WWW.KONFERENCIYA.SELUK.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Конференции, лекции

 

Pages:     | 1 | 2 || 4 | 5 |

«IV ЕЖЕГОДНАЯ КОНФЕРЕНЦИЯ Построение стратегического общества через образование и науку ВЛИЯНИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА НАЦИОНАЛЬНУЮ БЕЗОПАСНОСТЬ Москва 25-27 июня 2001 г. 1 ...»

-- [ Страница 3 ] --

Применение мер физического управления доступом в рамках сети большой организации сложно реализуемо. Тем не менее, применение таких регуляторов к ряду ключевых узлов является необходимой мерой. Заблаговременная проработка вопросов реакции на нарушения режима информационной безопасности сети – в значительной степени связана с решением задач резервного копирования и восстановления сетевых ресурсов после сбоя.

Поддержание работоспособности и восстановление системы после сбоев остается узким местом даже для крупных российских ISP по причине отсутствия четкости в организации взаимодействия с канальными операторами, неукомплектованности штатным персоналом, отсутствия среднего звена специалистов надлежащей квалификации и еще целым рядом проблем. Реакция на нарушение режима безопасности вызывает трудности, как правило, из-за отсутствия какого-либо регламента взаимодействия ISP не только с государственными ведомствами, причастными к информационной безопасности (ФАПСИ, Гостехкомиссия, УВД и др.), но и с другими ISP, у которых может и не быть людей, которые такое взаимодействие обеспечивают. Сложившееся положение дел можно объяснить начальным этапом в развитии относительно молодого российского сегмента Интернет. Необходим поиск подходов к устранению отмеченных недостатков в каждой из сетей, представляющих отдельные организации.

Административные и операционные меры обеспечения информационной безопасности, например, существенно зависят от структуры организации и специфики решаемых задач, поэтому выработка общих рекомендаций в данных областях крайне затруднена. Однако работа в этом направлении проводится. В Центре телекоммуникаций и технологий Интернет Московского университета, например, существует рабочая группа, в задачи которой входит создание методологии защиты открытых научно-образовательных сетей. В рамках этой деятельности затрагиваются и административные, и операционные регуляторы.

6. Программно-технический уровень (механизмы решения) Интернет представляет собой совокупность взаимодействующих между собой отдельных сетей: от самых мелких – локальных – до крупных корпоративных сетей, национального или даже транснационального масштаба. Именно эту задачу межсетевого взаимодействия решает стек протоколов TCP/IP, и это обстоятельство стало одной из главных причин беспрецедентно быстрого развития и популярности Интернет. Каждая из этих сетей имеет (или должна иметь) собственную политику безопасности, исходя из которой она применяет свои операционные регуляторы и использует необходимые для этого программно-технические средства. Ключевыми в иерархии сетевых инфраструктур являются крупные ведомственные или корпоративные сети.

Именно они, как правило, являются главными объектами потенциальных атак.

Для построения системы информационной безопасности, адекватной потребностям такой сети, необходимы следующие средства защиты программно-технического уровня:

• экранирования, предназначенные для регулирования потоков между внутренней и внешней частью сети на различных (сетевом, транспортном и прикладном) уровнях модели открытых систем, включая средства протоколирования потоков;

• идентификации/аутентификации, поддерживающие концепцию единого входа в сеть (пользователь один раз при входе доказывает свою подлинность и далее имеет доступ ко всем сервисам сети в соответствии с имеющимися полномочиями);

• криптографической защиты, в том числе, вспомогательные для других регуляторов, например, аутентификации;

• управления доступом (логическим), позволяющие специфицировать и контролировать действия, которые субъекты могут выполнять под объектами, включая квотирование ресурсов как частный случай;

• протоколирования и аудита, обеспечивающие мониторинг сети на всех уровнях, выявляющие подозрительную активность и реализующие оперативное реагирование;

• централизованного администрирования сети.

Совокупность этих средств призвана в значительной степени покрыть потребности защиты корпоративной IP-сети на программно-техническом уровне. Кратко остановимся на некоторых проблемах их реализации.

К перспективным системам экранирования следует отнести многокомпонентные комплексы, включающие экранирующие маршрутизаторы, экраны транспортного уровня и шлюзы. Их взаимодействие позволит не только обеспечить эффективное функционирование данного вида сервиса, но и собрать информацию, важную для других программно-технических регуляторов.

Исследования, связанные с идентификацией аутентификацией в Интернет, направлены на создание механизмов, обеспечивающих их централизацию, целостность и гибкость, портабельность хотя бы на ограниченный набор «надежных» ОС.

Перспективы логического управления доступом в значительной степени могут быть обеспечены переходом на более эффективные схемы и модели как произвольного, так и принудительного управления [9], включая решение проблемы квотирования ресурсов, как частный случай, в расчете на предотвращение атаки на доступность (отказа в предоставлении сервиса).

Криптографические механизмы в Интернет призваны обеспечить защиту сетевых ресурсов от всех видов угроз, не только традиционные конфиденциальность и целостность данных, но и защиту от отказа в предоставлении сервиса. Перспективы здесь связаны с объединением преимуществ высокого быстродействия при реализации алгоритмов симметричного шифрования с эффективностью асимметричных методов для различных прикладных сервисов и (или) программно-технических регуляторов.



Активный аудит – один из самых сложных, но важных и необходимых регуляторов на программно-техническом уровне. Существующие на сегодня комплексы своих функций в полном объеме не выполняют. Будущее на этом направлении определяется необходимостью решения целого ряда научных, технических и технологических задач, оно связано с поиском перспективных архитектурных решений [9,10].

В заключение необходимо отметить, что динамика развития российского сегмента Интернет на ближайшие годы во многом будет определяться решением как перечисленных выше, так и целого ряда других задач, направленных на защиту информационных ресурсов и сетевой инфраструктуры. Учитывая всю важность проблемы и последствий ее разрешения для будущего страны, разработка государственной политики, подкрепленной системой практических мер в этой области, должна стать одним из приоритетов государства.

Литература 1. Крол Э. Всё об Internet: Пер. с англ. – К.: Торгово-издательское бюро BHV, 1995. 592с.

2. Васенин В.А. Internet: от настоящего к будущему. - "Открытые системы", N12, 2000, с.36-44.

3. Кан Р.Е.. Эволюция сети Интернет. Всемирный доклад ЮНЕСКО по коммуникациям и информации. 1999 – 2000 гг., «Бизнес–Пресс», М.: 2000 г.

4. Васенин В.А. Высокопроизводительные научно-образовательные сети России. Настоящее и будущее.М: Изд-воМоск.ун-та, 1999,32 с.

5. Васенин В.А.. Российские академические сети и Интернет (состояние, проблемы, решения) / Под ред. В. А. Садовничего. – М.: РЭФИА, 1997, 173 с.

6. Садовничий В.А., Васенин В.А., Мокроусов А.А., Тутубалин А.В..

Российский Интернет в цифрах и фактах. М.: Изд-во Московского университета, 1999, 148 с.

7. Васенин В.А., Галатенко А.В. О проблемах информационной безопасности в сети Интернет. Материалы круглого стола. "Глобальная информатизация и социально-гуманитарные проблемы человека, культуры, общества (МГУ, октябрь 2000 г.)/ Под ред.проф.В.И.Добренькова.-М.:Изд-во Моск.ун-та, 20001, с.199-214.

8. Галатенко В.А. Информационная безопасность: практический подход. М.:

Изд-во "Наука", 1998 г., 301 с.

9. Галатенко А.В. Об автоматной модели защищенных компьютерных систем. Интеллектуальные системы", т.4, вып.3-4, 1999г., Москва, с.263-270.

10. Галатенко А.В. Активный аудит. – Jet Info, информационный бюллетень, № (75)/1999.

АКТИВНЫЙ АУДИТ

Галатенко А.В.

Введение В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет "Компьютерная преступность и безопасность-1999: проблемы и тенденции" ("Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey"), подготовленный Институтом компьютерной безопасности (Computer Security Institute, CSI) во взаимодействии с отделением Федерального бюро расследований по Сан-Франциско (см. [1]).

В отчете констатируется резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных).

30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками. Атакам через Интернет подвергались 57% опрошенных. 55% отметили нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос "были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?" ответили "не знаю".

Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года (см. [2]). Лишь 22% заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечен резкий рост числа внешних атак.

К сожалению, не составляет труда продолжить эту мрачную статистику, однако, на наш взгляд, для первичной оценки общей картины приведенных цифр вполне достаточно.

Увеличение числа атак - это только одно из зол (вероятно, меньшее). Хуже то, что постоянно обнаруживаются новые слабости в программном обеспечении и, как следствие, появляются новые способы проведения атак. Так, в информационном письме Национального центра защиты инфраструктуры США (National Infrastructure Protection Center, NIPC) от 21 июля 1999 года сообщается, что за период с 3 по 16 июля 1999 года выявлено девять проблем с ПО, риск использования которых оценивается как средний или высокий (общее число обнаруженных слабостей равно 17, см. [3]). Среди "пострадавших" операционных платформ - почти все разновидности ОС Unix, Windows, MacOS, так что никто не может чувствовать себя спокойно, поскольку новые слабости тут же начинают интенсивно эксплуатироваться.

