Определение компонентов КСЗИ
Гл а в а 9
Методика выявления нарушителей, тактики их действий и состава интересующей их информации
Одна из новейших технологий в области защиты информации — создание ложных объектов атаки — направлена на выявление нарушителей и изучение их злоумышленных действий. Эта технология получила название «honeypot», или «honeynet», что в переводе с английского означает «горшочек с медом» и «медовая сеть» соответственно. Здесь проводится аналогия нарушителей, стремящихся атаковать привлекательный компьютер или сеть с мухами, летящими на сладкое. И подобно мухам нарушители «застревают» в honeypot, их действия становятся предметом тщательного изучения, а иногда по ним наносится ответный удар.
Honeypot — это информационная система, специально предназначенная для неправомерного доступа [28]. Фактически это обманка, привлекательный объект для атаки, находящийся под полным контролем специалистов по безопасностил Информационная система honeypot может представлять собой как отдельный хост в сети, так и сеть, наполненную разного рода объектами: маршрутизаторами, серверами, рабочими станциями, реальными или виртуальными.
|
|
Выделяют два основных типа реализаций, эмулирующие и реальные, иногда их определяют как слабо- и высокоинтерактивные. Первые способны эмулировать взаимодействие от лица определенного сервиса, например принять соединение на tcp порт 22, принять от атакующего имя пользователя и пароль (и т.д.), при этом фиксируя все действия атакующего. Высокоинтерактивные honeypot, основанные на применении реальных ОС и реальных сервисов, несколько сложнее в применении. Фактически они представляют собой специально спроектированные сетевые сегменты, подключенные к сетям общего пользования. Сетевой трафик между honeypot и внешним миром контролируется и фиксируется, чтобы полностью сохранить все действия атакующих.
Применение honeypot-систем в реальной жизни позволяет определять факт атаки, предотвращать атаки на реальные сервисы и обеспечивать службу безопасности материалами для анализа и ответной деятельности.
Определение факта атаки заложено в саму идею honeypot: к honeypot не могут обращаться за сервисом реальные клиенты. Если к нему обратились, это свидетельствует о том или ином нарушении. Определение факта атаки является важным моментом для администраторов, так как позволяет оперативно принять меры противодействия.
Для определения компонентов СЗИ необходимо решить задачу синтеза этой системы. С одной стороны, СЗИ является составной частью АС, с другой стороны, сама по себе представляет сложную техническую систему. Решение задач анализа и синтеза СЗИ усложняется рядом их особенностей; основные из них [6):
|
|
• сложная опосредованная взаимосвязь показателей качества СЗИ с показателями качества информационной системы;
• необходимость учета большого числа показателей (требований) СЗИ при оценке и выборе их рационального варианта;
• преимущественно качественный характер показателей (требований), учитываемых при анализе и синтезе СЗИ;
• существенная взаимосвязь и взаимозависимость этих показателей (требований), имеющих противоречивый характер;
• трудность получения исходных данных, необходимых для решения задач анализа и синтеза СЗИ, в особенности на ранних этапах их проектирования.
Указанные особенности делают затруднительным применение традиционных математических методов, в том числе методов математической статистики и теории вероятностей, а также классических методов оптимизации для решения прикладных задач анализа и синтеза СЗИ [6].
Сложность процесса принятия решений, отсутствие математического аппарата приводят к тому, что при оценке и выборе альтернатив возможно (а зачастую просто необходимо) использование и обработка качественной экспертной информации.
Поэтому в данной главе помимо описания применяемых методов оптимизации определенное внимание уделяется методам экспертной оценки.
После разработки формальной модели (описана в гл. И) на этапе синтеза осуществляются:
• синтез альтернативных структур системы;
• синтез параметров системы;
• оценивание вариантов синтезированной системы. Исходными положениями для методики синтеза является уже
существующая или проектируемая АС; известны ее архитектура и методы взаимодействия между ее компонентами. Должна быть задана политика безопасности обработки информации в рассматриваемой АС. Также считается известным возможный набор средств и механизмов обеспечения информационной безопасности и ограничения по основным внешним характеристикам, накладываемых на АС (стоимость, производительность и т. п.). Кроме того, важное значение имеет правильный выбор критерия оптимальности.