Разработка методики интеллектуального противодействия информационному нападению в корпоративной ИВС
Информационная борьба как средство интеллектуального противодействия. Проблема создания и удержания защищенной среды информационного обмена в информационно-вычислительных сетях (ИВС). Анализ способов и методов информационной борьбы в корпоративной ИВС.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 30.06.2011 |
| Размер файла | 5,9 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
W2Tp - требуемое значение ресурсоемкости системы интеллектуального противодействия.
Выводы
1. В настоящее время информационный ресурс играет первостепенную роль в развитии общества. Усиление информационной зависимости различных предприятий, многообразие информационного оружия, способов его применения делают реальной возможность ведения в ИВС любой корпорации необъявленной информационной войны. Наряду с этим показано, что большинство существующих ИВС не приспособлены к ведению информационной борьбы с противником.
2. Анализ классификации информационного оружия и удаленных атак на сеть обмена информацией, которые являются наиболее вероятными при ведении информационных войн в сетях, позволил представить концептуальную модель информационной борьбы в ИВС.
3. Описан комплекс задач интеллектуального противодействия противнику в ИВС. Предложен подход к осуществлению интеллектуального противодействия, основанный на использовании объекта ИВС (ложного объекта атаки), имитирующего вид и/или функционирование объекта ИВС, выбранного противником для атаки (объекта атаки).
4. Поставлена задача на разработку адекватной динамической модели информационной борьбы в ИВС, способную к адаптации, самоорганизации и развитию с учетом особенностей и условий функционирования сети обмена информацией; а также на разработку эффективных методов защиты ИВС от НСД и методов противодействия злоумышленнику в ИВС, учитывающих эволюцию методов и средств НСД к информационным ресурсам.
2. Анализ способов и методов информационной борьбы в корпоративной ИВС
2.1 Формализация модели информационной борьбы в корпоративной ИВС
Стратегия действия противника sнар направлена на получение несанкционированного доступа (НСД) к защищаемой информации I в заданном временном интервале Лtзад с высокой вероятностью результата р1 при минимизации затрат Rн на такое получение и последующей манипуляцией добытой информацией (уничтожение, модификация, присвоение, распространение и т.п.).
Формально это выглядит следующим образом:
где Sнар - множество стратегий противника;
acsess - событие, заключающееся в успешном доступе противника к информации;
no acsess - событие, заключающееся в отказе доступа противника;
р1 - вероятность получения противником доступа к требемой информации I;
р2 - вероятность получения противником доступа к информации I', выдаваемой за I;
pз - вероятность неполучения противником доступа к информации;
Rн - числовое значение суммы приведенных затрат противника;
Fн - числовое значение суммы приведенных видов обнаружения действий противника;
R - множество всех учитываемых затрат противника;
ri - значение затрат вида i;
ai - весовой коэффициент, отражающий существенность i-гo вида затрат для противника;
F - множество всех учитываемых видов возможностей обнаружения действий противника;
fi F - i-й вид обнаружения действий противника, причем
Очевидно, что
p1 + p2 + p3 = 1 (2.1)
Для того, чтобы повысить вероятность р1 в Л tзад, затраты RH нарушителя растут, но он их стремится минимизировать. Поэтому они растут не прямо пропорционально росту р1, а подобно тому, как это представлено на рис.2.1.
Рисунок 2.1 - Зависимость затрат Rn от вероятности получения противником доступа к требуемой информации I;
Путем совершенствования средств и механизмов нападения нарушитель стремится изменить положение точки перегиба А, точнее - переместить ее вправо с тем, чтобы повысить значение р1max (максимально возможное значение р1 при ограничении на затраты max Rн = Rндоп).
Зависимость затрат Rн, от вероятности р2 приведена на рис.2.2.
Аналогично, как и в случае с р1, путем совершенствования средств и механизмов нападения нарушитель стремится изменить положение точки В, а именно - переместить ее влево с тем, чтобы снизить значение р2min (минимально возможное значение р2 при ограничении на затраты max Rн= Rндоп).
Рисунок 2.2 - Зависимость затрат Rn от вероятности получения противником доступа к информации I', выдаваемой за I
В современных системах защиты от НСД р2=0 изначально. Это облегчает нарушителю решение задачи максимизации р1, так как в этом случае
р1 + р2 = 1 (2.2)
Таким образом меняется смысловое значение, вкладываемое в р1. Если в случае (2.1) р1 - это вероятность осуществления НСД и того, что полученная в результате НСД информация подлинная, то в случае (2.2) это просто вероятность успешного осуществления НСД. То есть, если нарушителю удалось осуществить НСД, то он с вероятностью "1" может считать, что полученная информация подлинна. При этом нарушитель направляет все затраты RH <=Rндоп на преодоление средств защиты от НСД.
Вероятность р2 выступает в качестве резерва защиты. А значит именно в этом направлении необходимо совершенствование современных систем защиты информации (в нашем случае СИП), так как, зная, что р2 not = 0. противник, получив даже требуемую достоверную информацию I, вынужден будет прибегнуть к ее тщательной проверке, что также приведет к росту Rн.
Для построения и последующего анализа модели информационной борьбы необходимо воспользоваться методами теории игр, нечетких множеств или, что более перспективно - методами в рамках концепции искусственного интеллекта /53/.
2.2 Анализ цели и задач информационной борьбы в ИВС
Информационная борьба с противником в ИВС может быть эффективна лишь в том случае, если в ИВС будут реализованы три аспекта информационных действий [3, 5, 8]:
· обеспечение безопасности информации в ИВС;
· обнаружение несанкционированных действий в ИВС;
· информационное противодействие противнику в ИВС.
