Содержание к диссертации
Введение
1. Проблема мониторинга состояния информационной безопасности автоматизированной банковской системы. Цель и задачи исследования 14
1.1 .Информационные системы в банковской деятельности 15
1.2. Обеспечение информационной безопасности в банке 24
1.3.Мониторинг информационной безопасности 30
1.4.Цель и задачи исследования 37
2. Анализ системы мониторинга инцидентов информационной безопасности банка как объекта исследования 39
2.1.Система мониторинга, ее функции и структура 39
2.2.Характеристика основных компонентов системы мониторинга 45
2.3.События и инциденты информационной безопасности, выявляемые системой мониторинга 50
2.4.Факторы, влияющие на эффективность мониторинга 54
2.5.Процедурная модель работы системы мониторинга 58
Выводы по второй главе 63
3. Методика оперативной оценки показателей надежности средств защиты информации, входящих в систему мониторинга инцидентов информационной безопасности банка 64
3.1.Необходимость определения состояний функционирования средств защиты информации 65
3.2. Основные средства защиты информации 69
3.3.Выявление состояний функционирования средств защиты информации 88
3.4 Методика оперативной оценки показателей надежности средств защиты информации по данным их текущей эксплуатации 105
Выводы по третьей главе 108
4. Определение состояний функционирования средств защиты информации в системе мониторинга инцидентов информационной безопасности 109
4.1 .Анализ журналов работы средств защиты информации (на примере средства контентного анализа) 110
4.2 Определение показателей надежности компонентов средств защиты информации по данным, характеризующим возникновение и устранение их ошибок функционирования (на примере средства контентного анализа) 115
4.3.Определение вероятностей состояний функционирования средств защиты информации 130
4.3.1. Системы с дискретным временем (на примере средства контентного анализа) 130
4.3.2. Системы с непрерывным временем (на примере антивирусного программного обеспечения) 141
Выводы по четвертой главе 150
5. Разработка подсистемы обеспечения работоспособности в системе мониторинга инцидентов информационной безопасности банка 151
5.1. Подсистема обеспечения работоспособности системы мониторинга 151
5.2.Блок оценки надежности средств защиты информации в системе мониторинга 157
5.3.Оценка эффективности системы мониторинга до и после внедрения подсистемы обеспечения работоспособности 164
Выводы по пятой главе 169
Заключение 170
Аббревиатуры и условные обозначения 172
Список использованной литературы 178
Приложения 193
- Обеспечение информационной безопасности в банке
- Основные средства защиты информации
- Определение показателей надежности компонентов средств защиты информации по данным, характеризующим возникновение и устранение их ошибок функционирования (на примере средства контентного анализа)
- Подсистема обеспечения работоспособности системы мониторинга
Введение к работе
Актуальность работы. В процессе эксплуатации автоматизированной банковской системы (АБС) необходимо своевременно оценивать влияние, оказываемое различными факторами, как на эффективность функционирования самой системы, так и ее отдельных подсистем. Оценка функционирования системы мониторинга инцидентов информационной безопасности (СМИИБ), являющейся одной из таких подсистем АБС, требует от администратора безопасности (администратора) значительных интеллектуальных усилий и сопряжена с определенными временными затратами.
Эффективность мониторинга может снижаться в связи с возникновением нарушений в любом из компонентов СМИИБ, однако, как показывает опыт эксплуатации, наиболее негативное воздействие имеет место при появлении ошибок в работе средств защиты информации, входящих в ее состав. В течение времени бездействия или неправильного функционирования средств защиты возникают дополнительные угрозы пропуска инцидентов информационной безопасности (ИИБ), реализация которых негативно влияет на функционирование АБС. В этой связи необходимо оперативное выявление и устранение причин нарушений в работе средств защиты информации, что зачастую весьма затруднительно сделать администратору. Объясняется это наличием множества трудно учитываемых факторов, влияющих на процесс функционирования системы мониторинга и на процесс принятия администратором решений, которые создают у него высокую степень неопределенности.
Поэтому совершенствование работы СМИИБ, связанное с обеспечением более эффективного мониторинга инцидентов информационной безопасности, за счет уменьшения неопределенности в процессе принятия решений администратором, вызываемой его недостаточной информированностью о текущем состоянии надежности входящих в состав СМИИБ средств защиты, является актуальным.
