Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей
Рисунок 2.5. Схема подключения сеть-сеть 2. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального. Рисунок 2.6. Подключение к сети VPN двух стационарных компьютеров 3. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам. Примером Extranet VPN является объединение сетей различных корпорация для ведения совместной деятельности. 4. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Простой способ обеспечить мобильным пользователям возможность соединения с корпоративной сетью дает виртуальная защищенная сеть, или структура, хост-сеть VPN. В конфигурации такого рода каждый хост независимо связывается с локальной сетью через шлюз VPN. Каждый хост аутентифицируется, и для него организуется VPN-туннель. Мобильный хост может быть присоединен любым способом, будь то коммутируемая линия (dial-up), соединение с локальной сетью или беспроводное соединение. Структура хост-сеть оправдана в случае удаленного доступа. Мобильный пользователь может иметь программное обеспечение VPN на своем портативном компьютере и соединяться с внутренней вычислительной сетью через шлюз VPN. Эта схема VPN может быть использована и для сотрудников, работающих дома (со своего домашнего компьютера). Медленный, но уверенный рост использования цифровых и кабельных модемов делает привлекательной возможность работать из дома. VPN делает поток информационного обмена конфиденциальным и нечитаемым до того момента, когда он попадает в корпоративный шлюз VPN. Рисунок 2.7. Подключение к сети VPN удаленного пользователя 2.4.2 Протоколы VPNШирокое распространение VPN, построенных на основе глобальных сетей передачи данных, делает их уязвимыми по отношению к атакам потенциального нарушителя, поскольку такая конфигурация наследуют все уязвимости стека используемых протоколов. Наиболее актуально вопросы безопасности стоят для VPN, где в качестве транспортного протокола используется TCP/IP, так как сети такого типа часто используются в Internet для передачи конфиденциальных данных, пересылаемых в виде информационных пакетов по протоколам IP и/или IPX. Средства обеспечения информационной безопасности трансформируют IP-пакеты, встраивая их внутрь других пакетов (инкапсуляция), которые затем маршрутизируются через Internet. Таким образом, информационный поток трансформируется в другой информационный поток (туннелирование). При этом шифруются не только поля данных передаваемого IP пакета, но и адресная часть, и служебные поля данных. Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции канального уровня), Layer 2 Tunneling Protocol (протокол туннелирования канального уровня), Point-to-Point Tunneling Protocol (протокол туннелирования точка точка), а также протокол IP Security (IPSec), предложенный комитетом IETF. В последнее время растет популярность технологии SSL VPN на базе протокола SSL\TLS, который используется для защиты соединений в WEB-броузерах. Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (РРР), а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты. Виртуальные частные сети на основе протокола SSL (Secure Sockets Layer) предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-броузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, как правило, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки. 2.4.3 Виды реализации VPN-устройств Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN - это, как правило, готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Ряд производителей, такие как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа в ряде случаев может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого. В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения, - компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать, и ожидаемого объема трафика. Развертывать аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN-решений является гораздо более высокая производительность. К минусам аппаратных VPN-решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации. Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Второе преимущество - более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Примером такого интегрированного решения может служить VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д. Как правило, выбор VPN решения определяется тремя факторами: размер сети, технические навыки, которыми обладают сотрудники организации, и объем трафика, который планируется обрабатывать. Процесс шифрования данных требует существенных вычислительных ресурсов и может перегрузить компьютер, когда несколько VPN-соединений одновременно участвуют в передаче данных. В этом случае, чтобы разгрузить центральный процессор, возможно, придется установить специальные ускорительные платы. Какой бы путь ни был выбран, все равно придется столкнуться с проблемой управления VPN-устройствами и поддержания согласованных правил безопасности для VPN и межсетевых экранов в масштабах всей организации. Если сотрудники не обладают достаточными навыками в этой области, можно доверить создание виртуальной частной сети независимой компании, оказывающей соответствующие услуги. Следует также отметить, что использование VPN не является поводом для отказа от специализированных средств безопасности. По статистике, до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть, а это значит, что атака или вирус от такого пользователя будут зашифрованы и переданы наравне с безобидным трафиком [30]. Необходимо упомянуть еще одну особенность VPN - использование этой технологии снижает производительность сети, что обусловлено задержками установления защищенного соединения между VPN-устройствами, задержками шифрования данных, задержками контроля их целостности и увеличенным трафиком из-за использования более длинных заголовков пакетов. В общем средства VPN позволяют осуществлять безопасную передачу данных по открытым каналам связи, при этом обеспечивая надежную криптографическую защиту данных от всевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности их настройки, что требует определенного квалификационного уровня системного администратора и знание технологии VPN и используемых протоколов. 2.5 Сервер обновлений ПО В современных КИС численность рабочих станций уже давно превысила цифру в 100 единиц. При всем этом перечень прикладного ПО, которое используется пользователями в КИС, также может быть довольно большим. Многие администраторы сталкиваются с проблемой обновления ОС и приложений в локальной сети. Чтобы обеспечивать должный уровень безопасности ПО не должно содержать в себе потенциально опасных уязвимостей. Разработчики ПО при обнаружении уязвимостей сразу же выпускают к нему заплатки или патчи. Суть проблемы как раз и заключается в том, чтобы установить эти обновления на рабочие станции КИС. ПО может иметь в себе встроенные средства обновления, а производители данного ПО, как правило, регулярно обновляют свои веб-сайты новыми версиями ПО. Но если в сети насчитывается большое количество компьютеров, то обновление каждого из них займет определенный процент времени администратора, а также повлечет большой расход интернет трафика. Для автоматизации процесса обновления, а также экономии ресурсов компании используется специализированное ПО для централизованного обновления. Сервер обновлений скачивает все необходимые заплатки с определенной периодичностью на свой локальный диск, а рабочие станции для обновления подключаются уже непосредственно к нему. Чаще всего эти средства обновления рассчитаны на конкретную операционную систему или антивирусный продукт. Выгоды такого решения очевидны: экономия времени администратора, актуальная версия ПО, содержащая последние программные улучшения, обновленная база вирусов обеспечивающая защиту от всех известных вирусов. К тому же централизованная система обновлений уменьшает вероятность загрузки поддельных пакетов обновлений, измененных злоумышленником с целью нарушения безопасности организации. Многие программы обновления поддерживают проверку ЦП производителя для загружаемых пакетов и обеспечивают защищенный режим взаимодействия, исключая возможность подмены злоумышленником сервера обновлений и самих пакетов обновлений. Таким образом, централизованная система обновления ПО в КИС способствует повышению уровня защищенности всей системы в целом, экономит время администраторов и ресурсы компании. В то же время такие системы перекрывают многие угрозы, такие как переполнение буфера, отказ в обслуживании и пр. Для обеспечения должного уровня защищенности КИС в ней обязательно должна присутствовать система централизованного обновления ПО. В разделе были описаны основные средства и технологии, применяемые в настоящее время для защиты КИС в сетевом аспекте. Конечно, кроме перечисленных решений может существовать и масса других, отличающихся своими характеристиками, реализацией или набором средств. Как раз и выбор оптимального набора средств является одним из вопросов, решаемых в данной дипломной работе.3 Методика оценки эффективности средств защиты 3.1 Проблема выбора эффективного решения Любая