Oddział GOU VPO „MPEI (TU)”
w mieście Smoleńsk,
uczeń szóstego roku
METODY BEZPIECZEŃSTWA SYSTEMU INFORMACYJNEGO
Obecnie komputery wszędzie weszły mocno do współczesnego świata, we wszystkich sferach działalności ludzkiej i nauki, stwarzając w ten sposób potrzebę zapewnienia im różnego oprogramowania. Oczywiście wynika to przede wszystkim z rozwoju informatyki elektronicznej i jej szybkiego doskonalenia oraz wdrażania w różnych sferach działalności człowieka.
Przyczyną tak intensywnego rozwoju technologii informatycznych jest stale rosnąca potrzeba szybkiego i wysokiej jakości przetwarzania informacji, którego przepływ stale rośnie wraz z rozwojem społeczeństwa.
Połączenie komputerów w sieci znacznie poprawiło wydajność. Sieć komputerowa są wykorzystywane zarówno do potrzeb produkcyjnych (lub biurowych), jak i do szkoleń, komunikacji itp.
Powszechne zastosowanie technologii komputerowej w zautomatyzowanych systemach przetwarzania i kontroli informacji doprowadziło do zaostrzenia problemu ochrony informacji krążących w systemach komputerowych. Konieczne było stworzenie zintegrowanego systemu wykrywania włamań.
Systemy wykrywania włamań służą do wykrywania niektórych typów złośliwa aktywnośćco może zakłócać bezpieczeństwo informacji o systemie komputerowym. Takie działania obejmują ataki sieciowe na wrażliwe usługi, ataki mające na celu eskalację uprawnień, nieautoryzowany dostęp do ważnych plików, a także złośliwe działania oprogramowanie (wirusy komputerowe, trojany i robaki).
Pod naruszenie bezpieczeństwa systemu informatycznegozrozumiemy jedną z sytuacji, która może być zorganizowana przez sprawcę naruszenia. Obejmują one :
· Zakłócenie lub rozłączenie.
Informacje są niszczone lub stają się niedostępne lub bezużyteczne. W tym przypadku dostępność informacji jest naruszona. Przykładem takich naruszeń może być wpływ intruza na elementy sieci (linie komunikacyjne (LS), węzły przełączające (CC), urządzenia sterujące, bazy danych itd.) W celu ich zniszczenia lub unieruchomienia.
· Przechwycić.
Nieautoryzowany dostęp do informacji. Poufność przekazywanych informacji jest naruszona. Przykładem tego rodzaju naruszenia jest nieautoryzowane połączenie z kanałem komunikacyjnym.
· Modyfikacja (zniekształcenie).
Nieautoryzowany dostęp jest otwarty w celu zmiany informacji. W którym naruszona jest poufność przekazywanych informacji i ich integralność. Celem tego rodzaju naruszenia jest zmiana informacji przesyłanych przez sieć.
· Fałszowanie.
Intruz udaje, że jest źródłem informacji. W którym autentyczność informacji jest naruszona(właściwość, która gwarantuje, że podmiot lub zasób jest identyczny z tym, do którego zgłoszono roszczenie). Przykładem tego rodzaju naruszenia jest wysyłanie fałszywych wiadomości przez sieć.
Powyższe rodzaje naruszeń można podzielić na dwie grupy:
· Aktywny;
Bierny.
Aktywny wpływ na rozproszony system komputerowy oznacza wpływ, który ma bezpośredni wpływ na działanie systemu (zmiana konfiguracji rozproszonego system komputerowy, zakłócenie działania itp.) oraz naruszenie przyjętej w niej polityki bezpieczeństwa. Prawie wszystkie typy ataków zdalnych są aktywnymi wpływami. Oczywistą cechą efektu aktywnego, w porównaniu z efektem pasywnym, jest podstawowa możliwość jego wykrycia, ponieważ w wyniku jego wdrożenia w systemie zachodzą pewne zmiany. Ta grupa obejmuje:
· Przerwanie - naruszenie dostępności i poufności;
· Modyfikacja - naruszenie integralności;
· Fałszowanie - naruszenie autentyczności.
Efekt pasywny w rozproszonym systemie komputerowym to efekt, który nie wpływa bezpośrednio na działanie systemu, ale może naruszać jego zasady bezpieczeństwa.
Brak bezpośredniego wpływu na działanie rozproszonego systemu komputerowego sprawia, że \u200b\u200bpasywna zdalna ekspozycja jest prawie niemożliwa do wykrycia. Przykładem typowej pasywnej zdalnej ekspozycji w rozproszonym systemie komputerowym jest słuchanie kanału komunikacyjnego w sieci. Z pasywnym efektem, w przeciwieństwie do aktywnego, nie pozostały żadne ślady (nic nie zmieni się z faktu, że atakujący obejrzy czyjąś wiadomość w systemie). Można śmiało stwierdzić, że naruszenia bierne wyznaczają jako swój ostateczny cel przejście do grupy czynnych naruszeń.
Główne cele oddziaływania:
· Naruszenie poufności informacji lub zasobów systemowych;
· Naruszenie integralności informacji;
· Naruszenie stanu zdrowia (dostępności) systemu.
Celem większości ataków jest uzyskanie nieautoryzowanego dostępu do informacji. Istnieją dwie podstawowe możliwości dostępu do informacji: przechwytywanie i zniekształcanie. W pierwszym przypadku istnieje nieautoryzowany dostęp do informacji bez możliwości jej zniekształcenia (efekt pasywny).
Zniekształcanie informacji oznacza pełną kontrolę przepływ informacji między obiektami systemowymi lub możliwością wysyłania wiadomości w imieniu innego obiektu. Oczywiście zniekształcenie informacji prowadzi do naruszenia jej integralności, to znaczy stanowi aktywny wpływ.
Zasadniczo innym celem ataku jest zakłócenie systemu. W tym przypadku głównym celem crackera jest zapewnienie, że system operacyjny na zaatakowanym obiekcie ulegnie awarii, a zatem dla wszystkich innych obiektów w systemie dostęp do zasobów tego obiektu byłby niemożliwy. Przykładem ataku zdalnego, którego celem jest zakłócenie wydajności systemu, może być typowy atak typu „odmowa usługi”.
Pod warunkiem rozpoczęcia uderzenia można również sklasyfikować ataki. Zdalna ekspozycja, jak każda inna, może zacząć mieć miejsce tylko pod pewnymi warunkami. W rozproszonych systemach obliczeniowych istnieją trzy typy warunków do rozpoczęcia zdalnego ataku:
· Atak na żądanie od atakowanego obiektu;
· Atak na wystąpienie oczekiwanego zdarzenia na zaatakowanym obiekcie;
· Bezwarunkowy atak.
W pierwszym przypadku atakujący oczekuje, że określony typ żądania zostanie przesłany z potencjalnego celu ataku, co będzie warunkiem rozpoczęcia uderzenia. To ważne by zauważyć że ten typ Zdalne ataki są najczęściej spotykane w rozproszonych systemach komputerowych.
W drugim przypadku atakujący stale monitoruje stan system operacyjny zdalny cel ataku, a gdy w tym systemie wystąpi określone zdarzenie, zaczyna się efekt. Podobnie jak w poprzednim przypadku, inicjatorem początku ataku jest sam zaatakowany obiekt.
