Содержание к диссертации
Термины и определения 5
ВВЕДЕНИЕ 12
ОБЗОР ПРОБЛЕМ ЗАЩИТЫ ИНФОРМАЦИИ в 20
БАНКОВСКИХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ. Связь функциональных банковских 20
информационных технологий и проблем защиты информации.
Анализ проблем защиты информации в автоматизированных банковских сетях.
Постановка цели разработки метода зонального клонирования экземпляров банковского безопасного программного обеспечения.
ОБЩИЙ АЛГОРИТМ ПОСТРОЕНИЯ БЕЗОПАСНОЙ
ИНФОРМАЦИОННОЙ СЕТИ МЕТОДОМ ЗОНАЛЬНОГО КЛОНИРОВАНИЯ ЭКЗЕМПЛЯРОВ БАНКОВСКОГО БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.
Исходные положения, определения и принятые сокращения.
Алгоритм построения безопасной информационной сети методом зонального клонирования.
1. Определение зоны клонирования. 49
1Л. Составление списка требований функциональности. 49
1.2. Составление списка требований безопасности. 49
2. Анализ соответствия полученной зоны существующим 52
зонам клонирования.
Создание новой зоны клонирования. 53
2.2.3.1. Анализ соответствия зоны эталону Эис на достаточность 53
2.2.3.1.1. Выбор допустимых вариантов БПО. 54
Выбор оптимального варианта БПО. 55
9 9 4 1^ Дополнение эталонного объекта информационной сети 58
Эис разработанным БПО зоны клонирования
Выбор из эталонного объекта информационной сети Эис 58
безопасного программного обеспечения, соответствующего зоне клонирования
2.2.3.3. Создание эталонного объекта зоны клонирования (Эзк). 58
2.2.4. Клонирование эталонного объекта зоны клонирования. 59
2.3. Сравнение методов построения безопасной информационной сети
3. ПРИМЕРЫ ПОСТРОЕНИЯ СЗИ ДЛЯ АБС СИСПОЛЬЗОВАНИЕМ МЕТОДА ЗОНАЛЬНОГО
КЛОНИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ.
3.1. Модификация СЗИ объекта с использованием метода зонального клонирования.
3.2. Расширение эталона. 72
3.3. Оптимизация выбора модификации СЗИ. 96
4. ИНСТРУМЕНТАЛЬНЫЕ СРЕДСТВА ПОДДЕРЖКИ МЕТОДА ЗОНАЛЬНОГО КЛОНИРОВАНИЯ.
4.1. Описание инструментария. 100
4.2. Определение зоны клонирования. 101
4.2.1. Составление списка требований функциональности 101
4.2.2. Составление списка требований безопасности. 102
4.3. Анализ соответствия полученной зоны существующим зонам клонирования.
4.4. Создание новой зоны клонирования 105
4.4.1. Анализ соответствия зоны эталону информационной сети '^Ь
на достаточность
4.4.1.1. Выбор допустимых вариантов безопасного программного обеспечения зоны клонирования.
4.4.1.2. Выбор оптимального варианта безопасного программного обеспечения зоны клонирования.
4.4.1 .J. Дополнение эталонного объекта информационной сети разработанным безопасным программным обеспечением зоны клонирования
4.4.2. Выбор из эталонного объекта информационной сети безопасного программного обеспечения, соответствующего зоне клонирования
4.4.3. Создание эталонного объекта зоны клонирования. 113
4.5. Клонирование эталонного объекта зоны 113
клонирования.
ЗАКЛЮЧЕНИЕ П5
Литература 116
Введение к работе
Для банковских автоматизированных систем, актуальным становится вопрос создания методологических инструментов, позволяющих построить и эксплуатировать безопасную информационную сеть с наименьшими временными и материальными затратами. Успешное решение этого вопроса поможет изменить ситуацию с информационной безопасностью, в информационных сетях, в лучшую сторону.
Однако практика построения комплексных систем защиты и безопасности информации банковских автоматизированных систем требует более детальной проработки и разработке новых методов и средств.
Предлагаемый метод построения безопасной информационной сети принципом зонального клонирования экземпляров безопасного программного обеспечения, как раз является таким инструментом, с помощью которого возможно построить безопасную информационную сеть, причем сам метод позволяет расходовать ресурсы, выделенные на ее постройку с высокой эффективностью.
В основе метода лежит предположение, что в сети имеется более чем один объект (рабочее место, сервер), выполняющий схожие функции и удовлетворяющий одним и тем же требованиям безопасности. В таком случае, эти объекты объединяются в группу (зону клонирования) и им приписывается однажды разработанное безопасное программное обеспечение. Простая идея «сэкономить» на разработке средств защиты информации и программного обеспечения, на самом деле, при своем воплощении, затрагивает стратегические вопросы и требует политических решений.
