Защита автоматизированных систем от внешних атак

ВВЕДЕНИЕ.

ГЛАВА I. АНАЛИЗ И  КЛАССИФИКАЦИЯ ОСНОВНЫХ ПОНЯТИЙ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИАВТОМАТИЗИРОВАННЫХ СИСТЕМ.

1.1. Структурная модель  автоматизированной системы.

1.2. Классификация информационных атак на автоматизированные системы.

1.3. Средства защиты автоматизированных систем от информационных атак.

1.3.1. Средства криптографической защиты информации.

1.3.2. Средства разграничения  доступа пользователей к информационным  ресурсам АС.

1.3.3. Средства анализа  защищённости автоматизированных систем.

1.3.4. Средства обнаружения  атак.

1.3.5. Средства антивирусной  защиты.

1.4. Выводы.

ГЛАВА II. АНАЛИЗ СУЩЕСТВУЮЩИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК.

2.1. Анализ существующих  моделей информационных атак.

2.1.1. Табличные и  диаграммные модели информационных  атак.

2.1.2. Формализованные  модели информационных атак.

2.2. Анализ существующих  моделей процесса обнаружения  информационных атак.

2.2.1. Сигнатурные модели процесса обнаружения атак.

2.2.2. Поведенческие  модели процесса выявления атак.

2.3. Модели процесса  оценки рисков информационной  безопасности АС.

2.3.1. Модель, заложенная  в основу программного комплекса  оценки рисков «Кондор».

2.3.2. Модель, заложенная  в основу программного комплекса  оценки рисков «Гриф».

2.3.3. Модель, заложенная  в основу программного комплекса  оценки рисков «Risk Matrix».

2.3.4. Модель, заложенная  в основу методики оценки рисков  «OCTAVE».

2.4. Выводы.

ГЛАВА III. РАЗРАБОТКА НОВЫХ МАТЕМАТИЧЕСКИХ МОДЕЛЕЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ ИНФОРМАЦИОННЫХ АТАК.

3.1. Математическая  модель информационных атак на  ресурсы автоматизированных систем.

3.1.1. Формальное описание  модели информационных атак.

3.1.2. Особенности  использования разработанной математической  модели информационных атак.

3.2. Математическая  модель процесса обнаружения  информационных атак.

3.3. Математическая  модель процесса оценки рисков информационной безопасности автоматизированных систем.

3.3.1. Описание модели процесса оценки рисков информационной безопасности.

3.3.2. Особенности  использования модели оценки рисков безопасности.

3.3.3. Методика разработки  рекомендаций по повышению уровня  защиты автоматизированных систем  на основе модели оценки рисков  безопасности.

3.4. Выводы.

ГЛАВА IV. ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ РАЗРАБОТАННОЙ МАТЕМАТИЧЕСКОЙ МОДЕЛИ ПРОЦЕССА ВЫЯВЛЕНИЯ ИНФОРМАЦИОННЫХ АТАК.

4.1. Структура конфигурационного файла разработанного прототипа системы обнаружения атак, построенного на основе поведенческой модели.

4.2. Программа и  методика испытаний разработанного  прототипа системы обнаружения  атак, построенного на основе  поведенческой модели.

4.2.1. Объект и цель  испытаний.

4.2.2. Функциональные  требования к прототипу системы  обнаружения атак.

4.2.3. Технические  и программные средства проведения  испытаний.

4.2.4. Порядок проведения  испытаний.

4.2.5. Результаты проведённых  испытаний.

4.3. Описание системы  обнаружения атак, предназначенной  для промышленной реализации.

4.3.1. Хостовые датчики системы обнаружения атак.

4.3.2. Сетевые датчики  системы обнаружения атак.

4.3.3. Агенты системы  обнаружения атак.

4.3.4. Модуль реагирования  системы обнаружения атак.

4.3.5. Информационный  фонд системы обнаружения атак.

4.3.6. Консоль администратора  системы обнаружения атак.

4.3.7. Модуль координации потоков информации системы обнаружения атак.

4.4. Выводы.

Введение: 

Актуальность работы. В настоящее время для обработки, хранения и передачи информации повсеместно  используются автоматизированные системы (АС). АС являются одним из краеугольных камней, на основе которых построены  бизнес-процессы предприятий различных  форм и назначений. Однако за последние несколько лет наметилась тенденция к неуклонному увеличению числа информационных атак на ресурсы АС, реализация которых привела к значительным материальным потерям. Так, например, по данным координационного центра немедленного реагирования CERT/CC [76], в 2003 г. было зафиксировано 137529 успешных информационных атак, что почти в два раза превышает аналогичный показатель 2002 г. и в десятки раз выше числа атак, реализованных в 1999 году. В качестве основных причин постоянного увеличения количества атак на информационные ресурсы АС можно выделить следующее [26]:

• увеличение количества уязвимостей, обнаруживаемых в программно-аппаратном обеспечении АС;

• увеличение типов  возможных объектов атаки. Так, если несколько лет назад в качестве основных объектов атаки рассматривались  исключительно серверы стандартных Интернет-служб, такие как Web-серверы, почтовые SMTP-серверы и файловые FTP-серверы, то к настоящему моменту уже существуют методы проведения атак на ресурсы маршрутизаторов, коммутаторов, межсетевых экранов и других компонентов АС;