В таких условиях системы информационной безопасности должны уметь противостоять многочисленным, разнообразным атакам, ведущимся изнутри и извне, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание слабостей ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение доступности, целостности или конфиденциальности.

Темой настоящего доклада является относительно новый сервис безопасности активный аудит (систематическое рассмотрение сервисов безопасности можно найти, например, в [4]). Активный аудит направлен на выявление подозрительной (злоумышленной и/или аномальной) активности с целью оперативного принятия ответных мер. С этим сервисом связываются надежды на существенное повышение защищенности корпоративных информационных систем (может быть, потому, что недостаточность более традиционных механизмов, к сожалению, доказана практикой).





Позволим себе привести еще несколько цифр. По данным исследовательского органа конгресса США, General Accounting Office (GAO), в 1996 финансовом году на федеральные компьютерные системы было предпринято около тысяч атак, 65% которых (160 тысяч) оказались успешными (см. [5]). Это плохо, как плохо и то, что число атак каждый год удваивается. Но гораздо хуже, что было выявлено лишь 4% успешных атак, из которых только о 27% были составлены доклады. Очевидно, нужно снижать процент успешных атак (если нет возможности повлиять на их общее число) и резко увеличивать процент "раскрываемости". Активный аудит может помочь в достижении обеих целей.

Для русскоязычных публикаций по информационным технологиям традиционно трудной является терминологическая проблема. Мы предлагаем "активный аудит" в качестве эквивалента английского "intrusion detection" (выявление вторжений). На наш взгляд, термин "активный аудит" верно, отражает суть дела и даже содержит некоторый запас общности по сравнению "intrusion detection", поскольку речь идет не только о выявлении, но и об отражении вторжений.

Активный аудит и его место среди других сервисов безопасности Формула "защищать, обнаруживать, реагировать" (по-английски это звучит лучше: "protect, detect, react") является классической. Только эшелонированная, активная оборона, содержащая разнообразные элементы, дает шанс на успешное отражение угроз.

Назначение активного аудита - обнаруживать и реагировать. Как указывалось во введении, обнаружению подлежит подозрительная активность компонентов информационной системы (ИС) - от пользователей (внутренних и внешних) до программных систем и аппаратных устройств.

Подозрительную активность можно подразделить на злоумышленную и номальную (нетипичную). Злоумышленная активность - это либо атаки, преследующие цель несанкционированного получения привилегий, либо действия, выполняемые в рамках имеющихся привилегий (возможно, полученных незаконно), но нарушающие политику безопасности. Последнее мы будем называть злоупотреблением полномочиями.

Нетипичная активность может впрямую не нарушать политику безопасности, но, как правило, она является следствием либо некорректной (или сознательно измененной) работы аппаратуры или программ, либо действий злоумышленников, маскирующихся под легальных пользователей.

Активный аудит дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграничение доступа. Подобное дополнение необходимо по двум причинам. Во-первых, существующие средства разграничения доступа не способны реализовать все требования политики безопасности, если последние имеют более сложный вид, чем разрешение/запрет атомарных операций с ресурсами. Развитая политика безопасности может накладывать ограничения на суммарный объем прочитанной информации, запрещать доступ к ресурсу B, если ранее имел место доступ к ресурсу A, и т.п.

Во-вторых, в самих защитных средствах есть ошибки и слабости, поэтому, помимо строительства заборов, приходится заботиться об отлавливании тех, кто смог через эти заборы перелезть.

Архитектура систем активного аудита У систем активного аудита целесообразно различать локальную и глобальную архитектуру. В рамках локальной архитектуры реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем.

Локальные составляющие системы активного аудита состоят из блоков сбора данных (сенсоров), блока преобразования данных, блока хранения данных, блока анализа и блока реагирования.

Сенсоры должны собирать полную информацию о системе - как сетевые, так и хостовые данные. Проблема в том, что данных может оказаться слишком много.

Необходим компромисс между полнотой и объемом. В качестве сенсоров могут быть использованы регистрационные журналы операционной системы или приложений. Интересной и недостаточно исследованной является задача выборочного сбора данных, обеспечивающих полноту картины состояния системы.

Сенсоры собирают разнородную информацию. Данные различаются по типу:

могут быть числовыми (например, процессорное время), категориальными (например, номера портов), величинами интенсивности (число событий в единицу времени), распределением событий (таких как доступ к файлам, вывод на печать). Встает вопрос: унифицировать ли эти данные, преобразовав к одному из типов, или работать с разнородными данными.

Для выявления злоумышленных действий нужно знать, какие действия являются злоумышленными. Список таких действий обновляется достаточно часто, поэтому необходимо предусмотреть легко обновляемое хранилище данных. Для выявления нетипичных действий нужно знать, какие действия являются типичными. Как правило, для хранения шаблонов типичного поведения (называемых профилями) используется один из двух методов:

- Метод скользящих окон - результаты измерений за некоторый промежуток времени (для долгосрочных профилей - несколько недель, для краткосрочных – несколько часов) сохраняются; при добавлении новых результатов старые отбрасываются. Основным недостатком метода скользящих окон является большой объем хранимой информации.

- Метод взвешенных сумм - при вычислении значений статистических функций более старые данные входят с меньшими весами (как правило, новые значения функций вычисляются по рекуррентной формуле, и необходимость хранения большого количества информации отпадает). Основным недостатком метода является более низкое качество описания поведения субъекта, чем в методе скользящих окон.

Для анализа как правило используется один из четырех методов:

- нейронные сети;

- экспертные системы;

- статистические системы;

- ловушки и приманки.

Нейронные сети предоставляют целый ряд ощутимых преимуществ:

- быстрота - нейронные сети обладают высоким быстродействием;

- масштабируемость - нейронная сеть легко переносится с меньшей системы на большую;

- простота обучения - алгоритмы обучения нейронных сетей как правило просты и удобны.

Однако недостатки нейросетевого подхода по мнению автора перевешивают достоинства:

- отсутствие гарантированности алгоритмов обучения для широкого класса нейронных сетей;

непонятность результатов;

- трудность сбора обучающего материала (как научить тому, что такое нетипичность?).

Экспертные системы, основанные на выявлении сигнатур известных атак, представляются оптимальным средством для выявления злоумышленной активности благодаря таким достоинствам, как быстрота работы и минимум ложных тревог. Тем не менее, в силу неумения обнаруживать неизвестные атаки, экспертная компонента нуждается в дополнении.

Статистический анализ оптимален для выявления нетипичной активности. Этот метод универсален, он предоставляет обоснованные и понятные решения.

Конечно, вероятность ошибок сравнительно высока. Кроме того, если злоумышленное поведение является типичным, система угрозы не заметит. Тем не менее преимущества представляются более существенными, чем недостатки.

Приманки и ловушки скорее можно отнести к "маленьким хитростям", чем к регулярным методам. Приманки предназначены для привлечения внимания злоумышленников к специально подставленных "ложных целей". Ловушки предназначены для привлечения злоумышленников на заранее подготовленные позиции, где их (злоумышленников) можно легко идентифицировать. Например, можно в файл с паролями вставить несколько слабых паролей. При вхождении в систему пользователя с одним из добавленных паролей можно поднимать тревогу и ловить злоумышленника.

После того, как обнаружена сигнатура злоумышленного действия или нетипичная активность, необходимо выбрать достойный ответ. По многим соображениям удобно, чтобы компонент реагирования содержал собственную логику, фильтруя сигналы тревоги и сопоставляя сообщения, поступающие от подсистем анализа. Для активного аудита одинаково опасны как пропуск атак (это значит, что не обеспечивается должной защиты), так и большое количество ложных тревог (это значит, что активный аудит быстро отключат).

При выборе реакции особенно важно определить первопричину проблем. Для сетевых систем это особенно сложно в силу возможности подделки адресов в пакетах. Данный пример показывает, что сильнодействующие средства, пытающиеся воздействовать на злоумышленника, сами могут стать косвенным способом проведения атак.

Предпочтительны более спокойные, но также достаточно эффективные меры, такие как блокирование злоумышленного сетевого трафика средствами межсетевого экранирования (ряд систем активного аудита умеют управлять конфигурацией экранов) или принудительное завершение сеанса работы пользователя. Конечно, и здесь остается опасность наказать невиновного, так что политика безопасности каждой организации должна определять, что важнее - не пропустить нарушение или не обидеть лояльного пользователя.

С точки зрения быстрого реагирования, традиционные меры, связанные с информированием администратора, не особенно эффективны. Они хороши в долгосрочном плане, для глобального анализа защищенности командой профессионалов. Здесь активный аудит смыкается с пассивным, обеспечивая сжатие регистрационной информации и представление ее в виде, удобном для человека.

Разумная реакция на подозрительные действия может включать увеличение степени детализации протоколов и активизацию средств контроля целостности.

В принципе, это пассивные меры, но они помогут понять причины и ход развития нарушения, так что человеку будет проще выбрать "меру пресечения".

Требования к системам активного аудита В этом пункте мы рассмотрим требования к системам активного аудита, существенные с точки зрения заказчиков.