целенаправленная деятельность человека, начиная от бытовой и оканчивая профессиональной, представляет собой непрерывную последовательность принимаемых и реализуемых решений. Поэтому умение принимать эффективные решения отличает высококвалифицированных специалистов и жизненно успешных людей. Это обстоятельство определило давний и неугасающий интерес к разработке формальных методов, правил-алгоритмов, процедур, которым можно обучить, как альтернативы субъективному интуитивному искусству принятия решений. В процессе исследований было установлено, что принимаемые решения различаются по значимости последствий, особенностям ситуаций, в которых принимается решение, степени полноты и точности исходной информации, но с формальной точки зрения имеют общую методологию и инструментарий реализации. При этом большинство формальных процедур принятия решений является инвариантными предметной области. Широкое распространение современной вычислительной техники, ее интенсивное использование во всех сферах как средства автоматизации интеллектуальной деятельности человека, придало дополнительный импульс изучению и формализации процессов принятия решений. Они отличаются сложностью, возможными последствиями, но с формальной точки зрения могут быть представлены одной обобщенной моделью, инвариантной конкретному содержанию проблемы принятия решений. Анализ позволяет выделить следующие основные задачи обобщенной процедуры принятия решения: [31] · формирование цели, ее анализ и формализация; · определение множества возможных путей ее достижения (множества решений); · формирование оценки (меры) позволяющей сравнивать (ранжировать) возможные решения между собой по качеству; · выбор из возможного множества экстремального, т.е. наилучшего по качеству единственного решения. В теории принятия решений совокупность перечисленных задач образует общую проблему принятая решений, третья называется задачей оценивания, а четвертая - задачей оптимизации. Конечной целью решения общей задачи принятия решений является выбор из допустимого множества решений X единственного наилучшего, т.е. экстремального по выбранным частным критериям решения (3.1) Если задача однокритериальная, т.е. n=1, то она имеет единственное решение, в случае если п>1, т.е. задача является многокритериальной, ее однозначное решение можно получить только в частных случаях, а в общем случае задача не имеет единственного решения. Выше было показано, что задача многокритериальной оптимизации (3.1) является некорректной, так как в общем случае не обеспечивает определения единственного оптимального решения из допустимого множества X. Эта некорректность может быть устранена путем регуляризации задачи, т.е. введением некоторой дополнительной информации. математических соотношений или правил, позволяющих обеспечить выбор единственного решения. При реализации неконструктивного подхода источником регуляризационной информации является ЛПР. Однако ЛПР данную информацию не формализует, а использует на интуитивном уровне [31]. Общий подход к решению этой проблемы заключается в трансформации многокритериальной задачи в однокритериальную со скалярным критерием. Это обусловлено следующими двумя причинами. Во-первых, значение скалярного количественного критерия можно интерпретировать как точку на числовой оси, и ранжирование таких точек не представляет затруднений, так как отношения предпочтения и эквивалентности превращаются соответственно в неравенство (>) и равенство (=). Во-вторых, все методы поиска экстремума ориентированы на скалярную функцию. Существует несколько способов трансформации многокритериальных оптимизационных задач в однокритериальные. Одним из этих методов является метод главного критерия, который мы в дальнейшем используем для решения оптимизационной задачи по оценке эффективности системы защиты. Принцип базируется на выделении главного критерия и переводе всех остальных критериев в ограничения. Для этого проводится анализ конкретных особенностей многокритериальной задачи, из множества частных критериев выбирается один - самый важный, и он принимается в качестве единственного критерия оптимизации. Для каждого из остальных частных критериев назначается предельное значение, ниже которого он не может опускаться. Таким образом, все частные критерии, кроме одного превращаются в ограничения, дополнительно суживающие область допустимых решений X. Тогда исходная многокритериальная задача (3.1) превращается в однокритериальную вида (3.2) где - оптимизационный скалярный критерий; - наихудшие допустимые значения частных критериев -ограничений; знак ">" используется для критериев, которые необходимо максимизировать, а знак "<" - минимизировать. Вывод главного (оптимизационного) критерия и уровней ограничений для всех других критериев является субъективной операцией, осуществляемой экспертами или ЛПР. Следует отметить, что можно рассмотреть несколько различных вариантов и сравнить результаты. При реализации рассмотренного метода необходимо обращать особое внимание на то. чтобы допустимое множество решений, заданное частными критериями - ограничениями, не оказалось пустым.. 