W trzecim przypadku początek ataku jest bezwarunkowy w stosunku do celu ataku, to znaczy atak jest przeprowadzany natychmiast i niezależnie od stanu systemu i atakowanego obiektu. Dlatego w tym przypadku atakujący inicjuje rozpoczęcie ataku.
LITERATURA
1. Novikov, S. N. Bezpieczeństwo informacji w sieciach komunikacyjnych z gwarancją jakości usług: podręcznik szkoleniowy. - Nowosybirsk, 20 s., Ill.
2. Howard M. Protected Code / M. Howard, D. Leblanc. - Per. z języka angielskiego, 2. wydanie, hiszpański. M.: Dom wydawniczy i handlowy „Russian Edition”, lata 20.
3. Shangin, V.F. Bezpieczeństwo informacji systemów i sieci komputerowych: podręcznik. dodatek. - M .: Wydawnictwo „Forum”: Infa-M, lata 20.
Naruszenia IB. Bezpieczeństwo przestrzeni internetowej i korporacyjnej
Wyniki ankiety
M.S. Saveliev
Zastępca Dyrektora Marketingu
Firma „Informzashchita”
Skuteczna strategia ochrony korporacji środowisko informacyjne (IP) wymaga nie tylko chęci zapewnienia kompleksowego bezpieczeństwa sieci firmy, ale także analizy obecnego stanu rzeczy w tym obszarze oraz oceny działań podjętych w celu analizy istniejących zagrożeń i zapobiegania naruszeniom. Wyniki badania przeprowadzonego przez czasopismo Information Security mogą być przydatne do badania problemów związanych z bezpieczeństwem informacji (IS) firmy.
Wyniki tego badania elokwentnie wskazują, że główne zagrożenie dla bezpieczeństwa korporacyjnej przestrzeni informacyjnej pochodzi właśnie z wewnątrz firmy.
System informacyjny firmy higienicznej
Prawie żaden z respondentów nie doświadczył istotnych naruszeń SI przez zewnętrznych atakujących (ryc. 1). Połowa respondentów twierdzi, że nie było prób przeniknięcia własności intelektualnej firmy z zewnątrz. To prawda, że \u200b\u200bdla absolutnie dokładnego wniosku interesujące byłoby wzięcie pod uwagę jeszcze jednego faktu: czy firmy biorące udział w badaniu mają środki do wykrywania zewnętrznych ataków i zapobiegania im, ale takie pytanie nie zostało zadane.
W codziennej praktyce dość często trzeba zmierzyć się z faktem, że pomimo obecności wyposażenia ochronnego w ich arsenale, działy bezpieczeństwa informacji firm i organizacji nie są w stanie z powodzeniem nimi zarządzać. Pośrednim potwierdzeniem tego jest obraz odpowiedzi na pytanie „Jak rozwinięte jest zarządzanie systemem bezpieczeństwa informacji?” (Ryc. 2): nawet takie „higieniczne” środki ochrony jak antywirus są nieefektywnie stosowane. Prawie jedna piąta respondentów nie konfiguruje opcji w firmach automatyczna aktualizacja antywirusowe bazy danych - pytanie to pozostawia się użytkownikom. Stąd oczywiste jest, że: specjaliści od zarządzania i informatyki badanych firm mogą po prostu nie wiedzieć, jakie zdarzenia mają miejsce w ich systemach. Nawiasem mówiąc, współczesne zagrożenia, takie jak na przykład wirusy bot, można wykryć jedynie za pomocą subtelnych znaków, a raczej tylko poprzez analizę starannie skonfigurowanych narzędzi ochrony.
Najbardziej niebezpiecznym intruzem jest użytkownik
W przeciwieństwie do bardzo powszechnych twierdzeń z 2006 r. O ogromnym zagrożeniu ze strony wewnętrznych zagrożeń, badanie magazynu wykazało, że większość incydentów w prawdziwym doświadczeniu ekspertów ds. Bezpieczeństwa informacji to niezamierzone, niezamierzone działania użytkownika (ryc. 3). W rzeczywistości użytkownicy naruszają ustanowione przez organizację zasady korzystania z korporacyjnego adresu IP przez niezamierzone podjęcie działania (ryc. 4). Ponadto typowe jest, że zasady postępowania w zakresie bezpieczeństwa informacji dla pracowników firmy są ostrożnie opisane (ryc. 2) zarówno w polityce bezpieczeństwa informacji, w obowiązkach pracowników, jak i w innych dokumentach. Pomimo obecności specjalnych instrukcji i dokumentów dotyczących bezpieczeństwa informacji w ich firmach, kwestionariuszy poświadczonych przez uczestników ankiety, istnieje wiele naruszeń bezpieczeństwa z powodu braku świadomości użytkowników.
Czy dzieje się tak, ponieważ wymagania dotyczące dokumentów dotyczących bezpieczeństwa informacji nie są przekazywane pracownikom? Odpowiadasz na pytanie „W jaki sposób pracownicy Twojej firmy dowiadują się o swoich obowiązkach w zakresie zgodności z bezpieczeństwem informacji?” (Ryc. 5), 15% respondentów stwierdziło, że takie wymagania istnieją tylko w formie papierowej, a pracownicy organizacji nie są o nich w żaden sposób informowani. Regularne szkolenia z zakresu bezpieczeństwa informacji odbywają się tylko w jednej piątej badanych firm. W zdecydowanej większości przypadków eksperci ds. Bezpieczeństwa informacji są zuchwali, że pracownicy muszą w jakiś sposób samodzielnie opanować treść dokumentów regulacyjnych dotyczących bezpieczeństwa. Odważę się twierdzić, że nawet znajomość podpisu nie daje żadnego efektu: wszyscy jesteśmy przyzwyczajeni do formalnego podpisywania instrukcji bezpieczeństwa bez zagłębiania się w ich istotę. Często jest to całkowicie zbędne bez niego.
W pogoni za trzema zającami
Co jest dla nas obarczone 10% zidentyfikowanych naruszeń? Sądząc po równomiernym rozłożeniu odpowiedzi na pytanie „Opisz znaczenie informacje o firmie„(Ryc. 6) niewielu ekspertów ds. Bezpieczeństwa informacji naprawdę rozumie istotę chronionego biznesu. Oczywiście samo pytanie jest zadawane dość prosto, ale w praktyce często konieczne jest zmierzenie się z faktem, że w pogoni za trzema ptakami za jednym kamieniem (integralność, poufność i dostępność ) wielu jest gotowych złapać nie to, co krytyczne, ale to, co „łatwiejsze do złapania”. Czasami takie próby zaczynają tracić kontakt ze zdrowym rozsądkiem: w pewnym momencie wszystkie służby bezpieczeństwa wydają na ograniczenie możliwości korzystania z nośników USB, a jednocześnie w żaden sposób nie kontrolowane e-mail, faksy, drukarki i inne środki wysyłania informacji poza organizację. Problemy związane z odzyskiwaniem informacji i działaniem systemu w przypadku awarii są na ogół ignorowane. Nawiasem mówiąc, jest to jedno z głównych zagrożeń, jeśli ufasz wynikom odpowiedzi na pytanie: „Wskaż rodzaje użytkowania zasoby informacji firmy z pracownikami naruszającymi ustalone w ubiegłym roku systemy? ”(ryc. 4).
