Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 50072.doc
Скачиваний:
5
Добавлен:
30.04.2022
Размер:
1.46 Mб
Скачать
►Содержание►

2.4. Риск-анализ использования технологий обнаружения информационных воздействий

Процесс оценки и нейтрализации рисков важный компонент эффективности программ защиты информационно-телекоммуникационных систем. Основная цель процесса оценки и нейтрализации рисков состоит в том, чтобы защитить не только ресурсы информационно-телекоммуникационных систем, а организацию в целом.

Оценка рисков - первый шаг в методологии процесса оценки и нейтрализации рисков. В ходе его определяются уровни рисков для информационно-телекоммуникационной системы на всех этапах ее жизненного цикла. В результате выполнения этого процесса можно предварительно определить соответствующие мероприятия защиты по снижению или устранению рисков.

Риск - функция вероятности использования данным источником угрозы определенной потенциальной уязвимости с целью выполнения неблагоприятного воздействия на информационно-телекоммуникационную систему и организацию.

Чтобы определить вероятность будущего неблагоприятного события, должны быть проанализированы угрозы, потенциальные уязвимости и мероприятия защиты в информационно-телекоммуникационной системе.

Воздействие соотносится с величиной ущерба (уровнем воздействия), который мог бы быть вызван реализацией угрозы через уязвимость.

Уровень воздействия определяется потенциальным воздействием на информационно-телекоммуникационной системе и, в свою очередь, имеет значение, соответствующее уровню ущерба ресурсам информационно-телекоммуникационной системы, которые оно затрагивает (рис. 2.8).

Экспертная оценка:

18 экспертов - сотрудники ОАО «Концерн «Созвездие»

Данные по статистическим оценкам ИБ в Воронежском регионе, имеющиеся в ОАО «Концерн «Созвездие».

Соотношение известных и неизвестных воздействий, разделенных по типам систем, приведено в табл. 2.1.

Рис. 2.8. Процедура определения риска

Таблица 2.1

Распределение угроз по типам систем

Тип

Соотношение известных и неизвестных воздействий

Стоимость, у.е.

Домашние системы

100/-

100

Банковские системы

80/20

106

Военные системы:

- Тактические

- Оперативные

- Стратегические

0/100

106

107

108

Эффективность информационного воздействия без мер защиты и при использовании средств обнаружения можно увидеть из табл. 2.2.

Таблица 2.2

Усредненная по типам систем эффективность

информационного воздействия

Тип обнаружения

Вероятность без мер защиты

Вероятность при использовании средств обнаружения

Обнаружение известных воздействий

Сигнатурный:

- Вирусы;

- Ловушки;

- Трояны

0,95

0,98

0,91

0,03

0,1

0,02

Структурный:

- Системы информационного захвата;

- Недокументированные возможности

0,74

0,96

0,07

0,12

Системный:

- Системы удаленного администрирования;

- Сетевые «черви»

Продолжение табл. 2.2

0,68

0,92

0,08

0,10

Обнаружение неизвестных воздействий

0,97

0,01

В домашних системах связи, в соответствии с ее спецификой, необходимо учитывать риск только в случае обнаружения на сигнатурном уровне. Обнаружение на других типах анализа считается нецелесообразным. Значение рисков в домашних системах связи рассмотрены в табл. 2.3.

Таблица 2.3

Значение рисков в домашних системах связи

Тип обнаружения

Стоимость, у.е.

Риск,у.е.

Обнаружение известных воздействий

Сигнатурный:

- Вирусы;

- Ловушки;

- Трояны

100

3

10

2

Структурный:

- Системы информационного захвата;

- Недокументированные возможности

-

-

Системный:

- Системы удаленного администрирования;

- Сетевые «черви»

-

-

В банковских системах необходимо учитывать все типы. Однако неизвестные типы информационных воздействий занимают малую долю. Поэтому необходимо учитывать риски для обоих типов информационных воздействий (известных и неизвестных). Значение рисков в банковских системах связи рассмотрены в табл. 2.4.