3.2 Критерии оценивания системы СЗИ В любой области деятельности для выбора эффективной системы, эта система должны характеризоваться некоторыми параметрами, на основании которых и делается выбор. В качестве таких параметров для СЗИ можно выделить следующие: производительность, стоимость, производительность, управляемость, совместимость, защищенность и пр. Как уже было отмечено выше, выбор оптимальной системы по такому множеству ее характеристик является классической задачей оптимизации и не всегда может иметь эффективное решение. Тем более что многие параметры противоречивы: с ростом уровня защищенности, например, растет стоимость, сложность настройки, в то же время падает производительность. Поэтому в нашей методике будет производиться оценка эффективности системы по параметру защищенности, как основного показателя, характеризующего уровень обеспечиваемой защиты СЗИ, а на остальные характеристики вводятся ограничения. Будем оценивать защищенность системы (Z) количественно в зависимости от стоимости защищаемой информации, вероятности взлома, стоимости самой системы защиты, производительности системы: , где Синф -- стоимость защищаемой информации; рвзл -- вероятность взлома; Цсзи -- стоимость СЗИ; П -- производительность системы. С учетом введенного понятия защищенности системы оптимизационная задача состоит в обеспечении максимального уровня защищенности (как функции стоимости защищаемой информации и вероятности взлома) при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы: Zopt= тахZ(Синф,рвзл,Цсзи,П). С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты. При этом, кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейших характеристик системы. Например, обязательно должно учитываться влияние системы защиты на загрузку вычислительного ресурса защищаемого объекта. В общем случае загрузка вычислительного ресурса определяется количеством прикладных задач, решаемых объектом в единицу времени. Исходные параметры для задачи проектирования системы защиты, а также возможности сведения задачи к однокритериальной [32] проиллюстрированы рисунке. 3.1. Рисунок. 3.1. Критерии оценки защищенности 3.3 Оценка защищенности при помощи рисков Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности на сегодняшний день является наиболее часто используемым на практике подходом. Риск (R) -- это потенциальные потери от угроз защищенности: R(p) = Синф*рвзл. По существу, параметр риска здесь вводится как мультипликативная свертка двух основных параметров защищенности. С другой стороны, можно рассматривать риск как потери в единицу времени: R()=Синф*взл , где взл -- интенсивность потока взломов (под взломом будем понимать удачную попытку реализации угрозы информации). Эти две формулы связаны следующим соотношением: где -- общая интенсивность потока несанкционированных попыток нарушения основных свойств информации злоумышленниками. В качестве основного критерия защищенности будем использовать коэффициент защищенности (D), показывающий относительное уменьшение риска в защищенной системе по сравнению с незащищенной системой. , (3.3) где Rзащ - риск в защищенной системе; Rнез - риск в незащищенной системе. Таким образом, в данном случае задача оптимизации выглядит следующим образом: Для решения этой задачи сведем ее к однокритериальной посредством введения ограничений. В результате получим: где Цзад и Пзад - заданные ограничения на стоимость системы защиты и производительность системы. Целевая функция выбрана исходя из того, что именно она отражает основное функциональное назначение системы защиты -- обеспечение безопасности информации. Производительность системы Псзи рассчитывается с применением моделей и методов теории массового обслуживания и теории расписаний (в зависимости от того, защищается ли система оперативной обработки, либо реального времени) [32]. На практике возможно задание ограничения по производительности (влияние на загрузку вычислительного ресурса защищаемой системы) не непосредственно в виде требуемой производительности системы, а как снижение производительности (dПсзи) информационной системы от установки системы защиты. В этом случае задача оптимизации будет выглядеть следующим образом: или после сведения ее к однокритериальной: где Цзад и dПзад -- заданные ограничения на стоимость системы защиты и снижение производительности. Заметим, что на наш взгляд, именно такой принцип сведения задачи к однокритериальной целесообразен [32], т.