Различные вопросы оценки надежности средств защиты информации нашли свое отражение в работах В.А. Герасименко, Б.В. Палюха, А.И. Перегуды, А.Ю. Щеглова, Р.И. Насырова, Ch. Fry и др. Однако в них не обсуждался такой вопрос, как оценка надежности объектов, производимая на основе оперативно получаемых данных об их текущей эксплуатации.
Объект исследования – система мониторинга инцидентов информационной безопасности в автоматизированной банковской системе.
Предмет исследования – эффективность функционирования СМИИБ, характеризуемая среднегодовым числом инцидентов информационной безопасности, выявляемых входящими в ее состав средствами защиты информации.
Целью работы является повышение эффективности функционирования СМИИБ на основе оперативной оценки показателей надежности, характеризующих работоспособность средств защиты в СМИИБ, производимой по данным текущей эксплуатации.
Для достижения поставленной цели необходимо решить следующие задачи:
проанализировать СМИИБ как объект исследования и выявить основные факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности;
сформулировать множества состояний функционирования средств защиты информации, связанных с нарушениями в работе или восстановлением работоспособности их отдельных компонентов;
разработать методику оперативной оценки показателей надежности средств защиты информации на основе данных, получаемых в процессе текущей эксплуатации;
построить процедурную модель определения вероятностей состояний функционирования средств защиты информации, обусловленных нарушениями в работе их компонентов или восстановлением работоспособности, на основе сведений о показателях надежности этих компонентов;
разработать подсистему обеспечения работоспособности СМИИБ, входящую в ее состав, предусмотрев в ней отдельный блок, в котором будет реализована процедурная модель определения вероятностей состояний функционирования средств защиты информации по данным их текущей эксплуатации;
оценить эффективность работы СМИИБ до и после внедрения в ее состав подсистемы обеспечения работоспособности.
Методы исследования. Для решения сформулированных задач в работе использовались методы: системного анализа; теории надежности; технологии проектирования информационных систем; информационной безопасности и защиты информации.
Научная новизна:
построена процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности, отличающаяся наличием этапов «Оценка числа поступающих сообщений» и «Оценка длины очереди», содержащих информацию, которая является для администратора индикатором возникновения нарушений в СМИИБ;
разработана методика оперативной оценки показателей надежности входящих в состав СМИИБ средств защиты информации по данным текущей эксплуатации, отличающаяся использованием сведений, периодически извлекаемых из электронных журналов работы и необходимых для вычисления вероятностей состояний функционирования этих средств;
на основе применения аппарата марковских случайных процессов с конечным числом состояний построены аналитические модели, описывающие поведение различных средств защиты информации в связи с возникающими нарушениями в работе их компонентов или восстановлением работоспособности, отличающиеся тем, что параметры этих моделей периодически обновляются;
на основе методики оперативной оценки показателей надежности средств защиты информации с применением аналитических моделей, описывающих их поведение в связи с возникающими нарушениями в работе или восстановлением работоспособности, построена процедурная модель, позволяющая определять вероятности состояний функционирования средств защиты по данным их текущей эксплуатации;
разработана подсистема обеспечения работоспособности СМИИБ (определены структура и характеристики компонентов), отличающаяся наличием блока оценки надежности средств защиты;
разработана структура блока оценки надежности средств защиты, реализующего процедурную модель определения вероятностей их состояний функционирования по данным текущей эксплуатации, в состав которой входят: модуль определения показателей надежности, модуль накопления данных о нарушениях работы, а также два интерфейса.
Практическая ценность:
реализация подсистемы обеспечения работоспособности СМИИБ обеспечивает более эффективное выявление инцидентов информационной безопасности благодаря сокращению времени простоя средств защиты из-за нарушений в работе, достигаемому за счет регулярного мониторинга состояний их функционирования;
разработанная методика оперативной оценки показателей надежности средств защиты информации по данным текущей эксплуатации является универсальной, что делает ее пригодной для определения характеристик надежности других технических средств, входящих в АБС;
периодически вычисляемые в подсистеме обеспечения работоспособности СМИИБ значения вероятностей состояний функционирования используются администратором в процессе принятия решений по реагированию на выявленные инциденты ИБ и решений по улучшению процедуры обслуживания средств защиты или их замене;
Операционный офис «Тамбовский» Липецкого филиала ОАО АКБ «РОСБАНК» использует разработанную методику определения показателей надежности средств защиты информации по данным их текущей эксплуатации при обслуживании своих серверов и рабочих станций;
Отдел информационной безопасности Управления обеспечения безопасности ВТБ24 (ЗАО) применяет разработанные в диссертации аналитические и процедурные модели для вычисления показателей надежности используемых в банке средств защиты информации.
