Инструментальные методы анализа защищенности распределенных экономических информационных систем тема диссертации по экономике, полный текст автореферата

Автореферат диссертации по теме "Инструментальные методы анализа защищенности распределенных экономических информационных систем"

На правах рукописи

Тищенко Евгений Николаевич

ИНСТРУМЕНТАЛЬНЫЕ МЕТОДЫ АНАЛИЗА ЗАЩИЩЕННОСТИ РАСПРЕДЕЛЕННЫХ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ

СИСТЕМ

Специальность 08.00.13 - математические и инструментальные методы экономики

Автореферат

диссертации на соискание ученой степени доктора экономических наук

Ростов-на-Дону 2003

Работа выполнена в Ростовском государственном экономическом университете «РИНХ» на кафедре «Экономической информатики и автоматизации управления».

Научный консультант: доктор экономических наук, профессор,

Хубаев Георгий Николаевич.

Официальные оппоненты: доктор экономических наук, профессор,

Матвеева Людмила Григорьевна, доктор экономических наук, профессор, Калиниченко Владимир Иванович, доктор экономических наук, профессор, Трифонов Юрий Васильевич.

Ведущая организация: Московский государственный

университет экономики, статистики и информатики (МЭСИ).

Защита диссертации состоится 22 декабря 2003 года в 13 часов, на заседании регионального диссертационного совета ДМ 212.209.03 в Ростовском государственном экономическом университете «РИНХ» по адресу: 344002, г. Ростов-на-Дону, ул. Б. Садовая 69.

С диссертацией можно ознакомиться в научной библиотеке Ростовского государственного экономического университета «РИНХ».

■Ж

Автореферат разосланноября 2003 года.

Ученый секретарь л

диссертационного совета _ /

доктор экономических наук, доцент л! E.H. Ефимов

А

Тагр

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. В настоящее время в печати большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой в информационных системах различных структур. Об этом говорят следующие факты: библиография по теме насчитывает сотни наименований, вопросы защиты информации включены в программу подготовки специалистов в области информационных технологий, сформировался рынок систем защиты, разработанных в России и за рубежом.

Однако по мере развития и усложнения средств, методов и форм защиты все более обостряется проблема оценки их качества, выработки критериев, которым должен соответствовать тот или иной тип систем защиты. Это особенно актуально в контексте создания, внедрения и эксплуатации защищенных распределенных экономических информационных систем (РЭИС), вследствие того что именно защищенность как показатель качества РЭИС выходит в современных условиях на первый план.

Известно, что при организации тех или иных сетевых и телекоммуникационных топологий потенциальная уязвимость обрабатываемой в среде РЭИС информации резко возрастает. Это объясняется возникновением многовариантности возможных каналов доступа к процессорным узлам сети, массивам хранимой информации и сегментам сетевых топологий. В связи с этим оценка качества реализации механизмов защиты от несанкционированного доступа (НСД) является одной из основных задач при анализе защищенности РЭИС.

Степень разработанности проблемы. Попытки разработки методологических подходов и инструментальных средств, обеспечивающих анализ качества систем защиты и защищенности информационных систем, предпринимались многими отечественными и зарубежными авторами: В. Герасимовым, Д. Гроувером, Д. П. Зегенда, С. Мафтиком, Д. Сяо, Л. Дж. Хоффманом, В. В. Мельниковым, А.Г. Мамиконовым А. Астаховым и многими-другими. Ими были проанализированы-отдельные методы и средства защиты, рассмотрены некоторые существующие системы защиты. Однако эти исследования носят разрозненный и неполный характер. Нам неизвестны в достаточной мере серьезные попытки ранжирования выделенных критериев качества систем защиты, привязки их к конкретным условиям функционирования РЭИС. Не проводилась сравнительная экономическая оценка потребительского качества систем защиты в связи с трудностями оценки затрат живого труда и машинного времени на их эксплуатацию и вскрытие.

Анализ показывает, что задача оценки защищенности РЭИС должна разбиваться на следующие подзадачи: определение качества сегментации топологии РЭИС; оценка адекватности выбора базовых составляющих системы защиты РЭИС на основе перечня функциональных характеристик и

потенциальных угроз, а также на основе экспертной оценки специалистов в области информационной безопасности; анализ стойкости базовых элементов системы защиты при тестировании известными атакующими алгоритмами; оценка эффективности, в том числе экономической, распределенной системы защиты РЭИС; совершенствование существующей системы защиты РЭИС. По утверждениям отечественных и зарубежных специалистов, решение этих задач наталкивается на трудности, связанные с известной нечеткостью и неопределенностью исследуемых процессов.

Перечисленные задачи и определили содержание настоящего исследования. Несмотря на большое количество публикаций, ни одна из этих задач не изучена в степени, достаточной для анализа защищенности, как одного из важнейших показателей качества РЭИС.

Цель и задачи диссертационного исследования. Основной целью исследования является развитие методологии и инструментария анализа защищенности РЭИС на основе исследования параметров объектов защиты и разработки экономико-математических моделей для принятия решений при создании, эксплуатации и развитии РЭИС.

Поставленная в работе цель обусловила решение следующих научных проблем и практических задач:

1 Разработка концепции исследования защищенности РЭИС.

2 Разработка и развитие методов оценки качества:

- сегментной топологии существующих РЭИС;

- средств и методов защиты информации, составляющих систему защиты РЭИС;

- реализации распределенных механизмов систем защиты РЭИС;

3 Разработка и развитие методов совершенствования структуры распределенных механизмов системы защиты РЭИС.

4 Разработка и реализация программного инструментария для анализа защищенности РЭИС.

Объект исследования. Объектом исследования являются РЭИС различных топологий, ведомственных принадлежностей и организационно-правовых форм.

Предмет исследования. Предметом исследования являются методы оценки и модели анализа защищенности РЭИС для совершенствования процессов их проектирования и использования.

Теоретическая база исследования. Теоретическую и методологическую базу исследования составляют научные труды российских и зарубежных ученых по теории выбора и принятия решений, экономико-математическому моделированию, а также теоретические и

методологические вопросы оценки защищенности РЭИС. В проведенном исследовании использовались элементы теории информационных систем и статистического анализа. Также использовались вероятностные методы определения качества сложных систем, методы анализа предметной области и экспертные методы.

В работе обобщены результаты исследований автора за период 19922003 годы в области анализа качества систем защиты и оценки защищенности РЭИС.

Работа проведена в рамках пунктов Паспорта специальности 08.00.13 -математические и инструментальные методы экономики: 2.6 «Развитие теоретических основ, методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии»; 2.7 «Проблемы стандартизации и сертификации информационных услуг и продуктов для экономических приложений».

Эмпирическая база исследования. Эмпирической базой исследования явились экспериментальные и статистические данные, собранные в процессе эксплуатации РЭИС ряда организаций. Основные выдвигаемые научные положенйя и рекомендации экспериментально подтверждены. Поставленные эксперименты с РЭИС и их компонентами составляют основу предлагаемой методологии исследования защищенности РЭИС.

Научная новизна. Научная новизна диссертационного исследования заключается в разработке целостного методологического и инструментального обеспечения для экономико-математического анализа защищенности РЭИС. Научную новизну содержат следующие положения:

1 Логически завершена и методически оформлена концепция анализа защищенности РЭИС на основе модели защиты с полным перекрытием, описывающая структуру абсолютно защищенной РЭИС, как топологию с глубиной сегментации уровня конечных узлов.

2 Модифицирована классификация средств межсетевого экранирования, учитывающая в том числе их программно-аппаратные особенности. Она позволяет адекватно принимать решения при выборе базовых элементов, составляющих систему защиты РЭИС.

3 Предложена экономико-математическая модель определения параметров сегментации РЭИС, учитывающая такие характеристики, как размер сегмента, состав информационных элементов и узлов сегмента. Модель позволяет оценивать качество программно-аппаратной сегментации РЭИС в соответствии с заданными стоимостными и временными ограничениями.

4 Разработан универсальный методологический и инструментальный подход к оценке защищенности РЭИС, как на уровне базовых ее составляющих, так и на уровне распределенной системы защиты, включающий реализацию следующих этапов:

4.1 Сравнительная оценка качества систем защиты:

- определен перечень характеристик базовых элементов системы защиты РЭИС, позволяющий на основе формализованных процедур провести их сравнительный анализ;

- расширен перечень угроз информационным объектам и механизмам защиты РЭИС, позволяющий на основе формализованных процедур провести сравнительный анализ базовых элементов системы защиты РЭИС;

- с использованием экспертных методов проранжирован перечень характеристик базовых элементов системы защиты РЭИС для определения качества конкретного базового элемента;

- предложена экономико-статистическая методика сравнения ограниченного числа базовых элементов на завершающей стадии принятия решения о структуре системы защиты РЭИС, реализующая алгоритмы сравнения по альтернативному признаку, парного сравнения и др.

4.2 Оценка качества элементов системы защиты РЭИС на основе активного воздействия на их механизмы:

- адаптирован метод определения вероятности вскрытия базовых элементов системы защиты РЭИС с учетом наличия специализированных программно-аппаратных средств: механизмов пассивного сетевого сканирования и механизмов активного воздействия на потенциально уязвимые места РЭИС;

- сформирована последовательность атакующих элементарных операций на базовые составляющие системы защиты РЭИС, на основе которой определяется вероятность их вскрытия;

- адаптирована методика расчета параметров качества конфигурирования программно-аппаратных элементов РЭИС, позволяющая определять трудоемкость конфигурирования отдельных составляющих системы защиты РЭИС.

4.3 Анализ качества и совершенствование распределенной системы защиты РЭИС:

- адаптирован метод определения защищенности РЭИС с учетом распределенной структуры механизмов ее построения;

- на основе модели оценки эффективности проектирования систем безопасности предложен метод определения вероятности вскрытия распределенной системы защиты РЭИС с учетом наличия центра управления, учитывающая в том числе такой важный для сетевых топологий параметр, как удаленность центра управления от базовых элементов распределенной системы защиты;

- предложена методика совершенствования структуры защищенной РЭИС, базирующаяся на подходах к анализу эффективности распределенных элементов информационных систем. Данная методика позволяет определять параметры реализации оптимальной структуры виртуальных сетей.

Практическая значимость исследования. Практическая значимость исследования определяется тем, что основные положения, выводы, рекомендации, модели, методы и алгоритмы ориентированы на широкое использование предприятиями и организациями любой структуры, ведомственной принадлежности и формы собственности для оценки защищенности РЭИС.

Апробация и внедрение результатов исследования. Основные результаты диссертационной работы докладывались и обсуждались на международных и всероссийских симпозиумах и конференциях, в том числе: Международной научной конференции «Системный анализ и экономические стратегии управления» (Санкт-Петербург, 1994); Всероссийской научно-практической конференции «Информационная безопасность в высшей школе» (Москва, 1995); Межгосударственной конференции «Экономико-организационные проблемы анализа, проектирования и применения информационных систем» (Росгов-на-Дону, 1997-2002); X Международной научно-технической конференции «Математические методы и информационные технологии в экономике, социологии и образовании» (Пенза, 2002) и на других.