к. в любом техническом задании на разработку системы защиты указывается, в какой мере система защиты должна оказывать влияние на производительность системы. Как правило, внедрение системы защиты не должно снижать производительность системы более чем на 10%. Кроме того, обычно вводится ограничение на стоимость системы защиты. Если рассчитанное значение коэффициента защищенности (D) не удовлетворяет требованиям к системе защиты, то в допустимых пределах можно изменять заданные ограничения и решить задачу методом последовательного выбора уступок пример которого будет рассмотрен ниже. При этом задается приращение стоимости и снижение производительности: Ц*зад = Цзад + Ц , П*зад = Пзад - П или dП*зад = dПзад + dП. В таком виде задача решается в результате реализации итерационной процедуры путем отсеивания вариантов, не удовлетворяющих ограничительным условиям, и последующего выбора из оставшихся варианта с максимальным коэффициентом защищенности. Теперь выразим коэффициент защищенности через параметры угроз. В общем случае в системе присутствует множество видов угроз. В этих условиях зададим следующие величины: W - количество видов угроз, воздействующих на систему; - стоимость (потери) от взлома i-того вида; - интенсивность потока взломов i-того вида, соответственно; - вероятность появления угроз i-того вида в общем потоке попыток реализации угроз, причем ; - вероятность отражения угроз i-того вида системой защиты. Соответственно, для коэффициента потерь от взломов системы защиты имеем: , где Ri(p) - коэффициент потерь от взлома i-того типа; показывает, какие в среднем потери приходятся на один взлом i-того типа. Для незащищенной системы Pугр i = Qi , для защищенной системы Pугр i = Qi*(1-pi). Соответственно, для коэффициента потерь от взломов системы защиты в единицу времени имеем: , где - коэффициент потерь от взломов i-того типа в единицу времени. Для незащищенной системы , для защищенной системы . Соответственно, из (3.3) имеем: . (3.4) Если в качестве исходных параметров заданы вероятности появления угроз Qi то коэффициент защищенности удобно считать через вероятности появления угроз. Если же в качестве исходных параметров заданы интенсивности потоков угроз i , то, естественно, коэффициент защищенности считается через интенсивность. Очевидно, что при использовании любого математического метода проектирования системы защиты необходимо задавать определенные исходные параметры для оценки ее защищенности. Однако именно с этим связаны основные проблемы формализации задачи синтеза системы защиты. Поэтому мы отдельно рассмотрим основные пути решения данной задачи, рассмотрим возможные способы задания вероятностей и интенсивностей угроз. 3.4 Задание входных параметров системы для методики 3.4.1 Способы задания интенсивностей и вероятностей угроз Основной проблемой проведения количественной оценки уровня защищенности является задание входных параметров для системы защиты -- вероятностей и интенсивностей угроз. Рассмотрим возможные способы задания вероятностей и интенсивностей угроз. 1.Метод статистической оценки i (Qi) и pi. Основным способом задания интенсивностей потоков угроз i (вероятностей угроз Qi ) и вероятностей взломов pi является получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которых реализуется система защиты. Если существует статистика для аналогичной информационной системы, то задавать исходные параметры для оценки защищенности можно на ее основе. При этом желательно, чтобы сходные информационные системы эксплуатировалась на предприятиях со сходной спецификой деятельности. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых должен быть собран весьма обширный материал о происшествиях в данной области. Во-вторых данный подход оправдан далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз могут оказаться недостоверными Заметим, что статистика угроз периодически публикуется достаточно авторитетными изданиями, т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации. Обычно эта статистика доступна в Интернете на сайтах специализированных организаций. Если же необходимая статистика по угрозам безопасности отсутствует, то можно воспользоваться одним из других подходов, описанных далее. 