы ИБ всей корпоративной сети телекоммуникаций с учетом уровня и важности угрозы.
Во-вторых, о необходимости анализа параметров ИБ телекоммуникационного трафика на каждом конкретном узле (хосте) сети связи. Это потребует разработки математической модели телекоммуникационного трафика на основе набора фрактальных параметров, справедливой для различных состояний телекоммуникационного трафика (нормального, загруженного и при наличии сетевых атак) и методики определения телекоммуникационного трафика по виду фазового аттрактора, что в свою очередь позволит создавать быстродействующие онлайн-индикаторы.
Целью работы является разработка методики оценки рисков ИБ телекоммуникационной сети предприятия.
Для достижения поставленной цели в работе решаются следующие задачи:
анализ известных методик и систем анализа состояния ИБ с целью выявления их достоинств и недостатков;
построение вероятностной модели оценки рисков ИБ телекоммуникационной сети с учетом различных видов возможных уязвимостей на всех её узлах;
построение математической модели телекоммуникационного трафика на основе фрактальных мер и анализа его фазового портрета при различных состояниях сети (обычном и при наличии сетевой атаки);
разработка методики выявления аномалий телекоммуникационного трафика на основе анализа фрактальных мер и его фазового портрета в режиме онлайн.
Объектами исследования являются телекоммуникационная сеть и телекоммуникационный трафик при наличии или отсутствии сетевых атак на ресурсы сети.
Предметом исследования являются совокупность методов и средств оценивания рисков ИБ на основе вероятностных критериев и фрактального анализа трафика.
Методы исследования. При разработке моделей угроз, анализе уязвимостей ИБ, а также алгоритмов дистанционного анализа рисков ИБ телекоммуникационной сети использовались методы теории вероятностей, системного анализа, дискретной математики, математической статистики, теории случайных процессов, методы экспертного оценивания и основы проектирования экспертных систем, фрактальные методы анализа телекоммуникационного трафика и физическое моделирование.
Достоверность изложенных положений работы обосновывается корректным выбором исходных данных, строгим использованием математического аппарата теории вероятностей, а также результатами натурных экспериментов на реальном телекоммуникационном трафике.
Положения, выносимые на защиту:
1. Показано, что предложенная математическая модель на основе набора фрактальных параметров описывает телекоммуникационный трафик как при отсутствии, так и при наличии сетевых атак.
-
Показано, что выявленные общие формы фазового портрета телекоммуникационного трафика при отсутствии и наличии сетевых атак однозначно позволяют делать выводы о его текущем состоянии.
-
Доказано, что по значениям показателя Херста и корреляционной размерности нельзя однозначно сделать вывод о наличии сетевой атаки в данный момент времени.
4. Показано, что вероятностная модель оценки рисков информационной
безопасности телекоммуникационной сети, учитывающая различные виды
уязвимостей на всех её узлах, позволяет обеспечить анализ рисков базовых
параметров ИБ.
Соответствие паспорту специальности. Работа соответствует пп. 2, 10, 11, 12 паспорта специальности 05.12.13 – Системы, сети и устройства телекоммуникаций («Исследование процессов генерации, представления, передачи, хранения и отображения аналоговой, цифровой, видео-, аудио- и мультимедиа информации; разработка рекомендаций по совершенствованию и созданию новых соответствующих алгоритмов и процедур», «Исследование и разработка новых методов защиты информации и обеспечение ИБ в сетях, системах и устройствах телекоммуникаций», «Разработка научно-технических основ технологии создания сетей, систем и устройств телекоммуникаций и обеспечения их эффективного функционирования» и «Разработка методов эффективного использования сетей, систем и устройств телекоммуникаций в различных отраслях народного хозяйства»).
Научная новизна заключается в следующем:
1. Разработана вероятностная модель анализа рисков ИБ и алгоритм
направленного поиска рисков ИБ телекоммуникационной сети, учитывающие
различные вероятности возникновения разных уязвимостей на каждом узле
сети.
2. Предложена математическая модель телекоммуникационного трафика
на основе набора фрактальных параметров и его фазового портрета, позволя
ющая более эффективно, чем только по значениям показателя Херста и корре
ляционной размерности оценивать наличие и отсутствие сетевых атак.
3. Разработана методика определения сетевой атаки для текущего момента
времени по виду фазового аттрактора телекоммуникационного трафика.
4. Предложен алгоритм работы индикатора состояния телекоммуникаци
онного трафика на основе анализа ряда его фрактальных параметров и фазово
го аттрактора.
Теоретическая значимость диссертационного исследования заключается в синтезе алгоритма расчета индикатора состояния телекоммуникационного трафика, основанного на расчете ряда фрактальных параметров и определении вида его фазового портрета. В диссертационной работе показано, что при любых ситуациях о наличии сетевой атаки можно судить по форме фазового аттрактора телекоммуникационного трафика, а также, что различный уровень нагрузки сети в нормальном состоянии (без сетевой атаки) не приводит к большому влиянию на значения фрактальных параметров. Предложенная в диссертационном исследовании вероятностная модель обеспечивает возможность реализации распределенных систем оценки рисков ИБ, используемых в
компьютерных сетях, для каждого из уровней иерархии классификации угроз ИБ корпоративной сети телекоммуникаций.
