- •Воронеж 2008
- •Воронеж 2008
- •Библиографический список ……………….…...…...133 введение
- •1 Исследование научно-методического обеспечения анализа и управления рисками
- •Обзор, классификация и статистика методов, лежащих в основе атак на современные лвс
- •1.2 Статистические характеристики множества дестабилизирующих факторов
- •1.3 Оценка надежности систем защиты информации
- •1.3.1 Параметры системы защиты
- •1.3.2 Общий подход к оценке эффективности системы защиты
- •1.3.3 Защищенность системы с точки зрения риска
- •Способы задания исходных параметров для оценки защищенности
- •Способы задания соответствия между параметрами угроз, защищаемых объектов и элементов защиты
- •Анализ методик и стандартов системного подхода для оценки и управления рисками в локальной вычислительной сети
- •1.5 Особенности системного подхода к анализу рисков компьютерной информации в составе лвс
- •1.5.1 Объекты угроз
- •1.5.2 Функциональная модель системы защиты
- •1.6 Постановка задач исследования
- •2 Модели чувствительности для оценки и управления рисками от атак на локальные вычислительные сети
- •2.1 Методическое обеспечение оценки рисков от атак на лвс с помощью функций чувствительности
- •2.2 Общие уравнения чувствительности
- •Оценка влияния на риск локальной вычислительной сети рисков от проведенных атак на ее отдельные подсистемы
- •2.4 Реализация модели с использованием созданного программного обеспечения
- •– Интенсивность при сканирование tcp-портов функцией connect();
- •2.5 Математическая модель оценки рисков систем, построенная на основе множественного регрессионного анализа
- •3 Вероятностная модель оценки и управления рискамив локальных сетях с использованием функций чувствительности
- •3.1 Функциональная структура сетевой системы защиты
- •3.2 Управление доступом к ресурсам лвс
- •3.3 Вероятностная модель оценки и управления рискамив локальных сетях с использованием функций чувствительности
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
1.5.1 Объекты угроз
Рассмотрим иную классификацию (которую также можно ввести, анализируя существующую статистику угроз), а именно классификацию угроз по способу их осуществления. Эта классификация необходима нам для формирования задач добавочной защиты информации [45].
Под скрытыми понимаем такие угрозы, которые не очевидны, и требуют для противодействия им дополнительных предположений о возможных атаках злоумышленника. Скрытые угрозы связаны с нерегламентированными действиями пользователя, прежде всего посредством запуска собственных программ, а также с использованием злоумышленником ошибок и закладок в системном и прикладном ПО. При этом скрытая угроза может быть охарактеризована двумя свойствами:
– характеристикой объекта угрозы (например, учетная запись пользователя);
– общей характеристикой атаки злоумышленника (например, модификация учетной записи с применением собственно запущенной про граммы.
Вывод: любой механизм защиты должен проектироваться с учетом как явных, так и скрытых (в том числе и неизвестных) угроз информационной безопасности, так как только в этом случае можно говорить о возможности реализации механизмом защитных свойств.
Для обоснования структуры системы защиты необходимо рассмотреть классификацию объектов угроз. С учетом этой классификации к объектам защиты могут быть отнесены:
– Информационные и иные ресурсы защищаемого объекта, включая локальные и сетевые (в составе ЛВС). К таковым могут быть отнесены собственно система (вход в систему), файловые объекты (локальные и разделяемые) и т.д.
– Программные средства защищаемого объекта, включая программные средства ОС и приложений, а также ПО системы защиты. При этом должна быть обеспечена неизменность, а при необходимости — активность процессов, драйверов, динамических библиотек и т.д.
– Настройки программного обеспечения, включая настройки системного и прикладного ПО (реестр ОС, файлы настроек ОС и приложений, настройки BIOS и т.д.), а также настройки системы защиты (файлы настроек, реестр ОС).
– Аппаратные средства защищаемого объекта, включая собственно оборудование компьютера, а также оборудование системы защиты.
При этом с целью усиления защищенности может использоваться дополнительное оборудование, в частности плата, обеспечивающая функциональное расширение BIOS в части ввода пароля перед загрузкой системы с внешнего носителя.
1.5.2 Функциональная модель системы защиты
Современными нормативными документами в области защиты информации в части защиты от НСД [45, 55, 56] выделяются следующие основные группы механизмов защиты:
– механизмы авторизации пользователей;
– механизмы управления доступом пользователей к ресурсам;
– механизмы контроля целостности;
– механизмы регистрации (аудита).
Функционально (с учетом действий пользователя при доступе к ресурсам, а также с учетом противодействия НСД к информации механизмами защиты) система защиты должна строиться как иерархическая система – могут быть выделены несколько основных уровней иерархии защиты. Выделение данных уровней и их реализация является необходимым (определяется формализованными требованиями) условием построения системы защиты. Функциональная модель системы защиты, которая может быть получена на основании анализа формализованных требований к системе защиты.
Из сравнения функциональных моделей видно, что с целью решения сформулированных выше задач добавочной защиты в модель защиты включены:
– уровень контроля (мониторинга) активности ПО системы защиты;
– уровень контроля (мониторинга) наличия оборудования системы защиты;
– кроме того, принципиально изменены функции уровня контроля целостности — данный уровень защиты здесь функционально предназначен для контроля (мониторинга) корректности выполнения функций защиты и контроля целостности.