Таким образом, работа, посвященная разработке модели, метода и средств клонирования гарантированно безопасного программного обеспечения, актуальна и представляет научный и практический интерес.
Целью диссертационной работы является разработка модели , метода и средств зонального клонирования защищенных и безопасных экземпляров функциональных рабочих мест банковских АС.
Цель разработки ставит необходимость решения следующих основных задач:
1. Анализ предметной области для выявления существующих и перспективных принципов и подходов к вопросам оптимального построения защищенных банковских автоматизированных систем;
2. Разработка и формулировка модели и метода размножения функционально идентичных рабочих мест банковских АС не снижающих уровень защищенности в целом АС и сокращающем расходы на обеспечение защищенности и сроки создания защищенной АС;
3. Разработать инструментально-технологический автоматизированный программный комплекс для поддержки модели и метода и технологию его использования;
4. Исследовать защищенность ряда банковских АС с использованием разработанного метода и инструментально-технологических средств..
В соответствии с целями и задачами :
Предметом исследования диссертационной работы является комплекс вопросов, связанный с разработкой и построением защищенных банковских АС с оптимизацией временных и финансовых ресурсов при обеспечении заданного уровня безопасности и защищенности АС.
В качестве объекта исследования представлены модели и методы создания защищенных банковских АС и средства поддержки их создания. При решении поставленных задач использованы: методы анализа и моделирования систем, методы оценки защищенности, теория графов, множеств и теория программирования. Научная новизна.
1. Новый метод построения функционально сложных защищенных банковских АС, обеспечивающий наращивать и размножать функциональные рабочие места АС с гарантией сохранения уровня защищенности АС и сокращающий расходы на поддержку уровня защищенности и сроки модификации и реконструкции АС.
2. Новая модель, зонального клонирования функциональных защищенных рабочих мест банковских АС , использующею в качестве исходного элемента эталонный защищенный экземпляр функциональных рабочих мест банковской АС и классификацию вариантов его модификации в виде функциональных зон банковской АС.
3. Новый инструментально-технологический комплекс и методику его использования при использовании модели и метода зонального клонирования защищенных рабочих мест банковских АС.
Теоретическая значимость разработанных модели, метода и средств их поддержки заключена в обеспечении планового процесса модификации, наращивания функций банковского ПО АС при сохранении необходимого уровня защищенности и безопасности банковских АС. Использование модели и метода зонального клонирования позволяет организовать технологию гарантированной поддержки защищенности банковских АС в условиях практически постоянного изменения функций и мощности банковских АС.
Практическая ценность модели и метода зонального клонирования банковских АС заключается в обеспечении постоянного текущего уровня защищенности и безопасности банковских АС в процессе их развития и модификации.
Материалы диссертации могут быть использованы при разработке методических материалов для служб информационных технологий и безопасности банков и финансовых структур, а также в учебном процессе вузов соответствующего профиля.
Публикации. По материалам диссертации опубликован четыре печатные работы.
Апробация работы. Основные положения и результаты диссертационной работы докладывались и обсуждались на XXXIII научной и учебно-методической конференции Санкт-Петербургского
Государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО), 1-й конференции молодых ученых СПб ГУ ИТМО, международной научно-практической конференции «Актуальные проблемы безопасности информационного пространства» 2003 г., 2-й международной научно-практической конференции «Актуальные проблемы безопасности информационного пространства» 2004 г., 3-ей международном научно-практической конференции «Информационная безопасность. Региональные аспекты.» - Дагомыс, 2004 г. Научные положения диссертации, выносимые на защиту.
1. Новый метод построения функционально сложных защищенных банковских АС, обеспечивающий наращивать, и размножать функциональные рабочие места АС с гарантией сохранения уровня защищенности АС и сокращающий расходы на поддержку уровня защищенности и сроки модификации и реконструкции АС.
2. Новая модель зонального клонирования функциональных защищенных рабочих мест банковских АС , использующую в качестве
исходного элемента эталонный защищенный экземпляр функциональных рабочих мест банковской АС и классификацию вариантов его модификации в виде функциональных зон банковской АС. 3. Новый инструментально-технологический комплекс и методику его использования при использовании модели и метода зонального клонирования защищенных рабочих мест банковских АС.
Краткое изложение диссертации по главам
Для банковских автоматизированных систем, актуальным становится вопрос создания методологических инструментов позволяющих построить и эксплуатировать безопасную информационную сеть с наименьшими временными и материальными затратами. Успешное решение этого вопроса поможет изменить ситуацию с информационной безопасностью, в информационных сетях, в лучшую сторону.