Czy to nieporozumienie wyjaśnia sprzeczność ujawnioną w ankiecie: pomimo ogromnego znaczenia, jakie kierownictwo firmy przywiązuje do kwestii bezpieczeństwa (ryc. 7), TOP menadżerowie nie spieszą się, aby zwiększyć fundusze na bezpieczeństwo informacji i ulepszyć systemy ochrony (ryc. 8).
Specjaliści ds. Bezpieczeństwa „sok wewnętrzny”
Z badania jasno wynika, że \u200b\u200bwielu ekspertów ds. Bezpieczeństwa „gotuje się we własnym soku”: odpowiadając na pytanie „Jakie środki zarządzania i badania bezpieczeństwa informacji zastosowała Twoja firma w ciągu ostatniego roku?” (Ryc. 9) tylko 12,5% respondentów stwierdziło, że korzysta z usług i porad profesjonalnych konsultantów ds. Bezpieczeństwa. Nieco ponad 6% zwraca się do międzynarodowych standardów i praktyk. Reszta woli weryfikować rzeczywistość tylko na podstawie własnego doświadczenia i doświadczenia kolegów. Należy przede wszystkim zauważyć, że znaczna część respondentów jest pewna: liczba incydentów związanych z IS wzrośnie dopiero w przyszłości i trudniej będzie je wykryć (ryc. 10). Jednak większość respondentów ma nadzieję na panaceum, ratownik w postaci jakiegoś zaawansowanego technologicznie rozwiązania, które uratuje ich przed zbliżającym się niebezpieczeństwem. Cieszy stwierdzenie, że główne nadzieje wiążą się właśnie z właściwym budowaniem i zarządzaniem procesami obronnymi. Potwierdza to obserwowany dziś wzrost przyjętych międzynarodowych standardów bezpieczeństwa. Współcześni eksperci świadomie starają się stosować zalecenia norm w codziennych czynnościach.
Ten artykuł jest próbą rozważenia rzeczywistych zagrożeń dla bezpieczeństwa informacji, które mogą pojawić się w nowoczesnych warunkach. Należy zauważyć, że artykuł nie udaje „podręcznika bezpieczeństwa informacji”, a wszystko, co w nim zawarte, jest wyłącznie opinią autora.
Tradycyjnym błędem wielu szefów rosyjskich firm jest niedocenianie lub przecenianie zagrożeń dla bezpieczeństwa informacji w przedsiębiorstwie. Często postrzegają bezpieczeństwo IT w najlepszym wypadku jako jeden ze środków pomocniczych zapewniających bezpieczeństwo w ogóle, czasami nie odgrywa ono w ogóle żadnej znaczącej roli - mówią, że to wszystko jest przedmiotem zainteresowania administratorów systemu. Ta opcja jest typowa przede wszystkim dla małych, a częściowo dla średnich firm. Druga skrajność, przeszacowanie wartości bezpieczeństwa IT, występuje głównie wśród dużych firm i charakteryzuje się podniesieniem zestawu środków w celu zapewnienia bezpieczeństwa IT do rangi „hiperstrategii”, w odniesieniu do której budowana jest główna strategia biznesowa.
Nie jest tajemnicą, że we współczesnym świecie biznes jest mniej lub bardziej zależny od technologii informatycznych. Korzyści z używania IT w biznesie są oczywiste: szybkość i prostota generowania, dystrybucji, manipulowania i wyszukiwania heterogenicznych informacji, organizowania ich według różnych kryteriów, łatwość przechowywania, możliwość dostępu z niemal dowolnego miejsca na świecie ... Wszystkie te zalety wymagają dobrze dostosowanego wsparcia i konserwacji, które, z kolei nakłada pewne wymagania na podstawową infrastrukturę IT. Z drugiej strony w systemach informacyjnych często znajdują się informacje, których ujawnienie jest wysoce niepożądane (na przykład informacje poufne lub informacje stanowiące tajemnicę handlową). Naruszenie normalnego funkcjonowania infrastruktury lub uzyskanie dostępu do informacji znajdujących się w IP stanowią zagrożenia dla bezpieczeństwa informacji.
Dlatego zagrożenia dla bezpieczeństwa informacji w przedsiębiorstwie można podzielić na kilka klas:
- Zagrożenia dostępu
- Zagrożenia dla integralności
- Zagrożenia dla naruszenia prywatności
Zagrożenia związane z naruszeniami dostępności to zagrożenia związane ze wzrostem czasu potrzebnego na otrzymanie tej lub innej informacji lub serwis informacyjny. Naruszenie dostępności polega na stworzeniu takich warunków, w których dostęp do usługi lub informacji będzie albo zablokowany, albo możliwy przez czas, który nie zapewni realizacji określonych celów biznesowych. Rozważ przykład: w przypadku awarii serwera, na której znajdują się informacje wymagane do podjęcia strategicznej decyzji, właściwość dostępności informacji zostaje naruszona. Podobny przykład: w przypadku izolacji z jakiegokolwiek powodu (awaria serwera, awaria kanałów komunikacji itp.) serwer poczty elektronicznej możemy mówić o naruszeniu dostępności usług IT „e-mail”. Na szczególną uwagę zasługuje fakt, że przyczyna naruszenia dostępności informacji lub usług informacyjnych nie musi leżeć w zakresie odpowiedzialności właściciela usługi lub informacji. Na przykład w powyższym przykładzie, z naruszeniem dostępności serwera pocztowego, przyczyna (awaria kanałów komunikacyjnych) może leżeć poza odpowiedzialnością administratorów serwera (na przykład awaria kanałów komunikacyjnych magistrali). Należy również zauważyć, że pojęcie „dostępności” jest subiektywne w każdym momencie dla każdego z podmiotów korzystających z usługi lub informacji w danym momencie. W szczególności naruszenie dostępności serwera pocztowego dla jednego pracownika może oznaczać niepowodzenie indywidualnych planów i utratę umowy, a dla innego pracownika tej samej organizacji - niemożność otrzymywania najnowszych wiadomości.
Zagrożenia naruszenia integralności są zagrożeniami związanymi z prawdopodobieństwem modyfikacji jednej lub drugiej informacji przechowywanej w adresie IP. Naruszenie integralności może być spowodowane różnymi czynnikami - od celowych działań personelu po awarię sprzętu. Naruszenie integralności może być celowe lub niezamierzone (przyczyną niezamierzonego naruszenia integralności może być na przykład nieprawidłowe działanie sprzętu).
Zagrożenia naruszenia prywatności stanowią zagrożenia związane z dostępem do informacji poza przywilejami dostępu dostępnymi dla konkretnego tematu. Takie zagrożenia mogą powstać w wyniku „czynnika ludzkiego” (na przykład przypadkowego przekazania jednemu lub innemu użytkownikowi uprawnień innego użytkownika), nieprawidłowego działania oprogramowania i sprzętu.