Основные положения, полученные в результате проведенного исследования, используются при чтении курсов специальностей «Прикладная информатика» («Информационная безопасность») и «Организация и технология защиты информации» («Введение в специальность», «Теория информационной безопасности и методология защиты информации», «Защита информационных процессов в компьютерных системах», «История и современные методы защиты информации в России») в Ростовском государственном экономическом университете «РИНХ».

Отдельные результаты диссертационной работы использованы при анализе защищенности РЭИС в образовательной деятельности (Ростовский государственный экономический университет «РИНХ»), органах государственной статистики (Ростовский областной государственный комитет по статистике), в деятельности администраций субъектов РФ (администрация Ростовской области), на предприятиях оборонной промышленности (ООО «РОСТВЕРТОЛ») и иных видах деятельности.

Результаты исследования использованы в типовом прикладном программном обеспечении: «Система поддержки принятия решений при оценке степени защищенности экономических информационных систем» (№ 2003612355 РОСПАТЕНТ).

Исследования, представленные в диссертационной работе, поддержаны Министерством образования РФ (грант ГОО-4.1-59 по фундаментальным

исследованиям в области гуманитарных наук Министерства образования РФ на 2001-2002 г.г., тема: «Теория и методы оценки качества информационных систем: качества сложных распределенных информационных систем»).

Также отдельные направления представленных научных исследований производились в рамках следующих грантов:

- Гранта Санкт-Петербургского университета экономики и финансов, тема "Теоретическое и прикладное моделирование инвестиционного процесса на основе НТР и НТП (код темы 4-46,1999-2000 г.г.);

- Проекта Tempus TACIS UM_CP-20579-1999 "Укрепление филиальной сети на основе новых информационных технологий (1999-2001 г.г.).

Публикаиии. Основные результаты диссертации изложены в 27 научных работах, в том числе в одной монографии, 2 учебных пособиях, 3 методических разработках. Общий объем авторских публикаций по теме 30,5 печатных листа.

Структура и объем работы. Диссертационная работа состоит из введения, 5 глав, заключения, библиографического списка и приложений. Работа содержит 17 таблиц, 24 рисунка и графика. Библиографический список содержит 212 литературных источников.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИИ

Во введении обосновывается актуальность проблемы, формулируются цель и задачи исследования, определяются предмет и объект исследования, рассматриваются теоретические и методологические основы исследования, научная новизна, практическая значимость работы, положения, выносимые на защиту, оценка внедрения и апробации исследования, публикации, структура диссертационной работы.

В главе 1 «Общие вопросы анализа защищенности РЭИС» выполнен анализ основных принципов организации защищенных РЭИС, показателей защищенности РЭИС, а также сформулированы и систематизированы критерии качества сегментации РЭИС.

Основные принципы организации защищенных РЭИС. Учитывая возможную пространственную и организационную удаленность элементов РЭИС как друг от друга, так и от управляющего единого центра, система безопасности должна предусматривать реализацию хотя бы одного из своих механизмов на каждом возможном пути проникновения в РЭИС. Такая структура определяет модель системы безопасности с полным перекрытием'.

' Хоффман Л Дж Современные методы зашиты информации. Пер. с англ / Под ред В А. Герасименко. -М: Сов радио, 1980.

В модели с полным перекрытием множество отношений объект-угроза образуют граф, в котором ребро <1„о,> определяет угрозу получения доступа к объекту о, методом /,. В случае РЭИС каждая осуществленная угроза потенциально преобразует объект о, в новую угрозу /', для достижимых новых объектов о',, (рисунок 1). Это приводит к тому, что практически каждый элемент РЭИС становится источником угрозы. Данному распространению угроз способствует архитектура РЭИС, в которой каждый элемент имеет каналы связи с определенным количеством других элементов.

Рис. 1. Отношение объект - угроза

Набор механизмов обеспечения безопасности и разделения

(сегментации) Ш1,т2.....т„ преобразует граф, существенно уменьшая

количество ребер объект - угроза (рисунок 2). Причем чем сильнее уровень сегментации, тем меньшее количество угроз реализуется с порождением новых угроз. В идеальном варианте в системе с полным перекрытием для РЭИС каждое <1„о,> предусматривает <1„о„т,>, доводя степень сегментации до уровня конечных узлов.

Рис. 2. Модель системы защиты

Итак, возникает задача отделения определенных составляющих (узлов, сегментов сети) РЭИС от общей ее топологии, а также всей РЭИС от внешних каналов связи с реализацией многоуровневой фильтрации пакетов и других защитных механизмов. Данную задачу решают межсетевые экраны (МЭ).

В литературе принято классифицировать МЭ в соответствии с уровнем фильтрации, наложенном на стек протоколов TCP/IP. Однако данная

классификация может быть использована только на самом начальном этапе принятия решения об адекватности конкретного МЭ реальным особенностям объекта защиты, носящем общий ориентировочный характер.

По нашему мнению, при сравнительном анализе МЭ и принятии решения об их применимости в реальных условиях необходимо также осуществлять анализ на основе следующей дополнительной группировки:

1 Программно-аппаратные фильтры пакетного/сеансового уровней:

- программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы;

- программная реализация на базе стандартной конфигурации вычислительной системы.

2 Криптошлюзы:

- программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы;

- программная реализация на базе стандартной конфигурации вычислительной системы.

3 Межсетевые экраны:

- надстройка над операционной системой;

- замещение основных функций операционной системы собственными;

- программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы.

Следует отметить, что доля защитных механизмов, как составляющей программно-аппаратного комплекса РЭИС, постоянно возрастает (рисунок 3). Это показывает проведенный анализ данной тенденции. При этом учитывались:

- доля программного кода защитных механизмов в объеме общего кода программного обеспечения РЭИС;

- доля процессорных аппаратных элементов средств защиты в общем объеме аппаратного обеспечения РЭИС.

В то же время исследования показали, что на рынке систем информационной безопасности наибольшим спросом пользуются средства защиты информации, представленные программно-аппаратными реализациями функций МЭ (рисунок 4).

Следовательно, эффективная оценка качества МЭ непосредственным образом влияет, а во многом и определяет качество комплексной системы защиты и всей РЭИС в целом.

Критерии качественной сегментации РЭИС. Модель системы защиты РЭИС с полным перекрытием предполагает наличие в ее среде иерархии МЭ. В общем случае, иерархия МЭ имеет вид, представленный на рисунке 5.

В приведенной схеме под первичным МЭ понимается программно-аппаратный комплекс, отделяющий защищаемую РЭИС от внешних сред,

■ Аппаратные элементы ' В Программный код

199»

2002

Рис 3. Доля элементов средств защиты в общем объеме программно-аппаратных элементов РЭИС

Рис 4. Сегменты рынка систем безопасности

напрямую не связанных с ней организационно и функционально. Сегментный МЭ непосредственно реализует отделение определенного сегмента от остальной топологии РЭИС. Персональный МЭ защищает конечный процессорный узел РЭИС или массив хранимой информации.

Анализ иерархии МЭ показывает, что функционально она представляет собой защищенную среду, в которой отдельные защитные механизмы распределены по составляющим РЭИС. При правильно выбранной конфигурации такой среды защитные механизмы не перекрывают друг друга по реализуемым защитным воздействиям на информационную структуру РЭИС. Они синхронизированы друг с другом таким образом, что обнаруживают и реагируют на опасные воздействия, находящиеся только в

их компетенции. Это свойство может быть обеспечено централизованным управлением МЭ всех уровней иерархии.

Рис. 5. Иерархия МЭ в среде РЭИС

Учитывая изложенное, можно сделать вывод, что центральным звеном защищенной среды функционирования РЭИС является распределенный МЭ (РМЭ), отвечающий следующим основным требованиям:

1 Защитные функции РМЭ разведены по отдельным МЭ в результате сегментации топологии РЭИС.

2 Защитные функции РМЭ, распределенные по отдельным МЭ, не перекрывают друг друга.

3 Наличие единого центра управления элементами РМЭ.

Степень сегментации при повышении требований к безопасности РЭИС стремится к уровню конечных узлов РЭИС. Однако при этом необходимо учитывать целый ряд ограничений, накладываемых на глубину сегментации. Ограничения определяются, исходя из:

- топологии РЭИС;

- решаемых задач;

- конфиденциальности обрабатываемой информации;

- политики безопасности;

- финансовых и организационных возможностей администрации сегментов РЭИС;

- операционных сред узлов РЭИС и других условий.

Определение правильного сценария сегментации на этапе проектирования РЭИС, а также при последующей модификации ее структуры является одним из главных условий дальнейшего адекватного функционирования РЭИС. Это условие в значительной степени влияет на экономическую эффективность РЭИС, зависящую, во-первых, от качества системы защиты конфиденциальной информации, а во-вторых, от количества используемых средств защиты. При этом следует принимать во внимание их высокую рыночную стоимость.

Рассмотрим пример сегментации РЭИС.

Пусть задана система конечных узлов сегмента РЭИС, программных элементов и массивов информации и их характеристики. Необходимо определить параметры сегментации и процедуры защиты от НСД к информации, которые обеспечивают минимальное приращение вероятности главного события НСД при ограничении на размер сегмента сети, на стоимостные и временные затраты, вызванные применением методов сегментации и защиты от НСД: AY(P) —» min, где AY(P) - вероятность главного события НСД; Р = (Р\,Р2,—,Р„) - вектор вероятностей базисных событий НСД.

Решение этой задачи обеспечивает определение такого размера сегмента, состава информационных элементов и узлов сегмента, а также состава методов защиты, при которых, приращение AY(P) оказывается минимальным.

В таблице 1 выделены выбранные методы защиты для конкретного конечного узла. Далее узлы группируются в соответствии с набором необходимых методов защиты и образуют сегменты. Результатом анализа также является перечень методов защиты, которые должны быть реализованы в структуре определенного сегмента.

Таблица 1

Значение коэффициентов целевой функции_

Конечный узел Методы зашиты

1 2 3 4 5

1 0.85x10-" 0.7x10"* 1.03x10"* 0.63x10"* 0.87x10"*

2 1.17x10* 0.52x10* 1.05x10"* 0.75x10"* 1.21x10"*

3 0.92x10"" 1.05x10"* 1.24x10"* 0-3x10"* 0.47x10"*

4 0.43x10* 0.18x10"* 0.09x10"* 0.52x10"* 0.3x10"*

5 0 27x10"* 0.19х10"6 1.35x10"* 0.87x10"* 0.51x10"*

6 0.38x10"* 1.1х10'<> 1.59x10"* 1.24x10"* 0.97x10"*

7 1.43x10"* 1.21x10* 0.65x10"* 1.13x10"* 1.7x10"*

8 1.03x10"* 1.4x10* 1.18x10"* 0.97x10"* 0.21x10"*

Анализ показателей защищенности РЭИС. Определение параметров сегментации в соответствии с заданными ограничениями является начальным этапом анализа защищенности РЭИС. Далее необходимо определить состав механизмов и средств, осуществляющих защиту на каждом уровне

сегментации. Сложность принятия решения определяется достаточно большим количеством на рынке систем защиты с сопоставимыми функциями.