• увеличение доступности  программных средств, предназначенных  для автоматизации процессе проведения информационной атаки. В настоящее  время в сети Интернет можно без  труда найти большое количество готовых программ, при помощи которых  пользователь имеет возможность  реализовать различные типы атак. При этом использование этих средств  не требует от пользователя высокой  квалификации;

• увеличение количества пользователей общедоступных сетей  связи, таких как сеть Интернет, где в качестве пользователей выступают и отдельные клиентские рабочие станции, и целые корпоративные сети. Рост числа пользователей приводит к увеличению количества потенциальных источников и целей для атаки. Изложенное выше говорит о высокой актуальности и значимости работ, проводимых в области обеспечения информационной безопасности АС. В этой связи необходимо констатировать, что методологическая база теории информационной безопасности, как нового научного направления, в настоящее время находится в стадии формирования, о чём говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Д. Деннинг, К. Лендвер, М. Ранум и др. [2, 6, 8, 60, 78, 89, 96]. Важно подчеркнуть, что значительное внимание эти учёные уделяют разработке формальных моделей разграничения доступа, защищенных операционных систем и криптографической защиты информации. В тоже самое время вопросы, касающиеся разработки математических моделей информационных атак, процесса их обнаружения и оценки риска, пока не находят должного внимания. Это обосновывает актуальность исследований, проводимых в области разработки формальных моделей информационных атак на АС, а также способов защиты от них.

Цель и задачи работы. Целью диссертационной работы является повышение эффективности  защиты АС от информационных атак. Для  достижения поставленной цели в работе решались следующие задачи:

• систематизация и  анализ существующих типов информационных атак, а также средств защиты АС;

• сравнительный  анализ существующих математических моделей  защиты АС от информационных атак, включая  модели атак, модели процесса обнаружения  атак и модели процесса оценки рисков информационной безопасности;

• разработка математической модели информационных атак на АС, модели процесса выявления атак, а также  модели процесса оценки рисков информационной безопасности с учётом выявленных недостатков существующих моделей;

• разработка действующего прототипа системы обнаружения  атак, реализующего разработанную модель выявления атак;

• разработка структуры  системы обнаружения атак, предназначенной  для промышленной реализации.

Методы исследования. При решении поставленных задач  использован математический аппарат  теории графов, теории множеств, теории автоматов и теории вероятностей.

Научная новизна  проведённых исследований и полученных в работе результатов заключается  в следующем:

• разработана классификационная  схема информационных атак на ресурсы  АС, которая, в отличие от существующих классификаций, позволяет учитывать  взаимосвязь уязвимостей, атак и  их возможных последствий;

• разработана математическая модель информационных атак, которая  может быть использована для представления  разных типов атак в виде графовых структур. В отличие от существующих моделей информационных атак она является многофакторной, что позволяет учитывать три основных параметра атаки -уязвимость, метод реализации атаки и её возможные последствия;

• разработана поведенческая  модель процесса выявления атак на основе конечных автоматныхраспознавателей, которая, в отличие от существующих моделей, позволяет более эффективно выявлять как известные, так и новые типы информационных атак. Модель также предусматривает возможность прослеживания процесса принятия решения о выявлении атаки в АС;

• разработана модель процесса оценки рисков информационной безопасности, которая базируется на созданной графовой модели атак. Модель позволяет вычислять значение риска путём определения уровня ущерба от атаки, а также вероятности её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы.

Практическая значимость работы заключается в следующем:

1. Разработан программный  прототип системы обнаружения  атак, предназначенного для защиты Web-сервера Microsoft Internet Information Services. Прототип базируется на разработанной математической модели процесса выявления атак.

2. Разработана структура  системы обнаружения атак, предназначенная  для промышленной реализации.

3. Создана методика  разработки рекомендаций по повышению  уровня защиты АС от информационных  атак.

Полученные результаты могут быть использованы для создания и оценки эффективности средств  защиты АС от информационных атак.

Апробация работы. Основные теоретические и практические результаты работы обсуждались на Десятой конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2002 г.), Второй и Четвёртой Международной научно-практической конференции «Моделирование. Теория, методы и средства» (Новочеркасск, 2002 г., 2004 г.), Десятой юбилейной Международной студенческой школы-семинара «Новые информационные технологии» (Судак, 2002 г.), Второй всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, 2003), Тринадцатой Международной научной конференция «Информатизация и информационная безопасность правоохранительных органов» (Москва, 2004 г.), а также на XXVIII, XXVIV и XXX Международных молодёжных научных конференциях «Гагаринские чтения» (Москва, 2002,2003 и 2004гт.).

Основные положения  и результаты диссертационной работы вошли в отчёты по научно-исследовательской  работе по теме «Разработка предложений  по технологии обеспечения информационной безопасности сети передачи данных дорожного  уровня» (инвентарный номер 1872) и  по специальной теме (инвентарные  номера 14с, 15с, 82с и 83с), а также  отражены в ряде работ, опубликованных в научно-технических журналах: "Информационные технологии", "Connect. Мир связи", "Сетевой журнал", "Системы безопасности и телекоммуникаций", "Ведомственные и корпоративные сети связи", "BYTE/Россия", "Сети и системы связи", "Informatica / Slovenia".

Публикации. По теме диссертации опубликовано 52 работы, в том числе 5 отчётов о

НИР.

Объём и структура  работы. Диссертационная работа состоит  из введения, четырёх глав, заключения и одного приложения. Основное содержание работы изложено на 171 странице, включая 74 рисунка, 34 таблицы и список литературы из 157 наименований.