Wdrożenie każdego z tych zagrożeń osobno lub łącznie prowadzi do naruszenia bezpieczeństwa informacji w przedsiębiorstwie.
W rzeczywistości wszystkie środki zapewniające bezpieczeństwo informacji powinny opierać się na zasadzie minimalizacji tych zagrożeń.
Wszystkie środki zapewniające bezpieczeństwo informacji można warunkowo rozważyć na dwóch głównych poziomach: na poziomie fizycznego dostępu do danych oraz na poziomie logicznego dostępu do danych, które są wynikiem decyzji administracyjnych (polityk).
Na poziomie fizycznego dostępu do danych brane są pod uwagę mechanizmy ochrony danych przed nieuprawnionym dostępem oraz mechanizmy ochrony przed uszkodzeniem fizycznych nośników danych. Ochrona przed nieautoryzowanym dostępem polega na umieszczeniu sprzętu serwerowego z danymi w osobnym pomieszczeniu, do którego dostęp mają tylko pracownicy posiadający odpowiednie uprawnienia. Na tym samym poziomie, jako środek ochrony, można stworzyć geograficznie rozproszony system serwerów. Poziom ochrony przed uszkodzeniami fizycznymi obejmuje organizację różnego rodzaju specjalistycznych systemów, które zapobiegają takim procesom. Należą do nich: klastry serwerów i kopie zapasowe ( zarezerwuj kopię) serwer. Podczas pracy w klastrze (na przykład dwóch serwerach) w przypadku fizycznej awarii jednego z nich drugi będzie kontynuował pracę, a zatem nie wpłynie to na wydajność systemu komputerowego i danych. Dzięki dodatkowej organizacji tworzenia kopii zapasowych (serwer kopii zapasowej) możliwe jest szybkie przywrócenie systemu komputerowego i danych, nawet w przypadku awarii drugiego serwera w klastrze.
Poziom ochrony przed logicznym dostępem do danych oznacza ochronę przed nieautoryzowanym dostępem do systemu (zwanym dalej „systemem” oznacza system informatyczny zaprojektowany do generowania, przechowywania i przetwarzania danych dowolnej klasy - od prostych systemów księgowych po rozwiązania klasy ERP) na poziomie podstawowym dane oraz na poziomie jądra systemu i formularzy użytkowników. Ochrona na tym poziomie obejmuje podejmowanie środków zapobiegających dostępowi do bazy danych zarówno z Internetu, jak i sieć lokalna organizacja (ten drugi aspekt bezpieczeństwa tradycyjnie mało uwagi, choć aspekt ten jest bezpośrednio związany z takim zjawiskiem, jak szpiegostwo przemysłowe). Ochrona rdzenia systemu obejmuje, wraz ze wskazanymi powyżej środkami, obliczanie sum kontrolnych krytycznych części kodu wykonywalnego i okresowy audyt tych sum kontrolnych. Takie podejście pozwala zwiększyć ogólny poziom bezpieczeństwa systemu. (Należy zauważyć, że to nie jest jedyne wydarzenie; podano je jako dobry przykład). Bezpieczeństwo na poziomie formularzy użytkowników deklaruje obowiązkowe szyfrowanie ruchu przesyłanego przez sieć lokalną (lub przez Internet) między klientem (formularz użytkownika) a aplikacją (rdzeniem systemu). Bezpieczeństwo na tym poziomie można również zapewnić, obliczając sumy kontrolne tych formularzy, a następnie sprawdzając je i przyjmując ideologię „separacji danych i kodu”. Na przykład system zbudowany przy użyciu technologii „cienkiego klienta” z perspektywy bezpieczeństwa na tym poziomie ma przewagę nad systemem zbudowanym przy użyciu technologii „grubego klienta”, ponieważ nie zapewnia dostępu do kodu logiki biznesowej na poziomie formularzy użytkowników (na przykład poprzez dezasemblację pliku wykonywalnego plik). Mechanizm certyfikacji należy również do tego samego poziomu ochrony, gdy w wymianie między formularzem użytkownika a serwerem, a także autentyczność samego formularza użytkownika jest potwierdzana przez trzeciego uczestnika wymiany - centrum certyfikacji.
Podobnie na poziomie ochrony przed logicznym dostępem na poziomie baz danych dostępu wskazane jest obliczenie sum kontrolnych krytycznych tabel i prowadzenie dziennika dostępu obiektów do bazy danych. W idealnym przypadku („cienki klient”) tylko aplikacja serwerowa (serwer logiki biznesowej) ma dostęp do bazy danych, a wszystkie inne zapytania do bazy danych (zewnętrzne) są blokowane. Takie podejście pozwoli wyeliminować kilka rodzajów ataków i skoncentrować politykę ochrony bazy danych na zapewnieniu bezpieczeństwa „w punktach krytycznych”.
Ochrona na poziomie decyzji administracyjnych obejmuje środki administracyjne mające na celu stworzenie jasnej i zrozumiałej polityki dotyczącej IT, własności intelektualnej, bezpieczeństwa informacji itp. Można powiedzieć, że ten poziom ma pierwszorzędne znaczenie w stosunku do użytkownika - ponieważ jest to ochrona na poziomie decyzji administracyjnych, która może zapobiec najbardziej krytycznym sytuacjom związanym z bezpieczeństwem informacji.
Należy wziąć pod uwagę dwie inne ważne kwestie związane z bezpieczeństwem - metody i sposoby uwierzytelniania użytkowników oraz rejestrowania zdarzeń zachodzących w IP.
Uwierzytelnianie użytkownika odnosi się do logicznego poziomu bezpieczeństwa informacji. Celem tej procedury jest, po pierwsze, poinformowanie IS, który konkretny użytkownik współpracuje z nim, zapewnienie mu odpowiednich uprawnień i interfejsów; po drugie, aby potwierdzić prawa tego konkretnego użytkownika w odniesieniu do własności intelektualnej. Tradycyjnie procedura uwierzytelniania ogranicza się do wprowadzenia przez użytkownika nazwy użytkownika (loginu) i hasła.
Dość często w aplikacjach o znaczeniu krytycznym nazwa użytkownika / hasło to aplikacja, która działa w bezpiecznym tunelu programowym (rzadziej sprzętowym), który bezwarunkowo szyfruje wszystkie informacje przesyłane przez sieć. Niestety najczęściej zdarza się, że nazwa użytkownika i hasło są przesyłane przez sieć w formie otwartej (na przykład najbardziej znane darmowe działają na tej zasadzie systemy pocztowe w Internecie). Oprócz oprogramowania (wprowadzanie kombinacji nazwy użytkownika i hasła) istnieją również sprzętowe oprogramowanie i rozwiązania sprzętowe do uwierzytelniania użytkowników. Należą do nich dyskietki i pamięci USB plik klucza (dość często - w połączeniu z wprowadzeniem zwykłej nazwy użytkownika / hasła w celu potwierdzenia uprawnień do działań krytycznych), chronione przed kopiowaniem; Dyski flash USB z plikiem klucza; skanery tęczówki; skanery linii papilarnych; systemy antropologiczne. Jedną z opcji zwiększenia stopnia ochrony adresu IP jest ograniczenie czasu trwania hasła i ograniczenie czasu bezczynności użytkownika w adresie IP. Ograniczenie czasu trwania hasła polega na wydaniu hasła, które jest ważne tylko przez określoną liczbę dni - 30, 60 itd. Odpowiednio, wraz z okresową zmianą haseł, stopień ochrony IP jako całości wzrasta. Ograniczenie czasu braku aktywności użytkownika polega na automatycznym zamknięciu sesji użytkownika w przypadku, gdy aktywność użytkownika nie była rejestrowana w tej sesji przez pewien okres czasu.