2.Оптимистически-пессимистический подход. В рамках данного подхода предусмотрено два разных способа. Первый способ -- это способ равных интенсивностей i = , = const. При этом способе для расчета защищенности константа а может быть выбрана любой. В формуле (3.4) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь: (3.5) Второй способ -- это способ пропорциональности потерям i = *Ci , = const. При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации. То есть интенсивности потоков угроз прямо пропорциональны потерям. В этом случае защищенность будет зависеть от квадрата потерь: (3.6) 3. Метод экспертной оценки. Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа -- это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме. При этом необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом их квалификации определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса. Эксперт оценивает эффективность (вероятность) отражения угроз элементами защиты рi и вероятность появления угроз Qi Вероятности эксперт задает лингвистическими оценками: отлично, хорошо, удовлетворительно, плохо, не отражает; вероятно, близко к нулю, близко к единице, весьма вероятно и т.п. Затем эти лингвистические оценки при помощи словаря переводятся в числа рi и Qi в диапазоне [0; 1]. В приложении А описываются дополнительные методы экспертных оценок. Для задания вероятности появления угрозы возможна оценка вероятности появления угрозы i-того вида в общем потоке угроз: Исходя из заданной квалификации экспертов, рассчитываются их веса (значимость) в группе по формуле: где Se -- квалификация эксперта, задаваемая в некотором диапазоне, например, от 0 до 10 в зависимости от опыта, образования и других качеств эксперта. Затем оценки суммируются с учетом весов экспертов: где рie и Qie - оценка вероятностей отражения и появления угроз, сделанные одним экспертом; ke - «вес» эксперта в группе. После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности результатов. Согласованность рассчитывается при помощи среднеквадратического отклонения и выражается в процентах. Максимальная согласованность достигается при одинаковых значениях оценок экспертов и в этом случае равняется 100%. Минимальная согласованность достижима при максимальном разбросе оценок экспертов. 3.4.2 Способы задания стоимости информационных ресурсов Важнейшей характеристикой защищаемого объекта (как следствие, и системы защиты) является стоимость потерь от взлома. Рассмотрим возможные способы задания стоимости потерь. Метод позволяет установить ценность ресурсов. Ценность физических ресурсов в данном методе зависит от цены их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: · недоступность ресурса в течение определенного периода времени; · разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение; · нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц; · модификация данных - рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; · наличие ошибок, связанных с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Для оценки возможного ущерба рекомендуется воспользоваться некоторыми из перечисленных критериев: · ущерб репутации организации; · нарушение действующего законодательства; · ущерб для здоровья персонала; · ущерб, связанный с разглашением персональных данных отдельных лиц; · финансовые потери от разглашения информации; · финансовые потери, связанные с восстановлением ресурсов; · потери, связанные с невозможностью выполнения обязательств; · дезорганизация деятельности. 1.Стоимость похищенной/искаженной/утерянной информации. Исходные данные: ci[грн./бит]удельная цена информации; v[6um/c]скорость получения/искажения/уничтожения информации; t[c]...время нахождения субъекта в системе; Vi[6um]объем информации. Сi =min(ci*v*tj ,ci*Vi). 2.Затраты от невозможности получения доступа к информации. Исходные данные: ci[грн./бит]удельная цена недоступности информации; t[c]время восстановления системы. Сi =ci*t. Чтобы точнее определить ущерб в результате реализации угроз информации необходимо прибегнуть к некоторой классификации угроз и выделить тот принцип классификации который в большей мере характеризует стоимость потерь. Существуют различные классификации угроз: Ш по принципам и характеру воздействия на систему; Ш по используемым техническим средствам; Ш по целям атаки и т.