Анализ информационных действий позволяет сформулировать главную цель Ц1 информационной борьбы. На основе системного анализа, можно произвести декомпозицию цели Ц1 на подцели (рис.2.3). Такая декомпозиция позволит сформулировать основные задачи (комплексы задач) ИБ в ИВС.
Рисунок 2.3 - Декомпозиция целей информационной борьбы
Задачи, решаемые в ходе информационной борьбы в ИВС, являются, безусловно, взаимосвязанными. Однако, исходя из полученных подцелей и содержания каждой из этих задач, все задачи можно объединить в отдельные комплексы задач (КЗ), которые связаны с разработкой и применением средств и механизмов ИБ с противником в ИВС.
Построив дерево целей и задач ИБ, становится очевидным, что недостаточно создать в ИВС систему защиты информации (СЗИ) с традиционным набором функций по обеспечению безопасности. В ИВС должна функционировать, так называемая, система информационной борьбы (СИБ), решающая все задачи безопасности, обнаружения НСД и информационного противодействия противнику в ИВС.
На настоящий момент неисследованным остается комплекс задач интеллектуального противодействия (рис.2.4), что объясняет особое внимание к нему в данной работе.
Рисунок 2.4 - Дерево задач информационного противодействия в ИВС
Информационная борьба в любой ИВС не может быть эффективна ввиду отсутствия соответствующих методов подготовки и осуществления интеллектуального противодействия, учитывающих динамику информационной борьбы и цели функционирования ИВС.
Исходя из этого, сформулируем задачу информационного противодействия в виде математической модели.
2.3 Математическая формулировка задачи информационного противодействия
Пусть структура базовой ИВС, представленная в виде взвешенного неориентированного без петель графа G (N1, N2), где N1 - множество узлов (центров коммутации), N2 - множество ветвей связи.
Матрица пропускных способностей ветвей связи MNxN=||мij||, где мij пропускная способность связи между узлами i и j [17, 30].
В сети используется адаптивный алгоритм маршрутизации V. Требования к качеству обслуживания заданы: требуемым временем доставки информации tTP, допустимой вероятностью потерь пакетов PдопПП требуемой вероятностью своевременной доставки пакетов РСДТР Матрица интенсивностей потоков пакетов разных видов информации Л (k) [NxN] =||л (k) ij||. Элемент л (k) ij представляет собой поток пакетов x (k) ij от узла i к узлу j в дискретный момент времени (ф = [1,n)).
Матрица интенсивностей потоков пакетов типа Противник-Объект атаки (Пр-ОА) ЛПрОА (k) NxN = ||л (k) ПрОАij||. Элемент л ij (k) ПрОА является элементом матрицы ЛПрОАNxN и представляет собой поток пакетов типа Пр-ОА xij (k) ПрОА от узла i к узлу j в kф момент времени.
Множество М={1,. iM,. nM) множество типов стратегий противника, где nм число рассматриваемых типов стратегий противника.
Множество L={1,. iL,. nL} - множество реализуемых в ИВС типов стратегий ИП, где nL - число типов стратегий ИП.
Множество R={Rj} - множество спецификаций протоколов ИП в ИВС.
Результат работы системы контроля доступа в ИВС представлен кортежем спецификации НСД zi Z, где Z={zi} - множество возможных спецификаций НСД.
Процесс информационной борьбы в ИВС можно охарактеризовать временем бесконтрольного присутствия противника в ИВС ТБП. Бесконтрольность присутствия противника означает, что системе, отвечающей за информационную борьбу в ИВС (это может быть СЗИ, СИП), неизвестна стратегия действий противника или на действия противника не представляется возможным влиять в данный момент времени. С другой стороны, информационная борьба характеризуется нагрузкой на ИВС, связанной с действиями противника и описываемой матрицей интенсивностей потоков Противник-Объект атаки (Пр-ОА) - Л [NxN] (k) ПрОА
Допустим, что в течение некоторого времени функционирования ИВС Тфункц противник осуществляет непрерывные атаки на ИВС. При неудачной атаке противник использует другую стратегию или другие каналы реализации атаки.
Тогда время функционирования ИВС численно будет равно сумме времени бесконтрольного присутствия противника в ИВС ТБП и времени противодействия ТПРОТИВОД
Тфункц ИВС = ТБП + ТПРОТИВОД,
где ТПРОТИВОД - время противодействия (реагирования), когда стратегия противника известна с той или иной степенью детализации и осуществляются выбранные виды реагирования.
Задача информационной борьбы состоит в том, чтобы уменьшить время бесконтрольного присутствия противника в ИВС ТБП.
Временная диаграмма организации интеллектуального противодействия противнику в ИВС показана на рис.2.5.
Время противодействия определяется следующим образом: в случае простого реагирования - временем задержки в работе средств контроля доступа ТЗАДЕРЖ; в случае интеллектуального противодействия - временем удержания противника на ложном объекте атаки (временем осуществления ИП ТИП).
В силу того, что в большинстве случаев ТИП>>ТЗАДЕРЖ в дальнейшем мы будем в качестве противодействия рассматривать именно ИП и полагать, что
ТПРОТИВОД. =ТИП
Время бесконтрольного присутствия противника в ИВС выразим следующей формулой:
Тбп = Тобнар. + Тподг. ип,
где ТОБНАР. - время обнаружения действий противника;
Тподг. ип - время подготовки интеллектуального противодействия.
Рисунок 2.5 - Временная диаграмма этапов подготовки и осуществления интеллектуального противодействия
В свою очередь, время обнаружения действий противника запишется в виде:
Тобнар. = tОБН. - tДПр,
где tДПр - момент времени начала действий противника в ИВС;
tОБН. - момент времени обнаружения системой контроля доступа НСД в ИВС.
Тогда
Тфункц ИВС = ТОБНАР + ТПОДГ. ИП + ТИП,
Задача ИБ состоит в том, чтобы минимизировать ТБП, то есть при Тфункц. ИВС = const минимизировать значения ТОБНАР и ТПОДГ ИП и максимизировать значение ТПРОТИВОД = ТИП. При этом, как отмечалось выше, долговременное реагирование может быть реализовано за счет ИП, осуществляемого на базе подставляемого (ложного) объекта атаки. При этом решается задача максимизации значения Тип - время интеллектуального противодействия.
Решение задачи минимизации значения ТОБНАР сводится к задаче совершенствования систем контроля доступа в ИВС и в данной работе не рассматривается.
Решение задачи максимизации времени интеллектуального противодействия Тип осуществляется каждый раз при реализации программы интеллектуального противодействия (ПИП), может иметь разные решения при одном и том же типе стратегии противника и одной и той же программе противодействия. Поэтому в данной работе эффективность интеллектуального противодействия оценивается через частные показатели эффективности подготовки противодействия противнику в ИВС.
В качестве одного из показателей эффективности в работе рассматривается время подготовки интеллектуального противодействия - Тподг ип.
Задачей интеллектуального противодействия является также снижение нагрузки на базовую сеть ИВС, связанной с действиями противника в ходе информационной борьбы и описываемой матрицей ЛПрОА, а также, учитывая то, что в нашей ИВС мы используем алгоритм адаптивной маршрутизации V, в качестве второго показателя эффективности интеллектуального противодействия выбрана сумма коэффициентов недоиспользования пропускной способности ИВС - D, которая определяется следующим образом:
D
где лijУ - суммарная интенсивность пакетов в ветви (i, j);
К - коэффициент, учитывающий степень готовности ветви (i, j) и вероятность воздействия противника на линию связи неинформационным путем.
Подготовка интеллектуального противодействия включает в себя три основные этапа:
1. выбор вида ИП (выбор типа стратегии ИП);
2. перераспределение нагрузки на ИВС (на этом этапе осуществляется выбор зон противодействия);
3. построение программы ИП.
Тогда время подготовки интеллектуального противодействия запишем следующим образом:
ТПОДГ. ИП = ТВЫБОР + ТD + ТПИП,
где Tвыбор - время выбора вида ИП;
TD - время решения задачи перераспределения нагрузки;
ТПИП - время построения программы интеллектуального противодействия.
Так как ТD << ТВЫБОР и ТD<<ТПИП, то примем допущение, что показатели эффективности интеллектуального противодействия Тподг. ип и D являются независимыми.
Исходя из сделанных допущений и выбранных показателей эффективности интеллектуального противодействия в ИВС, задача состоит в следующем: необходимо разработать методику, повышающую оперативность подготовки ИП в ИВС
ТПОДГ. ИП
и осуществляющую перераспределение нагрузки ЛПрОА на ИВС исходя из следующего критерия оптимальности
D
при ограничениях
где
fi - функция, определяемая способом подготовки ИП;
Zc Z - спецификация НСД;
rc - спецификация протокола ИП;
iL - тип выбранной стратегии ИП;
FD j функция, определяемая способом перераспределения нагрузки на ИВС.
2.4 Анализ традиционных моделей обеспечения безопасности
В моделях разграничения доступа, построенных по принципу предоставления прав доступа может быть описано как "билет", в том смысле, что владение "билетом" разрешает доступ к некоторому объекту, описанному в "билете" [12, 19].
Основными типами моделей, построенных на предоставлении прав, являются модели дискреционного и мандатного доступа, которые используются в большинстве реальных систем, синтезированных в настоящее время.
В основе моделей дискреционного доступа лежит представление системы защиты информации в виде некоторого декартова произведения множеств, составными частями которых являются соответствующие составные части системы защиты информации, например: субъекты, объекты, уровни доступа, операции. В качестве математического аппарата используется аппарат теории множеств.
К достоинствам моделей дискретного доступа можно отнести относительно простую реализацию. В качестве примера реализаций данного типа моделей можно привести так называемую матрицу доступа, строки которой соответствуют субъектам системы, столбцы - объектам, а элементы матрицы характеризуют права доступа.
К недостаткам относится "статичности" этих моделей. Это означает, что модель не учитывает динамику изменений состояний компьютерной системы и ИВС, не накладывает ограничений на состояния системы.
В отличие от дискретного доступа, который позволяет передавать права от одного пользователя другому без всяких ограничений, мандатный доступ накладывает ограничения на передачу прав доступа от одного пользователя другому. Это позволяет разрешить проблему троянских коней.
Классической моделью, лежащей в основе построения многих систем мандатного доступа и породившей большинство моделей этой группы, является модель Белла-Лападула.
Модель Белла-Лападула (БЛМ) до сих пор оказывает огромное влияние на исследования и разработки в области компьютерной безопасности.
Первое правило БЛМ, известное как правило "нет чтения вверх" (NRU), гласит: субъект с уровнем безопасности х, может читать информацию из объекта с уровнем безопасности х0, только если хs преобладает над х0. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа "секретный" попытается прочитать информацию из объекта, классифицированного как "совершенно секретный", то такой доступ не будет разрешен.
Второе правило БЛМ, известное как правило "нет записи вниз" (NDR), гласит, что субъект безопасности xs может писать информацию в объект с уровнем безопасности х0 только если х0 преобладает над хs. Это означает, что если в системе, удовлетворяющей правилам модели БЛМ субъект с уровнем доступа "совершенно секретный" попытается записать информацию в неклассифицированный объект, то такой доступ не будет разрешен.