Rejestrowanie wszystkich zdarzeń występujących w adresie IP jest konieczne, aby uzyskać wyraźny obraz nieautoryzowanych prób dostępu lub niewykwalifikowanych działań personelu w odniesieniu do adresu IP. Częstą sytuacją jest wprowadzanie do IP wyspecjalizowanych modułów, które analizują zdarzenia systemowe i zapobiegają destrukcyjnym działaniom w odniesieniu do IP. Takie moduły mogą działać na podstawie dwóch przesłanek: wykrywania włamań i zapobiegania przekroczeniu dostępności. W pierwszym przypadku moduły analizują statystycznie typowe zachowanie użytkownika i dają „alarm” w przypadku zauważalnych odchyleń (na przykład praca operatora przy 22-30 po raz pierwszy od dwóch lat jest zdecydowanie podejrzana); w drugim przypadku, na podstawie analizy bieżącej sesji użytkownika, próbują zapobiec potencjalnie destrukcyjnym działaniom (na przykład próbie usunięcia jakichkolwiek informacji).
Uwaga:
IS - bezpieczeństwo informacji
IT - technologia informacyjna
IP - systemy informacyjne lub system informacyjny (w kontekście)
Zagrożenie dla bezpieczeństwa informacji jest rozumiane jako przypadkowe lub celowe działanie ludzi lub zjawisko fizyczne, które może prowadzić do naruszenia bezpieczeństwa informacji. Poniżej przedstawiono główne typy i aspekty zagrożeń bezpieczeństwa informacji.
2.2.1 Klasyfikacja zagrożeń bezpieczeństwa informacji
Cały zestaw potencjalnych zagrożeń dla bezpieczeństwa informacji ze względu na charakter ich występowania można podzielić na dwie klasy (ryc. 7): naturalny (obiektywny) i sztuczny (subiektywny).
Rysunek 7 - Zagrożenia dla bezpieczeństwa
Zagrożenia naturalne to zagrożenia spowodowane oddziaływaniami na zautomatyzowany system i jego elementy obiektywnych procesów fizycznych lub klęski żywiołowe niezależne od osoby.
Sztuczne zagrożenia to zagrożenia bezpieczeństwa informacji spowodowane działalnością człowieka. Wśród nich, na podstawie motywacji działań, możemy wyróżnić:
1. Niezamierzone (niezamierzone, przypadkowe) zagrożenia spowodowane błędami w projekcie zautomatyzowanego systemu i jego elementów, błędami w oprogramowaniu, błędami w działaniach personelu itp.
2. Celowe (umyślne) zagrożenia związane z samolubnymi aspiracjami ludzi (napastników).
Źródłami zagrożeń dla zautomatyzowanego systemu mogą być zewnętrzne lub wewnętrzne. Zagrożenia wewnętrzne są realizowane przez elementy samego systemu informatycznego - sprzęt i oprogramowanie lub personel.
Główne niezamierzone sztuczne zagrożenia bezpieczeństwa informacji obejmują działania wykonywane przez ludzi przypadkowo, z niewiedzy, nieuwagi lub zaniedbania, z ciekawości, ale bez złośliwych zamiarów:
1. Niezamierzone działania prowadzące do częściowej lub całkowitej awarii systemu lub zniszczenia sprzętu, oprogramowania, zasobów informacyjnych systemu (niezamierzone uszkodzenie sprzętu, usunięcie, uszkodzenie plików zawierających ważne informacje lub programy, w tym systemowe itp.).
2. Bezprawne wyłączenie sprzętu lub zmiana trybów pracy urządzeń i programów.
3. Niezamierzone uszkodzenie nośników informacji.
4. Uruchomienie programów technologicznych, które w przypadku niekompetentnego użycia mogą spowodować spadek wydajności systemu (zamrażanie lub zapętlenie) lub wprowadzanie nieodwracalnych zmian w systemie (formatowanie lub restrukturyzacja nośników pamięci, usuwanie danych itp.).
5. Nielegalne wdrożenie i wykorzystanie programów nieobjętych rachunkiem (gry, gry edukacyjne, technologiczne itp., Które nie są konieczne, aby sprawca mógł wykonywać swoje obowiązki służbowe), a następnie nieuzasadnione wydatkowanie zasobów (obciążenie procesora, przechwytywanie pamięci RAM i pamięci na nośnikach zewnętrznych).
6. Zakażenie komputera wirusami.
7. Nieostrożne działania prowadzące do ujawnienia poufnych informacji lub ich publicznego udostępnienia.
8. Ujawnienie, przeniesienie lub utrata atrybutów kontroli dostępu (hasła, klucze szyfrowania, karty identyfikacyjne, przepustki).
9. Projektowanie architektury systemu, technologii przetwarzania danych, tworzenie aplikacji, z możliwościami zagrażającymi zdrowiu systemu i bezpieczeństwu informacji.
10. Ignorowanie ograniczeń organizacyjnych (ustalonych reguł) podczas pracy w systemie.
11. Logowanie do systemu z pominięciem wyposażenia ochronnego (ładowanie obcego systemu operacyjnego z przenośnych nośników magnetycznych itp.).
12. Niekompetentne użycie, konfiguracja lub niezgodne z prawem odłączenie sprzętu bezpieczeństwa przez personel ochrony.
13. Przekazywanie danych na zły adres subskrybenta (urządzenia).
14. Wprowadzanie błędnych danych.
15. Niezamierzone uszkodzenie kanałów komunikacji.
Główne celowe sztuczne zagrożenia obejmują:
1. Fizyczne zniszczenie systemu (przez eksplozję, podpalenie itp.) Lub awaria wszystkich lub niektórych najważniejszych elementów systemu komputerowego (urządzeń, nośników ważnych informacji o systemie, personelu itp.).
2. Wyłącz lub wyłącz podsystemy, aby zapewnić funkcjonowanie systemów komputerowych (zasilanie, chłodzenie i wentylacja, linie komunikacyjne itp.).
3. Działania mające na celu dezorganizację funkcjonowania systemu (zmiana trybów pracy urządzeń lub programów, strajk, sabotaż personelu, inscenizacja silnych aktywnych zakłóceń radiowych na częstotliwościach pracy urządzeń systemowych itp.).
4. Wprowadzenie agentów w liczbie personelu w systemie (w tym ewentualnie w grupie administracyjnej odpowiedzialnej za bezpieczeństwo).
5. Rekrutacja (poprzez przekupstwo, szantaż itp.) Personelu lub indywidualnych użytkowników o określonych uprawnieniach.
6. Korzystanie z urządzeń nasłuchowych, zdalne fotografowanie i filmowanie itp.
7. Przechwytywanie przypadkowych emisji elektromagnetycznych, akustycznych i innych emisji z urządzeń i linii komunikacyjnych, a także odbieranie aktywnych emisji z pomocniczych środków technicznych, które nie są bezpośrednio zaangażowane w przetwarzanie informacji (linie telefoniczne, zasilanie, ogrzewanie itp.).
8. Przechwytywanie danych przesyłanych kanałami komunikacyjnymi i ich analiza w celu ustalenia protokołów wymiany, zasad komunikacji i autoryzacji użytkownika oraz kolejnych prób ich symulacji w celu penetracji systemu.
9. Kradzież nośników pamięci (dyski magnetyczne, taśmy, układy pamięci, urządzenia pamięci i całe komputery).
10. Nieautoryzowane kopiowanie nośników pamięci.
11. Kradzież odpadów przemysłowych (wydruki, zapisy, zużyte media itp.).
12. Odczytywanie informacji resztkowych z pamięci RAM i zewnętrznych urządzeń pamięci masowej.
13. Odczytywanie informacji z obszarów pamięci RAM używanych przez system operacyjny (w tym podsystem ochrony) lub innych użytkowników, asynchronicznie wykorzystując wady systemów operacyjnych wielozadaniowych i systemów programowania.
14. Nielegalne otrzymywanie haseł i innych szczegółów kontroli dostępu (tajne, używanie zaniedbań użytkowników, wybór, symulacja interfejsu systemu itp.), A następnie przebranie za zarejestrowanego użytkownika („maskarada”).
15. Niedozwolone korzystanie z terminali użytkowników o unikalnych cechach fizycznych, takich jak liczba stacja robocza sieć, adres fizyczny, adres w systemie komunikacyjnym, sprzętowe urządzenie kodujące itp.
16. Otwarcie szyfrów informacji kryptograficznej.
17. Wprowadzenie specjalnych inwestycji sprzętowych, zakładek oprogramowania i wirusów, tj takie sekcje programów, które nie są potrzebne do wykonywania deklarowanych funkcji, ale które pozwalają pokonać system ochrony, potajemnie i nielegalnie uzyskać dostęp do zasobów systemowych w celu zarejestrowania i przekazania krytycznych informacji lub dezorganizacji funkcjonowania systemu.
18. Nielegalne połączenie z liniami komunikacyjnymi w celu pracy „między liniami”, z wykorzystaniem przerw w działaniach legalnego użytkownika w jego imieniu z późniejszym wprowadzaniem fałszywych wiadomości lub modyfikacją przesyłanych wiadomości.
19. Nielegalne połączenie z liniami komunikacyjnymi w celu bezpośredniego zastąpienia legalnego użytkownika przez fizyczne rozłączenie go po zalogowaniu i pomyślnym uwierzytelnieniu z późniejszym wprowadzeniem błędnych informacji i wprowadzeniem fałszywych wiadomości.
Najczęściej, aby osiągnąć ten cel, atakujący używa nie jednej, ale pewnej kombinacji powyższych ścieżek.
W artykule przeanalizowano zagrożenia dla naruszenia bezpieczeństwa systemów informatycznych oraz istniejące modele i metody przeciwdziałania atakom komputerowym. W artykule omówiono również problemy związane z zapewnieniem bezpieczeństwa informacji.
Słowa kluczowe: system informacyjny, bezpieczeństwo informacji, modele, metody, zagrożenia informacyjne
Do tej pory problemy związane z bezpieczeństwem informacji (IS) zarówno na poziomie stanu, jak i wewnątrz
wystarczającą uwagę przywiązuje się do skali pojedynczego przedsiębiorstwa, mimo to liczba potencjalnych zagrożeń nie maleje.
Różnorodność zagrożeń dla naruszenia bezpieczeństwa informacji jest tak duża, że \u200b\u200btrudno jest przewidzieć każde z nich, ale zadanie jest wykonalne.
W celu zapewnienia określonego poziomu ochrony informacji konieczne jest, po pierwsze, zidentyfikowanie głównego
zagrożenia naruszeniem SI dla konkretnego obiektu informatyzacji, po drugie, zaprojektuj odpowiedni model, aby im przeciwdziałać i wdrożyć go w przyszłości.
Zagrożenie informacyjne jest zwykle rozumiane jako potencjalne niebezpieczeństwo celowego lub niezamierzonego (przypadkowego) naruszenia procedury przechowywania i przetwarzania informacji.
Procesy gromadzenia, przechowywania, przetwarzania i rozpowszechniania informacji zachodzące w systemie informatycznym (IP) powodują powstawanie zagrożeń informacyjnych.
Zagrożenia IS można sklasyfikować według kilku głównych kryteriów:
Z natury występowania (naturalny, sztuczny);
W kwestii bezpieczeństwa informacji (dostępność, poufność, integralność);
Według stopnia wpływu na IP (pasywne, aktywne);
Przez elementy własności intelektualnej, do których kierowane są zagrożenia (infrastruktura, kanały komunikacji, sprzęt, oprogramowanie);
Według lokalizacji źródła zagrożeń (wewnętrzne, zewnętrzne);
Według metody realizacji (losowo, celowo).
Na obecnym etapie opracowywania narzędzi bezpieczeństwa informacji znane są możliwe zagrożenia bezpieczeństwa informacji w przedsiębiorstwie, niezależnie od własności. Należą do nich przede wszystkim:
- celowe działania pracowników;
- losowe działania pracowników;
- ataki hakerów w celu uzyskania poufnych informacji lub zaszkodzenia działalności przedsiębiorstwa.
Według ekspertów w dziedzinie bezpieczeństwa informacji ponad 90% wszystkich przestępstw w dziedzinie technologii informatycznych popełniają pracownicy organizacji (użytkownicy wewnętrzni).
W praktyce zagrożenia informatyczne są częściej klasyfikowane na podstawie ich wpływu na podstawowe właściwości informacji. Wobec ten problem, ponieważ można zidentyfikować główne właściwości informacji:
· Integralność informacji - właściwość informacji w celu zachowania aktualności i spójności w procesie ich gromadzenia, gromadzenia, przechowywania, wyszukiwania i rozpowszechniania; odporność informacji na zniszczenie i nieautoryzowane zmiany.
· Dostępność informacji - zdolność do utrzymania jej wartości w zależności od szybkości jej wykorzystania i możliwości przekazania upoważnionemu użytkownikowi w określonym czasie.
· Poufność informacji to właściwość informacji, która jest znana tylko uprawnionym i zweryfikowanym (upoważnionym) podmiotom przedsiębiorstwa (kierownictwo, odpowiedzialni pracownicy, użytkownicy sieci informacyjnej przedsiębiorstwa itp.) I tracą swoją wartość, gdy zostaną ujawnione nieautoryzowanemu użytkownikowi.
Oprócz powyższych właściwości informacji konieczne jest również dodanie znaczenia i wrażliwości informacji.