п. Очевидно, что стоимость потерь Сi удобнее задавать для угроз, классифицированных по целям атаки. Что касается характеристики интенсивности угроз, то она определяется с помощью средств аудита и сетевого мониторинга, которые различают угрозы по принципам и характеру воздействия на систему (механизму атаки, способу проникновения). Вероятность отражения угрозы средствами защиты рi определяется в соответствии с теми механизмами, которые реализованы в каждом средстве. Причем каждый из механизмов в общем случае может отражать несколько видов атак. Таким образом, необходимо задавать соответствие между всеми этими параметрами (см. рисунок. 3.2). Для успешного приведения в соответствие различных параметров оценки защищенности необходимо корректное построение модели нарушителя. В этой модели должны быть отражены практические и теоретические возможности нарушителя, его априорные знания, время и место действия. Рисунок 3.2. Взаимозависимость параметров защиты Задание соответствия между стоимостью потерь и интенсивностью угроз можно осуществлять следующим образом: 1.Статистический подход. Статистический подход является основным, как обладающий большей достоверностью. Из анализа статистики можно выявить вероятности нанесения определенных видов ущерба при определенных видах взломов. Однако на практике далеко не всегда подобная статистика существует, в частности, при внедрении новых технологий защиты информации, новых версий ОС или приложений и т.д., т.к. для ее сбора требуется некоторое время. В этом случае может использоваться пессимистический подход. 2.Пессимистический подход. Если не имеется достаточной статистики, можно воспользоваться другим способом. Будем считать, что при проникновении в систему злоумышленник наносит наибольший вред, какой он только может причинить. Именно этот подход мы используем для определения стоимости потерь в случае реализации хотя бы одной из угроз. К тому же, как показывает практика, при преодолении злоумышленником хотя бы одного из барьеров защиты, общий уровень защищенности всей системы резко снижается, что может привести к ее полной компрометации. Исходя из этих убеждений наш подход к оценке ущерба вполне обоснован, и уровень потерь будет равен максимальному при любых видах атак и нарушений. При задании соответствия между интенсивностью угроз и вероятностью их отражения нужно учитывать, что, если в системе реализовано несколько механизмов, отражающих некоторую атаку, вероятность преодоления защиты рассчитывается следующим образом. Если pk есть вероятность отражения i-той угрозы каждым средством защиты, то вероятность взлома системы будет: , а вероятность отражения угрозы системой защиты . 3.5 Метод уступок при выборе оптимального варианта защиты Качественная зависимость изменения основных параметров, характеризующих систему защиты, от ее сложности -- используемого набора механизмов защиты, представлена на рисунке 3.3. Проанализировав характер зависимостей от сложности системы, можем сказать, что стоимость системы защиты возрастает неограниченно, а производительность снижается в пределе до нуля. В то же время кривая коэффициента защищенности (D) стремится к предельному значению - к единице (100%) и в некоторый момент достигает насыщения. Это в свою очередь приводит к тому, что при дальнейшем нарастании сложности (и, соответственно, увеличении цены, а также снижении производительности) увеличение коэффициента защищенности происходит незначительно. Следовательно, при проектировании системы защиты, параметры защищенности которой расположены в области насыщения, целесообразно проанализировать параметры альтернативных вариантов. То есть целесообразно исследовать возможность использования менее сложных систем защиты и, задав некоторый промежуток снижения коэффициента защищенности (dD), выбрать систему, уровень защищенности которой удовлетворяет полученному (D-dD). Конечно, если таковые имеются. При этом может быть получен ощутимый выигрыш в цене и производительности. Рисунок 3.3. Пример применения метода последовательного выбора уступок В этом и состоит применение известного метода последовательных уступок при выборе оптимальной системы защиты. Этот метод, как уже упоминалось, подразумевает сведение многокритериальной задачи оптимизации к однокритериальной. Метод последовательных уступок представляет собою итерационную человеко-машинную процедуру, используя которую разработчик, давая допустимые приращения одним параметрам (в частности, задавая снижение коэффициента защищенности), анализирует изменение других, принимая решение о допустимости вводимых уступок.
Страницы: 1, 2, 3, 4
|