Таблица 2.4

Значение рисков в банковских системах связи

Тип обнаружения

Стоимость, у.е.

Риск, у.е.

Обнаружение известных воздействий

Сигнатурный:

  • Вирусы;

  • Ловушки;

  • Трояны

1000000

30000

100000

20000

Структурный:

  • Системы информационного захвата;

  • Недокументированные возможности

70000

120000

Системный:

  • Системы удаленного администрирования;

  • Сетевые «черви»

80000

100000

Обнаружение неизвестных воздействий

1000000

10000

В военных системах необходимо учитывать, главным образом, неизвестные типы ИВ (табл. 2.5).

Таблица 2.5

Значение рисков в военных системах связи

Тип обнаружения

Стоимость, у.е.

Риск, у.е.

Обнаружение известных воздействий

Сигнатурный:

  • Вирусы;

  • Ловушки;

  • Трояны

100000000

-

Структурный:

  • Системы информационного захвата;

  • Недокументированные возможности

-

Системный:

  • Системы удаленного администрирования;

  • Сетевые «черви»

-

Обнаружение неизвестных воздействий

100000000

1000000

Рассчитаем эффективности, используя следующую формулу. Затраты приведены в табл. 2.6.

Эсигн = (0,946-0,05)/100 = 0,00896

Эструк = (0,85-0,095)/1000 = 0,000755

Эсистемн = (0,8-0,09)/5000 = 0,000142

Энеиз в = (0,97-0,01)/20000 = 0,000048

Таблица 2.6

Затраты

Затраты, (у.е.)

Сигнатурный

100

Структурный

1000

Системный

5000

Неизвестные воздействия

20000

Таким образом, был осуществлен риск-анализ использования различных технологий обнаружения информационных воздействий. На основе полученных значений эффективности можно сделать вывод, что сигнатурный метод обнаружения вредоносных воздействий является наиболее мощным и эффеективным.

ВОПРОСЫ ДЛЯ САМОКОНТРОЛЯ

  1. Дайте понятие «уязвимость системы».

  2. Перечислите три основных подхода применяемые к выявлению уязвимостей кода.

  3. Охарактеризуйте методы и средства сигнатурного обнаружения потенциально опасных фрагментов унитарного кода.

  4. Перечислите и раскройте способы построения сигнатурного анализатора.

  5. Приведите пример одноканального сигнатурного анализатора.

  6. Опишите продукционные (экспертные) системы обнаружения вторжений.

  7. В чем состоят преимущества и недостатки продукционных систем обнаружения вторжений?

  8. Перечислите основные методы и средства структурного обнаружения потенциально опасных фрагментов унитарного кода.

  9. Опишите метод неинтеллектуального дизассемблирования.

  10. Поясните работу классического дизассемблера, используя его структуру (рис. 1.1).

  11. Опишите метод интеллектуального дизассемблирования от точки входа.

  12. Поясните особенности метода потокового анализа фрагментов унитарного кода.

  13. Поясните структуру дизассемблера автоматизированного анализа унитарного кода (рис 1.2).

  14. Продемонстрируйте алгоритм дизассемблирования от точки входа, реализованный в динамическом алгоритме, на примере программ-вирусов.

  15. Перечислите методы и средства системного обнаружения потенциально опасных фрагментов унитарного кода

  16. Опишите специфику методов статистического анализа унитарного кода.

  17. Обоснуйте эффективность метода эвристического анализа.

  18. Перечислите основные этапы проведения анализа потоков унитарного кода.

  19. Опишите алгоритм оценки потенциальной опасности фрагментов унитарного кода.

  20. Определите эффективность разработанной структурно-функциональная схемы программно-аппаратного комплекса анализа фрагментов унитарного кода.

  21. Обоснуйте, почему методы сигнатурного обнаружения вторжений являются более мощными и эффективными по сравнению с другими методами.

