Мониторинг корпоративной сети в целях обеспечения информационной безопасности

Анализаторы протоколов – программные или программно-аппаратные изделиядля изучения особенностей трафика (вплоть до содержимого пакетов) в конкретном сегменте сети. Программно-аппаратные решения подразумевают использование специальных ноутбуков, снабженных различными коммутационными портами и датчиками. Стоимость подобных изделий – десятки тясяч долларов. Стоимость программных решений на порядок дешевле, но они требуют выделения сетевого компьютера под соответствующие цели.

Важнейшим элементом любого анализатора вторжений является декодирующее ядро (Engine). Этот модуль осуществляет декодирование захваченных пакетов с точностью до значений полей. Особенности процесса декодирования определяются точностью настройки фильтра, стоящего на входе. В некоторых анализаторах реализована достаточно гибкая система фильтрации (создание фильтров отбирающих из трафика необходимые пакеты с точностью до поля) - анализатор LANSleuth. В других анализаторах осуществляется фильтрация трафика с точностью до протокола (анализатор EtherPeak). Информация, вырабатываемая модулем Engine является основным анализируемым информационным ресурсом. Генератор сигналов тревоги как правило обладает средствами настройки на сигнатуры возможных атак и неисправностей. В различных моделях анализаторов протоколов этот модуль способен вырабатывать звуковой сигнал а также посылать сообщения на пейджер и факс, используя при этом возможности анализируемой сети. Индикация в реальном масштабе времени основных показателей жизнеспособности сети является существенной компонентой некоторых типов анализаторов протоколов. Это так называемая группа показателей - NetworkVitalSigns. Этот механизм неплохо реализован в анализаторах семейства LinkViewPro.

Анализаторы протоколов снаб­жаются все более развитой системой фильтров и генераторами сигналов тревоги, позволяющими выдавать диагностические сообщения на сете­вые устройства, пейджер или факс, некоторые системы обладают спо­собностью формирования правил безопасности. Но всех этих функций явно недостаточно для полномас­штабной реализации политики без­опасности.

Активное изучение применения анализаторов протоколов как сред­ства предотвращения возможных атак на информационные ресурсы сети привело к появлению принци­пиально нового класса систем — си­стем мониторинга безопасности. Любая такая система обязательно включает в свой состав декодирую­щий анализатор протоколов и библиотеку сигнатур типовых атак. На рис. 4 изображена обобщенная схе­ма системы мониторинга безопасно­сти.

Центральным элементом систе­мы мониторинга безопасности яв­ляется декодирующий анализатор протоколов. Каждый декодирован­ный пакет сравнивается с образца­ми атак из библиотеки сигнатур и в случае выявления сходства гене­рируется сигнал тревоги. В отличие от самых совершенных анализато­ров протоколов,система монито­ринга безопасности обладает ши­роким спектром специализирован­ных агентов, размещаемых на различных сетевых устройствах. Существуют агенты для маршру­тизаторов, для серверов, для меж­сетевых экранов, для систем управ­ления базами данных и других от­ветственных приложений. Каждый агент обладает достаточно сложной структурой и снабжается настраи­ваемым фильтром, позволяющим отбирать из магистрали подозри­тельные с точки зрения безопасно­сти пакеты. Системы мониторинга безопасности снабжены, как прави­ло, средствами формализации пра­вил политики безопасности, кото­рые совместно с библиотеками сиг­натур атак являются фундаментом процесса идентификации возмож­ных атак.

Система мониторинга безопасности может применяться в комплексе смежсетевым экраном, выполняя при этом следующие основные задачи:

· защита от внешних угроз посредством контроля трафика, проходящего между внешней и внутренней сетями. При этом система мониторинга безопасности дополняет возможности межсетевого экрана в части фильтрации трафика.

· защита от внутренних угроз посредством контроля внутреннего трафика.

Система мониторинга безопасности обеспечивает выявление следующих типов «подозрительной» сетевой активности:

· атаки типа «отказ в услугах».

· попытки получения несанкционированного доступа.