Рассмотрим назначение уровней защиты в приведенной функциональной модели. Задачи, решаемые на различных уровнях, реализуются с учетом сформулированных для них требований.
Уровень управления доступом (разграничения прав доступа) реализует собственно разграничительную схему доступа пользователей к ресурсам защищаемого объекта, а также политику администрирования системы защиты в рамках выполнения политики информационной безопасности. Под системой защиты здесь понимаем соответствующие механизмы, встроенные в ОС, СУБД, приложения, а также добавочные механизмы защиты.
Для решения задачи управления доступом к ресурсам на этом уровне выделяются локальные и сетевые ресурсы. К локальным ресурсам, требующим разграничения доступа пользователей, относятся:
– файловые объекты (логические диски, каталоги, файлы);
– устройства со сменными носителями (в частности, дисковод и
CD-ROM);
– отчуждаемые физические носители информации (в частности дискеты и CD-ROM диски);
– коммуникационные порты;
– локальные принтеры;
– процессы (исполняемые файлы), в том числе процессы ОС, системы защиты и приложений — в части их модификации и запуска;
– настройки ОС (для ОС Windows — реестр ОС);
– файлы настроек системы защиты;
– файлы настроек приложений;
– при использовании СУБД — таблицы данных и таблицы настроек;
– настройки «рабочего стола» 'ОС и т.д.
К сетевым ресурсам (в составе ЛВС), требующим разграничения доступа пользователей, относятся:
– разделяемые сетевые ресурсы (по протоколу NetBios для сети Microsoft), к которым относятся разделяемые файловые объекты, устройства со сменными носителями (виртуальные каналы связи сети Microsoft);
– сетевые ресурсы, например, по протоколу TCP/IP (хосты, протоколы), виртуальные каналы связи сети TCP/IP;
– сетевые принтеры;
– сетевые службы и приложения (в том числе приложения информационных систем, например, СУБД), в части их модификации и запуска;
– файлы настроек сетевых служб и приложений и т.д.
Разграничительная политика рассматривается как в виде разграничения
доступа к ресурсам, так и в виде функций, реализующих разрешенный доступ (например, чтение, запись, исполнение и др). Решение задач разграничения доступа пользователей к ресурсам предполагает и реализацию процедур возврата коллективно используемого ресурса в исходное состояние для его предоставления другому пользователю (например, очистка оперативной и внешней памяти).
На этом уровне также решается задача распределения функций администрирования безопасностью системы между пользователями, системным (сетевым) администратором, администраторами СУБД и приложений, администратором безопасности. При этом решается задача централизации схемы администрирования безопасности, в рамках которой изменение настроек безопасности на различных уровнях иерархии системы должно осуществляться только при непосредственном контроле со стороны администратора безопасности.
Отметим, что сама по себе задача контроля целостности предполагает возможность несанкционированного доступа к информации (в противном случае достаточно первых двух уровней защиты). Таким образом, данный механизм априори служит противодействию скрытым угрозам в предположении, что злоумышленником преодолены первые два уровня защиты, которые реализуют разграничительную политику доступа к ресурсам защищаемого объекта.
В рамках формализованных требований недостаток механизма контроля целостности состоит в том, что данный механизм, во-первых, реализует очень ограниченный набор функций, а во-вторых, не позволяет обеспечивать эффективную реакцию на скрытую атаку в реальном времени. По сути он только фиксирует ее факт и последствия.
С учетом сказанного функциональные задачи этого уровня защиты имеет смысл принципиально расширить. При этом к уже существующим задачам контроля целесообразно добавить контроль (мониторинг) корректности выполнения разграничительной политики доступа, реализуемой на предыдущем уровне. В том числе на этом уровне следует в реальном времени фиксировать факты использования злоумышленником ошибок и закладок в системном и прикладном ПО, а также оказывать противодействие данной группе скрытых угроз. К этому уровню также следует отнести контроль целостности программ и данных, то есть контроль объектов файловой системы.
В отличие от двух предыдущих уровней, где соответствующие механизмы (программные модули системы защиты) запускаются асинхронно по факту запроса в системе на доступ к ресурсу, данный уровень реализует синхронную процедуру контроля. При этом он контролирует соответствующие события периодически, что связано с его более сильным влиянием на загрузку вычислительного ресурса защищаемого объекта по сравнению с большинством механизмов защиты двух предыдущих уровней.
Исключение составляют лишь реализуемые на предыдущем уровне механизмы распределения функций администрирования безопасностью системы между пользователями, системным (сетевым) администратором, администраторами СУБД и приложений, а также администратором безопасности [57]. Эти механизмы также реализуются с использованием синхронной процедуры контроля.
Основные выводы первой главы
1. На основе теоретико-множественного подхода в описании ЛВС с учетом воздействия дестабилизирующих факторов на информационное пространство, сформулированы основные задачи исследования.
2. Обоснована целесообразность использования аппарата функций чувствительности с использованием множественной нелинейной регрессии при построении математическая модели оценки и управления рисками от атак на локальную вычислительную сеть.
3. Применение вероятностной модели с использованием аппарата функций чувствительности дает возможность ранжировки объясняющих переменных, согласно величинам частных коэффициентов корреляции, позволяет определить относительный вес каждой из них, что дает возможность выдать рекомендации по определению наиболее рациональных направлений совершенствования систем в направлении уменьшения рисков.