ЗАКЛЮЧЕНИЕ

Следует иметь ввиду ряд методических приемов, необходимых при анализе унитарного кода. В качестве основных из них можно выделить следующие:

- на основе анализа функционирования информационно-телекоммуникационной системы определены основные этапы и способы проведения анализа потоков унитарного кода с учетом ограничений по ресурсу режима реального времени;

- кроме того, должны быть определены методики оценки показателей потенциальной опасности исследуемого фрагмента (или пакета) унитарного кода с учетом возможности полиморфизма первого и второго рода;

- на ряду с этим следует синтезировать алгоритм оценки показателей опасности исследуемого унитарного кода на структурном, сигнатурном и системном уровнях.

Изложенная методика позволяет решать достаточно широкий круг задач защиты информационно-телекоммуника-ционных систем на уровне унитарного кода.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

  1. Алексеев В.М. Символьная динамика и гиперболические динамические системы / В.М. Алексеев, М.В. Якобсон. – М.: Мир, 1979. –. 312 с.

  2. Алиев Р.А. Методы и алгоритмы координации в промышленных системах управления / Р.А. Алиев, М.И. Либерзон. – М.: Радио и связь, 1987. – 208 с.

  3. Андреев Ю.В. Хаотические процессоры / Ю.В. Андреев, А.С. Дмитриев, Д.А. Куминов // Успехи современной радиоэлектроники. – 1997.- № 10. - С. 50−79.

  4. Блэк Ю. Сети ЭВМ: протоколы, стандарты, интерфейсы / Ю. Блэк.- М.: Мир, 1990. – 98 с.

  5. Борисов В.И. Воронежский НИИ связи  40 лет на рынке информационных технологий / В.И. Борисов // Теория и техника радиосвязи. – 1998.- № 1. - С. 817.

  6. Буслов Д.С. Принципы безопасного входа и функционирования в защищенных областях информационных пространств / Д.С. Буслов, С.А. Гущин, Н.Н. Толстых // Труды Военного института радиоэлектроники.- 1998.- № 5. - С. 57-63.

  7. Особенности обнаружения программных средств воздействия на информационные системы / Д.С. Буслов, В.И. Николаев, Р.В. Павлов, Н.Н. Толстых // Охрана–99: сб. тез. докл. III всеросс. науч.–практ. конф. – Воронеж: Воронеж. институт МВД, 1999. – С. 47.

  8. Особенности обнаружения попыток информационных воздействий в системах хранения и обработки данных / Д.С. Буслов, В.И. Николаев,. Р.В. Павлов, Н.Н. Толстых // сб. докл. XVII всерос. научн. конф.- М., 1999. – С. 39.

  9. Типы информационных воздействий и акций / Д.С. Буслов, С.И. Гущин, Р.В. Павлов, Н.Н. Толстых // Информационная безопасность автоматизированных систем: труды науч.-тех. конф.- Воронеж, 1998. – С. 23.

  10. Вержбицкий В.М. Численные методы: линейная алгебра и нелинейные уравнения / В.М. Вержбицкий. – М.: Высш. шк., 2000. – 266 с.

  11. Войниканис Е.А. Информация. Собственность. Интернет. Традиция и новеллы в современном праве / Е.А. Войниканис, М.В. Якушев. - М.: Волтерс Клувер, 2004. – 163 с.

  12. Волеводз А.Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества / А.Г. Волеводз. – М.: Юрлитинформ, 2002. – 496 с.

  13. Волобуев С.В. Философия безопасности социотехнических систем / С.В. Волобуев. – М.: Вузовская книга, 2002.- 360 с.

  14. Грушо А.А. Теоретические основы защиты информации / А.А. Грушо, Е.Е. Тимонина. – М: Яхтсмен, 1996. – 243 с.

  15. Дженнингс Ф. Практическая передача данных. Модемы, сети и протоколы / Ф. Дженнингс.- М.: Мир, 1989. – 79 с.

  16. Дружинин В.В. Введение в теорию конфликта / В.В. Дружинин, Д.С. Конторов, М.Д. Конторов. – М.: Радио и связь, 1989.– 288 с.

  17. Жуков В. Взгляды военного руководства США на ведение информационной войны / В. Жуков // Зарубежное военное обозрение.- 2001.- № 1. – С. 57.