· «подозрительные» приложения.

· сетевые игры.

Система мониторинга безопасности обеспечивает:

· пассивную защиту – при обнаружении запрещенной сетевой активности система фиксирует действия в регистрационном журнале и отправляет сообщение на консоль администратора, e-mail сообщение, сообщение на пейджер;

· активную защиту - при обнаружении запрещенной сетевой активности система сбрасывает соединение с адресом, являющимся источником угрозы и модифицирует правила фильтрации межсетевого экрана (маршрутизатора) таким образом, чтобы запретить доступ с этого адреса.

Кроме того, возможна адаптация правил обнаружения запрещенной сетевой активности в соответствии с правилами политики информационной безопасности, принятыми на предприятии.

Существующие системы мониторинга способны функционировать в локальных сетях 10-100-1000 Mbps. При этом наибольшими возможностями в части масштабируемости обладают системы мониторинга, использующие в качестве модулей сбора информации аппаратные реализации анализаторов трафика – в качестве примера можно привести систему CyberCop, в которой применяются анализаторы Sniffer фирмы NetworkGeneral. Причем, чрезвычайно важным с точки зрения производительности сети является то обстоятельство, что система мониторинга безопасности, в отличие от межсетевого экрана, не снижает пропускной способности сети, поскольку производит лишь наблюдение трафика, а не маршрутизацию, как это имеет место в случае использования межсетевого экрана.

73. Формы представления результатов контроля информационной безопасности.

74. Методы оценки эффективности мероприятий информационной безопасности.

С точки зрения общей теории систем можно выделить три класса задач [19]:

задача анализа - определение характеристик системы при заданной ее структуре;

задача синтеза - получение структуры системы, оптимальной по какому-либо критерию (или их совокупности);

задача управления - поиск оптимальных управляющих воздействий на элементы системы в процессе ее функционирования.

Применение системного подхода на этапе создания системы защиты информации (СЗИ) подразумевает решение соответствующей задачи синтеза. Известно, что такой подход (например, применительно к техническим системам) позволяет получить оптимальное по определенному критерию (или их совокупности) решение: структуру, алгоритмы функционирования.

В случае синтеза систем защиты информации результатом должны быть: структура СЗИ, которая может быть практически реализуема при современном уровне развития ИКТ; оценка качества функционирования синтезированной системы; оценка робастности (устойчивости к отклонениям параметров априорно сформированных моделей от фактических параметров) системы.

При этом следует отметить ряд особенностей, которые усложняют постановку и решение задачи синтеза:

- неполнота и неопределенность исходной информации о составе информационной системы и характерных угрозах;

- многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ;

- наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрении СЗИ;

- невозможность применения классических методов оптимизации.

Очевидно, что при оценке качества функционирования синтезированной СЗИ целесообразно производить оценку ее эффективности. В настоящее время в отечественной и зарубежной практике в основном используются два способа оценки [17]:

1) определение соответствия техническому заданию на создание системы защиты реализованных функций и задач защиты, эксплуатационных характеристик и требований;

1) анализ функциональной надежности системы защиты.

Первый способ является наиболее простым и выполняется на этапе приемо-сдаточных испытаний.

Суть второго заключается в следующем. Для обоснования выбора средств защиты в целях эффективного обеспечения защиты вводится классификация их свойств. Каждому классу соответствует определенная совокупность обязательных функций. В России классификация систем защиты определяется руководящим документом Гостехкомиссии "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". В соответствии с этим документом устанавливается семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс - седьмой, самый высокий - первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

- первая группа содержит только один седьмой класс;

- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

- четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Указанные способы используют, по своей сути, системотехнические методики оценки.

Наряду с упомянутыми способами существует ряд методик и моделей, с помощью которых производится анализ эффективности систем защиты информации. Для оценки в моделях используются показатели, характеризующие уязвимость информации, обрабатываемой в информационной системе (ИС), либо некоторые величины, входящие в выражения показателей качества информации.