Правила запрета по записи и чтению БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным источникам.
Из недостатков БЛМ можно отметить то, что:
на практике удаленное чтение в распределенных системах может произойти, только, если ему предшествует операция записи "вниз", что является нарушением правил БЛМ;
невозможно применить БЛМ для доверенных субъектов, которые могут функционировать в интересах администратора или представлять собой процессы, обеспечивающие критические службы, такие как драйвер устройства или подсистема управления памятью.
проблема так называемой системы Z, подробно описанная в работе /И/.
Отсутствие в модели БЛМ поддержки многоуровневых объектов (например, наличие несекретного параграфа в секретном файле данных).
Таким образом, недостатки БЛМ, являющиеся логическим следствием ее простоты, свидетельствуют о высокой степени абстрактности этой модели и неприменимости ее в ИВС для организации информационной борьбы.
С целью устранения ряда недостатков БЛМ при проектировании системы передачи военных сообщений Лендвером и МакЛином была разработана модель MMS /21/.
Неформальная модель MMS выглядит следующим образом [31]. Пользователь получает доступ к системе только после прохождения процедуры login. Для этого пользователь предоставляет системе Пользовательский идентификатор, и система производит аутентификацию, используя пароли, отпечатки пальцев или другую адекватную технику. После успешного прохождения аутентификации Пользователь запрашивает у системы Операции для исполнения функций системы. Операции, которые Пользователь может запросить у системы, зависят от его ID или Роли, для которой он авторизован: с использованием операций пользователь может просматривать или модифицировать объекты или контейнеры.
Но модель MMS остается труднореализуемой на практике, статичной, и в значительной степени перегруженной абстрактным формализмом.
Также существуют вероятностные модели защиты информации, которые исследуют вероятность преодоления систем защиты за определенное время Т. К достоинствам моделей данного можно отнести числовую оценку стойкости системы защиты. К недостаткам - изначальное допущение того, что система защиты может быть вскрыта. Задача модели - минимизация вероятности преодоления систем защиты [11, 13, 33].
Наиболее известными моделями, построенными на основе теории вероятностей, являются так называемая игровая модель и модель системы безопасности с полным перекрытием.
Игровая модель системы защиты строится по следующему принципу. Разработчик создает первоначальный вариант системы защиты. После этого злоумышленник начинает его преодолевать. Если к моменту времени T, в который злоумышленник преодолел систему защиты, у разработчика нет нового варианта, система защиты преодолена. Если нет - процесс продолжается. Данная модель описывает процесс эволюции системы защиты в течение времени.
Система, синтезированная на основании модели безопасности с полным перекрытием, должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему [5, 12].
В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе. Считается, что несанкционированный доступ к каждому из наиболее защищаемых объектов О сопряжен с некоторой "величиной" ущерба для своего владельца, и этот ущерб может (или не может) быть определен количественно.
Основное преимущество данного типа моделей состоит в возможности получения численной оценки степени надежности системы защиты информации.
Очевидным недостатком данного типа моделей является ее идеализированность, которая состоит в том, что считается заранее известным полный список угроз. Из этого недостатка вытекает второй, который заключается в запаздывании введения в системы защиты информации новых средств обеспечения безопасности при выявлении новых путей проникновения в систему.
К моделям, построенным на основе теории информации Шеннона, относятся модели невмешательства и невыводимости. Теория данных моделей бурно развивается в настоящее время. Эти модели хорошо описаны в [17], частично устраняют недостатки рассмотренных нами ранее моделей, в частности БЛМ, но сами в свою очередь не лишены их.
Несмотря на обилие предлагаемых теоретических моделей безопасности, большинство из них оперируют достаточно абстрактными понятиями, способны моделировать системы защиты информации небольшой размерности, сложностью адаптации к изменяющейся обстановке в ИВС сравнима со сложностью их первоначальной разработки.
Совершенствование моделей систем защиты информации, их адаптация, повышение адекватности моделируемым системам носят во многом субъективный характер (непременным условием является участие человека).
Кроме того, в этих моделях заранее жестко определены направления защиты информации на основе анализа известных угроз, а также множества средств, операций и механизмов защиты информации в компьютерной системе и ИВС.
Одним словом, в моделировании системы защиты информации ярко выражена тенденция к формализму и определенному отрыву от практики. Поэтому на практике системы защиты строятся чаще всего интуитивно, а не на основе анализа соответствующих моделей [26]. Это зачастую приводит к избыточности средств защиты на одном направлении и провалу на другом. Возникает проблема бесконечного "латания дыр" в системе защиты информации.
Стоит также отметить, что в условиях угрозы информационной войны недостаточным является создание пассивных систем защиты компьютерных систем и ИВС; понятие системы защиты информации должно трансформироваться в понятие систем интеллектуального противодействия и именно их необходимо создавать. Системы интеллектуального противодействия должны включать в себя элементы защиты и интеллектуального противодействия вплоть до активного подавления ПЭВМ-нарушителя. Интеллектуальное противодействие особенно актуально для сетей обмена информацией государственных учреждений и силовых министерств.
Модели подобных систем информационной борьбы должны быть такими, чтобы их можно было внедрить в компьютерные системы с возможностью гибкого управления безопасностью в конкретных условиях функционирования.
В таком случае необходимо прибегнуть к новым нетрадиционным подходам в моделировании процессов обеспечения безопасности информации. Один из возможных подходов - это концепция "искусственной жизни", представляющая собой так называемую четвертую волну искусственного интеллекта.
2.5 Современный подход к созданию систем зашиты информации
Проникновения в корпоративную сеть извне и изнутри организации становятся, увы, привычным явлением и нередко способны привести к значительным финансовым потерям [5].
Растущий уровень сложности сетевых архитектур, повышение степени открытости сетей и все более тесная их привязка к Internet заставляют компании пересматривать свое отношение к обеспечению безопасности собственных сетей. Для предохранения от внешних атак в корпоративных сетях развертываются разнообразные защитные структуры. Самыми популярными среди них являются брандмауэры - системы, реализуемые, как правило, на программном уровне и формирующие барьер между Internet и внутренней сетью предприятия в точке их соединения.
Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор обеспечения безопасности доступа в Вашу сеть имеет критическое значение. Наиболее эффективный способ защиты при связи с Internet предполагает размещение системы FireWall между локальной сетью и Internet. FireWall обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности данной организации.
Для того, чтобы эффективно обеспечивать безопасность сети, FireWall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений в интересах TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), FireWall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.
Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).
FireWall позволяет распределить вычислительную нагрузку на любое число серверов. Рисунок 2.6 показывает конфигурацию, в которой сервисы FTP и HTTP обслуживаются несколькими серверами. Все HTTP серверы способны дать клиенту одинаковые сервисы (однако, не все HTTP серверы позади защищенного моста). Таким же образом, все FTP серверы обеспечивают клиентов одинаковым сервисом.
Рисунок 2.6 - Распределение нагрузки по нескольким серверам
Системному администратору важно, чтобы загрузка по обслуживанию была распределена между серверами. Клиент не будет подозревать о наличии нескольких разных серверов. С точки зрения клиента, есть только один HTTP и один FTP сервер. Когда запрос на обслуживание достигает FireWall, он определяет, какой из серверов будет обслуживать данный запрос, основываясь на алгоритме балансирования загрузки, заданном системным администратором.
Эти продукты образуют переднюю линию обороны и обычно являются первой системой, сопротивление которой пытается преодолеть противник. К сожалению, настройка брандмауэра - задача не из легких даже для опытных специалистов: в конфигурацию необходимо включить множество разнородных списков управления доступом, причем малейшая ошибка может обернуться зияющей брешью в защите. (Это касается, кстати, не только брандмауэров, ведь малейшей неточности в конфигурации маршрутизатора, сервера или коммутатора нередко бывает достаточно для возникновения лазейки.) К тому же брандмауэрные конфигурации необходимо регулярно обновлять, например, чтобы открыть доступ к новым сетевым службам или реализовать новые правила обеспечения безопасности, необходимость в которых возникла после структурной реорганизации.
Механизмы защиты часто интегрируются в операционные системы: это могут быть, например, алгоритмы аутентификации пользователей на базе паролей, средства шифрования, схемы многоуровневого управления доступом к данным. Однако, и такая зашита оказывается уязвимой. Операционные системы довольно трудно настраивать с точки зрения обеспечения защиты. Кроме того, программное обновление версии ОС может привести к появлению слабых мест, неизвестных администратору. Управление доступом на уровне ОС не всегда удается отобразить непосредственно на сетевой уровень, поэтому защитные функции системных средств управления доступом могут оказаться неэффективными в случае атаки на сеть.
Итак, традиционные службы сетевой защиты не всегда справляются с возложенными на них обязанностями; разрыв между политикой организации в области информационной безопасности и реальной практикой функционирования средств защиты становится все шире. В целях устранения этого несоответствия стали создаваться специальные системы, предназначенные для обнаружения попыток несанкционированного доступа в сеть извне и изнутри нее. Подобная система устанавливается на компьютерах, размещенных в стратегически важных контрольных точках сети, например у канала маршрутизатора, ведущего в Internet, или перед локальной сетью, содержащей ключевые корпоративные данные. Система ведет непрерывный мониторинг работы сети и анализирует такие параметры, как характеристики сетевого трафика, показатели использования центрального процессора и подсистемы ввода/вывода, динамика файловых операций, стремясь найти в этих параметрах признаки нарушения средств защиты. Попытки атак выявляются максимально оперативно; обнаружив нарушение, программа автоматически выполняет заранее предусмотренные действия, например, ставит в известность об этом факте (по электронной почте или пейджеру) специалистов службы зашиты и сетевых администраторов. Кроме того, подозрительные операции могут регистрироваться в контрольном журнале. Некоторым системам даже удается разорвать TCP-соединение, установленное противником, и заменить его соединением администратора, который сможет выяснить, чем занимался хакер, и предпринять надлежащие меры. К сожалению, в таких системах отсутствует возможность работы с нарушителем в реальном времени посредством ложного объекта атаки.
Для отслеживания попыток взлома системы зашиты, средства обнаружения сетевых атак используют различные методы, которые можно разбить на три группы:
1. алгоритмы выявления статистических аномалий;
2. алгоритмы обнаружения с использованием базы правил;
3. комбинированные алгоритмы [10, 28].
Средства обнаружения статистических аномалий выявляют нарушения системы зашиты путем анализа журналов мониторинга, отыскивая в них следы поведения пользователя и системы, которое отклоняется от некоторого шаблона. Предполагается, что подобное поведение должно указывать на несанкционированный доступ.
Основное достоинство метода выявления статистических аномалий заключается в том, что в данном случае для эффективного отражения атак не обязательно заранее знать о возможных дефектах службы защиты сети. Кроме того, соответствующее программное обеспечение обладает достаточной адаптивностью, т.е. способно воспринимать новые модели поведения пользователей и операционной среды.
Однако скрупулезная обработка данных мониторинга чрезмерно загружает системные ресурсы и потому отрицательно сказывается на общесистемной производительности. Кроме того, неаккуратное или не доведенное до конца составление профилей чревато ложными тревогами. Сами профили нуждаются в сопровождении; их следует периодически обновлять в соответствии с изменениями моделей поведения. Поэтому применение профилей оказывается не столь эффективным в динамических средах, например, там, где сотрудники работают по свободному графику или часто перераспределяют ресурсы между проектами.
Большую часть известных сегодня типов сетевых атак можно охарактеризовать некоей последовательностью событий. В системах обнаружения, основанных на своде правил, используются составленные в организации модели изменений системного состояния высокого уровня (событий мониторинга), которые имеют место во время атак, Такие модели образуют базы правил.
Системы обнаружения, опирающиеся на базу правил, работают аналогично антивирусным программам: они осуществляют мониторинг системных журналов и ресурсов в поисках модели, соответствующей какому-либо из известных профилей атаки. Имеющуюся базу правил необходимо постоянно обновлять, включая в нее впервые обнаруживаемые методы атаки. Поскольку подобные системы отслеживают только уже известные образцы атак, они почти не выдают ложных тревог. Однако здесь кроется и очевидный недостаток: эти продукты практически не могут распознавать новые методы нарушения служб защиты, которые бывают вполне "по зубам" приложениям, основанным на обнаружении статистических аномалий.
Некоторые фирмы предлагают продукты смешанного типа, пытаясь совместить в них достоинства систем двух описанных категорий и при этом избавиться от присущих им недостатков. Так, в гибридных системах с помощью базы правил можно выявлять известные варианты атак, а с помощью алгоритма статистических аномалий - атаки новых видов. Примером подобной системы может служить продукт Computer Misuse Detection System (CMDS) корпорации Science Application International Corporation (SAIC) [32].
Система реального времени RealSecure [33], разработанная компанией Internet Security Systems, основана на распределенной сетевой архитектуре и способна защитить корпоративные сети с самой сложной топологией. Данный продукт охватывает средствами безопасности всю организацию, предусматривая установку агентов-мониторов в наиболее критичных точках - в локальных сетях, между подсетями и даже в Удаленных сетях, связанных через Internet. В основу системы положена технология интеллектуальных программных агентов. Агенты анализируют проходящие по сети пакеты данных и ищут в них признаки внешней или внутренней атаки известных образцов, сверяясь с имеющейся базой данных. Обнаружив такие признаки, система реагирует одним из заранее выбранных способов.
Система RealSecure способна решать многие проблемы, стоящие перед защитными системами быстрого реагирования. Она может служить "второй линией обороны" сети, расположенной за брандмауэрами и выявляющей запрещенные действия, которые становятся возможными из-за неправильной конфигурации брандмауэров, маршрутизаторов или иных устройств, Даже всплеск активности системы обнаружения станет индикатором сбоя брандмауэра, нарушения конфигурации или угрозы нападения. Развернутая в масштабах корпоративной сетевой среды, система RealSecure просматривает весь трафик, а не только проходящий сквозь брандмауэр; это позволяет бороться с атаками, инициируемыми изнутри сети, и иными нарушениями внутренних правил безопасности - обращениями к файлам паролей на компьютерах других сотрудников, несанкционированным чтением защищенной информации общего пользования и т.п. RealSecure способна декодировать многие сетевые протоколы и предоставляет пользователям возможность определять свои собственные события для любого соединения, чтобы выявлять даже те нарушения установленных правил, которые не относятся непосредственно к сфере зашиты данных (например, правил, ограничивающих число Web-сеансов в течение дня или резервирующих ресурсы для проведения видеоконференции с участием руководства компании).
Другой системой защиты этого же класса является система CMDS [29]. Система выявления нарушений прав доступа к компьютерам (Computer Misuse Detection System, CMDS), предложенная корпорацией SAIC, предназначена для отслеживания случаев неадекватного использования компьютеров. Она ведет обработку неоднородных данных мониторинга поступающих из различных точек операционной среды, генерирует предупреждения (практически в режиме реального времени) и составляет графические отчеты.
Данный продукт способен вести мониторинг брандмауэров, ядра UNIX, СУБД и любых приложений, способных формировать контрольные данные. Программные компоненты CMDS защищают брандмауэры от взломщиков с внешней стороны, а также выявляют случаи несанкционированной отправки ваших конфиденциальных данных в Internet. При разработке системы особое внимание было уделено возможностям переориентации на новые источники контрольных данных, имеющих различные форматы и настройки конфигурации в соответствии с требованиями конкретной среды. В настоящее время сервер CMDS поддерживает такие платформы, как Sun С2, BSM, Solaris, Trusted Solans, HP/UX, InterLock FireWall, Raptor FireWall, Windows NT, Data General DG/UX и др. Система допускает гибкое масштабирование: она может охватить своим контролем свыше тысячи компьютеров.
Распознавание моделей атак в CMDS основано на экспертной системе-оболочке CLIPS с прямым логическим выводом, разработанной в американском Национальном управлении по аэронавтике и исследованию космического пространства (NASA). База правил CLIPS также подразделяется на ядро и нестандартную часть. В ядро занесены общеизвестные атаки, которым могут подвергнуться любые среды (они классифицируются по нескольким основным категориям - вирусы, "черви", "троянские кони", преодоление парольной защиты и др.). Нестандартная часть базы правил настраивается на последнем этапе выпуска продукта или оператором CMDS в процессе его эксплуатации в рамках общей настройки системы.
2.6 Интеллектуальное противодействие противнику в ИВС
К ответным действиям СЗИ по отношению к противнику в ИВС относятся: простое реагирование и интеллектуальное противодействие.
Интеллектуальному противодействию в ИВС можно поставить в соответствие сознательные действия человека по управлению средой, исключающие или значительно снижающие проявления ее неблагоприятных факторов [2, 8,18].
Комплекс задач интеллектуального противодействия в ИВС является определяющим в общем успехе информационной борьбы с противником.
2.6.1 Определение и задачи интеллектуального противодействия в сети обмена информацией
Под реагированием на несанкционированные действия в ИВС будем понимать реакцию СЗИ, которая может включать в себя следующие действия:
· сигнализацию о НСД;
· блокировку (отключение терминала, группы терминалов, элементов ИВС и т.п.);
· отказ в запросе.
Реагирование на НСД может осуществляться как автоматически, так и с участием должностного лица, ответственного за информационную безопасность.
Под несанкционированными действиями в ИВС будем понимать информационное воздействие на ИР, персонал, информационные системы ИВС, элементы ИВС и ИВС в целом, а также подготовку этого воздействия.
Информационная система - это организационно-упорядоченная совокупность данных и информационных технологий, в том числе с использованием средств вычислительной техники и ИВС, реализующих информационные процессы [2].
Информационные технологии - это совокупность методов, способов, приемов, средств обработки информации и регламентированного порядка их применения, направленные на удовлетворение информационных потребностей.
Под интеллектуальным противодействием (ИП) следует понимать комплекс решаемых в ИВС задач по реагированию на несанкционированные действия на основе оперативного анализа стратегии противника и применяемого им информационного оружия, технических возможностей ИВС, текущих задач информационной борьбы и управления корпорацией, в том числе, и с использованием средств искусственного интеллекта.
Интеллектуальное противодействие подчинено следующим целям информационной борьбы в ИВС:
· снижение времени бесконтрольного присутствия противника в ИВС;
· дезинформация противника;
· дезорганизация действий противника по осуществлению информационных атак в ИВС;
· снижение нецелевую нагрузки на ИВС;
· воздействие на ресурсы противника.
В качестве основного подхода ИП в данной работе используется понятие подставляемого противнику (ложного) объекта атаки, имитирующего процесс или результат работы объекта атаки, выбранного противником.
Под бесконтрольностью присутствия противника в ИВС понимается то, что в определенный момент времени СЗИ неизвестна стратегия действий противника или на действия противника не представляется возможным повлиять.
Дезинформацию противника в ИВС представляет собой санкционированное распространение не соответствующей действительное информации о планах, способах действий и намерениях руководства корпорации.
Дезорганизация действий противника в ИВС - это действия, направленные на дезориентацию противника относительно реального расположения интересующего его объекта атаки (ИР, информационной системы, элемента ИВС), а также действия по рассогласованию технологически взаимосвязанных СИВ, применяемых противником в ИВС.
Снижение нецелевой нагрузки на ИВС подразумевает перераспределение потоков пакетов в ИВС, связанных с информационной войной, и снижение их интенсивностей таким образом, чтобы минимизировать показатель, характеризующий нагрузку в ИВС.
Под нагрузкой в ИВС традиционно понимают интенсивность пакетов информации всех видов и назначения.
Воздействие на ресурсы противника предполагает поглощение этих ресурсов и неэффективное использование их противником.
Ресурсы противника, на которые можно воздействовать в ходе информационной борьбы, следующие:
· время, затрачиваемое противником для достижения цели информационного нападения;
· ресурсы вычислительных средств, затрачиваемые противником в ходе информационной атаки и в процессе верификации полученной информации от атакованного объекта;
· людские ресурсы, затрачиваемые в ходе информационной борьбы;
· морально-психологическая устойчивость лиц, участвующих в информационной борьбе на стороне противника;
· информационные ресурсы противника, формируемые в результате информационных атак на ИВС;
· информационное оружие противника и способы его применения;
· материальные и финансовые затраты противника на ведение информационной войны.
С помощью этого подхода можно достичь целей информационной борьбы, соответствующих комплексу задач интеллектуального противодействия. Основные задачи ИП следующие:
1. Классификация НСД в ИВС, которая включает в себя:
· классификацию объекта НСД;
· классификацию субъекта НСД;
· классификацию используемого информационного оружия.
2. Выбор вида ИП, который заключается в предварительном выборе типа стратегии противодействия на основе проведенной классификации НСД.
3. Выбор зоны интеллектуального противодействия, который включает в себя:
· перераспределение нагрузки на ИВС, вызванной информационной
войной;
· оптимизацию размещения в ИВС узлов интеллектуального противодействия (центров безопасности).
4. Осуществление интеллектуального противодействия, включающее:
· построение программы ИП, имитирующей функционирование ОА;
· собственно реализация ИП.
2.6.2 Особенности построения и использования ложного объекта атаки при интеллектуальном противодействии
Согласно концептуальной модели информационной борьбы в ИВС противник (субъект атаки) осуществляет информационное воздействие (атаку) на объект атаки посредством тех или иных каналов реализации угроз. СЗИ ИВС призвана обеспечить информационную безопасность объекта атаки. При этом заранее неизвестно, какую стратегию выберет противник, и какую стратегию он выберет в случае неуспешного завершения предыдущей атаки.