Положения, выносимые на защиту:
процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности;
множества состояний функционирования различных средств защиты информации, входящих в состав СМИИБ, которые обусловлены нарушениями в их работе или восстановлением работоспособности;
методика оперативной оценки показателей надежности входящих в состав СМИИБ средств защиты информации по данным текущей эксплуатации;
аналитические модели, построенные на основе применения аппарата марковских случайных процессов с конечным числом состояний, описывающие поведение различных средств защиты информации в связи с возникающими нарушениями в их работе или восстановлением работоспособности;
процедурная модель определения вероятностей состояний функционирования средств защиты информации по оперативным данным текущей эксплуатации;
подсистема обеспечения работоспособности СМИИБ (структура и характеристики компонентов);
блок оценки надежности средств защиты, содержащий: модуль определения показателей надежности; модуль накопления данных о нарушениях работы; два интерфейса;
результаты оценки эффективности работы СМИИБ до и после внедрения подсистемы обеспечения ее работоспособности.
Работа выполнена в соответствии пунктами 1 и 3 паспорта специальности 05.25.05 («Информационные системы и процессы») и посвящена исследованиям в области разработки информационного обеспечения АБС и реализации процессов сбора, хранения, обработки, поиска и передачи информации, характеризующей ее деятельность.
Апробация результатов исследования. Основные результаты представлены на: 3-й Международной научно-практической конференции «Наука и устойчивое развитие общества. Наследие В.И. Вернадского»
(Тамбов, 2008); 6-й Международной научно-практической конференции «Наука на рубеже тысячелетий» (Тамбов, 2009); 6-й Международной научно-практической конференции «Прогрессивные технологии развития» (Тамбов, 2009); 2-й Международной научно-практической конференции «Прогрессивные технологии и перспективы развития» (Тамбов, 2010);
4-й Межвузовской научно-практической ежегодной конференции «Новые технологии и инновационные разработки» (Тамбов, 2011); Международной научно-технической конференции «Современные информационные технологии» (Пенза, 2011); Всероссийской научной школе «Актуальные проблемы нано- и микроэлектроники» (Тамбов, 2011).
Публикации. Материалы, отражающие основные результаты работы, представлены в 13 публикациях, в том числе в четырех статьях изданий, рекомендованных ВАК РФ.
Структура и объем работы. Диссертация, общий объем которой составляет 236 страниц, состоит из введения, пяти глав, выводов по главам, заключения, аббревиатур и условных обозначений, списка использованной литературы, приложений. Основной материал изложен на 135 страницах текста, содержит 24 рисунка и 8 таблиц. Список литературы включает 134 наименования.
Обеспечение информационной безопасности в банке
Если банк не проявляет должного внимания к угрозам ИБ, то рано или поздно происходит нарушение безопасности его АБС. Последствия этого проявляются, как правило, незамедлительно и масштабно. Так в [37,73] отмечается, что трудности, с которыми банк встречается (и которые непременно становятся известными, если они серьезны), способны очень быстро вынудить другие кредитные организации закрыть ему линии рефинансирования или побудить клиентов забрать или не возобновлять свои вклады, что не замедлит вызвать кризис ликвидности.
В настоящее время ИБ АБС представляет собой один из важнейших элементов системы безопасности банковской деятельности. Данному вопросу посвящено множество работ российских и зарубежных авторов, например [3, 5, 10-13, 19, 22, 35-37, 46, 54-57, 59-68, 73, 78, 81, 104, 113-115 и др.].
Эволюция проблем ИБ в банковской сфере в зависимости от степени развития ИТ прослеживается в таблице 1.1, информация для заполнения которой заимствована из [37].
Известно, что к АБС предъявляются повышенные, по сравнению с ИС других организаций, требования к надежности и безопасности аппаратного и программного обеспечения [10,46]. В работах [3,10,37] авторы выделяют следующие присущие АБС черты, которые отрицательно влияют на ИБ: - реализация системы в соответствии с принципами открытой архитектуры, в которой самыми уязвимыми местами являются связи между элементами, поскольку эталонная модель взаимодействия открытых систем (ЭМВОС) предусматривает наличие систем безопасности только на соответствующих уровнях, но не в рамках интерфейсов между ними;
- АБС работает под управлением ОС, а, значит, безопасность системы зависит от особенностей ОС;
- частая смена прикладного ПО, мотивируемая потребностями основных функциональных подразделений банка;
- сложность операционной среды относительно решаемой задачи;
- хранение и обработка в АБС конфиденциальной информации, не предназначенной для широкой публики.