  18. Завидов Б.Д. Обычное мошенничество и мошенничество в сфере высоких технологий: практ. пособие / Б.Д. Завидов. – М.: Приор, 2002. – 32 с.

  19. Зегжда Д.П. Как построить защищенную информационную систему / Д.П. Зегжда, А.М. Ивашко. – СПб: НПО «Мир и семья», 1997. – 298 с.

  20. Зегжда П.Д. Теория и практика обеспечения информационной безопасности / П.Д. Зегжда. – М.: Яхтсмен, 1996. – 110 с.

  21. Теория передачи сигналов: учебник для вузов / А.Г. Зюко, Д.Д. Кловский, М.В. Назаров, Л.М.Финк.– М.: Радио и связь, 1986, - С. 98-104.

  22. Иванов В.И. Цифровые и аналоговые системы передачи / В.И. Иванов. – М.: Радио и связь, 1995. – С. 123-125.

  23. Кирьянов К.Г. Сигнатурный анализ / К.Г. Кирьянов.- Н.-Новгород: ЭСМО, 1999. – 207 с.

  24. Касперски Крис. Тонкости дизассемблирования / Крис Касперски. - М.: Москва, 1999. – 34 с.

  25. Калашников Н. И. Системы радиосвязи: учебник для вузов / Н.И. Калашников. – М.: Радио и связь, 1988. – 89с.

  26. Калмыков В.В. Радиотехнические системы передачи информации / В.В. Калмыков.– М.: Радио и связь, 1990. – 120 с.

  27. Каптерев А.И. Информатизация социокультурного пространства / А.И. Каптерев. – М.: Фаир-Пресс, 2004. – 512 с.

  28. Кини Р.Л. Принятие решений при многих критериях предпочтения и запрещения / Р.Л. Кини, Г. Райфа. – М.: Радио и связь, 1977. – 302 с.

  29. Клишина А. Коллизионные вопросы использования коммерческой тайны / А. Клишина //Интеллектуальная собственность: Промышленная собственность. – 2005.- № 1. – С. 48-56.

  30. Колин К.К. Информационная технология как научная дисциплина / К.К. Колин // Информационные технологии. - № 2. - М.: Машиностроение.- 2001. - С. 45.

  31. Комов С.А. О способах и формах ведения информационной борьбы /С.А. Комов // Военная мысль. - №4.- 1997. - С. 35.

  32. Корн Т. Справочник по математике / Т. Корн, Г. Корн. – М.: Наука, 1978. – 832 с.

  33. Корт С.С. Разработка методов и средств поиска уязвимостей при сертификационных испытаниях защищенных вычислительных систем: дис. канд. техн. наук / С.С. Корт. – СПб.: Санкт-Петербургский гос. техн. ун-т, 1998. – 68 с.

  34. Костин Н.А. Общие основы теории информационной борьбы / Н.А. Костина // Военная мысль. - 1997. - №3. - С. 34.

  35. Кузнецов В.И. Радиосвязь в условиях радиоэлектронной борьбы / В.И. Кузнецов. – Воронеж: ВНИИС, 2002.–403 с.

  36. Кузнецов В.И. Системное проектирование радиосвязи: методы и обеспечение / В.И. Кузнецов.– Воронеж: ВНИИС, 1994. – 287 с.

  37. Курило А.П. О проблеме компьютерной безопасности / А.П. Курило // Научно-техническая информация. Сер. 1: Орг. и методика информ. работы. – 1993. - №8. - С. 7-10.

  38. Лапач В.А. Система объектов гражданских прав: Теория и судебная практика / В.А. Лапач. – СПб.: Юридический центр Пресс, 2002. – 526 с.

  39. Лешек А. Анализ требований и проектирование систем. Разработка информационных систем с использованием UML / А. Лешек, Г. Мацяшек. – М.: Вильямс, 2002. – 432.

  40. Лобанов Г. Информация как объект гражданских правоотношений / Г. Лобанов // Бизнес адвокат. – 1998. - № 6. - С.11-19.