Известен целый ряд показателей, используемых для характеристики качества программных систем2. Однако, учитывая сложность средств защиты, как программно-аппаратных продуктов, а также их специфическую особенность, заключающуюся во взаимодействии с наиболее критичной информацией, представляющей собой государственную, коммерческую или личную тайны, упомянутый перечень показателей имеет более ограниченный характер. Он описывает в основном свойства, связанные напрямую с основным свойством систем защиты, стойкостью к попыткам НСД.

Рассмотрим эти показатели.

Стойкость к известным методам реализации НСД. При сравнительном анализе систем защиты на основе документированного списка закрываемых уязвимостей вычисляются следующие показатели:

1. Мера подобия Жаккарда - функциональная взаимосвязь систем защиты;

2. Функциональный вес - степень поглощения системой защиты закрываемых уязвимостей;

3. Показатель полного поглощения системой защиты требуемых уязвимостей.

Реальная атака на защитные механизмы и попытки осуществления НСД реализуются, как правило, с применением автоматических средств атакующего и анализирующего воздействия. Набор таких спецсредств может быть определен и также определена вероятность их использования. Следовательно, может быть рассчитана вероятность нереализации НСД за определенный период времени с учетом стоимости и популярности как систем защиты, так и защищаемой информации.

Учитывая, что реализация попыток НСД к защищаемой информации носит случайный характер (случайность определяется опытом злоумышленника, составом программно-аппаратных средств атакующего и анализирующего воздействия и т.д.), время, затрачиваемое на эти операции будет изменяться. Поэтому за количественный показатель качества МЭ может приниматься время Тт, за которое с заданной вероятностью будет осуществлен НСД (вероятность Рг того, что за время будет осуществлен НСД). Экспертным или экспериментальным путем определяются статистические характеристики и закон распределения времени Тк,(к е 1 ,п) каждой к- й элементарной операции по реализации НСД. Математическое ожидание полного времени реализации НСД Т0 будет равно

! Хубаев Г Н Методика экономической оценки потребительского качества программных средста//ПРОГРАММНЫЕ ПРОДУКТЫ И СИСТЕМЫ (ЗОГГОАКЕ&БУЗТЕМБ). - 1995. -№1. -с 2-8

т0= S тк.

nel.n

Далее выполняется моделирование законов распределения времени Тк,(ке 1,п) по всем п операциям и определяется закон распределения полного времени реализации НСД Г0. Исходя из закона распределения времени, рассчитываются время Гш и вероятность Рг.

Настраиваемость на новые методы реализации НСД. Предусматривает совокупность методов реализации, базирующихся на следующих принципах:

1. Гибкой конфигурируемости фильтров и других защитных механизмов;

2. Автоматическом обновлении базы уязвимостей;

3. Поддержке стандарта на формат базы уязвимостей;

4. Языках описания уязвимостей и проверок.

Наличие функции эвристического выявления неизвестного метода реализации НСД. Как известно, определенные методы анализа системы защиты и реализации попыток НСД имеют схожие алгоритмы и структурные особенности воздействующих пакетов. Примером могут служить различные варианты атак, построенных на принципе переполнения буфера сервисов РЭИС, а также атаки с подменой адресов из внутреннего адресного пространства. Защитные механизмы могут выявлять подобные закономерности проведения атак и реагировать на них либо автоматической блокировкой, либо сигнализацией на управляющий центр.

Функциональная полнота. Данный показатель позволяет провести сравнительный анализ систем защиты. Определение перечня характеристик и реализуемых функций осуществляется в процессе эксплуатации ряда систем защиты и изучения технической документации. Достаточно большое их число позволяет выделить избыточное количество функций, что гарантирует более качественный сравнительный анализ. Здесь так же, как и при сравнительном анализе систем защиты на основе документированного списка закрываемых уязвимостей, вполне применимы формальные процедуры анализа.

Быстродействие. Представленные в настоящее время на рынке системы защиты существенно различаются по такому показателю, как быстродействие. Это во многом определяется, например, эффективностью реализации проходного сжатия данных при организации VPNs-топологий для МЭ.

Так, например, для средств организации VPNs, выполненных на основе типовых алгоритмов (например, протокол SKIP), характерно достаточно существенное снижение скорости IP-взаимодействий за счет введения избыточности в каждый передаваемый пакет. На рисунке 6 приведена зависимость скоростных характеристик МЭ от MTU.

Уровень требований к комплексу программно-аппаратных составляющих системы защиты РЭИС. Наиболее известные коммерческие системы защиты имеют мультиоперационный

характер функционирования. Однако системы защиты даже одного производителя и одной серийной спецификации имеют различные эксплуатационные характеристики. Это объясняется принципиальными различиями построения

операционных систем. Поэтому Рис. 6. Зависимость быстродействия МЭ от выбор системы защиты должен MTU (Мбит/сек) осуществляться, исходя в том числе

из типа операционной среды РЭИС. Данное требование относится также и к аппаратной конфигурации процессорных элементов и массивов хранимой информации РЭИС.

Документированность. Учитывая сложность административного сопровождения систем защиты, определяющуюся неоднозначностью процесса конфигурирования защитных механизмов, степень документированное™ играет немаловажную роль при принятии решения о целесообразности использования конкретной реализации системы защиты.

Обеспечение целостности собственных программно-аппаратных компонентов. Данный показатель качества является универсальным для всех систем защиты информации, построенных на базе программно-аппаратных компонентов РЭИС. Он заключается в контроле целостности модулей и компонентов методом подсчета контрольных сумм наиболее важных участков кода, заголовков системных и служебных областей, тестировании аппаратуры методом "запрос-ответ" в реальном масштабе времени. Контролирующие и тестирующие процедуры существенно снижают скорость обработки трафика, однако совершенно необходимы для обеспечения корректности функционирования систем защиты.

Стоимость. Средства защиты информации на сегодняшний день являются одними из наиболее дорогостоящих программно-аппаратных элементов РЭИС. Поэтому в реальных условиях конфигурирования защищенной среды такой показатель, как стоимость, может играть определяющую роль при принятии решения о типе системы защиты того или иного уровня. Именно стоимость может выступать последним критерием выбора при их функциональной схожести.

В главе 2 «Методы сравнительного анализа систем защиты РЭИС» предложен алгоритм сравнительного анализа систем защи-.ы РЭИС, состоящий из таких этапов, как сравнительный анализ по функциональной

полноте, сравнительный анализ по закрываемым каналам утечки информации, сравнительный анализ методом экспертных оценок и сравнительная экономико-статистическая оценка.

Сравнительный анализ по функциональной полноте. Основные трудности, с которыми приходится сталкиваться при сравнительной оценке систем защиты, - это неопределенность и сложность продуктов данного класса. При этом на сегодняшний день недостаточно статистических данных (а по некоторым позициям они вообще отсутствуют) для характеристики систем защиты конкретного типа. Следует также отметить, что эксплуатационные параметры существующих систем защиты практически не систематизированы, отсутствуют серьезные исследования в области сравнительных количественных оценок функциональной полноты коммерческих систем.

В данной ситуации специалистам в области информационной безопасности невозможно в полной мере оценить адекватность реальной системы защиты требованиям объекта защиты. Это, в свою очередь приводит к проблеме оптимального выбора среди однородных продуктов.

Вполне обоснованным, на наш взгляд, является применение формальных процедур сравнения ряда систем защиты по выделенным ранее характеристикам3. Данные характеристики могут описывать как функциональные особенности систем защиты, так и такие, как развитость пользовательского интерфейса, количество поддерживаемых платформ и интерфейсов.

Анализ коммерческих программных систем защиты, реализующих функции МЭ, позволил выделить перечень их характеристик, фрагмент которого приведен в таблице 2.

Таблица 2

Характеристики МЭ_

№ Характеристики

1 2

Реализуемая функция

Резе рвирование/восстановление конфигурации

1 резервирование: носитель, комментарий, имя файла;

2 восстановление: носитель, имя файла

Мониторинг

3 протокол событий: сервер, событие, дата и время возникновения, описание;

4 состояние сервисов: сервер, сервис, статус, количество сессий, время активизации. Возможные сервисы: Web proxy, Firewall, задания;

5 активные сессии: сервер, тип сессии, имя пользователя, иш/1Р-адрес компьютера пользователя, ¡P-адрес интерфейса, дата и время активации;

3 Хубаев Г.Н. Сравнение сложных программных систем по критерию функциональной полноты/ШРОГРАММНЫЕ ПРОДУКТЫ И СИСТЕМЫ (ЗОтУАКЕ&БУЗТЕШ). - 1998. - №2 - с 6-9.

Продолжение табл. 2

6 отчеты: суммарный, ШеЬ-отчет, отчет по приложениям, детальный отчет по трафику, отчет по попыткам нарушения политики безопасности

Определение политики доступа

7 контентные правила: имя правила, описание, статус (активно/неактивно), объект правила, время действия правила, действие (разрешить/запретить), субъекты правила, контент:

8 правила уровня протоколов: имя правила, описание, статус (активно/неактивно), действие (разрешить/запретить), протокол, время действия правила, субъекты правила:

9 правша уровня пакетов: имя правила, описание, статус (активно/неактивно), стандартный протокол/создаваемый протокол (1Р-протокл, номер протокола, направление), 1Р-адрес интерфейса протокола, удаленный 1Р-адрес. Фильтрация на основании IР-адресов отправителя и получателя, фреймов инкапсулированных в 1Р протоколов, времени и даты передачи пакета, разрешённых портов абонентов (для ТСР/иОР-пакетов), а также пар адресов абонентов, для которых разрешено соединение.

Маршрутизация

10 переадресация: гшя правила, описание, статус (активно/неактивно), правила переадресации (внутренний IP-адрес, внешний IP-адрес, протокол), субъект правила;

11 маршрутизация: имя правила, описание, статус (активно/неактивно), объект правила, действие (перенаправление на локальный адрес, перенаправление на upstream сервер (имя сервера, порт), перенаправление на удаленный компьютер (имя, порт);

12 создание таблицы внутренних IP-адресов: диапазон IP-адресов, описание;

Перечень характеристик систем защиты используем для их сравнительного анализа. Наибольшую функциональную полноту имеет МЭ ЭЗ1 - PIX Firewall фирмы Cisco Systems (рисунок 7).

nil П12 П13 ГТ21 П22 К11 К12 К21 К22

Э11 Э12 Э13 Э14 Э21 Э22 Э23 324 Э31

Рис. 7. Значения функциональной полноты МЭ

4 Здесь и в дальнейшем обозначения П11, П12,.. соответствуют конкретным системам защиты, описанным в тексте диссертационного исследования.

Сравнительный анализ по закрываемым уязвимостям. Однако на практике наиболее важно учитывать не только характеристики самой системы защиты, но особенности объекта защиты, который может иметь очень сложный и неоднородный характер. В первую очередь это касается РЭИС, построенных на базе современных телекоммуникаций и каналов связи. Такими особенностями могут являться, например, топология вычислительной сети и информационных потоков, а также состав потенциально уязвимых мест и возможных вариантов НСД к информации. Следовательно, и системы защиты необходимо уже оценивать не с точки зрения набора выполняемых функций и качества функциональных характеристик, а с точки зрения совокупности закрываемых уязвимостей и вариантов НСД.

Представляется, что алгоритм реализации формализованных процедур анализа предметной области позволяет строить системы поддержки принятия решений, обеспечивающие информацией для оптимального выбора средств защиты, исходя из структурно-функционального состава компьютерной сети, и с учетом ограничений на создание и функционирование системы безопасности.

Фрагмент перечня уязвимостей приведен в таблице 3. Используем его для сравнительного анализа МЭ. Наибольшую степень поглощения имеют МЭ Э21 - Fire Wall-1 фирмы Check Point Software Technologies и Э31 - PIX Firewall фирмы Cisco Systems (рисунок 8).

Таблица 3

Список известных уязвимостей РЭИС_

№ Уязвимость Уровень опасности

1 2 3

Backdoor

1 Getadrain Present Высокий

2 Fsp Низкий

3 PortdCheck Высокий

4 PC Anywhere Detect Низкий

5 BackOrifice Высокий

6 NetBus Высокий

7 Active Modem Средний

8 BackdoorPbbser Высокий

376 guestblankpw Средний

377 adminblankpw Высокий

378 accountblankpw Высокий

379 adminuserpw Высокий

380 guestuserpw Средний

663 HttplndexserverDirtrans Средний

664 HttpIndexserverPath Низкий

665 TivoliLcfFtleRead Высокий

П11 П12 тз П21 П22 К11 К12 К21 К22 Э11 3« 313 314 321 322 323 324 Э31

Рис. 8. Степень поглощения МЭ угроз

Сравнительный анализ с использованием метода экспертных оценок. Каждая анализируемая система защиты представляет собой совокупность реализуемых функций и других характеристик. На практике набор характеристик представляет собой пересекающийся набор средств, которые в случае совместного использования увеличивают степень обеспечения безопасности РЭИС.

Учитывая вышесказанное, можно сделать вывод, что при сравнительном анализе систем защиты, как совокупности выделенных характеристик, оправданно применение экспертных методов.

При ранжировании характеристик вполне обоснованным является также проведение экспертного опроса. Для этого используем следующие показатели, характеризующие:

- обобщенное мнение группы экспертов об относительной важности характеристик;

- степень согласованности мнений экспертов.

Показателем обобщенного мнения может служить среднее статистическое значение величины оценки определенной характеристики.

Далее проводится оценка согласованности мнений экспертов. Цель проведения данной процедуры будет заключаться в выявлении экспертов, чье мнение особенно сильно разошлось с остальными, а также характеристик, по которым это расхождение наблюдается. В дальнейшем предполагается уточнение позиций этих экспертов. Для оценки степени сходимости мнений экспертов используют коэффициент парной корреляции Спирмена, а также медиану (расстояние) Кемени.

На основании ранжирования характеристик экспертами определялись их весовые коэффициенты. В дальнейшем были привлечены несколько ведущих в области информационной безопасности организаций для проведения экспертной оценки конкретных систем защиты (указывалась степень реализации характеристик в структуре реальных систем защиты), на основании которой была рассчитана степень обеспечения защиты от НСД к информации в сегменте, защищенном МЭ (таблица 4).

В главе 3 «Анализ качества элементов системы зашиты РЭИС на основе активного атакующего воздействия» предложен алгоритм оценки качества систем защиты РЭИС на основе активного воздействия на их механизмы, состоящий из таких этапов, как определение вероятности осуществления НСД с использованием специализированных программно-аппаратных средств, определение вероятности осуществления НСД с использованием последовательности элементарных операций по вскрытию, а также совершенствование процесса конфигурирования систем защиты.

Вероятность осуществления НСД с использованием специализированных

программно-аппаратных средств. На наш взгляд, несомненно, актуальной является возможность определения вероятностной характеристики защищенности сегмента РЭИС с учетом возможности использования злоумышленником специализированных программно-аппаратных средств.

Пусть задано множество спецсредств анализа защищенности сегмента РЭИС и автоматического осуществления НСД. Необходимо определить вероятность нереализации НСД за определенный период времени с учетом стоимости и популярности как системы защиты, так и защищаемой информации. В результате использования модифицированного метода определения вероятности вскрытия программно-аппаратных средств защиты информации были получены результаты, представленные в таблице 5.

Где V - объем защитного механизма МЭ; т2(1) - популярность МЭ на момент времени 1\Р- вероятность неосуществления НСД.

Таблица 5

Вероятности неосуществления НСД_

№ МЭ V тМ Р

1 2 3 4 5

1 ПИ 352 53 0.923

2 П12 230 104 0.871

3 П13 227 628 0.754

4 П21 280 124 0.952

5 П22 112 27 0 601

6 К11 301 720 0.761

7 К12 172 624 0.607

Таблица4 Степень защищенности

№ МЭ Значение

1 П11 0.117

2 П12 0.212

3 П13 0.354

4 П21 0.101

5 П22 0.434

6 К11 0.300

7 К12 0.443

8 К21 0.671

9 К22 0.517

10 ЭИ 0.261

11 Э12 0.315

12 Э13 0.217

13 Э14 0.634

14 Э21 0.092

15 Э22 0.303

16 Э23 0.262

17 Э24 0.381

18 Э31 0.212

Продолжение табл. 5

1 2 3 4 5

8 К21 63 251 0.400

9 К22 101 172 0.541

10 Э11 272 86 0.852

11 Э12 212 381 0.717

12 Э13 310 182 0.802

13 Э14 78 492 0.434

14 Э21 401 216 0.900

15 Э22 295 68 0.703

16 Э23 300 74 0.812

17 Э24 231 51 0.782

18 Э31 201 112 0.691

Вероятность осуществления Таблица 6

НСД с использованием

последовательности элементарных операций по вскрытию. Алгоритм осуществления НСД к защищенной информации, может быть представлен в виде последовательности элементарных операций с оценкой временных характеристик их выполнения. Выявленная в данной работе последовательность

насчитывает более 80-ти элементарных операций. В этом случае закон распределения полного времени вскрытия защиты можно считать нормальным, и,

следовательно, вполне корректным будет применение вероятностной функции Лапласа. В тех случаях, когда выделенная

последовательность включает небольшое число элементарных операций, можно осуществить имитационное моделирование с использованием стандартных программных средств. При Т=100 часов были определены вероятности вскрытия МЭ, приведенные в таблице 6.

Фрагмент последовательности элементарных операций по осуществлению НСД к информации, защищенной МЭ, приведен в таблице 7. Время определялось экспериментальным путем с привлечением пользователей различной квалификации.

Совершенствование процесса конфигурирования систем защиты. Одним из способов оценки качества программно-аппаратных средств защиты

Вероятности вскрытия МЭ

№ МЭ

1 ПИ 0.102

2 П12 0.112

3 П13 0.334

4 1121 0.201

5 П22 0.534

6 К11 0.294

7 К12 0.403

8 К21 0.571

9 К22 0.617

10 Э11 0.252

11 Э12 0.241

12 Э13 0.237

13 Э14 0.502

14 Э21 0.161

15 Э22 0.273

16 Э23 0.233

17 Э24 0.312

18 Э31 0.361

Таблица 7

Последовательность элементарных операций _

№ Элементарная операция и«

1 2 3 4 5

1 Выбор режима функционирования МЭ 15 мин 20 мин 42 мин

ФИЛЬТРАЦИЯ ТРАФИКА

2 Определение типа защиты 5 мин 15 мин 34 мни

ФИЛЬТРАЦИЯ НА ПРИКЛАДНОМ УРОВНЕ

3 Определение сервиса 25 мин 75 мин 92 мин

РТР-Сервис

4 Формирование команды записи 110мин 120 мин 144 мин

5 Запись 12 мин 23 мин 51 мин

НТТР-Сервис

4 Определение типа скрипта 113 мин 213 мин 222 мин

5 Формирование скрипта 217 мин 224 мин 248 мин

6 Выполнение скрипта, реализующего несанкционированный доступ 8 мин 10 мин 21 мин

ФИЛЬТРАЦИЯ НА УРОВНЕ СОЕДИНЕНИЯ

3 Определение механизма квитирования 25 мин 35 мин 38 мин

С ПРОСТОЯМИ

4 Выбор метода атаки 57 мин 62 мин 78 мин

ПАССИВНАЯ АТАКА С ПОТЕРЕЙ КАДРОВ

5 Перехват кадров 23 мин 32 мин 48 мин

6 Определение местоположения кадра 43 мин 45 мин 55 мин

7 Определение структуры кадра 121 мин 134 мин 142 мин

8 Выбор метода задержки 56 мин 62 мин 81 мин

ИМИТАЦИЯ СУЖЕНИЯ КАНАЛА

9 Выполнение 45 мин 53 мин 102 мин

СОЗДАНИЕ ЦИКЛА КАДРОВ

9 Выполнение 34 мин 43 мин 96 мин

ГЕНЕРАЦИЯ ОШИБОЧНОГО КАДРА

9 Выполнение 12 мин 34 мин 56 мин

АКТИВНАЯ АТАКА С МОДИФИКАЦИЕЙ

5 Определение структуры заголовка кадра 34 мин 71 мин 81 мин

6 Определение типа протокола 23 мин 57 мин 78 мин

7 Определение возможности наличия

нестандартного формата кадра 67 мин 93 мин 122 мин

8 Определение метода модификации 12 мин 24 мин 41 мин

9 Модификация 232 мин 321 мин 352 мин

СМЕШАННЫЙ ТИП АТАКИ

5 Определение последовательности атаки 31 мин 42 мин 51 мин

ЗАДЕРЖКА+МОДИФИКАЦИЯ

6 Определение местоположения кадра 12 мин 15 мин 28 мин

ПЕРВЫЙ КАДР

6 Задержка с пропуском остальных кадров 54 мин 74 мин 83 мин

7 Модификация 17 мин 22 мин 45 мин

является определение функции R(t) и среднего времени tcp между осуществлениями НСД к защищенной информации5. Оценкой качества может являться время стабилизации системы защиты в результате настройки и конфигурирования, заключающейся в приближении количества накопленных успешных реализаций НСД к определенной константе. Достоинством данного метода является возможность определения трудозатрат на внедрение соответствующего средства защиты.

Оценка tcp может осуществляться методом наблюдения за поведением МЭ в определенный временной период и на участке между удачными последующими реализациями НСД. Время между обнаружением двух последовательных удачных НСД имеет тенденцию к возрастанию по мере обнаружения и корректировки неверно сконфигурированных защитных механизмов.