На первое место следует поставить требование полноты. Это весьма емкое понятие, включающее в себя следующие аспекты:

- Полнота отслеживания информационных потоков к сервисам. Активный аудит должен охватывать все потоки всех сервисов. Это означает, что система активного аудита должна содержать сетевые и системные сенсоры, анализировать информацию на всех уровнях - от сетевого до прикладного.

Очевидно, из рассматриваемого аспекта полноты вытекает требование расширяемости, поскольку ни один программный продукт не может быть изначально настроен на все сервисы.

- Полнота спектра выявляемых атак и злоупотреблений полномочиями. Данное требование означает не только то, что у системы должен быть достаточно мощный язык описания подозрительной активности (как атак, так и злоупотреблений полномочиями). Этот язык должен быть прост, чтобы заказчики могли производить настройку системы в соответствии со своей политикой безопасности. Поставщик системы активного аудита должен в кратчайшие сроки (порядка суток) передавать заказчику сигнатуры новых атак.

Система должна уметь выявлять аномальную активность, чтобы справляться с заранее неизвестными способами нарушений.

- Достаточная производительность. Система активного аудита должна справляться с пиковыми нагрузками защищаемых сервисов.

Пропуск даже одного сетевого пакета может дать злоумышленнику шанс на успешную атаку. Если известно, что система активного аудита обладает недостаточной производительностью, она может стать объектом атаки на доступность, на фоне которой будут развиваться другие виды нападения. Для локальных сетей стандартными стали скорости 100 Мбит/с. Это требует от системы активного аудита очень высокого качества реализации, мощной аппаратной поддержки. Если учесть, что защищаемые сервисы находятся в постоянном развитии, то станет понятно, что требование производительности одновременно является и требованием масштабируемости.

Помимо полноты, системы активного аудита должны удовлетворять следующим требованиям:

- Минимум ложных тревог. В абсолютном выражении допустимо не более одной ложной тревоги в час (лучше, если их будет еще на порядок меньше). При интенсивных потоках данных между сервисами и их клиентами подобное требование оказывается весьма жестким. Пусть, например, в секунду по контролируемому каналу проходит 1000 пакетов. За час пакетов будет 3 600 000.

Можно предположить, что почти все они не являются злоумышленными. И только один раз система активного аудита имеет право принять "своего" за "чужого", то есть вероятность ложной тревоги должна составлять в данном случае не более 3 * 10-7.

- Умение объяснять причину тревоги. Выполнение этого требования во-первых, помогает отличить обоснованную тревогу от ложной, во-вторых, помогает определить первопричину инцидента, что важно для оценки его последствий и недопущения повторных нарушений. Даже если реагирование на нарушение производится в автоматическом режиме, должна оставаться возможность последующего разбора ситуации специалистами.

- Интеграция с системой управления и другими сервисами безопасности.

Интеграция с системой управления имеет две стороны. Во-первых, сами средства активного аудита должны управляться (устанавливаться, конфигурироваться, контролироваться) наравне с другими инфраструктурными сервисами. Во-вторых, активный аудит может (и должен) поставлять данные в общую базу данных управления. Интеграция с сервисами безопасности необходима как для лучшего анализа ситуации (например, с привлечением средств контроля целостности), так и для оперативного реагирования на нарушения (средствами приложений, операционных систем или межсетевых экранов).

- Наличие технической возможности удаленного мониторинга информационной системы. Это спорное требование, поскольку не все организации захотят оказаться под чьим-то "колпаком". Например, в США планы администрации.

Клинтона по мониторингу информационных систем федеральных организаций (см. [19]) натолкнулись на жесткое противодействие. Тем не менее, с технической точки зрения подобная мера вполне оправдана, поскольку большинство организаций не располагает квалифицированными специалистами по информационной безопасности.

Отметим, впрочем, что удаленный мониторинг может быть использован и для бесспорных целей, таких как контроль из штаб-квартиры за работой удаленных отделений.

Сформулированные требования можно считать максималистскими. Повидимому, ни одна современная коммерческая система, ни один поставщик не удовлетворяют им в полной мере, однако, без их выполнения активный аудит превращается из серьезного оборонительного оружия в сигнализацию для отпугивания детей младшего школьного возраста. Захотят ли заказчики платить деньги за подобные игрушки? Нет, конечно, если только они достаточно разбираются в предмете.

Примеры систем активного аудита Система EMERALD Система EMERALD (см., например, [23]) по сути является старейшей разработкой в области активного аудита, так как она вобрала в себя опыт более ранних систем - IDES и NIDES, созданных в Лаборатории информатики Стэнфордского исследовательского института (Stanford Research Institute, ныне известен как SRI International) по контракту с DARPA.

EMERALD расшифровывается как Event Monitoring Enabling Responses to Anomalous Live Disturbances - мониторинг событий, допускающий реакцию на аномалии и нарушения. EMERALD включает в себя все компоненты и архитектурные решения, необходимые для систем активного аудита, оказываясь тем самым не только старейшей, но и самой полной разработкой как среди исследовательских, так и среди коммерческих систем.

Строго говоря, EMERALD является не готовым продуктом, а программной средой, которая строится по модульному принципу. Основным "кирпичиком" служит монитор. Каждый монитор включает в себя компонент распознавания сигнатур злоумышленных действий, компонент выявления аномальной активности, решатель, выбирающий способ реагирования на нарушения, а также описание контролируемого объекта. Каждый монитор настраивается по описанию и следит за своим объектом. Мониторы распределяются по информационной системе, образуя иерархию. Отметим, что контролируемые объекты могут иметь как системную, так и сетевую природу. Таким образом, совокупность мониторов может покрыть "всех и каждого". Отметим также, что в иерархию могут включаться не только свои, но и чужие компоненты, разработанные другими производителями.

В общем случае мониторы системы EMERALD развертываются динамически, после чего в реальном времени контролируют поведение инфраструктурных и/или прикладных сервисов. Данные для анализа могут собираться как "пассивным" чтением регистрационных журналов или сетевых пакетов, так и с помощью активных проб. Результаты анализа могут направляться в асинхронном режиме другим мониторам.

По сути, в разделе "Методы проведения активного аудита" мы уже рассмотрели архитектурные и реализационные решения, принятые в системе EMERALD. Для распознавания сигнатур злоумышленных действий используется экспертная система P-BEST, а выявление аномальной активности основано на применении четырех классов величин (категориальных, непрерывных, показателей интенсивности, распределениях). Статистическому анализу подвергается поведение не пользователей, а сервисов. Профили сервисов существенно меньше и они гораздо стабильнее, чем у пользователей. В результате удалось заметно снизить ошибки первого и второго рода, то есть пропуск нарушений политики безопасности и возбуждение ложных тревог.

В основе своей монитор не зависит от отслеживаемого объекта. Все специфическое вынесено в описание объекта, служащее для настройки подключаемых библиотек. Настраиваются такие методы, как сбор регистрационной информации, реагирование, а также аналитические параметры анализа, список соседей, с которыми нужно обмениваться сигналами тревоги и т.п.

EMERALD не навязывает определенной архитектуры. Можно выстроить совокупность слабосвязанных мониторов с "легковесным" локальным анализом или же жесткую иерархию с мощным централизованным анализом. Можно делать акцент на сетевых или системных сенсорах.

Разумеется, в среде EMERALD изначально существуют описания для элементов инфраструктуры (маршрутизаторы, межсетевые экраны) и прикладных сервисов (FTP, SMTP, HTTP и т.д.). Это означает, что, наряду с гибкостью и расширяемостью, EMERALD в достаточной степени удобен для быстрого развертывания в типичной информационной системе.

Одной из важнейших новаций системы EMERALD является корреляционный анализ сигналов тревоги, поступающих от разных мониторов. Такой анализ проводится по четырем категориям:

- выявление общих характеристик;

- исследование одного события с разных точек зрения;

- выявление связей между сигналами тревоги;

- выявление тренда (детерминированной составляющей).

Корреляционный анализ остается предметом исследования. Вероятно, это основное направление развития системы EMERALD.

Разработчики EMERALD планируют обеспечить следование спецификациям IDEF и CIDF. Разумный выбор архитектуры сделал эту задачу относительно несложной.

По мнению разработчиков, результаты, полученные при создании системы EMERALD, выглядят обнадеживающими. EMERALD годится не только для активного аудита, но и для решения других задач информационной безопасности и управления (например, поддержания высокой доступности или анализа поведения сети). Иерархическая организация мониторов и корреляционный анализ помогают выявлять скоординированные, распределенные атаки. Система EMERALD производит очень сильное впечатление.

Система NFR Система NFR (Network Flight Recorder), как и EMERALD, привлекает, прежде всего, архитектурной и технологической правильностью. В подобной правильности нет ничего удивительного, поскольку руководителем разработки является Маркус Ранум (Marcus J. Ranum), видный специалист по информационной безопасности.