  41. Лунгу К.Н. Линейное программирование / К.Н. Лунгу. – М.: Высш. шк., 2005. – 128 с.

  42. Манойло А.В. Государственная политика в условиях информационно-психологической войны / А.В. Манойло, А.И. Петренко, Д.Б. Фролов. – М.: Горячая линия - Телеком, 2003. – 541 с.

  43. Мельников В.В. Защита информации в компьютерных системах / В.В Мельников. – М.: Финансы и статистика, Энергоинформ, 1997. – 369 с.

  44. Месарович М. Теория иерархических многоуровневых систем / М. Месарович, Д. Мако, И. Такахара. – М.: Мир, 1973. – 342 с.

  45. Могилевский В.Д. Методология систем / В.Д. Могилевский. – М.: Экономика, 1999. – С. 251

  46. Павлов В.А. Обобщенная модель процесса функционирования автоматизированных систем в режиме информационного конфликта / В.А. Павлов, Р.В. Павлов, Н.Н. Толстых. – Воронеж: ВНИИС, 1998. – 98 с.

  47. Петросян Л.А. Теория игр / Л.А. Петросян, Н.А. Зенкевич, Е.А.Семина. – М.: Высш. шк., 1998. – 304 с.

  48. Постон Т. Теория катастроф / Т. Постон, И. Стюарт. – М.: Мир, 1980. – 607 с.

  49. Критерии и показатели режима взаимодействия автоматизированных телекоммуникационных комплексов связи и управления. Информация и безопасность / А.Н. Пятунин, И.В. Марейченко, В.А. Павлов, Н.Н. Толстых // Методы и средства защиты информации: тез. докл. регион. конф. молодых ученых.- Воронеж: ВГТУ, 2004.-С. 79.

  50. Пятунин А.Н. Основы построения и эксплуатации защищенных телекоммуникационных систем: учеб. пособие / А.Н. Пятунин, В.А. Павлов. – Воронеж: ВГТУ, 2004. - 78 с.

  51. Таксономия взаимодействия автоматизированных телекоммуникационных комплексов и информационных воздействий. Информация и безопасность / А.Н. Пятунин, В.А. Павлов, И.Ю. Слепов, Н.Н. Толстых // Методы и средства защиты информации: тез. докл. регион. конф. молодых ученых. - Воронеж: ВГТУ, 2004. – С. 20.

  52. Андреев Б.В. Расследование преступлений в сфере компьютерной информации / Б.В Андреев, П.Н Пак, В.П. Хорст. – М.: Юрлитинформ, 2001. – 152 с.

  53. Концепция информационной безопасности.

  54. Руководящие документы Гостехкомиссии при Президенте РФ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

  55. Руководящие документы Гостехкомиссии при Президенте РФ. Защита от несанкционированного доступа к информации. Термины и определения.

  56. Руководящие документы Гостехкомиссии при Президенте РФ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

  57. Руководящие документы Гостехкомиссии при Президенте РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

  58. Соболев К. Исследование системы безопасности в Windows NT / К. Соболев // Hackzone.- № 1-2.- 1999. - С. 90.

  59. Спицер Ф. Принципы случайного блуждания /Ф. Спицер . – М.: Мир, 1969. – 472 с.

  60. Цыпкин Я.З. Адаптация и обучение в автоматизированных системах / Я.З. Цыпкин. – М.: Наука, 1968. – 400 с.

  61. Chung K.L., Fuchs W.H.J. On the distribution of values of sums of random variables. – Met. Am. Math. Soc., 1951, vol.

Учебное издание

Щербаков Владимир Борисович

Толстых Николай Николаевич

Остапенко Григорий Александрович

ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ НА ОСНОВЕ АНАЛИЗА

ФРАГМЕНТОВ УНИТАРНОГО КОДА

В авторской редакции

Компьютерный набор В.А. Новикова

Подписано к изданию 28.05.2007.

Уч.-изд. л. 4,3.

ГОУВПО «Воронежский государственный технический

университет»

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности