Алгоритм контроля состояния элементов телекоммуникационной системы
Нормативно-правовая база обеспечения информационной безопасности телекоммуникационных систем. Модель системы мониторинга информационной безопасности системы. Алгоритмы обнаружения и предупреждения появления несанкционированных информационных потоков.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 21.12.2012 |
| Размер файла | 1,5 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Каждое событие, записываемое в журнал, помечается уровнем важности. Уровни варьируются от отладочной информации (наименьшая важность) до критичных системных событий. Для каждого приемника сообщений можно сконфигурировать порог значимости, при этом регистрируются сообщения с уровнем, равным этому порогу или больше него.
Криптографическая подсистема
В задачи криптографической подсистемы входит:
Использование шифрования и других методов защиты.
По умолчанию все пароли консоли и Telnet сохраняются в маршрутизаторе в открытом виде и поэтому оказываются уязвимыми. Кроме того их можно перехватить во время сеанса Telnet при вводе пароля привилегированного доступа или просмотра конфигурации. Пароли оказываются уязвимыми и при хранении конфигурации на сервере TFTP.
Существующая возможность ПО маршрутизаторов Cisco например, позволяет шифровать пароли, ключи и другую аналогичную информацию, находящуюся в конфигурационном файле. Это может быть полезным для того, чтобы кто-нибудь, случайно увидев конфигурационный файл (например, из-за плеча администратора), не мог прочитать пароли. Однако, данный сервис изначально не предназначался для противостояния серьезному злоумышленнику, однако алгоритм Вижинера, используемый для шифрования, является сравнительно простым, поэтому, к файлам конфигурации, содержащим информацию, зашифрованную с помощью данного алгоритма, следует относиться с теми же предосторожностями, как и к файлам, содержащим информацию в открытом виде. Другая существующая возможность, предназначенная для установки пароля для доступа к административному режиму, работы использует для шифрования однонаправленный алгоритм MD5, который является существенно более надежным.
Если маршрутизатор регулярно использует файлы конфигурации с сервера TFTP (Trivial File Transfer Protocol - простейший протокол передачи данных) - следует помнить, что обмен файлами TFTP уязвим в отношении их перехвата на пути между клиентами и серверами TFTP. Поэтому необходимо использовать защищенное дистанционное копирование при помощи протокола аутентификации Kerberos, основанного на алгоритме шифрования DES.
Как уже говорилось ранее, протоколы маршрутизации уязвимы в отношении прослушивания и фальсификации обновлений маршрутизации. В современном ПО маршрутизаторов Cisco, например, предложено два типа аутентификации соседнего узла - открытая аутентификация и аутентификация MD5. Открытая аутентификация не рекомендуется для использования в качестве составляющей стратегии сетевой защиты. Главной областью ее применения является защита от случайных изменений маршрутизации. Для защиты сетевой инфраструктуры и маршрутизатора необходимо использовать аутентификацию MD5.
Если возможно, следует избегать подключения к маршрутизатору через публичные сети с помощью средств, не дающих возможностей по шифрованию данных. Если версия ПО маршрутизатора поддерживает протоколы SSH или Kerberized telnet, то имеет смысл воспользоваться ими. Другая возможность - использование протокола IPSec для шифрования всего управляющего трафика, включая telnet, SNMP и HTTP.
Также необходимость шифрования управляющего трафика поддерживается средствами серверов защиты ААА.
Использование серверов защиты ААА.
Например ПО Cisco поддерживает использование серверов защиты ААА TACACS+, RADIUS, Kerberos и др., которые позволяют на основе соответствующих протоколов реализовать централизованное управление доступом пользователей к серверам сетевого доступа и сетевому оборудованию, канальное шифрование для защиты трафика, шифрование паролей и многие другие возможности.
Использование информационных баннеров устройств.
Производители маршрутизаторов также предлагают для увеличения защищенности маршрутизаторов и внутренней сети использовать информационные баннеры устройств в качестве предупреждения о незаконности несанкционированного доступа и использования ресурсов сети, влекущей за собой уголовную ответственность. А также производители советуют получить заключение соответствующего специалиста в области юриспруденции относительно текста этих сообщений. Аргументируется это тем, что отсутствие таких сообщений или наличие сообщений имеющих дружелюбное содержание типа фраз «Добро пожаловать» или «Welcome» при судебном разбирательстве по факту нарушений расценивались как приглашение администратора войти в систему или отсутствие предупреждения об ответственности. Однако таким образом производителями предлагается сообщить злоумышленнику, исследующему сеть на наличие каким-либо образом интересующих его узлов, о том, что он нашел то, что искал.
Подсистема обеспечения целостности
До того, как маршрутизатор сможет защищать другие части сети от перегрузок, он должен быть защищен сам. В связи с этим задачами подсистемы обеспечения целостности являются:
Аутентификация субъектов доступа.
Возвращаясь к вопросу аутентификации субъектов доступа с точки зрения подсистемы обеспечения целостности, следует вспомнить о серверах защиты ААА. Наилучшим вариантом управления паролями является хранение их на сервере TACACS+ или RADIUS. Однако необходимо учитывать, что каждый маршрутизатор имеет локально установленный пароль для доступа к привилегированному режиму и информацию о паролях, содержащуюся в конфигурационном файле. Каждый, кто имеет возможность подключиться к маршрутизатору и выйти в режим интерактивной работы, может получить доступ к информации которую вы, возможно, не хотели бы разглашать.
Физическая защита.
Поэтому, например, в случае использования оборудования Cisco, следует помнить, что консольный порт имеет специальные привилегии в ПО маршрутизатора. В особенности, сигнал BREAK, посланный с этого порта во время начальной загрузки, позволяет осуществить процедуру обновления пароля, что может быть использовано для установления контроля над маршрутизатором. Это означает, что злоумышленник, могущий вызвать перебои в подаче напряжения или способный инициировать перезагрузку ПО маршрутизатора вследствие ошибки, при этом имея доступ к консольному порту через терминал, модем или терминальный сервер, или иное устройство, может получить контроль над системой, даже не имея возможности нормального входа.
Отсюда следует, что обеспечение физической защиты и контроля доступа к маршрутизатору, всему сетевому оборудованию и управляющим станциям, защита линий связи и обеспечение надежного электропитания и охлаждения оборудования являются не менее важными, чем использование любых других средств для обеспечения защищенности маршрутизатора.
Защита от подмены адреса.
Как уже говорилось выше, предотвращение подмены адреса является важной задачей в защите, как маршрутизатора, так и сегмента сети. С точки зрения подсистемы обеспечения целостности необходимо для предотвращения подмены проверять имела ли она место.
Так, например, почти во всех версиях ПО оборудования Cisco, поддерживающих режим Cisco Express Forwarding (CEF), возможно указать маршрутизатору на необходимость проверки адресов источника в IP-пакетах на предмет того, что на данный адрес существует маршрут, проходящий через интерфейс, на котором был принят пакет. Если входной интерфейс не является возможным с обратным маршрутом для данного адреса, то пакет будет отброшен.
Данная схема работает только при симметричной маршрутизации. Однако асимметричная маршрутизация - частое явление в магистральных областях сети интернет. Поэтому, перед включением данной особенности, следует убедиться, что маршрутизация в вашей сети носит симметричный характер. Эта особенность называется проверкой существования обратного пути (Reverse Path Forwarding check, RPF check) и требует включения CEF для своей работы. Также для защиты от подмены адреса можно использовать фильтрацию исходящего трафика, чтобы за пределы периметра пропускались только пакеты с адресами из внутренней сети и другими разрешенными адресами.
Контроль целостности пути.
Многие атаки базируются на возможности контроля пути, по которому пакеты проходят через сеть. Если злоумышленник держит под контролем маршрут прохождения пакетов, то он может добиться двунаправленной связи с использованием фальшивого адреса, а также перехватить обмен информацией между двумя хостами. Также маршрутизация может быть нарушена просто как атака типа "Отказ в обслуживании" (DoS).
Протокол IP поддерживает опции по маршрутизации, при использовании которых отправитель пакета может задать маршрут, который будет использован для доставки пакета получателю, и в общем случае маршрут, по которому пойдет ответ на этот пакет. В реальных сетях такая схема очень редко используется при работе. Некоторые более ранние реализации IP-стека неправильно обрабатывают пакеты с такими опциями, что может привести к краху операционных систем при посылке им пакетов с опциями маршрутизации от источника.
Необходимо отключить маршрутизацию от источника, чтобы маршрутизатор не маршрутизировал пакеты, несущие в себе опции маршрутизации от источника. Не следует отключать эту опцию, когда известно, что вашим приложениям требуется такая схема маршрутизации.
Перенаправления ICMP или сообщения ICMP redirect предписывают конечному узлу использование указанного в нем маршрутизатора для доступа к определенным адресам назначения. В правильно сконфигурированной сети, маршрутизатор посылает такие сообщения только хостам в локальных подсетях, ни один из конечных узлов никогда не посылает такие сообщения, а также ни одно такое сообщение никогда не пересекает более чем один маршрутизатор. Однако, атакующий может нарушить эти правила. Некоторые атаки базируются на этом. Хорошей идеей является фильтрация сообщений ICMP redirect на входных интерфейсах любого пограничного маршрутизатора, лежащего на границе административных областей. Это не вызовет влияния на правильно сконфигурированную сеть. Следует обращать внимание, что такая конфигурация предотвращает только атаки снаружи сети.
Контроль потоков данных и маршрутизации.
В некоторых атаках типа «Отказ в обслуживании» используются направленные широковещательные пакеты. Направленный широковещательный пакет представляет собой пакет, направленный на широковещательный адрес сети, к которой машина-источник не подключена непосредственно. Такой пакет маршрутизируется по сети интернет как обычный, до тех пор, пока он не достигает той сети, в которую был направлен, где он преобразуется в широковещательный пакет канального уровня. Из-за самой природы IP, только последний маршрутизатор в цепочке - тот, который напрямую подключен к сети назначения, может идентифицировать пакет как направленный широковещательный. Направленные широковещательные пакеты иногда используются и для работы приложений, однако их использование сильно ограничено пределами финансовых информационных сервисов. Поэтому необходимо сконфигурировать интерфейс маршрутизатора на фильтрацию пакетов, которые будут превращены в широковещательные пакеты канального уровня.
Списки доступа являются мощным средством для контроля потока обновлений маршрутизации и обычных данных маршрутизатора. Фильтрация сетей в пакетах обновления маршрутизации обеспечивает защиту от получения ложной информации в обновлениях или преднамеренных действий, ведущих к возникновению проблем маршрутизации.
Чтобы не дать возможности злоумышленнику выяснить конфигурацию вашей сети, не следует «рекламировать» внутренние сети, которые должны быть доступны только внутренним пользователям. Таким образом, необходимо запретить объявление соответствующих сетей в обновлениях маршрутизации с помощью списков доступа.
Следует также запретить обработку маршрутов, указанных в обновлениях, а именно запретить использовать адреса сетей, указываемые в обновлениях маршрутизации. Запрет обработки таких сетей не дает возможности навязать системе маршруты, которые могут оказаться фиктивными. Фильтры списка доступа разрешают использовать обновления маршрутизации, исходящие только от маршрутизаторов доверенных сетей.
Также с помощью списков доступа следует фильтровать весь входящий трафик на наличие частных (см. RFC 1918) и зарезервированных адресов (См. RFC 2827).
Использование параметра административной дистанции позволяет маршрутизатору интеллектуально подходить к вопросу о различиях между источниками информации о маршрутизации. Административная дистанция представляет собой рейтинг надежности источника информации о маршрутизации, которым может быть маршрутизатор или группа маршрутизаторов. Маршрутизатор всегда будет выбирать маршрут, протокол маршрутизации которого будет характеризоваться наименьшей административной дистанцией.
Многие DoS-атаки базируются на создании избыточного трафика, состоящего из бесполезных пакетов. Такие потоки приводят к возникновению задержек на каналах передачи данных, приводят к замедлению работы хостов, а также могут вызывать перегрузку маршрутизаторов. Аккуратное конфигурирование маршрутизаторов может снизить влияние таких потоков.
Важной частью управления избыточным трафиком является знание узких мест при передаче данных. Если перегружен двухмегабитный канал, то результат даст лишь фильтрация пакетов на том маршрутизаторе, через который пакеты поступают в канал, в то время как фильтрация на маршрутизаторе назначения даст очень небольшой эффект или совсем никакого. Если маршрутизатор уже является самым перегруженным компонентом сети, то настройка фильтрации, которая потребует значительных ресурсов от маршрутизатора, приведет лишь к ухудшению ситуации.
Например, при использовании оборудования Cisco для защиты от некоторых видов перегрузок трафиком можно использовать особенности ПО Cisco, касающиеся обеспечения качества обслуживания (QoS). К сожалению, детальное рассмотрение управления перегрузками находится за рамками данной работы, и защита сильно зависит от конкретного типа атаки. Единственным простым и, как правило, универсальным методом является использование стратегии обработки очередей Weighted Fair Queuing (WFQ), В тех случаях, когда ресурсов центрального процессора достаточно для ее работы.
Использование CEF.
Применяя оборудование Cisco использующее современные версии ПО необходимо использовать режим коммутации Cisco Express Forwarding (CEF), который приходит на смену традиционному кэшу маршрутов, являющемуся отображением таблицы маршрутизации. Из-за того, что нет необходимости создавать новые записи в кэш-таблице при поступлении пакетов на новые адреса назначения, CEF ведет себя более предсказуемо по сравнению с другими режимами в случае больших потоков трафика со многими адресами назначения.
Конфигурирование диспетчера.
Когда маршрутизатор обрабатывает большое количество пакетов в режиме быстрого переключения процессов, может сложиться ситуация, когда он будет проводить настолько много времени, обрабатывая прерывания от интерфейсов, что никаких других задач выполняться не будет. Такие условия могут быть вызваны некоторыми атаками с очень интенсивными потоками трафика. Для уменьшения проявления данного эффекта можно задать интервал переключения, который предписывает маршрутизатору в случае интенсивной обработки прерываний переключаться к выполнению других процессов через равные промежутки времени. Эта команда очень редко может иметь какой-либо негативный эффект, и стоит включать ее в стандартную конфигурацию любого маршрутизатора.
Отключение необязательных сервисов.
Как правило, все не требуемые для работы сервисы должны быть отключены на любом маршрутизаторе, достижимом из потенциально опасной сети.
"Малые сервисы" TCP и UDP - echo, chargen и discard, особенно их UDP-версии, редко используются в рабочих сетях, но могут быть использованы для реализации атак типа "отказ в обслуживании" и других, которые в противном случае могли бы быть заблокированы с помощью средств фильтрации пакетов.
Хотя большинство злоупотреблений малыми службами может быть предотвращено с помощью списков доступа, направленных на предотвращение подмены адреса, тем не менее, данные сервисы следует всегда запрещать на пограничных маршрутизаторах, или маршрутизаторах, являющихся частью критичной к безопасности части сети. Поскольку данные сервисы практически не используются для работы, хорошей практикой является их повсеместное запрещение на всех маршрутизаторах сети.
Маршрутизаторы Cisco реализуют службу "finger", которая используется для просмотра пользователей, находящихся в данный момент в сеансе работы с устройством. Хотя данная информация обычно не является очень критичной, иногда она может быть полезна атакующему, поэтому эту службу следует запрещать.
Протокол Network Time Protocol (NTP) не является особенно опасным, но потенциально любая служба, неиспользуемая в сети, может каким-либо образом оказаться полезной атакующему. Если NTP действительно используется, важно принудительно сконфигурировать доверенный источник времени, желательно с использованием имеющихся механизмов аутентификации. Если же NTP не используется на определенном интерфейсе маршрутизатора, его необходимо отключить.
В оборудовании Cisco протокол Cisco Discovery Protocol (CDP) используется для некоторых функций сетевого управления, однако он опасен в том плане, что потенциально позволяет любому устройству на сегменте узнать о том, что маршрутизатор является устройством Cisco, определить название модели и номер версии ПО. Эта информация в свою очередь может быть использована для планирования атаки. Также должны быть отключены все остальные неиспользуемые сервисы.
Обновление версий IOS.
Как и в любом программном обеспечении, в ПО маршрутизаторов есть ошибки. Некоторые из них могут влиять на безопасность вашей сети. Кроме того, постоянно совершенствуются механизмы атак, и поведение программного обеспечения, являвшееся абсолютно корректным при написании, может давать неожиданные побочные эффекты.
Регулярно обнаруживаются уязвимости в операционной системе Internetwork (IOS), применяющейся в качестве программной платформы для большей части маршрутизаторов и коммутаторов Cisco. Кроме того, не все версии ОС позволяют использовать защищенные протоколы обмена.