NFR относится к числу сетевых систем, существующих в виде свободно распространяемого инструментария и коммерчески "упакованного" продукта NFR Intrusion Detection Appliance (на момент написания данной статьи самая свежая версия имела номер 3.0). С внешней точки зрения NFR представляет собой либо одну станцию, осуществляющую мониторинг сегмента сети, к которому она подключена, либо совокупность таких станций с центральной управляющей консолью. Однако наиболее интересна не внешняя, а внутренняя архитектура NFR, превосходно описанная в статье [24].

Строго говоря, NFR - это нечто большее, чем система выявления подозрительной сетевой активности. Правильнее рассматривать ее как компонент сетевого управления, одним из аспектов которого является борьба с нарушениями политики безопасности (равно как и со сбоями и отказами оборудования и программного обеспечения).

Основные компоненты внутренней архитектуры NFR таковы. Один или несколько сетевых сенсоров (packet suckers в терминологии NFR) поставляют данные решателю, который эти данные фильтрует, реассемблирует потоки, при обнаружении нарушений реагирует на них, а также передает информацию поддерживающему сервису для сохранения с последующей статистической обработкой и обслуживанием запросов. Поддерживающий сервис может также просматривать переданную ему информацию на предмет выявления сигнатур злоумышленных действий.

Разумеется, для всех стыков определены программные интерфейсы, так что возможна, например, смена или добавление сенсора или поддерживающего сервиса. "Отвязывание" поддерживающего сервиса от сбора и первичного анализа регистрационной информации позволяет распределять нагрузку, чтобы сложная обработка не тормозила процессы, от которых требуется работа в реальном масштабе времени.

Ядром NFR является решатель, а основой решателя - язык описания фильтров, который называется N. Это универсальный язык программирования, содержащий переменные с областями видимости, списочные типы данных, управляющие структуры, процедуры. Кроме того, в N есть специфические типы данных, такие как IP-адрес. Любопытно отметить, что под значения разного рода счетчиков отводится по 64 разряда, что освобождает от проблем переполнения даже в больших сетях.

N - интерпретируемый язык. Программы, написанные на N, переводятся в байткоды для простой стековой машины. Такие программы (и, следовательно, фильтры) оказываются весьма компактными. Что касается скорости интерпретации, то при достаточно высоком уровне базовых операций она оказывается не намного ниже, чем при выполнении скомпилированной программы. Кроме того, применяемый при интерпретации N-программ механизм ленивых вычислений позволяет избежать лишних операций, обычно сопутствующих проверке сложных условий.

NFR не является универсальной системой активного аудита, но представляет несомненный интерес, прежде всего, как хорошо сделанный строительный блок, который можно установить в управляющую среду, объединить со средствами выявления подозрительной активности на хостах и т.п. Язык N обладает достаточной мощностью и для записи сигнатур атак с учетом возможных вариаций, и для выражения сетевых аспектов политики безопасности организации. Правда, остается открытым вопрос об эффективности функционирования, от ответа на который разработчики предпочитают уходить, ссылаясь на зависимость от сложности заданных фильтров (см. [7]). То, что в качестве рекомендуемой конфигурации для NFR Intrusion Detection Appliance выбран компьютер с процессором Intel Pentium II 400 МГц и ОЗУ 256 МБ (см.

[25]), вероятно, свидетельствует о наличии проблем с эффективностью.

Впрочем, как с философским спокойствием говорится в финале известного фильма, "у каждого свои недостатки".

Литература 1. Cyber attacks rise from outside and inside corporations. – Computer Security Institute, 2. Global Security Survey: Virus Attack. -- InformationWeek, 12 июля 3. National Infrastructure Protection Center CyberNotes -- NIPC, #15-99, 4. Владимир Галатенко -- Современная трактовка сервисов безопасности. – Jet Info, 5, 5. Information Security: Computer Attacks at Department of Defense Pose Increasing Risks. -- eneral Accounting Office, Chapter Report, GAO/AIMD-96-84, 05/22/ 6. Максим Столяров, Илья Трифаленков -- На пути к управляемым информационным системам. -- Jet Info, 3, 7. R. Power -- CSI Roundtable: Experts discuss present and future intrusion detection systems. -- Computer Security Journal, Vol. XIV, #1.

8. D. Denning -- An Intrusion-Detection Model. -- IEEE Transactions on Software Engineering, SE-13, No. 2, pp. 222-232., February 9. R. Bace -- An Introduction to Intrusion Detection Assessment. -- ICSA, 10. T. Bass -- Intrusion Detection Systems & Multisensor Data Fusion: Creating Cyberspace Situational Awareness. -- Communicaions of the ACM, accepted for publication (draft).

11. T. Goan -- A Cop on the Beat: Collecting and Appraising Intrusion Evidence. -Communicaions of the ACM., Vol. 42, No. 7, pp. 46-52., July 12. M. Stillerman, C. Marceau, M. Stillman -- Intrusion Detection for Distributed Applications. -- Communicaions of the ACM., Vol. 42, No. 7, pp. 62-69., July 13. A. Ghosh, J. Voas -- Inoculating Software for Survivability. -- Communicaions of the ACM., Vol. 42, No. 7, pp. 38-44., July 14. Д. Кэри -- Дредноут (пер с англ.). -- Смоленск: Русич, 15. U. Lindqvist, P. Porras -- Detecting Computer and Network Misuse Through the Production-Based Expert System Toolset (P-BEST). -- Proceedings of the 1999 IEEE Symposium on Security and Privacy, Oakland, California., May 9-12, 16. R. Graham -- FAQ: Network Intrusion Detection Systems. - Version 0.5.2. -Proceedings of the 1999 IEEE Symposium on Security and Privacy, Oakland, California., July 17, 17. Aлексей Галатенко -- О применении методов теории вероятностей для решения задач информационной безопасности. -- М.: НИИСИ РАН, 18. P. Porras, A. Valdes -- Live Traffic Analysis of TCP/IP Gateways. -- Proceedings of the 1998 ISOC Symposium on Network and Distributed Systems Security., July 17, 19. U.S. Drawing Plan That Will Monitor Computer Systems. -- New York Times, июля 20. M. Wood -- Inrusion Detection Exchange Format Requirements. -- Internet-Draft., June 21. C. Kahn, P. Porras, S. Staniford-Chen, B. Tung -- A Common Intrusion Detection Framework. -- Draft submission to a nice publication., July 22. M. Crosbie, K. Price -- Intrusion Detection Systems. – Purdue University, COAST Laboratory.

23. P. Neumann, P. Porras -- Experience with EMERALD to Date. – Proceedings of the 1st USENIX Workshop on Intrusion Detection and Network Monitoring. Santa Clara, California., 11-12 April 24. M. Ranum, K. Landfield, M. Stolarchuk, M. Sienkiewicz, A. Lambeth, E. Wall -- Implementing A Generalized Tool For Network Monitoring. – Proceedings of the 11th Systems Administration Conference (LISA '97), San Diego, California., October 26-31, 25. NFR Intrusion Detection Appliance. Version 3.0. Monitor, Examine, Uncover, Empower. -- Network Flight Recorder Inc., 26. R. Durst, T. Champion, B. Witten, E. Miller, L. Spagnulol – Testing and Evaluating Computer Intrusion Detection Systems. -- Communicaions of the ACM., Vol. 42, No. 7, pp. 53-61., July

КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ

БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АСПЕКТЕ

СОЗДАНИЯ ЕДИНОГО ИНФОРМАЦИОННОГО

СООБЩЕСТВА

Зегжда П.Д.

Жизнь современного общества немыслима без повсеместного применения информационных технологий. Компьютеры обслуживают банковскую систему, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов, управляют самолетами и космическими кораблями.

Компьютерные системы и телекоммуникации предопределяют надежность и мощность систем обороны и безопасности страны. Компьютеры, обеспечивая хранение информации, ее обработку и предоставление потребителям, реализуют, таким образом, информационные технологии.

Однако именно высочайшая степень автоматизации, к которой стремится современное общество, ставит его в зависимость от степени безопасности используемых им информационных технологий, от которых зависит благополучие и даже жизнь множества людей. Технический прогресс обладает одной неприятной особенностью — в каждом его достижении таится нечто, ограничивающее его развитие, и на каком-то этапе обращающее его достижения не во благо, а во вред человечеству.

Применительно к информационным технологиям одним из аргументов консервативных оппонентов их популяризации является проблема безопасности этих технологий (или, если точнее, их не безопасности). Действительно, внедрение популярных дешевых компьютерных систем массового спроса делает чрезвычайно уязвимыми по отношению к деструктивным воздействиям.

Примеры, подтверждающие распространенность этого явления, можно во множестве найти на страницах многочисленных изданий и еще больше – на "страницах" Internet. Приведем только некоторые факты, свидетельствующие об актуальности проблемы безопасности информационных технологий. Каждые двадцать секунд в Соединенных Штатах имеет место преступление с использованием программных средств. В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Последние оценки исчисляют потери от хищения или повреждения компьютерных данных в 100 млн. долларов за год, но точная статистика не поддается учету. Во многих случаях организации не знают о том, что вторжение имело место, информация воруется незаметно, и похитители гениально заметают свои следы. Современная специфика поддержания национальной безопасности состоит в том, что информационные конфликты будут доминировать в 21-м веке. Информационная война будет вестись технологически развитыми обществами и армиями. Ее могут вести отдельные личности, группы людей и компании. Примером, подтверждающим этот тезис, является произошедший в 1997 году случай информационного шантажа, основанный на недостатках программы Netscape. Здесь нет линии фронта, нет границ. Ведение информационной войны обходится относительно дешево. Иногда трудно даже определить - кто же с тобой воюет (например, ктото по сети выводит из строя центральный хост, управляющий работой огромного аэропорта, при этом найти взломщика далеко не простая задача существует множество способов "заметать" следы). Информационные процессы в глобальных сетях естественным образом затрагивают региональные интересы:

учитывая противостояние в инфосфере, необходимо в регионах уметь предсказать возникновение локальных конфликтов, предлагать пути выхода из них. Это звучит особенно актуально в связи со стихийным созданием открытых информационных сетей общего назначения, их подключением к международным телекоммуникационным сетям.

Состояние проблем информационной безопасности в компьютерных системах Не останавливаясь на социальных, правовых и экономических причинах систематизируем технические и информационные предпосылки нарушения информационной безопасности в современных вычислительных системах (ВС).

Для того чтобы получить информацию о каком-либо объекте системы, вовсе не обязательно искать пути несанкционированного доступа к нему. Можно получать информацию, наблюдая за работой системы и, в частности, за поведением интересующего объекта. Иными словами, искать каналы утечки информации или каналы скрытого влияния на объект. Эти каналы реализуются с помощью специальных программ, т.н. разрушающих программных средств (РПС). С их помощью можно получать информацию не только о содержимом объекта, его состоянии, атрибутах и др. и, даже влиять на его поведение – в зависимости от особенностей системы и установленной защиты объектов. Таким образом, возможно осуществление действий, не нарушающих политику безопасности, но несущих угрозу безопасности и целостности системы.

Особенности современных информационных технологий порождают причины нарушения безопасности, которые могут быть условно объединены в следующие группы:

1. Трудности определения и обоснования требований к системам документооборота, особенно при попытке сформулировать их в виде политики безопасности. Можно сказать, что инфраструктура современного общества и организация документооборота отстают от возможностей информационных систем и систем телекоммуникаций.

2. Особенности современных аппаратных средств, операционных систем и прикладного программного обеспечения, которые с учетом специфики электронного документооборота приводят к нарушению информационной безопасности.

3. Существующая правовая база не дает должных оснований для создания унифицированных корпоративных политик безопасности. Строго говоря, защите подлежит только информация, относящаяся к гостайне. Экономические соображения приводят к минимизации затрат на обеспечение защиты конфиденциальной информации, что в конечном счете не может не сказаться на общем уровне безопасности общества.

Особенности требований, предъявляемых к каналам обмена информацией и недостатки средств защиты, применяемых при передаче данных (особенно это касается семейства протоколов TCP/IP). Следует отметить, что существующие нормативные документы в области требований к системам защиты во многих случаях неадекватны современному характеру угроз.

Оценка безопасности Internet Каковы реальные возможности защиты Internet? Каковы требования к режиму использования Internet, сведения риска от использования до допустимых пределов? Список вопросов, конечно, можно продолжить.

Исходно сеть создавалась как незащищенная открытая система, предназначенная для информационного общения все возрастающего числа пользователей.

При этом доступ новых пользователей должен быть минимально простым, а доступ к информации – наиболее удобным. Все это явно противоречит и созданию защищенной системы, безопасность которой должна быть описана на всех стадиях ее создания и эксплуатации, а пользователи наделены четкими полномочиями.

Создатели сети не стремились к этому, да и требования защиты настолько бы усложнили проект, что сделали его создание едва ли возможным. Не надо забывать, что разработка Сети, ее непрерывное совершенствование и поддержание работоспособности находится под контролем Министерства обороны США, и весьма вероятно, что защищенность Сети не входила и не входит в интересы ее создателей.

Вывод: Internet создавался как незащищенная система. Не предназначенная для хранения и обработки конфиденциальной информации. Более того, защищенный Internet не смог бы стать той системой, которой он сейчас является, и превратился бы в информационный образ Мировой культуры, ее прошлого и настоящего. В этом самостоятельная ценность Сети и, возможно, ее не безопасность есть плата за такое высокое назначение.

Следствие: Имеется множество пользователей, незаинтересованных в том, чтобы Internet стал системой с категорированной информацией и полномочиями пользователей, подчиненными установленной политике безопасности. Основная цель нарушителей – несанкционированное приобретение доступа к ресурсам сети – транспортной среде, памяти, адресному пространству. Наибольшую озабоченность вызывает нелегальное приобретение платных информационных услуг, предоставляемых рядом WWW серверов, или использование вычислительных мощностей, а также несанкционированное изменение маршрутов сообщений с целью их раскрытия или получения копий.

Возможна также подмена сообщений или внесения искажений в информацию, находящуюся в сети с различными целями. Последнее может оказаться очень опасным, т.к. в ряде случаев приводит к финансовым преступлениям или раскрытию государственных секретов. Отметим только, что многих скандальных “информационных” преступлений не произошло, если бы соответствующая информация не хранилась на Сети.

Необходимая защита Internet должна строиться в направлении устранения причин указанных нарушений.

Существует богатый и все время расширяющийся арсенал программных и аппаратных средств закрытия протоколов и их контроля. При всем восхищении хитроумностью таких средств отметим, что они не в состоянии превратить Internet в защищенную среду, что значило бы изменить ее природу.

Правомерна постановка вопроса о создании специализированной безопасной Мировой инфосферы, предназначенной для управления мировым производством, транспортом, политикой.

Такая среда общения должна обладать архитектурой безопасности, должна гарантировать целостность и конфиденциальность информации. Очевидно, что такой средой не может быть Internet в сегодняшнем виде. Очевидно, что создатели такой системы должны обеспечить соблюдение политических и экономических интересов мировых субъектов, т.к. монопольное владение такой системой означает контроль над миром.

Основные направления обеспечения информационной безопасности Основными направлениями обеспечения информационной безопасности в эпоху интеграции среды обработки информации являются следующие:

1. Разработка национальных аппаратных платформ и программных интегрированных сред, обеспечивающих устранение причин нарушения информационной безопасности. При этом необходимо уделить внимание разработки технологии тестирования программных средств, созданию отечественных компиляторов и технологии безошибочного программирования.

Этот радикальный выход должен расцениваться как приоритетная задача обеспечения национальной безопасности. Ее решение нарушит существующую зависимость от импортной продукции и создаст основы безопасных информационных технологий. Внедрение этих средств невозможно без разработки комплекса законов и нормативных актов, обеспечивающих правовой базис информационной безопасности.

2. Учитывая невозможность единовременной реализации п.1, необходимо создавать новые и совершенствовать существующие средства защиты информации, прежде всего основанные на современных криптографических методах, что позволит создавать системы управления доступа, защиту от разрушающих программных средств, сохранность и целостность данных, и главное – безопасность систем телекоммуникаций, включая узлы связи с Internet. Примерами подобных средств являются: создание защищенных операционных систем (на базе существующих), комплексы обеспечения безопасности каналов связи, средств ЭЦП, маршрутизаторы, а также разнообразные шлюзы, межсетевые экраны, обеспечивающие безопасность узлов связи с Internet. Весьма перспективным является создание сетевых процессоров безопасности, средств управления сетевой безопасности, систем мониторинга, систем контроля и обнаружения вторжения.

3. Учитывая повсеместное распространение импортных программных средств необходимо совершенствовать, автоматизировать и объективизировать методы и средства анализа безопасности программно-аппаратных комплексов импортного производства с учетом отсутствия полной информации о них, в том числе анализ программ в отсутствии исходных текстов. Решение этой проблемы подразумевает создание динамических методов контроля, интеллектуальных систем обнаружения вирусов, закладок и других РПС, а также интегрирование этих средств с современными операционными системами и средствами сетевой поддержки.

Технология обеспечения информационной безопасности В настоящее время можно выделить четыре основных направления обеспечения информационной безопасности:

! создание защищенных операционных систем;

! оздание систем обнаружения и отражения вторжений в систему;

! разработка методов оценки безопасности программного обеспечения и обнаружения вредящего исполняемого кода (обнаружение разрушающих программных средств);

! защита информационно-телекоммуникационных систем, и, прежде всего, узлов связи с глобальной Сетью и каналов обмена информацией.

1.Защищенные операционные системы Анализ мировых исследований показывает, что построение безопасной схемы обработки компьютерной информации невозможно без передачи функций защиты – основному управляющему звену – операционной системе. Более того, многочисленные случаи использования уязвимостей ОС, показывают необходимость мер по защите ОС от вторжений и модификаций.

В современных условиях фактически сформировались два направления создания защищенных систем:

1. Разработка защищенных систем, обладающих всеми соответствующими функциональными возможностями и соответствующей архитектурой в расчете на сертификацию по установленному классу требований.

Основная особенность данного подхода состоит в разработке методов гарантированной реализации установленных требований по классической схеме проектирования защищенных систем:

# определение требований безопасности;

# разработка модели безопасности;

# определение субъектов и объектов взаимодействия;

# определение правил контроля и управления доступом;

# выбор механизмов контроля и управления доступом;

# выбор методов идентификации и аутентификации взаимодействующих сторон;

# определение набора событий, подлежащих аудиту;

# реализация системы.

Из-за сложности и высокой стоимости примеров применения данного подхода немного, однако получаемый результат адекватен затраченным усилиям — именно таким образом были созданы системы, сертифицированные на соответствие самым высоким классам требований — Trusted Xenix и Trusted Mach, Harris CX/SX.

2. Построение так называемых "защищенных" версий путем модернизации существующих систем, сфера применения которых потребовала усиления существующих или добавления новых функций защиты, Как правило, при модернизации добавляются функции шифрования, цифровой подписи, дополнительные средства идентификации/аутентификации, системы аудита и мониторинга. Такой подход к созданию систем оправдан, прежде всего, с экономической точки зрения, т.к. позволяет сохранить совместимость с существующими решениями. Кроме того, модернизированные системы наследуют имидж систем-прототипов, что позволяет усилить доверие к ним счет известности фирм разработчиков, имеющегося опыта эксплуатации и сопровождения, оперативного устранения выявленных недостатков. Типичными примерами этого подхода являются ОС Тrusted Solaris, СУБД Trusted Oracle.

Приведенный анализ основных подходов к разработке защищенных систем показывает, что только первый подход (разработка защищенных систем "с нуля") позволяет достигать значительных результатов, которые оправдывают затраты на разработку таких систем. Совершенствование существующих систем может привести только к ограниченным результатам и носит временный характер.

С другой стороны очевидным является то, что оба рассмотренных направления не противоречат друг другу, а являются равноправными составными частями технологии построения защищенных информационных систем. Просто используемые в них принципы, методы и средства принадлежат к разным областям применения данной технологии.

2.Анализ и оценка безопасности ПО Использование импортного ПО создало проблему анализа его безопасности, без решения которой невозможно создать интегрированную систему обработки информации.

Под РПС предлагается понимать программу, которая осуществляет нелегитимный доступ либо к данным, либо к ресурсам, либо к программам.

Наличие хотя бы одной из этих функций позволяет отнести исследуемую программу к классу РПС. Анализ отношений РПС с классами объектноконцептуальной модели ВС позволяет выделить три подкласса РПС: вирусы, троянские кони и программы-взломщики. Предложенный подход позволяет формализовать задачу анализа безопасности ПО и основные принципы ее решения.

Согласно предложенному определению РПС для доказательства безопасности программы требуется доказать, что программа не устанавливает нелегитимных отношений с объектами ВС. Для того чтобы доказать, что исследуемая программа p безопасна, необходимо и достаточно доказать, что pV. С учетом определения РПС это означает, что множество отношений A *, которому принадлежат все отношения с объектами ВС устанавливаемые программой p в процессе выполнения, не содержит нелегитимных отношений ( A* I L p = ).

Решению этой задачи препятствуют две основные трудности. Во-первых, в общем случае невозможно построить разрешающую процедуру, определяющую легитимность отношения доступа. Во-вторых, невозможно получить все элементы множества A* для определения их легитимности. Способы разрешения этих проблем определяется используемым подходом к решению задачи анализа безопасности. В зависимости от того, с какой точки зрения — пространства отношений, или пространства программ рассматривается задача анализа безопасности, предлагается разделить методы анализа безопасности ПО на два класса: контрольно-испытательные и логико-аналитические (см. рис. 1).

Контрольно-испытательные методы анализа безопасности ПО решают задачу анализа в пространстве отношений посредством получения с помощью тестовых испытаний рабочего пространства программы A * и проверки легитимности отношений, принадлежащих этому множеству. В контрольно-испытательных методах проблема неразрешимости множества нелегитимных отношений преодолевается путем установления жестких ограничений на рабочее пространство отношений исследуемой программы. Эти ограничения устанавливаются в виде требований безопасности, которые ограничивают рабочую область программы отношениями, легитимность которых для данной программы и ВС очевидна. Таким образом, множество нелегитимных отношений L p аппроксимируется объемлющим его разрешимым множеством запрещенных отношений.

Критерием безопасности программы в этом случае служит факт регистрации в ходе исследования нарушения требований по безопасности, предъявляемых в системе предполагаемого применения исследуемой программы, т. е. наличие противоречия с принятой в системе политикой безопасности.

Определение характеристической Выбор критериев безопасности.

Вычисление значения характеристической функции для исследуемой программы.

Рис.1. Систематизация методов анализа безопасности ПО.

В отличие от контрольно-испытательных логико-аналитические методы решают задачу в пространстве программ. Это означает, что для доказательства того, что программа безопасна, необходимо доказать, что она не принадлежит множеству РПС (V). Множество РПС V аппроксимируется разрешимым подмножеством, обладающим характеристической функцией. Вводится система моделирования, в которой каждая программа описывается заданным набором атрибутов, пространство значений которых и служит областью определения характеристической функции. Характеристическая функция фактически разрешает вопрос эквивалентности модели исследуемой программы обобщенной модели РПС.

3.Системы обнаружения вторжений Один из наиболее распространенных методов, используемых при разработке систем обнаружения нарушителя, заключается в использовании статистического анализа для определения характеристик рассеяния в данных, полученных в результате мониторинга системы. Статистический анализ может проводиться как для отдельного пользователя, так и для всей системы в целом. Обычно используются две методики обнаружения нарушителя, использующие статистические методы: определение пороговых значений и выявление аномалий.

Метод выявления аномалий обеспечивает обнаружение нарушителя без предварительного знания недостатков в защите системы, подвергающейся нападению. Этот подход требует очень небольшого количества определяемых системой правил, что делает использующие его средства чрезвычайно мобильными. Ниже приведен список нарушений безопасности, а также характеристики этих нарушений, которые могут использоваться при определении вторжения на основе выявления аномалий.

# Нелегальное проникновение: Нарушители часто характеризуются необычным временем и/или способом входа в систему по сравнению с законными пользователями.

# Попытки вторжения: Попытки вторжения характеризуются необычно большим числом неудачных попыток входа.

# Злоупотребление полномочиями: При работе незаконных пользователей может появиться больше, чем обычно, случаев отказа в доступе.

# Незаконное распространение информации: Незаконную распечатку данных можно выявить по использованию удаленных принтеров и/или работе в необычное время. Незаконное распространение данных можно распознать по передаче данных в необычное время и/или через необычные каналы.

# Атаки агрегации и логического вывода: Атаки агрегации и логического вывода могут быть выявлены по необычно большому числу запросов данных и их поиску.

# Троянские кони и вирусы: Программы, замещенные троянскими конями, могут отличаться большей загрузкой центрального процессора и/или интенсивным вводом/выводом. Программы, инфицированные вирусом, характеризуются появлением ненормальных модификаций других выполняемых файлов.

# Отказ в обслуживании: Отказ в обслуживании может характеризоваться ненормально интенсивной деятельностью одного пользователя в отношении атакуемого ресурса, который в то же время ненормально мало используется другими пользователями.

Основные задачи

систем защиты от вторжений:

На рисунке 2 показана общая структура системы защиты от вторжений, основными задачами которой являются:

• контроль функционирования средств защиты;

• обнаружение нарушителей, успешно прошедших этап аутентификации;

доступа;

• осуществление реакции на вторжение.

4. Защита связи с глобальной сетью Престижность связи с Internet уходит в прошлое и для многих организаций и компаний в настоящее время подключение к Internet является просто необходимостью. Основным сдерживающим препятствием для такого подключения являются общеизвестные факты нарушения безопасности в Internet и через Internet.

Для организации защиты при подключении к Internet предлагается использовать типовой узел подключения (ТУП), схема которого приведена на рисунке.

Основным достоинством такого ТУП является то, что он практически не привязан к структуре и составу подсоединяемых локальных и корпоративных сетей. Подобный ТУП содержит сетевой экран (firewall) и специальное средство – сетевой процессор безопасности, который составляет основу автоматизированного места (АРМ) администратора безопасности.

Обычно функции защиты подключаемых к Internet сетей возлагаются на сетевые экраны. Сетевые экраны проводят анализ входящего и исходящего трафика и на основе заложенных в них правил безопасности принимают решение о разрешении или запрещении передачи данных.

В настоящее время на рынке существует множество различных экранов, решающих те или иные вопросы защиты. Сложные экраны осуществляют фильтрацию различных протоколов с помощью настраиваемых администратором фильтров. Фильтрация может осуществляться на уровне кадров, пакетов, каналов и приложений. Кроме того, экраны обычно содержат различные средства аудита происходящих событий, что позволяет администратору проводить анализ данных для оценки качества защиты. Хотя такие экраны и представляют собой мощные средства обеспечения безопасности, но не могут обеспечить стопроцентную защиту. Кроме того, обычно большинство проникновений через сетевые экраны связаны с неправильным или ошибочным администрированием экранов. Это вызывается сложностью администрирования экрана и отсутствием экранов, контролирующих все известные пути проведения атак. Поэтому наличие только одного сетевого экрана не решает проблем безопасности. Для повышения безопасности предлагаемая структура ТУП содержит сетевой процессор безопасности и АРМ администратора безопасности. На АРМ администратора безопасности возлагаются функции автоматизации процессов администрирования маршрутизаторов, сетевого экрана и процессора сетевой безопасности (рис.3).

NETWORK SECURITY

ADMINISTRATOR

Поскольку существует множество экранов с различными реализованными функциями (не все межсетевые экраны обладают функциональной полнотой), появляется необходимость унифицированного средства, устраняющего недостатки экранов, – сетевого процессора безопасности. Данный сетевой процессор должен обеспечивать следующие функции защиты:

• Фильтрация трафика по адресам и портам источника и приемника, а также на прикладном уровне (функции экрана).

• Трансляция и анализ адресов, обрабатываемых IP-пакетов с функцией IPпредставителя (функции NAT).

• Обеспечение конфиденциальности и целостности информации за счет шифрации IP-пакетов и организации виртуальных защищенных каналов в сетях общего пользования.

• Расширенный аудит с выводом результатов журналов наблюдения на рабочее место администратора безопасности.

• Обеспечение мониторинга безопасности и удаленного управления сетью.

Такой сетевой процессор безопасности предназначен для предотвращения утечки, хищения, несанкционированного уничтожения и модификации передаваемой по сети информации. Как и экран, процессор осуществляет защиту адресного пространства подключаемых локальных сетей.

Технология обеспечения информационной безопасности Анализ основных тенденций развития РС позволяет разделить средства обеспечения безопасности компьютерных систем по типам ВС так, как это показано в таблице 1:

Таблица Обеспечение Антивирусы, Стандартные Сохранение адресов, Шлюзы, ТСВ, целостности динамический средства, баз данных создания средства Обеспечение Надежность Отказоустойчи- Специальные средства управления бесперебой- вые системы конфигурации сети, анализаторы, обслуживания данных Основные выводы, которые позволяют сделать такое представление, состоят в следующем:

1. Безопасность систем мелкого бизнеса, применяющих РС в автономном режиме, определяется в основном следующими факторами:

• надежность шифрования данных на диске и качество организационных мер, исключающих доступ нарушителя к компьютеру;

• безопасность коммуникации возможна лишь в случае передачи с использованием шифрования;

• подключение к Internet такого компьютера нежелательно, ввиду большой стоимости мер по обеспечению безопасности.

В целом подобного рода системы не должны удовлетворять высоким требованиям и их безопасность может быть обеспечена. Достаточно полное решение этой задачи обеспечивается появлением специализированных рабочих мест для среднего бизнеса, снабженных необходимым инструментарием, и не имеющим средств доступа к управлению ресурсами РС.

2. Наименее защищенными оказываются мощные рабочие станции и специализированные компьютеры (майнфреймы) решающие задачи моделирования, и использующие соответствующие программное обеспечение.

На первом месте здесь выступают средства идентификации и аутентификации, средства поддержания политики безопасности. Именно для этого класса компьютеров наиболее рациональна разработка "профилей защиты" и "проектов защиты", как средств реализации доказуемой политики безопасности.

Средствами решения поставленных проблем, наряду с применяемыми в настоящее время системами аутентификации, разграничения доступа, электронно-цифровой подписи, аудита и т.д., становятся специализированные защищенные ОС, гарантировано реализующие политику безопасности.

3. Для корпоративных глобальных распределенных гетерогенных сетей в соответствии с тенденцией возрастания угроз вследствие неправильного администрирования, преимущественную роль играют средства управления и контроля безопасности (различные сканеры, системы мониторинга, контроля проникновения и т.д.). Кроме известных типов межсетевых экранов (Firewall), используемых как для защиты при подключении к Internet, так и для создания защищенных сегментов, появляются новые средства. Основными типами этих средств являются:

• средства мониторинга безопасности, перерастающие от сканеров к специализированным процессорам безопасности с широким набором функций;

• средства обнаружения вторжения в виде различных систем динамического контроля поведения пользователей для обнаружения аномальных действий.

Традиционно ведущая роль остается здесь за средствами криптографии, которые используются в специальных шифрованных протоколах. Появилось понятие типовой архитектуры узла связи с Internet, средства защиты которого включают процессоры безопасности (шлюзы между сетями, в которых циркулирует информация разной степени секретности), обеспечивающих необходимую защиту.

Новым в этой области является необходимость защиты от массовых запросов, атак на DNS и других специфических воздействий со стороны Internet, отражение которых зависит от архитектуры сети, администрирования и средств контроля и управления безопасностью.

Выводы Анализ современных тенденций совершенствования информационных технологий позволяет предположить развитие следующих направлений информационной безопасности:

1. Всевозрастающая роль криптографических методов как единственного средства доказательной защиты данных в открытых транспортных средах, средств контроля целости, и обеспечение аутентификации в распределенных средах. Особенно важны эти методы для банковских технологий. Новым методом в этой сфере является создание инвариантной криптографии.

2. В области обеспечения безопасного администрирования можно указать перспективность создания специальных архитектур, снабженных средствами управления безопасностью и создание средств раннего обнаружения атак.

3. Новую роль приобретают специально защищенные ОС как мощное средство реализации политики безопасности, противостояние внешним атакам и организация защиты в системах «тонких клиентов».

4. В области теоретических работ особое значение приобретают:

создание моделей, позволяющих доказать достаточность защиты или оценить ее стойкость;

разработка моделей комплексной безопасности, соответствующих корпоративной политике безопасности, проверка адекватности реализации схемы информационных потоков;



Pages:     | 1 | 2 || 4 | 5 |
Похожие работы:

«16 – 21 сентября 2013 г. VII Научно-практическая конференция с международным участием Сверхкритические флюиды: фундаментальные основы, технологии, инновации г. Зеленоградск, Калининградская обл. Web-site http://conf.scftec.ru/ Информационная поддержка – портал СКФТ- Институт химии растворов РАН (Иваново) ИНФОРМАЦИОННОЕ СООБЩЕНИЕ № 1 ПРИГЛАШЕНИЕ VII Научно-практическая конференция Сверхкритические флюиды (СКФ): фундаментальные основы, технологии, инновации продолжает начатый в 2004 году в г....»

«2695 СиСтемa СтатиСтики культуры ЮНеСкО 2009 СИСТЕМА СТАТИСТИКИ КУЛЬТУРЫ ЮНЕСКО – 2009 (ССК) ЮНЕСКО Решение о создании Организации Объединённых Наций по вопросам образования, наук и и культуры (ЮНЕСКО) было утверждено 20 странами на Лондонской конференции в ноябре 1945 г. Оно вступило в силу 4 ноября 1946 г. В настоящее время в Организацию входит 193 страны-члена и 7 ассоциированных членов. Главной целью ЮНЕСКО является укрепление мира и безопасности на земле путем развития сотрудничества между...»

«Жизнь в гармонии с природой Конвенция о биологическом разнообразии Конвенция о биологическом разнообразии (КБР) представляет собой международный юридически обязательный договор, три основные цели которого заключаются в сохранении биоразнообразия, устойчивом использовании биоразнообразия и совместном получении на справедливой и равной основе выгод, связанных с использованием генетических ресурсов. Ее общей задачей является стимулирование деятельности, ведущей к созданию устойчивого будущего....»

«VII МЕЖДУНАРОДНЫЙ КОНГРЕСС МОЛОДЫХ УЧЕНЫХ ПО ХИМИИ И ХИМИЧЕСКОЙ ТЕХНОЛОГИИ МКХТ-2011 The 7-th United Congress of Chemical Technology of Youth UCChT-2011 8 – 13 ноября 2011 года, Москва ДАЙДЖЕСТ КОНГРЕССА Конгресс проводился под патронажем Европейской Федерации инженерной химии (EFCE) при участии Министерства образования и наук и РФ Российской Академии наук,, Научного Совета РАН по химическим технологиям, Российского химического общества им. Д.И. Менделеева, Российской академии естественных...»

«Министерство образования РФ Сибирская государственная автомобильно-дорожная академия (СибАДИ) Германский дорожно-исследовательский институт (bast) Московский автомобильно-дорожный институт (МАДИ (ГТУ) ПРОБЛЕМЫ БЕЗОПАСНОСТИ ДОРОЖНОГО ДВИЖЕНИЯ Материалы Первой Российско-Германской конференции 2324 мая 2002 года Том 2 Омск Издательство СибАДИ 2002 УДК 656.1 ББК 39.808 П 78 Проблемы безопасности дорожного движения: Материалы Первой Российско-Германской конференции, 2324 мая 2002 года. Омск: Изд-во...»

«Сертификат безопасности 1. НАИМЕНОВАНИЕ (НАЗВАНИЕ) И СОСТАВ ВЕЩЕСТВА ИЛИ МАТЕРИАЛА HP E4SKKC Барабан Идентификация вещества/препарата Этот продукт является фотобарабаном, который используется в цифровых копирах Использование состава 9055/9065 series. Hewlett-Packard AO Идентификация компании Kosmodamianskaja naberezhnaya, 52/1 115054 Moscow, Russian Federation Телефона +7 095 797 3500 Телефонная линия Hewlett-Packard по воздействию на здоровье (Без пошлины на территории США) 1-800-457- (Прямой)...»

«РОССИЙСКАЯ АКАДЕМИЯ НАУК ИНСТИТУТ МИРОВОЙ ЭКОНОМИКИ И МЕЖДУНАРОДНЫХ ОТНОШЕНИЙ Мировое развитие. Выпуск 3. Государство в эпоху глобализации: экономика, политика, безопасность Москва ИМЭМО РАН 2008 УДК 339.9 ББК 65.5 Государство 728 Ответственные редакторы – к.пол.н., с.н.с. Ф.Г. Войтоловский; к.э.н., зав.сектором А.В. Кузнецов Рецензенты: доктор экономических наук В.Р. Евстигнеев кандидат политических наук Э.Г. Соловьев Государство 728 Государство в эпоху глобализации: экономика, политика,...»

«FB2: Ghost mail, 24 March 2009, version 1.0 UUID: 10A5819D-2768-43D4-992E-11F26B35A4B1 PDF: fb2pdf-j.20111230, 13.01.2012 Алексей Геннадьевич Ивакин Антипсихология Есть секты религиозные, а есть и психологические. Книга о шарлатанах от психологии, которых расплодилось ныне больше всяких разумных пределов. Ярым приверженцам политкорректности читать категорически не рекомендуется. Содержание Предисловие Часть первая. Псевдопихология и ее жертвы Часть вторая. Пастух Козлов, его бедные овечки и их...»

«Министерство образования Московской области Государственное бюджетное образовательное учреждение Педагогическая академия Муниципальное общеобразовательное учреждение гимназия №9 г.о. Коломна Региональная научно-практическая конференция Психолого-педагогическая безопасность образовательного пространства в современных условиях 14 мая 2012г. Коломна, 2012 г. 2 УДК 371 ББК 74.200.51 Психолого-педагогическая безопасность образовательного пространства в современных условиях. Сборник статей...»

«Практическая подготовка юристов в Российской империи 1. Проблемы правовой организации института помощников присяжных поверенных в Российской империи // Историко-правовые проблемы: новый ракурс Выпуск 1 / отв. ред. В.В. Захаров. Курск: Курский гос. ун-т, 2008. – С.117-125. 0,5 п.л 2. Российская присяжная адвокатура в начале ХХ в. // История, теория, практика российского права. Сборник научных работ. Вып. 5. / отв. ред. В.В. Захаров. Курск: Курский гос. ун-т, 2008. – С. 35-43. 0,5 п.л. 3. Решение...»

«14-я Международная научная конференция “Сахаровские чтения 2014 года: экологические проблемы XXI-го века” проводится 29-30 Мая 2014 года на базе МГЭУ им. А.Д. Сахарова Информационное сообщение Контактная информация Тематика Конференции: 220070, Минск, 1. Философские и социально-экологические проблемы ул. Долгобродская 23, в свете идей А.Д. Сахарова. Республика Беларусь 2. Образование в интересах устойчивого развития. 3. Медицинская экология: экспериментальная Teл.: +375 17 299 56 30 медицинская...»

«Атом для мира Генеральная конференция GC(56)/INF/11 14 сентября 2012 года Общее распространение Русский Язык оригинала: английский Пятьдесят шестая очередная сессия Пункт 13 предварительной повестки дня (GC(56)/1, Add.1, Add.2 и Add.3) Сообщение от 24 августа 2012 года, полученное от Председателя Международной группы по ядерной безопасности (ИНСАГ) 24 августа 2012 года Генеральный директор получил письмо Председателя ИНСАГ Ричарда Месерва, в котором представлены его соображения по нынешним...»

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ им. М.В.ЛОМОНОСОВА БИОЛОГИЧЕСКИЙ ФАКУЛЬТЕТ И МЕЖДУНАРОДНЫЙ НЕЗАВИСИМЫЙ ЭКОЛОГО-ПОЛИТОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ ЦЕНТР ТЕОРЕТИЧЕСКОГО АНАЛИЗА ЭКОЛОГИЧЕСКИХ ПРОБЛЕМ Информационный дайджест НООСФЕРОГЕНЕЗ (на пути к устойчивому развитию человечества) № 6 март 2013 г. (Информационный бюллетень выходит 20 раз в год) Руководитель проекта – профессор, д.б.н. Н.Н. Марфенин Подбор информации – Б. В. Горелов (Составители информбюллетеня не отвечают за достоверность...»

«Атом для мира Генеральная конференция GC(54)/OR.11 Выпущено в феврале 2011 года Общее распространение Русский Язык оригинала: английский Пятьдесят четвертая очередная сессия Пленарное заседание Протокол одиннадцатого заседания Центральные учреждения, Вена, пятница, 24 сентября 2010 года, 23 час. 35 мин. Председатель: г-н ЭНХСАЙХАН (Монголия) Содержание Пункт Пункты повестки дня – Устный доклад Председателя Комитета полного состава по 1– следующим пунктам: – Отчетность Агентства за 2009 год –...»

«Александр Колбин1 КИТАЙ И ЯДЕРНОЕ РАЗОРУЖЕНИЕ: ВОЗМОЖНО ЛИ СОКРАЩЕНИЕ СТРАТЕГИЧЕСКИХ ЯДЕРНЫХ СИЛ КНР? За время, прошедшее с момента выхода в свет статьи четырех авторитетных американских деятелей, в 2008 г. призвавших мир вернуться к идее о необходимости всеобщего ядерного разоружения 2, мы стали свидетелями возрождения многих аспектов разоруженческой проблематики, которые в начале XXI в. по разным причинам находились в упадке. Весной 2009 г. Барак Обама стал первым президентом США, сделавшим...»

«Мыслительные процессы как метод разработки прорывных решений в бизнесе Сергей, Бублик Сергей, Консультант ТОС практики Apple Consulting® Consulting® 24 июня 2010 года IdeasFirst ИННОВАЦИИ: ОТ ИДЕИ К ВНЕДРЕНИЮ 1 План презентации 1. Основа Мыслительных процессов и сферы их применения. 2. Нежелательные явления бизнеса как симптомы системного заболевания. Примеры управленческих решений. 3. Поиск корневого конфликта. Управленческие решения. 4. Примеры изменения бизнес-логики вследствие применения...»

«Министерство сельского хозяйства Российской Федерации Федеральное государственное научное учреждение РОССИЙСКИЙ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ ПРОБЛЕМ МЕЛИОРАЦИИ (ФГНУ РосНИИПМ) ПУТИ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ОРОШАЕМОГО ЗЕМЛЕДЕЛИЯ Сборник научных статей Выпуск 44 Новочеркасск 2010 УДК 631.587 ББК 41.9 П 78 РЕДАКЦИОННАЯ КОЛЛЕГИЯ: В. Н. Щедрин (ответственный редактор), Ю. М. Косиченко, С. М. Васильев, Г. А. Сенчуков, Т. П. Андреева (секретарь). РЕЦЕНЗЕНТЫ: В. И. Ольгаренко – заведующий кафедрой...»

«ВЕСТНИК УДМУРТСКОГО УНИВЕРСИТЕТА 163 ИСТОРИЯ 2006. № 7 МАТЕРИАЛЫ МЕЖДУНАРОДНОЙ НАУЧНОЙ КОНФЕРЕНЦИИ ЭТНОЦЕНТРИЗМ И ТОЛЕРАНТНОСТЬ: АЛЬТЕРНАТИВЫ СОЦИОКУЛЬТУРНОЙ ИНТЕГРАЦИИ. ИЖЕВСК, 6–8 ДЕКАБРЯ 2006 г. А.Н. Маркин (Ижевск) ИМПЕРАТОРСКАЯ ВЛАСТЬ И РИМСКОЕ ОБЩЕСТВО В I В. Н.Э.: ПРОБЛЕМА ВЗАИМООТНОШЕНИЙ Переход к Империи был подготовлен уже в предшествующий период и политически, и идеологически. Создание системы принципата повлекло за собой изменения в отношениях между властью и обществом. Каковы же...»

«JADRAN PISMO d.o.o. UKRAINIAN NEWS № 997 25 февраля 2011. Информационный сервис для моряков• Риека, Фране Брентиния 3 • тел: +385 51 403 185, факс: +385 51 403 189 • email:news@jadranpismo.hr • www.micportal.com COPYRIGHT © - Information appearing in Jadran pismo is the copyright of Jadran pismo d.o.o. Rijeka and must not be reproduced in any medium without license or should not be forwarded or re-transmitted to any other non-subscribing vessel or individual. Главные новости Янукович будет...»

«Подготовительная встреча секции Региональные системы глобальной безопасности Мирового политического форума, Ярославль – 2010 Латвия, Юрмала 29 мая 2010 года СТЕНОГРАММА Пресс-конференция для СМИ, представителей общественности и заинтересованных лиц секции Региональная и глобальная безопасность Мирового политического форума в Ярославле Игорь Юргенс, председатель правления Института современного развития (Россия).разогревочного типа для Ярославской конференции по глобальной безопасности и...»









 
2014 www.konferenciya.seluk.ru - «Бесплатная электронная библиотека - Конференции, лекции»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.