При использовании данного метода была определена трудоемкость конфигурирования в днях, которая составила: П11=22; П12=27; ¡113=48; 1121=24; 1722-53; К11=23; К12=61; К21=56; К22=44; 311=47; 312=59; ЭВ=21; Э14=20; Э21=67; 322=26; 323=78; 324=28; 331=15.

Динамика конфигурирования представлена на рисунке 9.

В главе 4 «Эффективность применения распределенных систем защиты РЭИС» выполнен анализ структуры распределенных систем защиты, методов обнаружения распределенных атак на сетевом и системном уровнях, а также показателей качества распределенных систем защиты.

Анализ структуры распределенных систем защиты. Как уже отмечалось выше, именно РМЭ является ядром комплексной системы защиты, построенной на распределенной технологии обнаружения и реагирования на атаки.

Основным функциональным элементом РМЭ является система обнаружения атак (Intrusion Detection Systems, IDS), входящая в состав центра управления, которая включает в себя как минимум четыре функциональных компонента6:

- модуль сбора информации о функционировании защитных элементов

РМЭ;

- модуль анализа собранной информации с целью выявления атак нарушителя;

- базу данных, выступающую в качестве центрального хранилища собранной информации;

- модуль управления компонентами РМЭ.

5 Шураков В В. Надежность программного обеспечения систем обработки данных. Учебник - 2-е изд, перераб и доп - М: Финансы и статистика 1987.

6 Сердюк В. А Перспективные технологии обнаружения информационных атак// Системы безопасности -2002 -№5 -с. 96-97.

3 6 9 12 15 18 21 24 27 30

3 6 9 12 15 1в 21 24 27 30

2.5 2

Р 1,5 & 1

0.5

0

-С

л?

---Э12

.....Э13

3 в 9 12 15 18 21 24 27 30

3 в 9 12 15 18 21 24 27 30

3 6 9 12 15 18 21 24 27 30

3 в 9 12 15 18 21 24 27 30

Рис. 9. Динамика конфигурирования МЭ

Основным методом обнаружения атак в настоящее время является сигнатурный анализ данных. При этом проверяются:

- журнал безопасности, записи которого сигнализируют об информационной атаке;

- содержимое пакетов, которые могут представлять собой попытку реализации информационной атаки.

Недостатком данного метода является невозможность обнаружения новых вариантов атак, сигнатуры которых отсутствуют в базе данных РМЭ. Решением при этом являются статистический и нейросетевой методы анализа.

Нейросетевой метод подразумевает обнаружение атак с применением нейронных сетей, обучающихся в процессе конфигурации вариантам информационных атак.

Архитектура современных РМЭ имеегг модульный характер. Такой подход позволяет более равномерно распределять нагрузку на компоненты РМЭ, а также делает системы масштабируемыми. В этой связи актуальной становится многоагентная архитектура РМЭ, которая предполагает установку в РЭИС модулей (на базе МЭ различного уровня), выполняющих функции сбора информации и ее анализа на предмет выявления атак.

Методы обнаружения распределенных атак на сетевом и системном уровнях. Анализ различных вариантов реализации распределенной атаки на вычислительную систему позволил определить следующие условия и составляющие ее осуществления:

- для данного вида атаки уязвима практически любая РЭИС;

- физическое расположение атакующих узлов не имеет значения;

- распределенная атака представляет собой направленный шторм ложных пакетов;

- при осуществлении атаки происходит подмена адресов;

- атака синхронизируется с использованием определенного количества атакующих узлов;

- для установки атакующих модулей используются «дыры» в программном обеспечении;

При этом система защиты от распределенных атак должна носить комплексный характер работы и функционировать, по крайней мере, в трех направлениях:

- поиск и ликвидация «дыр» в программном обеспечении;

- поиск и ликвидация установленных атакующих модулей;

- предотвращение реализации направленного шторма.

Анализ предметной области показывает, что IDS MOiyr строиться на основе сетевого, либо системного подходов.

Обнаружение атак на сетевом уровне. Как правило, IDS сетевого уровня используют сетевой адаптер, функционирующий в режиме promiscuous, и анализируют трафик в реальном масштабе времени. Модуль распознавания атак может использовать следующие методы для распознавания атак:

- по сигнатуре;

- с помощью контроля частоты событий или превышения определенной пороговой величины;

- с применением корреляции нескольких событий с низким приоритетом.

При обнаружении атаки модуль реагирования оповещает администратора безопасности и реализует ряд контрмер в ответ на атаку.

Достоинства IDS сетевого уровня:

- низкая стоимость эксплуатации;

- обнаружение атак, которые пропускаются на системном уровне;

- обнаружение и реагирование в реальном масштабе времени;

- обнаружение неудавшихся атак или подозрительных событий;

- независимость от операционной системы.

Обнаружение атак на системном уровне. К достоинствам таких IDS можно отнести более строгий анализ при низкой стоимости внедрения. Вместе с тем IDS системного уровня:

- подтверждают успех или отказ атаки;

- контролируют функционирование определенного узла;

- обнаруживают атаки, которые пропускают системы сетевого уровня;

- работают в реальном масштабе времени;

- не требуют дополнительных аппаратных средств.

На основе проведенного анализа можно сформулировать некоторые перспективные характеристики IDS:

- интегрированные механизмы обнаружения атак на системном и сетевом уровне;

- наличие единого центра управления;

- интегрированная база данных событий;

- интегрированная система генерации отчетов;

- унифицированные процедуры инсталляции;

- возможность контроля за собственными событиями.

Показатели качества распределенных систем защиты. Как показывает мировая и отечественная практика, разработка и изготовление сложных современных РМЭ, а также обеспечение высокого уровня готовности и эффективности их применения в условиях эксплуатации требуют больших людских и материальных затрат. В условиях ограниченных финансовых ресурсов, выделяемых конкретными экономическими структурами, задача сокращения этих затрат при сохранении эксплуатационной эффективности РМЭ является первоочередной для обеспечения информационной безопасности.

Одним из основных показателей качества РМЭ при этом может являться критерий эксплуатационной эффективности Еэ, который характеризует меру целесообразности применения РМЭ и в упрощенном виде может быть представлен как Еэ - Р„Р,РС, где Рн - вероятности того, что РМЭ будет непрерывно функционировать в течение срока службы; Рг -вероятности того, что РМЭ готов к выполнению задачи недопущения НСД к информации в произвольный момент; Рс - вероятности того, что при функционировании РМЭ успешно выполнит свою задачу.

Каждая из вероятностей в общем виде есть вероятность того, что множество входных данных N,, выработанное для тестирования РМЭ, таково, что порождает сбои. Вероятность может быть выражена через вероятность Р, выбора для работы множества N,, и переменную у,:

у, = 0, если выходной результат верен для Ы,; у, = 1, в противном случае.

Таким образом, качество МЭ представляется через определение вероятности отказа в отношении входного множества данных и через наблюдение интенсивности изменения вероятности отказа по мере устранения ошибок.

Эффективность эксплуатации МЭ, в первую очередь, связана с повышением доли времени использования по назначению при приемлемых затратах. Экономическая эффективность РМЭ зависит как от организационных мероприятий по обеспечению технического обслуживания и программного обновления, так и от эксплуатационной технологичности Тэ РМЭ.

Тэ определяется как вероятность того, что любой элемент системы будет под держиваться в исправном состоянии или будет возвращен в это состояние в результате программно-аппаратного обслуживания в течение определенного периода, во время которого техническое обслуживание и программное обновление будут проводиться в соответствии с предписанными в эксплуатационной документации процедурами.

Повышение экономической эффективности использования РМЭ при снижении стоимости его жизненного цикла является важнейшей задачей, решение которой выступает одним из основных факторов обеспечения защищенности РЭИС. 1

В главе 5 «Анализ и совершенствование структуры распределенных систем защиты РЭИС» предложен алгоритм анализа и совершенствования распределенной системы защиты РЭИС, состоящий из следующих этапов: определение эффективности распределенной системы защиты, определение вероятности блокировки НСД при наличии центра управления распределенной системой защиты, а также совершенствование структуры распределенных систем защиты при реализации виртуальных сетей.

Комплексная эффективность систем защиты. Одним из важных моментов является попытка оценки эффективности защищенности сегмента РЭИС, которая позволяет обосновать требования к ее количественным и качественным характеристикам. Предположим, что расчетным или экспериментальным путем были определены вероятности обеспечения функций защиты при использовании МЭ различных типов. Например, для персональных МЭ - Рц, для первичных - Р12, для сегментных 1-го уровня -Рп, ... Для дополнительных средств организации криптошлюзов - Рц, виртуальных подсетей - Р^, защищенных маршрутизаторов - Р<(, и т.д. При этом вероятность может быть определена с помощью следующего алгоритма.

Допустим, что необходимо оценить, какова будет защищенность сегмента РЭИС при совместном использовании первичного МЭ и сегментного МЭ 1-го уровня, а также криптошлюза. Тогда для расчета общей защищенности сегмента можно воспользоваться следующей формулой7:

Л = РЦ + Лз + Р<1{ ~ ~ Рц^Л ~ Рк&\ +

Если в процессе модификации система защиты дополняется, например, маршрутизатором, то формула расчета может иметь вид:

А = РЦ + Рм + + Рц-Ъ ~ РИР>5 ~ РцРл ~ РпРц ~

~ РцР<Н - РкуРц + РцРцР</1 + РЦРЦРЛ ~ РцРцР<цРл-

Если оценивается степень защищенности нескольких сегментов РЭИС, то вероятности перемножаются

Р = Р1Р2...

Пусть необходимо оценить вероятность НСД к информации, распределенной по ресурсам двух сегментов РЭИС. Сетевая топология РЭИС, в которую входят эти сегменты, защищена РМЭ, имеющим структуру, указанную на рисунке 10.

При этом общая вероятность осуществления НСД к защищаемой информации составила Р = 0.312.

Рис 10. Структура РМЭ

Вероятность блокировки НСД при наличии центра управления распределенной системой защиты. Учитывая специфические особенности функционирования РМЭ с центром управления, процесс НСД к информации может развиваться по следующему сценарию. Злоумышленник осуществляет

7 Хубаев Г Н Безопасность распределенных информационных систем: обеспечение и оценка//Известия вузов. Северо-Кавказский регион. Технические науки Спецвыпуск Математическое моделирование и компьютерные технологии. - 2002. - с 11-13.

НСД к информации в защищенном сегменте РЭИС. Сообщение от МЭ того или иного уровня о попытке НСД в реальном масштабе времени поступает в центр управления. Центр управления автоматически или по командам администратора безопасности реагирует тем или иным способом на попытку НСД. При этом возможна реализация двух альтернативных ситуаций: НСД осуществлен; попытка НСД блокирована.

Обозначим вероятность второго события, как вероятность пресечения Р„р. Тогда задача определения вероятности Рпр может быть сформулирована следующим образом.

Пусть имеется сегмент РЭИС, защищенный РМЭ. Сегмент содержит определенное количество информационных объектов (процессорных узлов, массивов хранимой информации и т.д.). Необходимо найти вероятность блокирования НСД к информации одного из объектов.

Введем следующие ограничения:

- злоумышленник знает место расположения атакуемого информационного объекта и выбирает наиболее эффективный метод атаки;

- сигнал от МЭ в реальном масштабе времени поступает в центр управления;

- система РМЭ периодически поверяется и диагностируется:

- контроль и блокировка НСД осуществляются только в пределах защищенного сегмента РЭИС.

Блокировка НСД будет возможна только при выполнении двух независимых условий:

- факт НСД будет зафиксирован МЭ определенного уровня;

- центр управления в автоматическом или управляемом администратором безопасности режиме будет иметь соответствующие алгоритмы блокировки и успеет осуществить данную блокировку НСД.

Таким образом, получим

Р — Р Р

1 пр ~ 1 обн1 к'

где Рдь,- вероятность обнаружения НСД, РК- вероятность срабатывания механизма блокировки НСД вовремя.

В свою очередь вероятность обнаружения складывается из двух составляющих:

р — р р

1 обн 1 чэ 03 »

где Р,/э - вероятность обнаружения НСД конкретным МЭ, зависящая от количества контролируемых методов НСД; РВ1- вероятность обхода механизмов защиты МЭ алгоритмом НСД.

Расчеты по приведенной выше методике позволили получить следующее значение вероятности блокировки попытки НСД к информации, защищенной РМЭ: Рпр= 0.771.

Совершенствование структуры распределение систем защиты при реализации виртуальных сетей. Анализ существующих средств низкоуровневой защиты (скремблеры, канальные шифраторы и т.д.) для реализации функции туннелирования РМЭ показывает, что последние имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи данных. Следовательно, реализация функций распознавания топологии сети и обеспечения связи через промежуточные узлы должна осуществляться дополнительными программно-аппаратными средствами. Это приводит к значительному усложнению процесса маршрутизации.

Представляется, что решением этой проблемы может быть реализация универсального и совместимого защищенного протокола, который должен отвечать следующим требованиям:

1 Заголовок протокола соответствует стандартным 1Р-заголовком доя использования стандартных средств маршрутизации ТСР/1Р-сети.

2 В основе протокола лежит принцип распределения открытых ключей, основанный на схеме Диффи-Хелмана.

3 Обеспечивается независимость протокола от конкретного типа криптопреобразования.

Эффективность же функции туннелирования определяется следующим образом:

Т = К1(\о\+\т\ + \х\ + \у\) + 2К1\с\+Тт(о,И0) + + ТРт(т,Ыт(о)) + Т,(о,т),

где х - запрос; у - добавляемые байты; К5М - коэффициент преобразования запроса, показывающий, насколько в среднем увеличивается размер кодируемого запроса; Тю - функция определения интерфейса; о -интерфейс; Ии- размер таблицы активных интерфейсов в системе; — функция определения протокола; т - протокол; Ит(о)~ размер таблицы протоколов; Т1 - функция активации протокола; К3~ среднее время пересылки одного байта.

К, — 2КШ +К8.

Таким образом, получена оценка времени реализации функции туннелирования, основываясь на которой, можно получить критерии оценки эффективности ее реализации.

В заключении сформулированы выводы, основные положения и обобщения по результатам диссертационного исследования.

ПО ТЕМЕ ДИССЕРТАЦИИ ОПУБЛИКОВАНЫ РАБОТЫ

Монографии. учебные пособия и методические материалы

1 Тищенко E.H. Методы анализа защищенности экономических информационных систем: Монография/РГЭУ «РИНХ». - Ростов н/Д., 2003. -10 п.л.

2 Тищенко E.H. Безопасность информационных технологий при использовании мобильного кода: Учебное пособие/РГЭУ «РИНХ». -Ростов н/Д., 2003. - 4 пл.

3 Тищенко E.H. Вопросы безопасности в Internet: Текст лекций/ РГЭУ «РИНХ». - Ростов н/Д., 2003. - 2,5 пл.

4 Тищенко E.H. Защита данных: Методическая разработка/РГЭУ «РИНХ». - Ростов н/Д., 2002. - 2,7 п.л.

5 Тищенко E.H. Анализ уязвимости распределенных вычислительных систем: Методическая разработка/РГЭУ «РИНХ». - Ростов н/Д., 2001. -3 п.л.

6 Тищенко E.H., Нешкомаева Э.А. Реализация на языке ассемблера простейших алгоритмов защиты данных: Методические указания/Рост. гос. экон. акад. - Ростов н/Д., 1994. - 1,5 п.л. (лично автора - 1,3 п.л.)

Статьи в изданиях из перечня ВАК РФ

7 Тищенко E.H. Особенности построения курса «Защита данных» для студентов специальности 0719//Безопасность информационных технологий. -1996.-№3.-0,12 п.л.

8 Тищенко E.H. Методы принятия решений при оценке возможностей применения межсетевых экранов в среде распределенной информационной системы//Безопасность информационных технологий. - 2003. - № 2. -0,27 пл.------- - — - -

9 Тищенко E.H. Анализ показателей экономической эффективности применения межсетевых экранов в среде распределенной информационной системы//Изв. Вузов. Сев.-Кав. Регион. Техн. науки. - 2003. -Приложение № 3. - 0,47 п.л.

10 Тищенко E.H. Сегментирование распределенных информационных систем: критерии и методы реализации//Научная мысль Кавказа. - 2003. -Приложение № 3. - 0,35 пл.

11 Тищенко E.H. Методы оценки эффективности защищенности распределенных информационных систем//Научная мысль Кавказа. - 2003. -Приложение № 6. - 0,5 пл.

Статьи в сборниках научных трудов вуза

12Тищенко E.H. Об экономической оценке качества программных составляющих систем защиты данных//Информационные системы, экономика, управление трудом и производством: Ученые записки. Выпуск 1/Рост. гос. экон. акад. - Ростов н/Д., 1995. - 0,15 п.л.

13Тищенко E.H. Элементы защиты многопользовательских баз данных//Информационные системы, экономика, управление трудом и производством: Ученые записки. Выпуск 4/Рост. гос. экон. акад. -Ростов н/Д., 1999:-0,25 п.л.

14Тищенко E.H. Анализ эффективности формальных моделей безопасности//Информационные системы, экономика, управление трудом и производством: Ученые записки. Выпуск 5/РГЭУ «РИНХ». - Ростов н/Д., 2000.-0,2 пл.

15 Тищенко E.H. Тестирование основных ресурсов распределенных систем методом атак//Информационные системы, экономика, управление трудом и производством: Ученые записки. Выпуск 6/РГЭУ «РИНХ». -Ростов н/Д., 2001. - 0,33 п.л.;

16 Тищенко E.H. Сетевые методы анализа защищенности основных информационных ресурсов вычислительной системы//Проблемы федеральной и региональной экономики: Ученые записки. Выпуск 6/РГЭУ «РИНХ». - Ростов н/Д., 2002. - 0,25 пл.

17 Тищенко E.H. К вопросу об экономической эффективности распределенных вычислительных систем. Особенности применения межсетевых экранов//Вестник Академии. - 2002. - №2. - 0,6 п.л.

18 Тищенко E.H. Методы реализации систем обнаружения атак// Информационные системы, экономика, управление трудом и производством: Ученые записки. Выпуск 7/РГЭУ «РИНХ». - Ростов н/Д., 2003. - 0,36 пл.

19 Тищенко E.H. Особенности реализации методов принятия решений при анализе средств защиты информации в среде распределенной информационной системы//Научный поиск: По страницам докторских диссертаций/РГЭУ «РИНХ»,- Ростов н/Д., 2003. - 0,6 пл.

Материалы докладов Международных, Межгосударственных и Всероссийских конференций*

20 Тищенко E.H. Особенности использования электронных ключей в среде локальной сети//Экономико-организационные проблемы проектирования и применения информационных систем: Материалы Межгосударственной научно-практической конференции 25-27 января 1996 года/Рост. гос. экон. акад. - Ростов н/Д., 1996. - 0,12 п.л.

21 Тищенко E.H. Особенности организации межсетевого взаимодействия//Экономико-организационные проблемы анализа, проектирования и применения информационных систем: Материалы

' Тезисы докладов, а также материалы конференций иных уровней не приведены

РОС НАЦИОЯАЛЪ«* 6ЙСЛИ0ТЕКА СПскрСург ОЭ 100 »rr

Межгосударственной научно-практической конференции 23-25 января 1997 года/Рост. гос. экон. акад. - Ростов н/Д., 1997. - 0,1 п.л.

22 Тищенко E.H. Зашита от 1Шегпе1-приложений//Экономико-организационные проблемы проектирования и применения информационных систем: Материалы III Межгосударственной научно-практической конференции/Рост. гос. экон. акад. - Ростов на/Д., 1998. - 0,2 п.л.

23 Тищенко E.H. Анализ причин уязвимости распределенных вычислительных систем//Экономико-организационные проблемы проектирования и применения информационных систем: Материалы VI Всероссийской научно-практической конференции (Ростов-на-Дону, 2 ноября 2001 г.)/РГЭУ «РИНХ». - Ростов н/Д., 2002. - 0,2 пл.

24 Тищенко E.H. Методы принятия решений при выборе структуры распределенных межсетевых экранов//Математические методы и информационные технологии в экономике, социологии и образовании: Материалы X международной научно-технической конференции 24-25 декабря 2002 года. - Пенза, 2002. - 0,15 пл.

Отчеты по грантам и другие информационные материалы

25 Система поддержки принятия решений при оценке степени защищенности экономических информационных систем ¡Свидетельство об официальной регистрации программ для ЭВМ № 2003612355 (авторы: Г.Н. Хубаев, E.H. Тищенко, C.B. Гулаков). - М., 2003.

26 Хубаев Г.Н., Ефимов E.H., Тищенко E.H. Теория и методы оценки качества информационных систем II Фундаментальные исследования в области гуманитарных наук. Экономические науки. Информатика. Конкурс грантов 2000 года: Сб. рефератов научно-исследовательских работ. - Спб.: Изд-во СПб ГУ ЭФ, 2003. - 0.15 п.л. (лично автора - 0.05 пл.)

27 Теория и методы оценки качества информационных систем: качества сложных распределенных информационных систем/Отчет по гранту ГОО-4.1-59 по фундаментальным исследованиям в области гуманитарных наук Министерства образования РФ на 2001-2002 г.г. (авторы: Г.Н. Хубаев, E.H. Ефимов, E.H. Тищенко). - 10 пл. (лично автора - 2 пл.)

Изд. №259/6065. Подписано к печати 18.11.03. Объем 2,0 уч.-изд. л. Печать офсетная. Бумага офсетная. Гарнитура «Тайме». Формат 60x84/64. Тираж 120 экз. Заказ №2. «С»259.

344002, Ростов-на-Дону, Б. Садовая, 69 РГЭУ «РИНХ». Издательство.

Отпечатано ООО «АзовПечать». 346780, г. Азов, ул. Кирова, 17, тел. (86342) 4-07-22

i i

Диссертация: содержание автор диссертационного исследования: доктора экономических наук, Тищенко, Евгений Николаевич

ВВЕДЕНИЕ

ГЛАВА 1. ОБЩИЕ ВОПРОСЫ АНАЛИЗА ЗАЩИЩЕННОСТИ РЭИС

1.1. Анализ причин уязвимости РЭИС

1.2. Основные принципы организации защищенных РЭИС

1.3. Критерии качественной сегментации РЭИС

1.4. Анализ показателей защищенности РЭИС 41 Основные выводы по главе

ГЛАВА 2. МЕТОДЫ СРАВНИТЕЛЬНОГО АНАЛИЗА СИСТЕМ ЗАЩИТЫ РЭИС

2.1. Сравнительный анализ по функциональной полноте

2.2. Сравнительный анализ по закрываемым уязвимостям

2.3. Сравнительный анализ с использованием метода экспертных оценок

2.4. Сравнительная экономико-статистическая оценка 87 Основные выводы по главе

ГЛАВА 3. АНАЛИЗ КАЧЕСТВА СИСТЕМ ЗАЩИТЫ РЭИС НА ОСНОВЕ

АКТИВНОГО АТАКУЮЩЕГО ВОЗДЕЙСТВИЯ

3.1. Вероятность осуществления НСД с использованием специализированных программно-аппаратных средств

3.2. Вероятность осуществления НСД с использованием последовательности элементарных операций по вскрытию

3.3. Совершенствование процесса конфигурирования систем защиты 117 Основные выводы по главе

ГЛАВА 4. ЭФФЕКТИВНОСТЬ ПРИМЕНЕНИЯ РАСПРЕДЕЛЕННЫХ СИСТЕМ

ЗАЩИТЫ РЭИС

4.1. Анализ структуры распределенных систем защиты

4.2. Методы обнаружения распределенных атак на сетевом и системном уровнях

4.3. Показатели качества распределенных систем защиты 154 Основные выводы по главе

ГЛАВА 5. АНАЛИЗ И СОВЕРШЕНСТВОВАНИЕ СТРУКТУРЫ

РАСПРЕДЕЛЕННЫХ СИСТЕМ ЗАЩИТЫ РЭИС \ gg

5.1. Комплексная эффективность систем защиты

5.2. Вероятность блокировки НСД при наличии центра управления распределенной системой защиты

5.3. Оценка качества и выбор оптимальной структуры распределенных систем защиты

5.4. Совершенствование структуры распределенных систем защиты при реализации виртуальных сетей 194 Основные выводы по главе

Диссертация: введение по экономике, на тему "Инструментальные методы анализа защищенности распределенных экономических информационных систем"

В настоящее время в печати большое внимание уделяется вопросам защиты информации, накапливаемой, хранимой и обрабатываемой в информационных системах различных структур. Об этом говорят следующие факты: библиография по теме насчитывает сотни наименований, вопросы защиты информации включены в программу подготовки специалистов в области информационных технологий, сформировался рынок систем защиты, разработанных в России и за рубежом.

Однако по мере развития и усложнения средств, методов и форм защиты все более обостряется проблема оценки их качества, выработки критериев, которым должен соответствовать тот или иной тип систем защиты. Это особенно актуально в контексте создания, внедрения и эксплуатации защищенных распределенных экономических информационных систем (РЭИС), вследствие того что именно защищенность как показатель качества РЭИС выходит в современных условиях на первый план.

Известно, что при организации тех или иных сетевых и телекоммуникационных топологий потенциальная уязвимость обрабатываемой в среде РЭИС информации резко возрастает. Это объясняется возникновением многовариантности возможных каналов доступа к процессорным узлам сети, массивам хранимой информации и сегментам сетевых топологий. В связи с этим оценка качества реализации механизмов защиты от несанкционированного доступа (НСД) является одной из основных задач при анализе защищенности РЭИС.

Попытки разработки методологических подходов и инструментальных средств, обеспечивающих анализ качества систем защиты и защищенности информационных систем, предпринимались многими отечественными и зарубежными авторами: В. Герасимовым, Д. Гроувером, Д. П. Зегенда, С. Мафтиком, Д. Сяо, J1. Дж. Хоффманом, В. В. Мельниковым, А.Г. Мамиконовым А. Астаховым и многими другими. Ими были проанализированы отдельные методы и средства защиты, рассмотрены некоторые существующие системы защиты. Однако эти исследования носят разрозненный и неполный характер. Нам неизвестны в достаточной мере серьезные попытки ранжирования выделенных критериев качества систем защиты, привязки их к конкретным условиям функционирования РЭИС. Не проводилась сравнительная экономическая оценка потребительского качества систем защиты в связи с трудностями оценки затрат живого труда и машинного времени на их эксплуатацию и вскрытие.

Анализ показывает, что задача оценки защищенности РЭИС должна разбиваться на следующие подзадачи: определение качества сегментации топологии РЭИС; оценка адекватности выбора базовых составляющих системы защиты РЭИС на основе перечня функциональных характеристик и потенциальных угроз, а также на основе экспертной оценки специалистов в области информационной безопасности; анализ стойкости базовых элементов системы защиты при тестировании известными атакующими алгоритмами; оценка эффективности, в том числе экономической, распределенной системы защиты РЭИС; совершенствование существующей системы защиты РЭИС. По утверждениям отечественных и зарубежных специалистов, решение этих задач наталкивается на трудности, связанные с известной нечеткостью и неопределенностью исследуемых процессов.

Перечисленные задачи и определили содержание настоящего исследования. Несмотря на большое количество публикаций, ни одна из этих задач не изучена в степени, достаточной для анализа защищенности, как одной из важнейших характеристик качества РЭИС.

Основной целью исследования является развитие методологии и инструментария анализа защищенности РЭИС на основе исследования параметров объектов защиты и разработки экономико-математических моделей для принятия решений при создании, эксплуатации и развитии РЭИС.

Поставленная в работе цель обусловила решение следующих научных проблем и практических задач:

1. Разработка концепции исследования защищенности РЭИС.

2. Разработка и развитие методов оценки качества:

- сегментной топологии существующих РЭИС;

- средств и методов защиты информации, составляющих систему защиты РЭИС;

- реализации распределенных механизмов систем защиты РЭИС;

3. Разработка и развитие методов совершенствования структуры распределенных механизмов системы защиты РЭИС.

4. Разработка программного инструментария для анализа защищенности РЭИС.

Объектом исследования являются РЭИС предприятий различных ведомственных принадлежностей и организационно-правовых форм.

Предметом исследования являются процессы проектирования и использования РЭИС, направленные на повышение уровня защищенности РЭИС, как одной из важнейших характеристик потребительского качества РЭИС.

Теоретическую и методологическую базу исследования составляют научные труды российских и зарубежных ученых по теории выбора и принятия решений, экономико-математическому моделированию, а также теоретические и методологические вопросы оценки защищенности РЭИС. В проведенном исследовании использовались элементы теории информационных систем и статистического анализа. Также использовались вероятностные методы определения качества сложных систем, методы анализа предметной области и экспертные методы.

В работе обобщены результаты исследований автора за период 19922003 годы в области анализа качества систем защиты и оценки защищенности РЭИС.

Работа проведена в рамках пунктов Паспорта специальности 08.00.13 -математические и инструментальные методы экономики: 2.6. «Развитие теоретических основ, методологии и инструментария проектирования, разработки и сопровождения информационных систем субъектов экономической деятельности: методы формализованного представления предметной области, программные средства, базы данных, корпоративные хранилища данных, базы знаний, коммуникационные технологии»; 2.7. «Проблемы стандартизации и сертификации информационных услуг и продуктов для экономических приложений».

Эмпирической базой исследования явились экспериментальные и статистические данные, собранные в процессе эксплуатации РЭИС ряда организаций. Основные выдвигаемые научные положения и рекомендации экспериментально подтверждены. Поставленные эксперименты с РЭИС и их компонентами составляют основу предлагаемой методологии исследования защищенности РЭИС.

Научная новизна диссертационного исследования заключается в разработке целостного методологического и инструментального обеспечения для экономико-математического анализа защищенности РЭИС. Научную новизну содержат следующие положения:

1. Логически завершена и методически оформлена концепция анализа защищенности РЭИС на основе модели защиты с полным перекрытием, описывающая общие принципы построения систем поддержки принятия решений при оценке защищенности РЭИС.

2. Модифицирована классификация средств межсетевого экранирования, учитывающая, в том числе их программно-аппаратные особенности и позволяющая принимать более обоснованные решения при выборе базовых элементов системы защиты РЭИС.

3. Предложена экономико-математическая модель определения параметров сегментации РЭИС, учитывающая такие характеристики, как размер сегмента, состав информационных элементов и узлов сегмента.

Модель позволяет оценивать качество программно-аппаратной сегментации РЭИС в соответствии с заданными стоимостными и временными ограничениями.

4. Разработан универсальный методологический и инструментальный подход к оценке защищенности РЭИС, как на уровне распределенной системы защиты, так и на уровне ее базовых составляющих, включающий реализацию следующих этапов:

4.1. Сравнительная оценка качества систем защиты:

- определен перечень характеристик базовых элементов системы защиты РЭИС, позволяющий на основе формализованных процедур провести их сравнительный анализ;

- расширен перечень угроз информационным объектам и механизмам защиты РЭИС, позволяющий на основе формализованных процедур провести сравнительный анализ базовых элементов системы защиты РЭИС;

- с использованием экспертных методов проранжирован перечень характеристик базовых элементов системы защиты РЭИС для определения качества конкретного базового элемента;

- предложена экономико-статистическая методика сравнения ограниченного числа базовых элементов на завершающей стадии принятия решения о структуре системы защиты РЭИС, реализующая алгоритмы сравнения по альтернативному признаку, парного сравнения и др.

4.2. Оценка качества элементов системы защиты РЭИС на основе активного воздействия на их механизмы:

- адаптирован метод определения вероятности вскрытия базовых элементов системы защиты РЭИС с учетом наличия специализированных программно-аппаратных средств: механизмов пассивного сетевого сканирования и механизмов активного воздействия на потенциально уязвимые места РЭИС;

- сформирована последовательность атакующих элементарных операций на базовые составляющие системы защиты РЭИС, на основе которой определяется вероятность их вскрытия;

- адаптирована методика расчета параметров качества конфигурирования программно-аппаратных элементов РЭИС, позволяющая определять трудоемкость конфигурирования отдельных составляющих системы защиты РЭИС.

4.3. Анализ качества и совершенствование распределенной системы защиты РЭИС:

- адаптирован метод определения степени защищенности РЭИС с ф учетом распределенной структуры механизмов ее построения;

- на основе модели оценки эффективности проектирования систем безопасности предложен метод определения вероятности вскрытия распределенной системы защиты РЭИС с центром управления, учитывающий том числе такой важный для сетевых топологий параметр, как удаленность центра управления от базовых элементов распределенной системы защиты;

- предложена методика совершенствования структуры защищенной РЭИС, базирующаяся на методах анализа эффективности распределенных элементов информационных систем. Данная методика позволяет определять параметры реализации оптимальной структуры виртуальных сетей.

