Защита автоматизированных систем от внешних атак

Заключение: 

4.4. Выводы

На основе поведенческой  модели процесса выявления атак (см. п. 3.2), созданной в результате проведенных исследований, был разработан прототип СОА, предназначенный для выявления и блокирования атак на Web-сервер Microsoft IIS. Проведённые испытания прототипа СОА позволяют сделать следующие выводы:

• прототип СОА позволяет  эффективно выявлять и блокировать  как известные, так и новые  типы атак;

• прототип СОА не снижает производительности работы защищаемого им Web-сервера поскольку он реализован на уровне прикладного ПО в виде ISAPI-фильтра;

• в конфигурационном файле прототипа СОА предусмотрено большое количество параметров, которые позволяют гибко настраивать прототип на выявление новых классов атак.

Разработанный прототип может быть заложен в основу промышленной реализации СОА. Для этого в архитектуру  СОА должны быть включены следующие  компоненты: сетевые датчики, предназначенные  для обнаружения атак в рамках того сегмента, где они установлены;

• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы;

• модули-агенты, выполняющие  функции управления хостовыми и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и модулем координации потоков информации;

• модуль координации  потоков информации, выполняющий  функции маршрутизации информации, передаваемой между компонентами СОА;

• информационный фонд, который выполняет функции централизованного  хранения конфигурационной информации, а также результатов работы СОА;

• модуль реагирования на информационные атаки, выявленные средствами СОА;

• консоль администратора, предназначенная для централизованного  управления компонентами СОА, а также  для отображения результатов  работы системы.

ЗАКЛЮЧЕНИЕ

Проведенные в диссертационной  работе «Разработка и исследование математических моделей защиты автоматизированных систем от информационных атак» исследования позволили получить научно-теоретические  и практические результаты, которые  дают основание сделать следующие  выводы.

1. Разработана структурная  модель АС, которая представляет  АС в виде множества узлов,  каждый из которых представлен  уровнем аппаратного, общесистемного  и прикладного программного обеспечения.  Модель позволяет учитывать возможность  локального и сетевого взаимодействия  с узлами АС, которое представляется  в виде семиуровневой модели ВОС.

2. Разработана классификационная  схема информационных атак на АС, которая, в отличие от существующих классификаций, позволяет учитывать взаимосвязь уязвимостей, атак и их возможных последствий. С помощью разработанных классификационных схем имеется возможность определить к какому уровню структурной модели АС относится атака.

3. Проведен анализ  функциональных возможностей существующих  средств защиты АС от информационных  атак на основе разработанной  классификации этих средств. В  соответствии с этой классификацией  рассмотрены функциональные возможности  средств криптографической защиты информации, средств разграничения доступа, средств анализа защищённости, средств обнаружения атак и средств антивирусной защиты.

4. Проведён сравнительный  анализ существующих моделей  информационных атак на АС, который показал, что наибольшей эффективностью обладают модели Б. Шнайера и СПИИ РАН, которые могут наиболее эффективно использоваться для исследования свойств атак нарушителей. Однако, ни одна из этих моделей не является многофакторной и не включает в себя одновременно три базовых параметра атаки -уязвимость, метод реализации атаки и её возможные последствия.

5. Проведён сравнительный  анализ существующих моделей сигнатурных и поведенческих моделей процесса обнаружения атак, который показал, что на момент проводимых исследований наибольшей эффективностью обладала сигнатурная модель контекстного поиска информации, основанная на специализированных языках. Однако, принимая во внимание тот факт, что сигнатурные модели выявления атак не имеют возможности обнаруживать новые типы атак, целесообразнее их использовать совместно с поведенческими моделями. В тоже время полученные результаты показывают, что рассмотренные в работе поведенческие модели процесса обнаружения атак не способны эффективно выявлять новые типы атак.

6. Проведён сравнительный анализ существующих моделей процесса оценки рисков безопасности, который показал, что эти модели могут быть разделены на два основных типа: 1) модели, предназначенные для оценки рисков путём определения соответствия текущего уровня безопасности АС заданному множеству требований безопасности; 2) модели, предназначенные для оценки рисков посредством определения вероятности проведения атак и уровня ущерба от них. Показано, что программные комплексы, основанные на моделях оценки рисков первого типа могут быть эффективно использованы для проверки организационных мер защиты применяемых в АС. Однако для оценки эффективности применяемых технических средств защиты целесообразнее применять модели, позволяющие определить вероятность атаки и уровень ущерба. Согласно результатам проведённых исследований, эти модели имеют ряд следующих недостатков: отсутствие формализации, невозможность оценки риска сценариев атак, состоящих из нескольких этапов, а также высокая сложность настройки параметров моделей.