Znaczenie informacji jest zintegrowanym wskaźnikiem oceny jakości informacji wykorzystywanych w zarządzaniu określonym rodzajem działalności, jej cechą uogólniającą, odzwierciedlającą znaczenie podejmowania decyzji zarządczych, praktyczną istotność dla osiągania konkretnych wyników lub wdrażania określonych funkcji. Wrażliwość na informacje to potencjał potencjalnego wycieku, zniszczenia fizycznego i nieuprawnionego wykorzystanie w ramach procesów informacyjnych.
Z powyższego wynika, że \u200b\u200bproblem zapewnienia bezpieczeństwa własności intelektualnej staje się coraz ważniejszy. Oczywiście jego rozwiązanie powinno być wdrażane systematycznie, w oparciu o kompleksowe badanie technologii bezpieczeństwa sfera informacyjna, modele i metody przeciwdziałania atakom komputerowym.
W oparciu o analizę literatury na temat komputerowych systemów wykrywania i analizy ataków powyższe metody zwykle nie mają wystarczającego opisu matematycznego. Zasadniczo są one sformalizowane w postaci metod i funkcji komputerowych narzędzi do wykrywania ataków wykorzystywanych w narzędziach do zapobiegania i wykrywania ataków komputerowych. Problematyczne problemy przeciwdziałania atakom komputerowym we współczesnej literaturze nie zostały niezależnie odzwierciedlone, dlatego analiza rozważanych metod jest przeprowadzana dla dobrze znanych metod wykrywania i analizowania ataków. Metody wykrywania i analizowania nieautoryzowanych wpływów na zasoby systemu informacyjnego można podzielić na:
- metody analizy podpisów,
- metody wykrywania nieprawidłowych odchyleń.
Metody analizy sygnatur mają na celu wykrycie znanych ataków i opierają się na kontroli programów i danych w IP oraz referencyjnej weryfikacji sekwencji znaków i zdarzeń w sieci z bazą sygnatur ataków. Początkowymi danymi do zastosowania metod są informacje z dzienników systemowych oprogramowania ogólnego i specjalnego, baz danych i słów kluczowych ruchu sieciowego IP. Zaletą tych metod są nieistotne wymagania dotyczące zasobów obliczeniowych IS, wysoka wydajność cyklu kontroli technologicznej (TCU) w IS oraz niezawodność wykrywania i analizy ataków. Wadą metod analizy sygnatur jest niemożność wykrycia nowych (zmodyfikowanych) ataków bez ścisłej formalizacji słowa kluczowe aktualizacje bazy danych ruchu sieciowego i sygnatur ataków.
Nieprawidłowe metody wykrywania nieprawidłowości mają na celu wykrycie nieznanych ataków. Zasada ich działania polega na wykryciu anomalnego zachowania IP, które różni się od typowego i na podstawie tego faktu podejmowana jest decyzja o możliwej obecności ataku. Nieprawidłowe odchylenia w sieci są wykrywane przez oznaki ataków komputerowych, takie jak rzadkie typy stosów protokołów (interfejsów) do żądania informacji, długie pakiety danych, pakiety z rzadkimi rozkładami symboli oraz niestandardowa forma żądania tablicy danych.
Aby zastosować metody wykrywania nieprawidłowych odchyleń i zmniejszania liczby fałszywie pozytywne potrzebna jest jasna wiedza na temat zasad przetwarzania danych i wymagań dla zapewnienia bezpieczeństwa informacji (ustalony porządek administracji), aktualizacji kontrolowanych programów, informacji na temat szablonów technologicznych do wykonywania TCU w IS. Metody stosowania nieprawidłowych metod wykrywania nieprawidłowości są różne modele matematyczne :
· Modele statystyczne:
- modele probabilistyczne;
- modele analizy skupień.
· Modele automatów skończonych.
· Modele Markowa.
· Modele oparte na sieciach neuronowych.
· Modele oparte na inżynierii genetycznej.
W metodzie wykrywania odchyleń anomalnych, która wykorzystuje modele statystyczne, wykrywanie anomalnej aktywności odbywa się poprzez porównanie bieżącej aktywności ruchu w sieci IS z określonymi wymaganiami dla szablonu technologicznego (profilu normalnego zachowania) IC.
Następujące wskaźniki są używane jako główny wskaźnik w modelach probabilistycznych do wykrywania ataków komputerowych:
- prawdopodobieństwo nowej formy pakietu transferu danych innej niż referencyjne;
- oczekiwanie matematyczne i wariancja zmiennych losowych charakteryzujących zmianę adresów IP źródła i odbiorcy informacji, numerów portów źródeł AWP i odbiorców informacji.
Metody statystyczne dają dobre wyniki w przypadku niewielkiej części ataków komputerowych z całego zestawu możliwych ataków. Wadą modeli statystycznych do wykrywania nieprawidłowych odchyleń jest to, że nie pozwalają one oszacować ilości przesyłanych danych i nie są w stanie wykryć włamań do ataku ze zniekształconymi danymi. Wąskim gardłem metod jest możliwość przepełnienia bufora kontroli progów spamem fałszywych wiadomości.
W celu skutecznego wykorzystania modeli statystycznych w metodzie wykrywania anomalnych odchyleń wymagane są ściśle określone reguły decyzyjne i weryfikacja słów kluczowych (progi odpowiedzi) na różnych poziomach protokołów przesyłania danych. W przeciwnym razie odsetek fałszywych trafień, według niektórych szacunków, wynosi około 40% całkowitej liczby wykrytych ataków.
Modele analizy skupień opierają się na konstruowaniu profilu normalnych działań (na przykład klastra normalnego ruchu) i ocenie odchyleń od tego profilu przy użyciu wybranych kryteriów, znaków (klasyfikator głównych komponentów) ataków komputerowych i obliczania odległości między klastrami na różnych znakach ataków. Modele analizy skupień wykorzystują dwustopniowy algorytm do wykrywania ataków komputerowych. W pierwszym etapie gromadzone są informacje w celu utworzenia zestawu klastrów danych o nietypowym zachowaniu SI na niższych poziomach protokołów przesyłania danych. W drugim etapie przeprowadzana jest analiza porównawcza uzyskanych klastrów nieprawidłowego zachowania SI z klastrami opisującymi regularne zachowanie systemu. Prawdopodobieństwo rozpoznania ataków przez modele analizy skupień wynosi średnio 0,9 przy wykrywaniu włamań tylko w nagłówkach pakietów transferu danych bez analizy semantycznej komponentu informacyjnego pakietów. Aby uzyskać wiarygodne dane przy użyciu modeli analizy skupień, konieczna jest analiza procedury identyfikacji i uwierzytelniania, rejestracja subskrybenta, przerwy w systemie, dostęp do zasobów obliczeniowych w kilku dziennikach systemu IP: audyt, rejestracja, zasoby, co prowadzi do opóźnienia w podejmowaniu decyzji. Takie opóźnienie często uniemożliwia stosowanie modeli analizy skupień w systemach o quasi-rzeczywistym czasie.
Wykrywanie ataków przy użyciu modelu maszyny stanów opiera się na modelowaniu przez maszyny stanów procesów interakcji informacji subskrybentów IS przy użyciu protokołów przesyłania danych. Automat stanów jest opisany przez zestawy danych wejściowych, danych wyjściowych i stanów wewnętrznych. Ataki są rejestrowane przez „nienormalne” przejścia IP ze stanu do stanu. Zakłada się, że w IS określane są „regularne” przejścia systemu ze stanu do stanu, a nieznane stany i przejścia do tych stanów są rejestrowane jako anomalne. Zaletą tego modelu jest uproszczony wybór cech klasyfikacyjnych dla IP i uwzględnienie niewielkiej liczby przejść ze stanu do stanu. Model umożliwia wykrywanie ataków w przepływie przetwarzania danych przez protokoły sieciowe w trybie zbliżonym do skali czasu rzeczywistego. Wady modelu obejmują potrzebę opracowania dużej liczby złożonych reguł eksperckich do analizy porównawczej wymaganych i nienormalnych stanów i przejść systemu. Zasady eksperckie dotyczące oceny statusu własności intelektualnej są powiązane z cechami protokoły sieciowe transmisja danych.
Metody wykrywania anomalnych odchyleń oparte na modelach Markowa opierają się na tworzeniu łańcucha Markowa normalnie funkcjonującego układu i funkcji rozkładu prawdopodobieństwa przejścia z jednego stanu do drugiego. Informacje te są wykorzystywane jako dane szkoleniowe. Anomalie są wykrywane przez porównanie łańcuchów Markowa i odpowiadających im funkcji rozkładu prawdopodobieństwa anomalnego i normalnego funkcjonowania SI przez wartości progu prawdopodobieństwa wystąpienia zdarzeń. W praktyce model ten jest najbardziej skuteczny w wykrywaniu ataków komputerowych na podstawie wywołań systemowych systemu operacyjnego i wymaga dodatkowych metryk entropii warunkowej do stosowania w systemach quasi-w czasie rzeczywistym.
Metody wykrywania ataków komputerowych opartych na sieciach neuronowych są wykorzystywane do wstępnej klasyfikacji anomalii w IP. Polegają one na określeniu normalnego zachowania systemu przez funkcję dystrybucji odbierania pakietów danych (wykonywanie określonych poleceń operatora), szkolenie sieć neuronowa oraz analiza porównawcza przykładowych zdarzeń szkoleniowych.
Nieprawidłowe odchylenie w IP jest wykrywane, gdy stopień pewności sieci neuronowej w jej decyzji leży poniżej z góry określonego progu. Zakłada się, że zastosowanie modelu sieci neuronowych do implementacji mechanizmów ochrony informacji IS przed atakami komputerowymi poprzedza szkolenie tych sieci z zadanymi algorytmami normalnego funkcjonowania. Wady wykrywania ataków komputerowych za pomocą sieci neuronowej to złożony aparat matematyczny, który nie działa skutecznie w systemach quasi-w czasie rzeczywistym, oraz złożoność szkolenia sieci w zakresie wykrywania nieznanych ataków.
Modele do wykrywania ataków komputerowych oparte na inżynierii genetycznej opierają się na zastosowaniu osiągnięć genetyki i modeli ludzkiego układu odpornościowego w dziedzinie technologii informatycznych. Podejście tego modelu opiera się na modelowaniu elementów ludzkiego układu odpornościowego w celu wykrycia anomalii poprzez przedstawienie danych o procesach technologicznych w IS za pomocą łańcucha (wektora) znaków, a następnie obliczenie miary podobieństwa między łańcuchem treningowym znaków, które charakteryzują normalne „zachowanie” IS, a łańcuchem testowym, który charakteryzuje nienormalne funkcjonowanie. Jeśli nie zostanie osiągnięte porozumienie między danymi szkoleniowymi i testowymi, proces jest interpretowany jako nienormalny. Jedną z głównych trudności w stosowaniu tego modelu jest wybór progu dla dopasowania danych, utworzenie wymaganej ilości danych z treningu i próbki testowej oraz wrażliwość na fałszywie dodatnie wyniki.
Model oparty na inżynierii genetycznej (naturalny układ odpornościowy) jest wykorzystywany do wykrywania nieprawidłowych związków za pomocą protokołu TCP / IP z wykorzystaniem danych na adresach IP: źródło informacji, konsument informacji i narzędzia komunikacyjneprzez które subskrybenci są podłączeni do sieci. Wadą tych modeli jest to, że wymaga złożonej procedury konfiguracji do szkolenia i testowania próbek lub danych dotyczących zachowania danej osoby w OD z udziałem wysoko wykwalifikowanego operatora.
Zaletą metod wykrywania nieprawidłowych odchyleń jest zatem umiejętność analizowania dynamicznych procesów funkcjonowania IP i identyfikowania w nich nowych rodzajów ataków komputerowych. Metody umożliwiają a priori rozpoznawanie anomalii poprzez systematyczne skanowanie luk w zabezpieczeniach.
Wady tych metod obejmują potrzebę zwiększenia obciążenia ruchu w sieci, złożoność implementacji i niższą niezawodność wykrywania ataków komputerowych w porównaniu z analizą sygnatur.
Ograniczeniem metod wykrywania i analizowania ataków komputerowych jest potrzeba szczegółowych informacji o stosowaniu protokołów (stosów protokołów) do transmisji danych w IP na wszystkich poziomach modelu referencyjnego do interakcji systemów otwartych.
Analiza porównawcza istniejących metod wykrywania ataków komputerowych poprzez analizę sygnatur i anomalnych odchyleń w IP wykazała, że \u200b\u200bnajbardziej uniwersalnym podejściem do wykrywania znanych i nieznanych ataków jest metoda wykrywania anomalii. Aby zwiększyć stabilność funkcjonowania IP, wymagana jest połączona metoda przeciwdziałania atakom komputerowym, która elastycznie wykorzystuje elementy analizy sygnatur, identyfikując anomalie i analizę funkcjonalną dynamicznie wykonywanych funkcji IP.
Bibliografia
1. Betelin V. B., Galatenko V. A. Podstawy bezpieczeństwa informacji: wykłady Kurs: Study Guide Wydanie trzecie, 2006, 208 str.
2. Burkov V.N., Graziansky E.V., Dzyubko S.I., Schepkin A.V. Modele i mechanizmy zarządzania bezpieczeństwem. Seria „Bezpieczeństwo”. - SINTEG, 2001, 160 s.
3. GOST R ISO / IEC 27033-3 - 2014 Technologia informacyjna Metody i narzędzia bezpieczeństwa. Bezpieczeństwo sieci Część 3 Scenariusze odniesienia sieci. Zagrożenia, metody projektowania i problemy zarządzania.
4. Devyanin P.N. Modele bezpieczeństwa systemów komputerowych. Academy Publishing Center, 2005, 144 s.
5. Klimov S.M., Sychev M.P., Astrakhov A.V. Przeciwdziałanie atakom komputerowym. Podstawa metodyczna. Elektroniczna publikacja edukacyjna. - M .: MSTU nazwane na cześć N.E. Bauman, 2013, 108 s.
6. Shangin V.F. Bezpieczeństwo informacji w systemach i sieciach komputerowych. DMK Press, 2012, 591 s.
7. http://sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - „Analiza zagrożeń dla bezpieczeństwa informacji przedsiębiorstw przemysłowych”, Balanovskaya A.V., 2013