Объектами защиты информации (ЗИ), которые могут быть уязвимыми ввиду вышеперечисленных особенностей АБС, являются следующие ресурсы банка [12]:
- система формирования, распространения и использования информационных ресурсов банка, включающая в себя ИС различного уровня и назначения, базы данных, информационные технологии, в том числе регламенты и процедуры сбора, обработки, хранения и передачи информации, научно технический персонал разработчиков и пользователей ИС банка и обслуживающий их персонал;
- информационная инфраструктура, включающая центры обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникаций, системы и средства ЗИ, объекты и помещения, в которых размещены компоненты ИБС, а также ведутся переговоры, содержащие информацию с ограниченным доступом;
- информационные ресурсы, содержащие сведения, отнесенные к защищаемой информации и представленной в виде носителей на магнитной и оптической основе, информативных физических полей, информационных массивов и баз данных;
-основные и вспомогательные технические средства и системы, сети связи;
- вспомогательные технические средства и системы, размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения, отнесенные к защищаемым, а также сами помещения, предназначенные для ведения конфиденциальных переговоров.
При решении задач обеспечения эффективной ЗИ в АБС необходимо иметь, так называемую, модель угроз (МУ) ИБ. Она должна включать описание: источников угрозы; уязвимостеи, используемых угрозами; методов и объектов нападений, пригодных для реализации угрозы; типов возможной потери (например, конфиденциальности, целостности, доступности активов); масштабов потенциального ущерба [73].
С точки зрения построения моделей угроз к основным особенностям АБС следует отнести:
- Территориальную распределенность. Банк, имеющий филиальную сеть, должен разрабатывать модели двух уровней. Модель первого уровня разрабатывается специалистами головного офиса и описывает общие угрозы ИБ, модели второго уровня создаются непосредственно в филиалах и характеризуют уникальные угрозы. Объясняется это тем, что каждое удаленное подразделение банка имеет автономные (периферийные) информационные узлы, обладающие собственной архитектурой и собственными БД.
- Модульную структуру. Как отмечалось ранее, АБС состоит из трех основных модулей: АС "Управление банком", АС "Операционный день банка" и АС "Банковские электронные услуги", каждый из которых является обособленной ИС. Поскольку эти модули разнородны по составу и выполняемым функциям, а множества вероятных угроз ИБ могут весьма сильно отличаться, то имеет смысл разрабатывать свою модель для каждого из модулей АС. - Необходимость учета угроз для бизнес-процессов. Объясняется это тем, что раскрытие конфиденциальной банковской аналитической информации более значимо для злоумышленника и значительно опаснее для собственника, чем другие виды угроз.
- Необходимость учета угроз, исходящие от персонала банка, и угрозы системе управления его безопасностью [73].
Регламентация деятельности
Выявив угрозы ИБ, необходимо принять адекватные меры по защите АБС от них. В этой связи многие аспекты обеспечения ИБ банковской сферы регламентированы международными и отечественными стандартами [17, 73,104,105,113-115].
Так в законе [115] к компаниям, и в частности к банкам, акции которых продаются на американской фондовой бирже, предъявляется ряд серьезных требований по процедурам внутреннего контроля, организации бизнес-процессов, в т.ч. по ведению управленческого учета и бюджетирования1. Закон направлен на регламентацию работы финансовых служб, прозрачность банковских операций и независимость контролеров. В немалой степени это достигается благодаря защите ИС, в которых хранятся и обрабатываются данные, относящиеся к финансовой отчетности компании.
Стандарт [104] предписывает кредитным организациям оценивать и снижать операционные риски, к которым относятся и нарушения в области ИБ. Источники [12,81] знакомят со стандартом по ЗИ, разработанным объединением ведущих мировых платежных систем, таких как Visa и Mastercard. Он детально описывает меры, которые необходимо предпринять для обеспечения безопасности сведений о банковских картах и их владельцах.
В нашей стране наибольшую значимость, несмотря на его рекомендательный характер, имеет отечественный стандарт Банка России [73]. В настоящее время вышла 3-я редакция этого документа, в котором отмечается, что обеспечение ИБ является для организаций Банковской системы РФ одним из основополагающих аспектов их деятельности.
Вместе с тем, ИБ в банке не должна мешать полезному использованию информации, поскольку сам по себе банк не является закрытой системой, а существует благодаря связям с клиентами, банками-корреспондентами, биржами и т.д., т.е. внешним миром. Таким образом, при создании системы ЗИ банк должен искать оптимальное сочетание защищенности и открытости своих ИС.