Практическая значимость исследования определяется тем, что основные положения, выводы, рекомендации, модели, методы и алгоритмы ориентированы на широкое использование предприятиями и организациями любой структуры, ведомственной принадлежности и формы собственности для оценки защищенности РЭИС.

Основные результаты диссертационной работы докладывались и ^ обсуждались на Международных и Всероссийских симпозиумах и конференциях, в том числе: Международной научной конференции «Системный анализ и экономические стратегии управления» (Санкт-Петербург, 1994); Всероссийской научно-практической конференции

Информационная безопасность в высшей школе» (Москва, 1995); Межгосударственной конференции «Экономико-организационные проблемы анализа, проектирования и применения информационных систем» (Ростов-на-Дону, 1997-2002); X Международной научно-технической конференции «Математические методы и информационные технологии в экономике, социологии и образовании» (Пенза, 2002) и на других.

Основные положения, полученные в результате проведенного исследования, используются при чтении курсов специальностей «Прикладная информатика» («Информационная безопасность») и «Организация и технология защиты информации» («Введение в специальность», «Теория информационной безопасности и методология защиты информации», «Защита информационных процессов в компьютерных системах», «История и современные методы защиты информации в России») в Ростовском государственном экономическом университете «РИНХ».

Отдельные результаты диссертационной работы использованы при анализе защищенности РЭИС в органах государственной статистики (Ростовский областной государственный комитет по статистике), образовательной деятельности (Ростовский государственный экономический университет «РИНХ»), в деятельности администраций субъектов РФ (администрация Ростовской области), на производственных предприятиях (ОАО «РОСТВЕРТОЛ») и иных видах деятельности. Акт и справки о внедрении результатов исследования приведены в приложении 1.

Результаты исследования использованы в типовом прикладном программном обеспечении: «Система поддержки принятия решений при оценке степени защищенности экономических информационных систем» (№ 2003612355, РОСПАТЕНТ). Свидетельство об официальной регистрации приведено в приложении 1.

Исследования, представленные в диссертационной работе, поддержаны Министерством образования РФ (грант ГОО-4.1-59 по фундаментальным исследованиям в области гуманитарных наук Министерства образования РФ на 2001-2002 г.г., тема: «Теория и методы оценки качества информационных систем: качества сложных распределенных информационных систем»).

Также отдельные направления представленных • научных исследований реализовывались в рамках следующих грантов:

- Гранта Санкт-Петербургского университета экономики и финансов, тема "Теоретическое и прикладное моделирование инвестиционного процесса на основе НТР и НТП (код темы 4-46, 1999-2000 г.г.);

- Проекта Tempus TACIS UMCP-20579-1999 "Укрепление филиальной сети на основе новых информационных технологий (1999-2001 г.г.).

Основные результаты диссертации изложены в 26 научных работах, в том числе в одной монографии, учебном пособии, тексте лекций и 3 методических разработках. Общий объем авторских публикаций по теме 28,77 печатных листа.

Диссертационная работа состоит из введения, 5 глав, заключения, библиографического списка и приложений. Работа содержит 31 таблицу, 29 рисунков и графиков. Библиографический список содержит 214 литературных источников.

Диссертация: заключение по теме "Математические и инструментальные методы экономики", Тищенко, Евгений Николаевич

Основные выводы по главе 5

Адаптирована модель определения комплексной эффективности системы защиты РЭИС, построенной с использованием распределенных механизмов. Данная модель позволяет определять вероятность реализации НСД к защищенной с помощью РМЭ информации.

Все типы РМЭ должны содержать такие элементы, как диспетчер доступа, модель защиты и блок аутентификации. Реализуемый в виде совокупности программно-аппаратных механизмов, диспетчер доступа обеспечивает необходимые правила разграничения доступа субъектов к объектам описываемые посредством математически строгой модели защиты. На сегодняшний день наибольшее распространение на практике получила матричная модель защиты.

Учитывая специфические особенности функционирования РМЭ с центром управления, была разработана методика определения вероятности реализации НСД при наличии такого параметра, как удаленность центра управления от базовых защитных механизмов.

Анализ существующих средств низкоуровневой защиты (скремблеры, канальные шифраторы и т.д.) и реализации защищенного канала РМЭ показывает, что последние имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи данных. Решением этой проблемы может быть реализация универсального и совместимого защищенного протокола, который должен отвечать следующим требованиям:

1. Заголовок протокола соответствует стандартным IP-заголовком для использования стандартных средств маршрутизации ТСР/1Р-сети.

2. В основе протокола лежит принцип распределения открытых ключей основанный на схеме Диффи-Хелмана.

3. Обеспечивается независимость протокола от конкретного типа криптопреобразования.

Дальнейший анализ показывает, что при оценке эффективности реализации защищенного канала вполне применимы методы, учитывающие такие этапы выполнения запроса:

- кодирование запроса;

- передача запроса;

- декодирование запроса;

- определение объекта вызова;

- возможная активация объекта вызова;

- определение интерфейсов;

- активация протокола;

- кодирование результатов;

- передача результата;

- декодирование результатов.

Предложенная методика, базирующаяся на данной структуре запроса, позволяет оценивать время реализации защищенного канала, основываясь на которой можно получить критерии оценки эффективности его реализации.

ЗАКЛЮЧЕНИЕ

В процессе диссертационного исследования были получены следующие научные и практические результаты:

1. Логически завершена и методически оформлена концепция анализа защищенности РЭИС на основе модели защиты с полным перекрытием, описывающая структуру абсолютно защищенной РЭИС, как топологию с глубиной сегментации уровня конечных узлов.

Набор механизмов обеспечения безопасности и сегментации существенно уменьшает количество угроз РЭИС. Чем сильнее уровень сегментации, тем меньшее количество угроз реализуется с порождением новых угроз. В идеальном варианте в системе с полным перекрытием для РЭИС степень сегментации доводится до уровня конечных узлов.

2. Модифицирована классификация средств межсетевого экранирования, учитывающая в том числе их программно-аппаратные особенности. Она позволяет адекватно принимать решения при выборе базовых элементов, составляющих систему защиты РЭИС.

При сравнительном анализе МЭ и принятии решения об их применимости наиболее адекватным будет их анализ на основе следующей группировки:

Программно-аппаратные фильтры пакетного/сеансового уровней

- программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы;

- программная реализация на базе стандартной конфигурации вычислительной системы.

Криптошлюзы

- программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы;

- программная реализация на базе стандартной конфигурации вычислительной системы.

Межсетевые экраны

- надстройка над операционной системой;

- замещение основных функций операционной системы собственными;

- программно-аппаратная реализация на базе специально разработанного аппаратного устройства и специализированной операционной системы.

3. Предложена экономико-математическая модель определения параметров сегментации РЭИС, учитывающая такие характеристики, как размер сегмента, состав информационных элементов и узлов сегмента. Модель позволяет оценивать качество программно-аппаратной сегментации РЭИС в соответствии с заданными стоимостными и временными ограничениями.

4. Разработан универсальный методологический и инструментальный подход к оценке защищенности РЭИС, как на уровне распределенной системы защиты, так и на уровне ее базовых составляющих, включающий реализацию следующих этапов:

4.1. Сравнительная оценка качества систем защиты:

- определен перечень характеристик базовых элементов системы защиты РЭИС, позволяющий на основе формализованных процедур провести их сравнительный анализ. Основными трудностями, с которыми приходится сталкиваться при сравнительной оценке систем защиты, это неопределенность и сложность продуктов данного класса. Вполне обоснованным является применение формальных процедур сравнения ряда систем защиты по выделенным ранее характеристикам. Количество выделенных характеристик составило 140 позиций. На основании этого ряда были осуществлена сравнительная экономическая оценка ряда систем защиты;

- расширен перечень угроз информационным объектам и механизмам защиты РЭИС, позволяющий на основе формализованных процедур провести сравнительный анализ базовых элементов системы защиты РЭИС. На практике системы защиты необходимо оценивать не только с точки зрения набора выполняемых функций и качества функциональных характеристик, а с точки зрения совокупности закрываемых каналов утечки информации и НСД. Для этого был получен перечень уязвимостей РЭИС, на основании которого с использованием формализованных процедур также была осуществлена сравнительная оценка систем защиты. Список уязвимостей составляет более 600 позиций.

- с использованием экспертных методов проранжирован перечень характеристик базовых элементов системы защиты РЭИС для определения качества конкретного базового элемента. В дальнейшем были привлечены несколько ведущих в области информационной безопасности организаций для проведения экспертной оценки конкретных систем защиты (указывалась степень реализации характеристик в структуре реальных систем защиты), на основании которой была рассчитана степень обеспечения защиты от НСД к информации в сегменте, защищенном МЭ;

- предложена экономико-статистическая методика сравнения ограниченного числа базовых элементов на завершающей стадии принятия решения о структуре системы защиты РЭИС, реализующая алгоритмы сравнения по альтернативному признаку, парного сравнения и др.

4.2. Оценка качества элементов системы защиты РЭИС на основе активного воздействия на их механизмы:

- адаптирован метод определения вероятности вскрытия базовых элементов системы защиты РЭИС с учетом наличия специализированных программно-аппаратных средств: механизмов пассивного сетевого сканирования и механизмов активного воздействия на потенциально уязвимые места РЭИС;

- сформирована последовательность атакующих элементарных операций на базовые составляющие системы защиты РЭИС, на основе которой определяется вероятность их вскрытия. Анализ структуры реализации атак различных типов показывает, что вполне возможно моделирование вариантов реализации таких атак с определением вероятности осуществления НСД к информации, обрабатываемой в защищенном (в том числе с применением МЭ) сегменте РЭИС. Были проанализированы законы распределения элементарных операций по вскрытию и промоделированы законы распределения определенных их совокупностей. Установлено, что закон распределения выделенного ограниченного подмножества операций близок к нормальному.

- адаптирована методика расчета параметров качества конфигурирования программно-аппаратных элементов РЭИС, позволяющая определять трудоемкость конфигурирования отдельных составляющих системы защиты РЭИС.

4.3. Анализ качества и совершенствование распределенной системы защиты РЭИС:

- адаптирован метод определения защищенности РЭИС с учетом распределенной структуры механизмов ее построения;

- на основе модели оценки эффективности проектирования систем безопасности предложен метод определения вероятности вскрытия распределенной системы защиты РЭИС с наличия центра управления, учитывающий в том числе такой важный для сетевых топологий параметр, как удаленность центра управления от базовых элементов распределенной системы защиты;

- предложена методика совершенствования структуры защищенной РЭИС, базирующаяся на подходах к анализу эффективности распределенных элементов информационных систем. Данная методика позволяет определять параметры реализации оптимальной структуры виртуальных сетей.

5. Разработано типовое прикладное программное обеспечение «Система поддержки принятия решений при оценке степени защищенности экономических информационных систем (№2003612355, РОСПАТЕНТ).