В частности, проблема связана с обработкой SNMP-запросов. Протокол SNMP (Simple Network Management Protocol), представляющий собой механизм удаленного управления сетевыми устройствами, допускает возможность внесения изменений в настойки аппаратного обеспечения, переключения их режимов работы и т.д. Что касается ошибки, обнаруженной Cisco, то она проявляется при обработке составленных определенным образом SNMP-пакетов, выполнение которых может приводить к перезагрузке. При этом последовательная отправка таких запросов через небольшой промежуток времени позволяет организовывать DoS-атаки на выбранные устройства, например, маршрутизаторы. Уязвимость содержится в операционных системах IOS версий 12.0S, 12.1E, 12.2, 12.2S, 12.3, 12.3B и 12.3T.
Важно также добавить, что практически одновременно Cisco подтвердила и возможность проведения атак на сетевое оборудование посредством уязвимости в протоколе ТСР. По информации Cisco, опасности подвержено абсолютно все аппаратное обеспечение, имеющее стек ТСР.
В общем виде в целях обеспечения информационной безопасности на этапе обмена управляющей информацией должны обеспечиваться функции аутентификации и шифрования. В протоколах SNMP v1 и SNMP v2 особого внимания информационной безопасности управления не уделялось. В противоположность прежним версиям, спецификации протокола SNMP v3 включают модель безопасности, которая предусматривает меры защиты против следующих возможных угроз:
· модификация информации управления при передаче;
· «подмена» как средство неавторизованного выполнения операций управления на объекте;
· резкое увеличение потока сообщений до уровня, превышающего обычные отклонения, возможные при использовании транспортных протоколов TCP/IP;
· несанкционированное ознакомление с сообщениями.
При передаче подсистема безопасности получает сообщение SNMP от подсистемы обработки сообщений. В зависимости от требуемой услуги управления подсистема безопасности может шифровать PDU и часть полей в заголовке сообщения SNMP. Защищенное таким образом сообщение возвращается в подсистему обработки сообщений. На приеме происходит обработка сообщения в обратном порядке (дешифрование), однако дополнительно может выполняться проверка аутентификационного кода. Для контроля целостности и аутентификации источника предусматриваются хэш-функции, вычисляемые по алгоритмам MD5 и SHA. Используются протоколы аутентификации HMAC-MD5-96 и HMAC-SHA-96. Стандартным средством шифрования является DES в режиме сцепления блоков шифра (Cipher Block Chaining, CBC).
Однако SNMP v3 не предусматривает специальных средств защиты против атаки на доступность, поскольку во многих случаях такие атаки неотличимы от массовых отказов в сети, с которыми должен работать любой протокол управления.
Выводы по разделу
телекоммуникационный информационный безопасность
В процессе концептуального моделирования решены следующие задачи.
1. Установлен факт наличия проблемы, связанной с отсутствием для систем обнаружения несанкционированных воздействий адекватных моделей.
2. Сформированы выводы об актуальности, важности и сложности проблем создания системы предупреждения и обнаружения несанкционированных воздействий, причем отмечено, что создание системы предупреждения и обнаружения несанкционированных воздействий необходимо рассматривать с алгоритмической точки зрения, независимо от того, с помощью каких вычислительных средств и с какой полнотой эти алгоритмы будут реализованы.
3. Предложено рассматривать системы ЗИ с учетом требований, предъявляемых к развивающимся системам.
4. Показана зависимость деструктивных возможностей удаленных атак от полноты реализации основных факторов, присущих системам ПО НСВ.
5. Рассмотрен механизм использования системных вызовов для организации обмена сообщениями между узлами АС, который позволяет создавать гибкие приложения, задача контроля которых является трудно формализуемой и требующей разработки, как на уровне технических решений, так и на методическом уровне. Одной из важнейших причин трудностей формализации является большое количество протоколов, реализованных в семействе TCP/IP.
6. Определены задачи, которые принято решать при организации защиты информации на уровне локального сегмента АС, определены наиболее перспективные средства их решения, выявлены ограничения области их применения.
Глава 3. Алгоритмизация задачи обнаружения и предупреждения появления несанкционированных информационных потоков
3.1 Разработка алгоритма защиты автоматизированных систем от несанкционированных воздействий
Поиск эффективных технических решений повышения достоверности обнаружения (распознавания) несанкционированных ИП может быть осуществлен путем предварительного задания перечня санкционированных ИП, как совокупности опорных идентификаторов ИП [23], задания перечня наименований санкционированных процессов, формирования перечня несанкционированных ИП, принятых в процессе контроля, а также за счет введения максимально допустимого количества появлений каждого несанкционированного ИП из всей совокупности принимаемых несанкционированных ИП. Здесь и далее под опорными идентификаторами понимают совокупность предварительно запомненных эталонных идентификаторов санкционированных ИП. Чувствительность системы контроля ИП в АС определяется максимально допустимым количеством появлений каждого из несанкционированных ИП из всей совокупности принимаемых несанкционированных ИП. Значение показателя максимально допустимого количества появлений несанкционированных ИП (критерий обнаружения несанкционированных ИП) может выбираться в зависимости от требуемой своевременности обнаружения несанкционированного ИП и с учетом качества СПД АС.
Структура пакетов сообщений известна [24], как известен и принцип передачи пакетов в АС, что дает возможность анализа идентификаторов источника и получателя ИП и формирования опорных идентификаторов. Например, на рис. 3.1 представлены структуры заголовков IP- и TCP-пакетов сообщений.
Полужирным шрифтом выделены поля идентификаторов ИП, по которым определяют сетевые адреса отправителя и получателя пакетов сообщений, а также их порты.
Рис. 3.1 Структуры заголовков IP- и TCP-пакетов сообщений
С точки зрения информационной безопасности АС также необходимо отслеживать кадровые изменения, происходящие. в течение срока службы АС, а также др. изменения, касающиеся отношений субъектов/объектов доступа. Такие изменения снижают эффективность системы защиты АС, и могут привести к нарушениям политики безопасности злоумышленником или несанкционированными действиями должностных лиц, что, в свою очередь, приводит к угрозам целостности, доступности и конфиденциальности информации в АС. Таким образом, необходимо решить задачу вывода из числа легитимных устаревших пар субъект/объект доступа.
Для решения задачи контроля изменений, касающихся отношений субъектов/объектов доступа, можно ввести такой показатель как коэффициент актуальности санкционированного информационного потока, своевременная коррекция которого позволяет оценивать актуальность соответствующей пары субъект/объект доступа на текущий момент и автоматически выводить ее из числа легитимных.
Важно заметить, что решение задачи вывода из числа легитимных устаревших пар субъект/объект доступа позволяет повысить достоверность обнаружения несанкционированных воздействий. Существующие технические решения не позволяют достичь указанных целей в автоматическом режиме и требуют вмешательства обслуживающего персонала.
Поиск эффективных технических решений повышения достоверности обнаружения (распознавания) несанкционированных воздействий в АС может быть осуществлен путем введения в систему защиты дополнительного параметра - коэффициента актуальности санкционированного информационного потока. Чувствительность системы защиты определяется коэффициентом актуальности опорных идентификаторов и максимально допустимым числом появлений любого из принимаемых несанкционированных информационных потоков. А значения коэффициентов актуальности опорных идентификаторов могут выбираться в зависимости от подверженности изменениям в отношениях объектов и субъектов доступа защищаемой АС.
Блок-схема алгоритма системы защиты АС от несанкционированных воздействий представлена на рис. 3.2. В блок-схеме приняты следующие обозначения:
Zоп - Первоначальный уровень коэффициента актуальности всех опорных идентификаторов
IDпр - идентификатор принятого пакета сообщений;
IDоп - опорный идентификатор санкционированного ИП;
{IDоп} - совокупность опорных идентификаторов санкционированных ИП;
Zj - коэффициент актуальности j-го опорного идентификатора
IDнс - идентификатор несанкционированного ИП;
{IDнс} - совокупность запомненных идентификаторов несанкционированных ИП;
IPпр - адрес инициатора несанкционированного ИП;
{IPоп} - совокупность адресов инициаторов ИП находящихся в списке опорных идентификаторов;
Mпр -процесс, инициировавший несанкционированный ИП;
{Mоп} - множество наименований санкционированных процессов.
Рис. 3.2 Блок-схема алгоритма системы защиты АС от несанкционированных воздействий
Решение поставленной задачи декомпозируется на совокупность следующих действий [20]. Предварительно задают (см. блок 1) совокупность из N1 опорных идентификаторов санкционированных ИП, каждый из которых включает адреса и номера портов отправителя и получателя, и устанавливают для всех опорных идентификаторов первоначальный уровень коэффициента актуальности Zоп. Затем устанавливают М1 наименований санкционированных процессов и максимально допустимое число К max появлений любого из принимаемых несанкционированных ИП. Причем число Ki появлений i-го несанкционированного ИП, где i=1,2,3… номер очередного несанкционированного ИП, отличающегося от других ранее принятых несанкционированных ИП, в начале работы системы защиты принимают равным нулю.
Из канала связи принимают (см. блок 2) k-ый пакет сообщений, где k=1,2,3… и выделяют (см. блок 3) из заголовка принятого пакета идентификационные признаки, в качестве которых принимают идентификатор ИП. Затем сравнивают (см. блок 4) выделенные идентификаторы с опорными. Совпадение при этой проверке означает, что принятый пакет сообщений относится к санкционированному ИП. Далее уменьшают (см. блок 5) на единицу значения коэффициентов актуальности, принадлежащих всем опорным идентификаторам кроме совпавшего с выделенным из принятого пакета, после чего из предварительно заданной совокупности опорных идентификаторов удаляют те из них, значение коэффициента актуальности которых после их уменьшения на единицу равно нулю. После этого принимают следующий (k+1)-ый пакет сообщений (см. блок 8).
При отсутствии совпадения выделенного идентификатора с предварительно запомненными опорными идентификаторами запоминают выделенный идентификатор, и значение коэффициента актуальности всех опорных идентификаторов уменьшают (см. блок 9) на единицу, после чего удаляют (см. блок 11) из совокупности опорных идентификаторов те из них, значения коэффициентов актуальности которых равны нулю. Затем сравнивают выделенный из принятого пакета сообщений идентификационный признак с совокупностью ранее запомненных идентификаторов, выделенных из предыдущих принятых пакетов сообщений и не совпавших с совокупностью опорных идентификаторов.
При отсутствии совпадения выделенного из принятого пакета сообщений идентификатора запоминают (см. блок 13) его и присваивают ему i-ый номер, а число его появлений Ki увеличивают на единицу. Причем при выполнении условия K i K max дополнительно сравнивают (см. блок 17) адрес отправителя принятого пакета сообщений с адресами отправителей в составе опорных идентификаторов. При отсутствии адреса отправителя принятого пакета сообщений среди адресов отправителей в составе опорных идентификаторов принимают решение о несанкционированном воздействии, блокируют (см. блок 23) источник несанкционированного воздействия, отправивший принятый пакет сообщений, и вновь присваивают числу Ki появлений данного несанкционированного ИП нулевое значение.
При совпадении адреса отправителя принятого пакета сообщений с адресами в составе опорных идентификаторов формируют (см. блок 18) запрос отправителю на указание наименования процесса инициировавшего данный ИП. Это связано с тем, что в случае обнаружения несанкционированного ИП требуется дополнительная проверка, т.к. при установлении активного соединения в семействе протоколов TCP/IP может быть выбран любой порт [25], следовательно, необходимо определить, является ли процесс - инициатор ИП санкционированным. Для этого принимают ответ отправителя на запрос и при наличии указанного наименования процесса - инициатора в составе предварительно заданных санкционированных процессов, в состав ранее запомненных опорных идентификаторов включают в качестве опорного (см. блок 21) дополнительный идентификатор санкционированного ИП и присваивают его коэффициенту актуальности первоначальное значение Zоп. А при отсутствии в составе санкционированных процессов наименования процесса указанного в ответе отправителя принятого пакета сообщений, принимают решение о несанкционированном воздействии. После этого блокируют (см. блок 23) источник несанкционированного воздействия, отправивший принятый пакет сообщений, и присваивают числу Ki появлений данного несанкционированного ИП нулевое значение.
При совпадении идентификационного признака выделенного из принятого пакета сообщений с предварительно запомненными идентификаторами отсутствующими в совокупности опорных идентификаторов, увеличивают (см. блок 15) число его появлений на единицу, и при значении количества появлений K iK max принимают (см. блок 8) очередной принятый пакет сообщений и повторяют указанные действия по выделению из заголовка принятого пакета сообщений идентификационного признака и его анализу.
После блокирования идентификатор несанкционированного информационного потока необходимо протоколировать в подсистеме регистрации и учета системы защиты информации. Удаленные идентификаторы неактуальных санкционированных ИП также необходимо протоколировать, и своевременно извещать об инцидентах администратору безопасности АС.
Таким образом, заявленный подход обеспечивает повышение достоверности обнаружения несанкционированных воздействий в АС [27], а также увеличение быстродействия системы защиты АС от несанкционированных воздействий по сравнению с другими аналогичными системами, за счет удаления из списка опорных идентификаторов устаревших (неактуальных) идентификаторов и, следовательно, повышения интенсивности обработки анализируемых пакетов сообщений за счет сокращения времени анализа каждого принимаемого пакета сообщений.
Дополнительным свойством заявленного подхода является увеличение быстродействия системы защиты по сравнению с другими известными системами, основанными на сигнатурном методе выявления несанкционированных воздействий, за счет контроля легитимности соединений вместо сопоставления каждого пакета сообщений с базой данных сигнатур известных атак.
Выводы по разделу
1. Определены направления поиска эффективных технических решений повышения достоверности обнаружения (распознавания) несанкционированных воздействий.
2. Разработаны алгоритмы, позволяющие обеспечивать обнаружение несанкционированных воздействий не только на этапе их реализации, но и на этапе сбора нарушителем информации об АС.
3. Разработанные алгоритмы также позволяют:
· учитывать кадровые изменения, а также др. изменения, касающиеся отношений субъектов/объектов доступа АС, и автоматически на них реагировать;
· обеспечить сегментацию защищаемой АС на зоны безопасности;
· автоматически блокировать санкционированных абонентов или групп абонентов, нарушающих политику безопасности;
4. Существенным свойством результата выделения детерминированных элементов объектов распознавания является возможность реализации алгоритмов их распознавания и, в дальнейшем, активного реагирования на нарушение правил информационной безопасности на аппаратном уровне. Это значительно повысит производительность, достоверность, надежность т. к. такая система будет иметь следующие дополнительные свойства:
· независимость (слабую зависимость) от типа операционной системы;
· отсутствие ошибок реализации алгоритма обработки;
· дополнительную защиту от локального НСД, связанную с невозможностью получения информации из аппаратного средства использованием штатных средств операционной системы.
5. Подход, реализованный в разработанных алгоритмах, соответствует современным представлениям о принципах управления АС как сложной развивающейся системой.
Размещено на Allbest.ru
...Подобные документы
Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ инцидентов информационной безопасности. Структура и классификация систем обнаружения вторжений. Разработка и описание сетей Петри, моделирующих СОВ. Расчет времени реакции на атакующее воздействие. Верификация динамической модели обнаружения атак.
дипломная работа [885,3 K], добавлен 17.07.2016Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Характеристика объектов автоматизации информационных систем. Требования к документированию. Порядок контроля и приемки системы. Описание потоков данных и бизнес процессов. Структура информационной системы, состав функциональных и обеспечивающих подсистем.
курсовая работа [1,9 M], добавлен 18.09.2013Изучение профессиональных и должностных обязанностей специалистов отдела информационной безопасности. Характеристика процесса внедрения новой информационной системы предприятия. Создание плановых, диспозитивных и исполнительных информационных систем.
отчет по практике [180,7 K], добавлен 08.06.2015Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.
курсовая работа [158,7 K], добавлен 15.06.2013Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Задачи, функции и структура филиала университета. Оценка информационных потоков и UML-моделирование. Анализ структуры информационной системы и системы навигации. Проектирование базы данных, физическая реализация и тестирование информационной системы.
дипломная работа [6,0 M], добавлен 21.01.2012Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа [38,8 K], добавлен 17.06.2013Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Анализ современных информационных технологий в логистике. Проектирование прикладной информационной системы в среде СУБД MS Aссess. Описание предметной области. Правовое регулирование в сфере обеспечения информационной безопасности в Республике Беларусь.
курсовая работа [1,0 M], добавлен 17.06.2015Анализ рисков информационной безопасности. Идентификация уязвимостей активов. Оценка существующих и планируемых средств защиты. Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности.
дипломная работа [1,1 M], добавлен 03.04.2013Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.
реферат [78,4 K], добавлен 23.07.2013