7. Разработана математическая  модель информационных атак, которая  обладает свойством универсальности,  поскольку она может быть использована  для представления разных типов  атак, и является расширяемой  за счёт возможности добавления  новых параметров в модель  атаки. Модель может легко воспринимается, поскольку она предусматривает  возможность как текстового, так  и графического изображения в  виде графа. Модель может быть  представлена в формализованном  виде при помощи математического  аппарата теории графов. В отличие  от существующих моделей информационных  атак она является многофакторной, что позволяет учитывать три  основных параметра атаки - уязвимость, метод реализации атаки и её  возможные последствия. Наличие  всех этих свойств позволяет  сделать вывод о том, что  использование разработанной модели  позволяет более продуктивно  исследовать особенности моделируемых  информационных атак и, следовательно,  более эффективно выбирать средства  защиты от этих атак.

8. Разработана математическая  модель процесса выявления атак, которая в отличие от существующих, позволяет выявлять как известные,  так и новые атаки, функционируя  при этом в режиме «белого ящика», что даёт возможность полностью проследить процесс принятия решения о выявлении атаки в АС. Модель может быть задана в формализованном виде на основе аппарата теории графов. Кроме формульного представления модель может быть описана в графическом виде при помощиграфовых структур. Модель обнаружения атак расширяема, что даёт возможность добавлять новые параметры, необходимые для выявления информационных атак. С учетом этих свойств можно утверждать, что разработанная поведенческая модель позволяет более эффективно обнаруживать атаки в АС в сравнении с аналогичными моделями, рассмотренными в диссертационной работе.

9. Разработана модель  процесса оценки рисков информационной  безопасности, которая базируется  на графовой модели атак. Это позволяет формально описать модель оценки рисков в терминах математического аппарата теории графов, а также обеспечить возможность текстового и графического представления модели. Модель позволяет вычислять значение риска с учетом уровня ущерба от атаки, а также вероятность её реализации. При этом в процессе оценки риска могут использоваться количественные и качественные шкалы. Созданная модель оценки учитывает три возможных последствия атак: нарушение конфиденциальности, целостности и доступности информации. Модель позволяет также вычислять значение риска безопасности для сложных сценариев атак, состоящих из нескольких этапов реализации. Таким образом, обладая этими свойствами, разработанная модель позволяет более эффективно проводить оценку рисков информационной безопасности.

10. Разработан действующий  прототип системы обнаружения  атак (СОА) и успешно проведены  его испытания. Проведённые испытания  прототипа показали следующее:  прототип СОА позволяет эффективно  выявлять и блокировать как  известные, так и новые типы  атак; прототип СОА не снижает  производительности работы защищаемого  им Web-cepeepa поскольку он реализован на уровне прикладного ПО в виде ISAPI-фильтра; параметры, предусмотренные в конфигурационном файле прототипа СОА, позволяют гибко настраивать прототип на выявление новых классов атак.

11. Разработана структура  полнофункционального варианта  СОА, включающий в себя следующие компоненты:

• сетевые датчики, предназначенные для обнаружения  атак в рамках того сегмента, где  они установлены;

• хостовые датчики, устанавливаемые на серверы АС и обеспечивающие защиту определённых сетевых сервисов системы; модули-агенты, выполняющие функции управления хостовыми и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и модулем координации потоков информации; модуль координации, выполняющий функции маршрутизации информации, передаваемой между компонентами СОА; информационный фонд, который выполняет функции централизованного хранения конфигурационной информации, а также результатов работы СОА; модуль реагирования на информационные атаки, выявленные средствами СОА; консоль администратора, предназначенная для централизованного управления компонентами СОА, а также для отображения результатов работы системы 
 
 
 
 
 
 
 

Выбор средств  защиты персональных данных

Posted: 2nd Май 2011 by root in Защита информации на предприятии, Информационная безопасность, Средства и методы защиты информации 
Tags: Dr.Web, ESET Nod32, Kaspersky, MS Windows, «Secret Net», «XSpider»,«Информзащита», защита информации, информационная безопасность, информационная система, персональные данные, ФСТЭК

2

В соответствии с Положением о методах и способах защиты персональных данных в информационных системах персональных данных, утвержденным приказом № 58 Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, для создания системы  защиты персональных данных необходимо применение, как комплекса организационных  мероприятий, так и использование  сертифицированных ФСТЭК и Федеральной  службой безопасности (ФСБ) средств  защиты информации (СЗИ).

При выборе средств защиты персональных данных (ПДн) стоит большая проблема.

Во – первых, это правильное понимание, какие автоматизированные рабочие места (АРМ) или сегменты сети Организации необходимо защищать и в каком количестве. Из всех автоматизированных рабочих мест, имеющихся в Организации, как правило, только часть обрабатывают ПДн. Для правильного выбора средств защиты необходимо провести анализ локальной вычислительной сети (ЛВС) Организации и описать технологию обработки на тех АРМ, которые участвуют в обработке персональных данных. В соответствии с Порядком проведения классификации информационных систем персональных данных (ИСПДн), необходимо правильно классифицировать ИСПДн. На этапе проведения классификации, помимо типа обрабатываемых персональных данных, количества субъектов персональных данных, так же определяется архитектура ИСПДн. В зависимости от архитектуры ИСПДн и производится выбор сертифицированных СЗИ