Система информационной безопасности (СиИБ) банка представляет собой совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение [3]. Система обеспечения информационной безопасности (СОИБ) банка-это совокупность СиИБ и системы менеджмента ИБ [22].
Основные средства защиты информации
СБ является превентивным средством защиты, предназначенным для выявления уязвимостей в программно-аппаратном обеспечении АБС.
Анализ защищенности - это процесс идентификации уязвимостей в исследуемой системе, которые могут быть следствием ошибок проектирования, реализации или настройки.
В зависимости от используемой "на входе" сканера информации о проверяемой системе выделяют два метода анализа защищённости [113]: "чёрного ящика" и "белого ящика". В первом случае субъект, выполняющий проверку, владеет минимумом информации об исследуемой системе, во втором случае ему предоставляется любая необходимая информация, включая учётные данные.
С точки зрения расположения по отношению к объекту сканирования можно выделить следующие СБ [41]:
- Локальные или системные, устанавливаемые непосредственно на сканируемом узле, работающие от имени учётной записи с максимальными привилегиями и выполняющие проверки по косвенным признакам;
- Сетевые, выполняющие проверки дистанционно, по сети, которые устанавливаются на выделенный узел, с которого в дальнейшем производится сканирование. Они наиболее распространены.
В качестве примера на рисунке 3.2 представлен рекомендуемый вариант развертывания сетевого СБ MaxPatrol (MP) в крупном банке с широкой филиальной сетью, для случая когда банк имеет лишь один филиал. Особенностью этого варианта является использование, наряду с обязательными для любого СБ компонентами (MP сервером, MP сканером и MP консолью управления), дополнительных компонентов (MP мобильного сервера; MP сервера консолидации данных и MP локального сервера обновлений).
В состав каждого MP сервера, включая мобильный, входит по одному модулю, занимающемуся собственно сканированием. Кроме того, к двум MP серверам добавлены дополнительные MP сканеры для увеличения производительности сканирования. Также в состав MP сервера входит БЗ, содержащая информацию о проверках, уязвимостях и стандартах и модуль управления MP сканером. Для записи результатов проведенных сканирований используется внутренняя или внешняя, расположенная на удаленном сервере, БД.
MP сервер является необходимым и достаточным компонентом для проведения сканирования, построения отчетов и управления СБ.
MP сервер консолидации данных собирает результаты сканирования со всех MP серверов и MP сканеров и сохраняет их для дальнейшего анализа, что позволяет построить целостную картину защищенности АБС.
MP локальный сервер обновлений используется как единая точка поддержки БЗ в актуальном состоянии.
Демилитаризованная зона (ДМЗ) представляет собой особенный сегмент внутренней сети банка, в котором располагаются серверы, отвечающие на запросы из внешних сетей. Доступ серверов из ДМЗ к основным сегментам внутренней сети ограничен с помощью МСЭ (на рисунке 3.2 не показан).
Выявление уязвимостей при помощи СБ основано на следующих методах [71]:
- анализа исполняемого кода ПО;
- анализа настроек программно-аппаратного обеспечения АБС. Обнаружение уязвимостей, связанное с анализом исполняемого кода ПО может осуществляться двумя способами. Первый способ предполагает запуск программы в рамках тестовой среды, в которой проверяется безопасность программы. В процессе выполнения программы для нее формируется ряд тестовых запросов, после чего анализируется реакция программы, т.е. проверяется, каким образом исполняемый код программы влияет на состояние тестовой среды. Если в результате выполнения сформированного запроса тестовая среда переходит в небезопасное состояние, приводящее, например, к нарушению работоспособности, то делается вывод о наличии уязвимостей в тестируемой программе.
Второй способ предполагает имитацию информационных атак на систему с последующим анализом результатов. По результатам имитирования информационных атак формируется перечень уязвимостей ПО. К преимуществам этого способа обнаружения уязвимостей можно отнести простоту реализации, а к недостаткам - невозможность обнаружения уязвимостей, описание которых отсутствует в БЗ СБ.
Обнаружения уязвимостей при помощи анализа настроек программно-аппаратного обеспечения АБС осуществляется путем сбора информации о ее настройках, после чего собранные значения сравниваются с эталонными значениями параметров, и в случае выявления несоответствий, фиксируется факт наличия уязвимости. Данный метод также прост в реализации, однако не позволяет обнаружить уязвимости, описания которых отсутствуют в БЗ параметров.