«Метод построения безопасной информационной сети методом зонального клонирования экземпляров безопасного программного обеспечения», как раз является таким инструментом, с помощью которого возможно построить безопасную информационную сеть, причем сам метод позволяет расходовать ресурсы, выделенные на ее постройку с высокой эффективностью.
В основе метода лежит предположение, что в сети имеется более чем один объект (рабочее место, сервер), выполняющий схожие функции и удовлетворяющий одним и тем же требованиям безопасности. В таком случае, эти объекты объединяются в группу (зону клонирования) и им приписывается однажды разработанное безопасное программное обеспечение. Простая идея «сэкономить» на разработке средств защиты информации и программного обеспечения, на самом деле, при своем воплощении, затрагивает стратегические вопросы и требует политических решений.
В момент отнесения объекта сети к определенной группе, разработчик обращается за следующей информацией: список требований функциональности - к субъектно-объектной сети; список требований безопасности - к политике безопасности, что подразумевает под собой наличие таковых. Группировка по функциональности позволяет собрать в одну группу объекты, несущие схожие функции - рабочие места одного отдела, принт-серверы, файловые серверы, прочее. Выполнение определенных функций ведет к определенным (условно) угрозам: использование и активная работа в сети Интернет с большей вероятностью может привести к заражению вирусами, работа с системами банк-клиент более подвержена атаке хакеров и таких примеров достаточно много. Можно сказать, что наименее подвержен угрозам объект, не входящий в сеть, как внутреннюю, так и внешнюю, и с минимальными правами пользователя.
Группировка по признаку требований безопасности имеет под собой более сложную идею. Уровень безопасности объекта сети определяется степенью конфиденциальности обрабатываемой информации и угрозами к этой информации.
В первой главе рассматриваются основные проблемы поддержки защищенности и безопасности банковских АС. В литературе приводятся данные по исследованиям информационной безопасности банковских АС, которые показывают следующее распределение финансового ущерба и потери человеко-дней от нарушений системы информационной безопасности:
Более ухудшает ситуацию то, что доля незарегистрированных, неоцененных с точки зрения величины принесенного ущерба, или не точно оцененных нарушений велика, что позволяет предположить, что реальные цифры нарушений и убытков могут быть еще больше. В тех случаях, когда организация не оценивает размер издержек, связанных с нарушениями системы информационной безопасности, она также не может рассчитать, окупают ли себя ранее предпринятые меры защиты. Кроме того, существуют косвенные издержки, связанные с простоем и уменьшением производительности персонала, а также с совершенствованием системы информационной безопасности после конкретного нарушения (что обычно гораздо дороже, чем первоначальное создание системы).
Большинство респондентов не смогли дать определение таким операционным убыткам в коммерческих терминах: например, не смогли посчитать, какими могут быть потери вследствие упущенных благоприятных возможностей или в результате того, что тысяча сотрудников не имела доступа к информационным системам в течение четырех часов.
С момента публикации этого исследования прошло немногим более года, на протяжении которого не случилось ничего, что дало бы основания полагать, что риски вторжения в информационные сети компаний исчезли. При постоянно возрастающем объеме обмена информацией вряд ли стоит рассчитывать на столь счастливое разрешение вопроса. Наоборот, все очевидней, что как российские, так и иностранные компании должны быть готовы решать важные проблемы, связанные с защитой собственных информационных сетей.
Учитывая важность информационных систем в общей системе управления предприятием и ценность информации как одного из наиболее важных ресурсов и активов компании, учитывая возможные риски и уязвимость компаний, особенно больших, перед различными видами атак, подход, когда компания реагирует на события после того, как они происходят, представляется безответственным. Здесь важны упреждающие действия, и в первую очередь понимание того, что управление и координация системы обеспечения информационной безопасности - это задача, которую следует решать на уровне высшего руководства компании.
Во второй главе исходными положениями является уже существующая или разработанная стратегия безопасности организации, включающая различные направления защиты информации на предприятии и реализуемая программными, программно-аппаратными и инженерно-техническими методами. Также существует еще нереализованная спроектированная объектно-субъектная модель информационной системы, известна ее архитектура и взаимосвязь между ее компонентами. Задана политика безопасности обработки информации в рассматриваемой модели.
Алгоритм построения безопасной информационной сети методом зонального клонирования является многовариантным и состоит из 4 этапов.
В третьей главе приводятся примеры расчетов построения банковских АС и заданных уровней защищенности при использовании метода зонального клонирования.
В четвертой главе описаны инструментальные средства модели и метода зонального клонирования и технология их использования.
Каждому безопасному программному обеспечению, удовлетворяющему критериям качества, или допустимому решению, присваивается коэффициент соответствия и ранг по каждому из критериев.