Практическая ценность работы заключается в том, что на её основе целесообразно создание программного обеспечения для анализа рисков ИБ корпоративной сети телекоммуникаций, ориентированное на работу в сетевой среде, а также предложен алгоритм работы фрактального индикатора состояния сети на основе расчета фрактальных мер и фазового аттрактора телекоммуникационного трафика. Разработано программное обеспечение, позволяющее определять степень заполнения фазового пространства фазовыми траекториями. Показано, что при любых ситуациях о наличии сетевой атаки можно судить по форме фазового аттрактора телекоммуникационного трафика. Определен вид фазового аттрактора телекоммуникационного трафика при различных состояниях сети. Разработанные алгоритмы повышают надежность, функционирования системы защиты информации корпоративной сети телекоммуникаций, на протяжении всего жизненного цикла сети, путем снижения количества инцидентов нарушения ИБ.
Реализация и внедрение работы. Разработанные алгоритмы и системы на их основе внедрены в агентстве цифровой трансформации «Webrover», ООО «Стройтехком» для построения систем анализа телекоммуникационного трафика, методика и алгоритмы на основе расчета фрактальных мер и фазового аттрактора телекоммуникационного трафика при создании программного обеспечения анализа рисков ИБ, а также в разработки индикаторов наличия сетевых атак в группе компаний «СМС-Автоматизация», а также используются при проведении лабораторных работ в ФГБОУ ВО «Поволжский государственный университет телекоммуникаций и информатики».
Апробация работы. Результаты работы докладывались на российских и международных научно-технических конференциях и конгрессах: XIX – XXV Российская научная конференция профессорско-преподавательского состава, научных сотрудников и аспирантов (ПГУТИ, Самара, 2012-2018 гг.); XIII– XVIII Международная научно-техническая конференция «Проблемы техники и технологии телекоммуникаций» (УГАТУ, г. Уфа, 2012 г., ПГУТИ, г. Самара, 2013 г., КНИТУ-КАИ, г. Казань, 2014 г., УГАТУ, г. Уфа, 2015 г., ПГУТИ, г. Самара, 2016 г., КНИТУ-КАИ, г. Казань, 2017 г.); VI, VIII, IХ Всероссийская научно-техническая конференция «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств» (СамГТУ, Самара, 2012, 2014, 2015 гг.); Материалы Международной научно-практической конференции «Информационная безопасность в свете Стратегии Казахстан – 2050» (Евразийский национальный университет им. Л.Н. Гумилева, г. Астана, 2013 г.); III Всероссийская научно-практическая конференция «Актуальные вопросы информационной безопасности регионов в условиях глобализации информационного пространства» в рамках первого всероссийского конгресса «Приоритетные технологии: актуальные вопросы теории и практики» (ВолГУ, г. Волгоград, 2014 г.); IX Международная научно-техническая конференция «Энергетика, телекоммуникации и высшее образование в современных условиях» (Алматинский университет энергетики и связи, г. Алматы, 2014 г.); I Всероссийская научно-техническая конференция
«Студенческая наука для развития информационного общества» (Северокавказский федеральный университет, г. Ставрополь, 2014 г.); ХХ Международная научно-техническая конференция «Современные средства связи» (УО ВГКС, г. Минск, Республика Беларусь, 2015 г.); II Международная Научно-практическая очно-заочная конференция «Проблемы и перспективы внедрения инновационных телекоммуникационных технологий» (ОФ ПГУТИ, г. Оренбург, 2016 г.); Международная научно-практическая конференция «СИБ– 2016» – Современные проблемы и задачи обеспечения информационной безопасности (МФЮА, Москва, 2016 г.); Научно-техническая конференция «Ро-синфоком—2017 «АКТУАЛЬНЫЕ ВОПРОСЫ ТЕЛЕКОММУНИКАЦИЙ» (ПГУТИ, г. Самара, 2017 г.); XV Международная научно-техническая конференция «Оптические технологии в телекоммуникациях», ОТТ-2017 (КНИТУ-КАИ, г. Казань, 2017 года).
Результаты диссертационной работы были представлены на следующих научных конкурсах: второе место в конкурсе инновационных проектов в VI Всероссийском молодежном форуме «Информационные технологии в мире коммуникаций» (МТУСИ, Москва, 2013 г.); Конкурс молодежных инновационных проектов по программе «УМНИК» Фонда содействия развитию малых форм предприятий в научно-технической сфере (Фонд содействия инновациям) – грант на 2016-2017 гг.; Startup village 2016 в треке "Кибербезопасность: новые решения противодействия киберугрозам" (г. Сколково, 2016 г.); а также в финалах и полуфиналах следующих конкурсов: Конкурс молодежных инновационных проектов в сфере телекоммуникаций «Телеком Идея»; Конкурс прорывных идей «Эврика! Концепт» и многие другие.
Публикации. Результаты работы опубликованы в 55 научных работах, в том числе: 12 статей в научно-технических журналах и сборниках (в том числе 6 в журналах, включенных решением ВАК Минобразования России в перечень ведущих научных изданий, в которых должны быть опубликованы основные результаты диссертаций на соискание ученой степени доктора наук), 43 тезиса докладов на научно-технических конференциях.
Объём и структура диссертационной работы. Диссертация содержит введение, 3 главы и заключение, изложенные на 175 страницах. В работу включено 60 рисунков, 8 таблиц, библиографический список из 203 наименований.
Сведения о личном вкладе автора: Все основные результаты, представленные в диссертационной работе, получены автором лично. Подготовка к публикации некоторых результатов проводилась совместно с соавторами, причем вклад автора являлся определяющим.