В случае выявления уязвимостей СБ формирует подробный отчет, включающий не только описание обнаруженных уязвимостей, но и рекомендации по их устранению [71].
Более подробно работа различных СБ описана в статьях [41,42].
К этому типу СЗИ относятся программные комплексы, состоящие из серверной части и многочисленных агентов, осуществляющих защиту компьютеров, на которых они установлены, от вредоносного ПО. Система антивирусной защиты АБС строится по иерархическому принципу [5]:
- службы общекорпоративного (центрального) уровня;
- службы филиалов или отделений;
- службы конечных пользователей.
Для обеспечения постоянной антивирусной защиты службы общекорпоративного уровня должны функционировать в непрерывном режиме. На этом уровне осуществляется:
- получение обновлений антивирусного программного обеспечения (АПО) и антивирусных баз;
- управление распространением АПО;
- управление обновлением антивирусных баз на уровне филиалов или отделений;
- контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом).
На уровне филиалов или отделений происходит:
- обновление антивирусных баз агентов АПО, установленных на рабочих станциях конечных пользователей;
- обновление агентов;
- передача управляющих воздействий от сервера к агентам.
На уровне конечных пользователей обеспечивается автоматическая антивирусная защита агентами АПО данных пользователей, а также происходит передача сообщений о выявленных вирусах на сервер.
Структурная схема антивирусного программного обеспечения (АПО) уровня филиала или отделения банка приведена на рисунке 3.3а.
Фактически, антивирусной защите подлежат все компоненты АБС, связанные с передачей информации и/или ее хранением [5]: файл-серверы; рабочие станции; рабочие станции мобильных пользователей; серверы резервного копирования; сервера электронной почты.
Определение показателей надежности компонентов средств защиты информации по данным, характеризующим возникновение и устранение их ошибок функционирования (на примере средства контентного анализа)
Записи из журналов работы компонентов СКА о встречающихся нарушениях, их видах и об устранении этих нарушений (автоматически или силами администратора), являются источником данных для последующего определения показателей надежности этих компонентов, а, следовательно, и СКА. Естественно, что таких данных должно быть достаточное количество для того, чтобы можно было определить с допустимой точностью статистические оценки показателей, то есть выборки должны быть представительными.
Продемонстрируем методику получения показателей надежности компонентов СКА.
Траектория изменения во времени состояния функционирования hCKA{t) СКА на выбранном интервале наблюдения [t0,tH] в связи с появлением или устранением ошибки определенного вида может быть представлена так, как показано на рисунке 4.1.
Далее рассмотрим подробнее упоминавшиеся в п. 4.1 ошибки (j = 1,4 ) и соответствующие им записи, выявленные в журналах работы за анализируемый период.
В упомянутом ранее приложении Е в качестве примера приведено 4 фрагмента текстов, извлеченных из журналов индексирующего сервера и модуля-посредника СКА, функционирующего в крупном банке. Рассматривались интервалы времени, на которых впервые возникала та или иная ошибка. При этом жирным шрифтом в этих фрагментах выделены записи, которые характеризуют появления ошибки определенного вида за рассматриваемый период, а также записи, характеризующие признаки ее устранения.
1) Несанкционированная очистка индекса СКА от данных, поступивших ранее из БД СКПВВ в ХД СКА
Как отмечалось в третьей главе, причинами возникновения данной ошибки, а, следовательно, и перехода в состояние hf, могут являться несанкционированные остановка службы индексирующего сервера на уровне операционной системы или перезагрузка аппаратного сервера, на котором установлено СКА, в момент очередного обновления индекса СКА. Ошибка не приводит к полной утрате работоспособности СКА, и оно продолжает функционировать, но с пониженной эффективностью.
В журнале работы индексирующего сервера запись об ошибке в общем виде выглядит следующим образом: [1120] [C:\SKA\2010-12-30\Index\Index.lbx] Reset index!
Здесь ключевой является фраза "Reset index!", означающая очистку индекса. Информация в квадратных скобках характеризует место расположения файла индекса на жестком диске.
При анализе журнала работы индексирующего сервера за время наблюдения Тн (первые 9 месяцев 2011 года), было обнаружено всего две записи о появлении данной ошибки: 21.04.2011:09:18:32.133 [1120] [C:\SKA\2011-04-08\Index\Index.lbx] Reset index! (4.1) 28.06.2011:11:08:00.298 [2556] [C:\SKA\2011-06-21\Index\Index.lbx] Reset index! (4.2)
Записи (4.1), (4.2) говорят о том, что в разное время произошли первая и вторая ошибка первого вида. Запись (4.1), выделенную жирным шрифтом, можно найти в приложении Е (см. фрагмент 1).