Эта неопределенность приводит к увеличению времени бесконтрольных действий противника в ИВС. Поэтому СЗИ должна "дорожить" тем, что удалось зафиксировать НСД и распознать стратегию противника, и не разглашать факт своей осведомленности противнику. Но в то же время должна обеспечиваться информационная безопасность объекта атаки. Это противоречие можно разрешить путем введения в ИВС ложного объекта атаки (ЛОА). Под ложным объектом атаки будем понимать подставляемый противнику объект или элемент ИВС, имитирующий процесс или результат работы объекта атаки, выбранного противником. Ложный ОА предназначен для использования в процессе интеллектуального противодействия и способствует достижению целей информационной борьбы в ИВС. По сути, ЛОА представляет собой проекцию ОА на плоскости его взаимодействия с участниками информационной войны в ИВС (противника и субъекта информационной борьбы ИВС).
Принципы построения ЛОА следующие:
· визуальное подобие объекту атаки, включая интерфейс взаимодействия с пользователями (а, соответственно, и с противником) и форматы данных ввода-вывода;
· развитый интерфейс с субъектом информационной борьбы (администратором сети или оператором системы безопасности);
· управляемость ЛОА со стороны субъекта информационной борьбы;
· модульность построения ЛОА, обеспечивающая возможность его наращивания и оперативной реконфигурации.
В общем случае ЛОА состоит из следующих модулей:
· модуль взаимодействия с противником;
· основной модуль, отвечающий за преобразование данных и композицию всех других модулей ЛОА;
· модуль взаимодействия с субъектом информационной борьбы;
· модуль взаимодействия с центром безопасности ИВС.
Функционирует ЛОА на основе корректно построенного протокола интеллектуального противодействия, привлекая, когда необходимо, субъекта информационной борьбы для решения нетривиальных ситуаций взаимодействия с противником. Программную реализацию ЛОА будем называть программой интеллектуального противодействия (ПИП).
Выводы
1. В целях широкого использования опыта субъектов информационной борьбы методика построения ПИП должна максимально обеспечивать настройку ПИП на конкретного ее пользователя (администратора сети или службу безопасности). При этом в качестве подставляемого объекта можно рассматривать и подлинный объект атаки, функционирующий в специальном режиме интеллектуального противодействия. Предпочтительно, чтобы работа ОА в этом режиме осуществлялась параллельно с использованием этого объекта при решении целевых задач управления бизнес-процессами.
2. Решение задачи адаптации, а также сохранение бесценного опыта экспертов информационной борьбы можно обеспечить именно компонентным способом построения ПИП. ПИП может функционировать и в автоматическом режиме. В этом случае при возникновении сложных ситуаций необходимо прибегнуть к традиционным методам простого реагирования, чтобы не демаскировать факт использования ЛОА и не допустить нарушение безопасности информации в ИВС. В ходе интеллектуального противодействия с использованием ЛОА может быть окончательно локализовано место подключения противника, уточнена его стратегия и, в некоторых случаях, стратегические цели противника, решаемые, в том числе, и с использованием результатов информационных действий в ИВС. В случае незначительности НСД и неэффективности интеллектуального противодействия осуществляется возврат управления ПИП механизмам простого реагирования.
3. В качестве ЛОА могут использоваться проекции баз данных, программного обеспечения информационных систем различного назначения, информационных серверов, объектов инфраструктуры сети и телеслужб ИВС, автоматизированных рабочих мест операторов.
Подобные документы
- Процесс разработки и создания корпоративной информационной сети на базе Филиала АО "Корпорация KUAT"
Физическая среда передачи данных в локальных сетях. Корпоративная информационная сеть. Телекоммуникационное оборудование и компьютеры предприятия. Разработка корпоративной информационной сети на основе анализа современных информационных технологий.
дипломная работа [3,9 M], добавлен 07.06.2015 Организационно-управленческая структура ЗАО "Карачаево-ЧеркесскГаз". Назначение и цели создания корпоративной сети. Организация доступа к мировым информационным сетям. Обеспечение информационной безопасности. Разработка проекта аппаратной части сети.
дипломная работа [1,2 M], добавлен 24.06.2011Анализ системы распределенных локальных сетей и информационного обмена между ними через Интернет. Отличительные черты корпоративной сети, определение проблем информационной безопасности в Интернете. Технология построения виртуальной защищенной сети – VPN.
курсовая работа [3,7 M], добавлен 02.07.2011Разработка структуры корпоративной информационной системы (иерархия взаимодействия отдельных элементов на программном и аппаратном уровнях). Выбор компьютерного оборудования (клиентские станции, серверы), системного и прикладного программного обеспечения.
курсовая работа [1,8 M], добавлен 13.02.2016Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Понятие и цели социального инжиниринга, способы противодействия ему. Техники и виды атак. Выявление уязвимостей и оценка рисков в организациях. Создание тренировочной и образовательной программы. Структура и содержание методики обучения персонала.
дипломная работа [918,6 K], добавлен 20.06.2013Проблема автоматизации нахождения ошибок подключения к корпоративной сети клиентских рабочих мест в ОАО "Сбербанк России". Требования к структуре и функционированию системы. Описание информационной модели. Выбор программного обеспечения для реализации.
дипломная работа [3,6 M], добавлен 25.07.2015Построение корпоративной информационной системы Cлавянского кирпичного завода. Разработка структуры системы информационного обеспечения управления предприятием, единого стандарта электронного документооборота. Интеграция локально-вычислительных сетей.
контрольная работа [1,6 M], добавлен 24.07.2009Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Подбор и описание компонентов, обеспечивающих защиту информации, активов компании, для дальнейшего построения на их основании надежной и защищенной корпоративной сети на примере сети "JDSONS". Аудит и контроль изменений конфигурации информационных систем.
курсовая работа [49,6 K], добавлен 11.09.2012