Как показывает анализ подходов и методов к решению задачи оценки качества защиты информации, система защиты информации, ориентированная на современные ИКТ, как правило, является сложной человеко-машинной системой, разнородной по составляющим компонентам и трудно формализуемой в части построения целостной аналитической модели критериального вида. В общем случае оценку качества функционирования такой системы можно осуществить только различными эвристическими методами, связанными с экспертной оценкой и с последующей интерпретацией результатов.

Для решения задачи оценки качества функционирования СЗИ необходимо использовать показатель качества, который позволил бы оптимизировать задачу синтеза СЗИ, количественно оценить эффективность функционирования системы и осуществить сравнение различных вариантов построения подобных систем.

Исходя из функционального предназначения СЗИ, в качестве показателя качества целесообразно выбрать предотвращенный ущерб, наносимый ИС вследствие воздействия потенциальных угроз.

Остановимся на этом подробнее. Предположим, что можно выделить конечное множество потенциальных угроз ИС, состоящее из ряда элементов. Каждую из потенциальных угроз можно характеризовать вероятностью ее появления и ущербом, наносимым информационной системе. Системы защиты информации выполняют функцию полной или частичной компенсации угроз для ИС. Основной характеристикой СЗИ в данных условиях является вероятность устранения каждой угрозы. За счет функционирования СЗИ обеспечивается уменьшение ущерба, наносимого ИС воздействием угроз.

Имея априорные сведения о составе и вероятностях возникновения угроз СИ и располагая количественными характеристиками ущерба наносимого СИ вследствие их воздействия, требуется определить вариант построения СЗИ, оптимальный по критерию максимума предотвращенного ущерба при условии соблюдения ограничений на допустимые затраты на реализацию СЗИ.

Ущерб, наносимый каждой угрозой, целесообразно определить как степень опасности для ИС (относительный ущерб). При этом если принять, что все угрозы для ИС составляют полную группу событий, степень опасности может быть определена экспертным путем. Такой подход обусловлен, по крайней мере, двумя причинами:

- определение ущерба в абсолютных единицах (экономических потерях, временных затратах, объеме уничтоженной или испорченной информации) весьма затруднительно, особенно на начальном этапе проектирования СЗИ;

- использование относительного ущерба позволяет корректно осуществлять сравнение отдельных угроз (по значениям введенного показателя качества функционирования СЗИ) с целью определения важности требований, предъявляемых к СЗИ.

Значение вероятности устранения каждой угрозы определяется тем, насколько полно учтены количественные и качественные требования к СЗИ при их проектировании.

При указанных исходных предпосылках можно выделить четыре этапа решения задачи синтеза, сформулированной в виде [3]:

- проведения экспертной оценки характеристик угроз: частоты появления и возможного ущерба;

- проведения экспертной оценки важности выполнения каждого требования для устранения некоторой потенциальной угрозы;

- оценки стоимости СЗИ для конкретного варианта ее реализации;

- разработки математической модели и алгоритма выбора рационального построения СЗИ на основе математического аппарата теории нечетких множеств.

Анализ особенностей задачи синтеза СЗИ показывает, что решение ее сопряжено с необходимостью проведения экспертного оценивания на ряде этапов. Оценка качества функционирования СЗИ в ряде случае может быть проведена исключительно на основе экспертного оценивания. Такое положение дел обусловлено, прежде всего, тем, что экспертиза представляет собой мощное средство переработки слабо формализованных данных, которое позволяет выделить наиболее обоснованные утверждения специалистов-экспертов и использовать их, в конечном счете, для подготовки различных решений.

Представленная классификация отражает уровень масштабности применения информационного оружия. Например, есть меры негативного информационного воздействия, которые целесообразно применять только в стратегическом масштабе, как то: подавление теле- и радиопередающих центров государства-противника и организация вещания нужной нападающей стороне информации.

75. Экспертные методы оценки эффективности систем информационной безопасности.

76. Расчетно-аналитические методы оценки эффективности систем информационной безопасности.

77. Системы централизованного управления безопасностью.

Особенности системы централизованного управления и мониторинга средствами защиты информации от несанкционированного доступа