Восстановление индексирующего сервера в работоспособное состояние, а значит, и возвращение СКА из состояния hf в состояние h нормальной работоспособности, начиналось сразу же, то есть в момент появления этих ошибок. Оно производилось автоматически с помощью повторной индексации всех данных, поступивших в его ХД за все время функционирования СКА. Таким образом, время восстановления в этом случае было равно времени устранения ошибки, и не включало времени ее обнаружения.
В журнале работы запись о завершении восстановления индекса в общем виде выглядит следующим образом:
[1304] Indexed documents: XXX, size: YYY.
Здесь фраза " Indexed documents" означает "Проиндексировано документов", XXX - количество проиндексированных документов, YYY - суммарный размер документов.
Записи о восстановлении индекса после первой (4.1) и второй (4.2) ошибок имели вид:
21.04.2011:11:18:40.788 [1304] Indexed documents: 130119, size:
26543511550 (4.3)
28.06.2011:12:35:06.366 [1664] Indexed documents: 118747, size:
15275183954 (4.4)
Запись (4.3), выделенную жирным шрифтом, также можно увидеть в приложении Е (см. фрагмент 1). Из нее видно, что в момент, когда произошла первая ошибка, индекс содержал 130119 документов и имел объем в 26543511550 Б или 24,72 ГБ.
Пользуясь записями (4.1)-(4.4), вычислим значения времен Г/, т), в] и / (/ = 1,2), характеризующих процесс смены состояний функционирования hCKA{t) СКА из-за ошибок индексирующего сервера на выбранном интервале наблюдения для ошибки первого вида.
Время до первого появления ошибки равно 7J1 =t\ \, где t\ определялось из фрагмента ("21.04.2011:09:18:32.133") записи (4.1), a fj=0. Время нормальной работы компонента до второй ошибки равно Т\ =t\- txel, где t\ определялось из фрагмента ("28.06.2011:11:08:00.298") записи (4.2) , a t\x - из фрагмента ("21.04.2011:11:18:40.788") записи (4.3). В результате было получено, что Г/ = 2649,3 ч, а Т\ = 1392 ч.
Времена обнаружения ошибок т\ = 0 и т\ = 0, поскольку устранение ошибок начиналось сразу после их появления. Соответственно, времена восстановления компонента после первой и второй ошибок в этом случае равны
Естественно, что время восстановления работоспособности после первой ошибки равно %\=txeX\, где t\x определялось из фрагмента (21.04.2011:11:18:40.788") записи (4.3), a t\ - из фрагмента ("21.04.2011: 09:18:32.133") записи (4.1). Время восстановления работоспособности индексирующего сервера после второй ошибки равно %\ = t\2 -1\, где t\2 определялось из фрагмента ("28.06.2011:12:35:06.366") записи (4.4), a t\ - из фрагмен 120 та ("28.06.2011:11:08:00.298") записи (4.2). В результате было получено, что =2ч, =1,45ч.
Имея достаточно представительную выборку подобных результатов, получаемых с использованием предложенной методики анализа журналов работы, за более продолжительный период наблюдения, можно определить с достаточной точностью оценки различных показателей надежности индексирующего сервера, модуля-посредника и, в целом СКА, которые характеризуют их состояния с точки зрения надежности на момент вычисления этих показателей.
Необходимо отметить, что данные, характеризующие надежность любого СЗИ, входящего в систему мониторинга банка, или его компонентов, представляют собой конфиденциальные сведения. В этой связи, исходя из методических соображений, здесь и далее в работе покажем, как нужно по имеющимся в нашем распоряжении данным, провести работу по оценке надежности компонентов, оставляя за пределами рассмотрения вопросы достоверности получаемых результатов.
Подсистема обеспечения работоспособности системы мониторинга
Одной из важнейших задач в СМИИБ является поддержание работоспособности СЗИ, входящими в ее состав. В настоящее время в банках используются определенные технические средства, осуществляющие контроль за нормальным функционированием отдельных компонентов СМИИБ и, кроме того, определенные функции, и весьма не малые, возложены на администраторов безопасности. Успешное выполнение данной задачи в крупном банке осложняется, на наш взгляд, следующими основными факторами: наличием большого количества СЗИ разных типов; недостаточностью объема нужной информации об их функционировании; территориальной разбросанностью помещений, в которых они размещаются и некоторыми другими факторами. Это затрудняет администратору своевременное получение необходимой информации (а иногда просто невозможно ее получение) в нужном объеме, а также ее последующий анализ и принятие соответствующих мер по восстановлению работоспособности СЗИ.
Следует заметить, что в некоторых ИС существуют автоматизированные средства, совокупность которых оформлена в виде отдельных подсистем обеспечения работоспособности (ПОР), осуществляющих контроль за нормальным функционированием технических компонентов ИС. Методы обеспечения работоспособности ПОР, как правило, применяется в ИС для контроля работоспособности различных программно-аппаратных средств (ПАС). В таких подсистемах для осуществления контроля используются следующие методы [24, 25, 56, 71, 99, 112,86,102,110,122]:
- резервирование файлов конфигураций ПАС, позволяющее восстановить параметры функционирования в случае несанкционированного их изменения;
- мониторинг системных показателей ПАС: уровня использования ресурса ЦП; объема используемой оперативной памяти; объема файлов подкачки; объема свободного дискового пространства; производительности локальной сети и др.;
- создание "снимков" параметров оптимально функционирующих ПАС и сравнение с ними реальных параметров;
- отслеживание критически важных процессов и служб, необходимых для функционирования ПАС;
- применение программного обеспечения, предназначенного для автоматического устранения нарушений работоспособности ПАС;
- анализ журналов работы компонентов ПАС на наличие записей об ошибках;
- применение средств активного обнаружения ошибок в программных средствах;
- мониторинг сетевой доступности ПАС;
- Др.
В качестве примера можно назвать следующие системы контроля работоспособности программно-аппаратных средств: Zenoss, Nagios и Zabbix [62, 86,107,111].
Применительно к работе СМИИБ банков, где используются отдельные технические средства (вне рамок ПОР), осуществляющие контроль за нормальным функционированием различных компонентов СМИИБ, следует дополнительно упомянуть следующие методы, используемые для осуществления контроля работоспособности [99, 132, 24, 25]:
- проверка целостности информационных и функциональных ресурсов СЗИ, входящих в СМИИБ;
- генерация событий-маркеров;
- различные проверки модулей хранения информации (база знаний экспертов, база данных событий ИБ и база данных инцидентов ИБ);
- Др.
Далее предлагается разработать структуру подсистемы, названную нами подсистемой обеспечения работоспособности СМИИБ (ПОРС). При этом будем в процессе создания использовать как информацию, полученную при анализе свойств и характеристик ПОР, работающих в ИС различных предметных областей, так и информацию о существующих в СМИИБ банков средствах контроля, а также результаты, полученные ранее в диссертации.
Структура и характеристика подсистемы обеспечения работоспособности системы мониторинга
На рисунке 5.1 представлена структурная схема разрабатываемой ПОРС, в составе которой выделен серым цветом принципиально новый блок, описанный достаточно подробно далее в п.5.2. Кроме того, структура ПОРС содержит следующие компоненты:
1) Консоль, позволяющая осуществлять наблюдение за процессом работы ПОРС и управления им, которая может работать, как вместе с центральной консолью мониторинга (ЦКМ) СМИИБ (см. рис. 2.2), так и независимо, в случае недоступности (по различным причинам) ЦКМ.
2) Блок резервирования (БР), осуществляющий сбор и сохранение файлов настроек (параметров работы) СЗИ, а также создающий образы оптимально функционирующих средств.
3) Блок хранения данных резервирования (БХДР), представляющий собой хранилище, в котором содержатся собранные БР данные.
4) Блок контроля целостности (БКЦ), контролирующий целостность файлов, ветвей реестра на удаленных узлах (рабочих станциях, серверах или СЗИ), а также содержимого оперативной памяти и баз данных [25].
5) Генератор событий-маркеров (ГСМ), совершающий с заданной периодичностью определенные действия, называемые событиями-маркерами [99], которые имитируют вредоносную деятельность, направленную на информационные ресурсы АБС. Функция генератора заключается в проверке, путем моделирования возможных атак на АБС, исправности СЗИ и их готовности обнаруживать и отражать данные атаки.
6) Блок автоматической обработки событий (БАОС), предназначенный для устранения в автоматическом режиме некоторых нарушений, возникающих в СМИИБ.
7) Агенты, осуществляющие сбор необходимых для работы ПОРС данных со всех подключенных СЗИ.