CC BY
58
УДК 681.3
ЭКСПЕРИМЕНТАЛЬНАЯ ОЦЕНКА УГРОЗ ДОСТУПА К ИНФОРМАЦИИ ПРИ ПРОЕКТИРОВАНИИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ КРИТИЧЕСКОГО ПРИМЕНЕНИЯ Р.А. Залогин
Проведена экспериментальная оценка угроз доступа к информации при проектировании автоматизированных систем критического применения (АСК)
Ключевые слова: информационная безопасность, автоматизированная система
Для произведения расчетов частных показателей и комплексного показателя
реализации угроз доступа к информации
проведена параметризация модели и формирование исходных данных.
Сформированные исходные данные основаны на опубликованной статистической информации о частоте возникновения конкретных видов угроз, методах реализации угроз. При произведении расчетов проводится два эксперимента с применением имитационных моделей
реализации угроз доступа к информации в АСК. Первый для многопользовательской
автоматизированной системы обработки
информации, использующей по умолчанию все службы и протоколы передачи данных, которые могут быть подвержены атакам, без применения парольной защиты терминалов, без применения криптографических средств защиты
информации, с применением протоколов
динамической маршрутизации, удаленным
беспарольным администрированием
коммутационного оборудования. Для проведения второго эксперимента применяются параметры автоматизированной системы обработки
информации с ограниченным списком разрешенных к использованию служб и протоколов, применением парольной защиты средствами операционной системы,
шифрованием трафика по алгоритму DES, парольной защитой удаленных сессий администрирования коммутационного
оборудования. Исходные данные для проведения экспериментов представлены в табл. 1.
Результаты экспериментов представлены в табл. 2. При проведении экспериментов были получены следующие значения комплексного показателя реализации угроз доступа к информации:
Для эксперимента 1: Рс * 1;
Для эксперимента 2: Рс * 0.3952.
Таким образом, проведенная оценка угроз доступа к информации в двух экспериментах на основе разработанных моделей и алгоритмов комплексной оценки угроз доступа к информации свидетельствует о том, что существует зависимость между применяемыми протоколами и службами для функционирования АСК и ее подверженностью к реализации угроз.
C целью повышения защищенности проектируемых и существующих АСК необходимо проводить минимизацию
комплексного показателя угроз доступа к информации. Это в свою очередь указывает на то, что комплексная оценка угроз доступа к информации дает возможность повышать защищенность проектируемой АСК за счет отказа от применения наиболее опасных протоколов и служб, а также за счет разработки эффективной политики безопасности.
Литература
1. Работкина О.Е. Разработка и применение автоматизированных средств комплексной оценки угроз НСД к информации при проектировании автоматизированных систем критического применения / Работкина О.Е., Залогин Р.А. // Вестник ВГТУ, №4, 2011.
Таблица 1
Исходные данные для произведения оценки угроз доступа к информации при проектировании АСК
№ Название1 Первый эксперимент Второй эксперимент
Долевое распределение между видами сгенерированных угроз
1 Нарушение конфиденциальности 46,7% 46,7%
2 Нарушение целостности 15,1% 15,1%
3 Отказ в обслуживании 38,2% 38,2%
Долевое распределение между угрозами нарушения конфиденциальности
4 Атаки подменой адреса канального уровня 3,1% 3,1%
Залогин Роман Александрович - ВГТУ, соискатель, тел. 8-960-116-01-30
Продолжение табл. 1
5 Атаки подменой адреса на протокол ARP 7,8% 7,8%
6 Атаки подменой адреса сетевого уровня 8,3% 8,3%
7 Атаки подменой доменного имени 7,1% 7,1%
8 Атаки по навязыванию ложного маршрута протоколов маршрутизации 8,7% 8,7%
9 Атаки методом подбора пароля к учетным записям 8,3% 8,3%
10 Криптографический анализ полученной от прослушивания сети информации 6,1% 6,1%
11 Атаки исполнением SQL-сценариев на удаленных WEB-ресурсах 50,6% 50,6%
Долевое распределение между угрозами нарушения целостности
12 Атаки подменой адреса на протокол ARP 10,6% 10,6%
13 Атаки подменой доменного имени 9,7% 9,7%
14 Атаки методом подбора пароля к учетным записям 11,5% 11,5%
15 Атаки исполнением SQL-сценариев на удаленных WEB-ресурсах 68,2% 68,2%
Распределение вероятностей между угрозами отказа в обслуживании
16 Атаки исполнением SQL-сценариев на удаленных WEB-ресурсах 6,8% 6,8%
17 Атаки методом генерация ложных TCP-пакетов 7,1% 7,1%
18 Атаки методом генерация ложных UDP-пакетов 7,1% 7,1%
19 Атаки методом генерации ложных ICMP-ответов 5,9% 5,9%
20 Атаки методом создания ложных DHCP-клиентов 5,6% 5,6%
21 Атаки методом сброса TCP- соединения 6,7% 6,7%
22 Атаки методом навязывания длинной сетевой маски 7,4% 7,4%
23 Атаки методом Ping of Death 12% 12%
24 Атаки методом принуждения к ускоренной передачи данных 4,7% 4,7%
25 Случайные отказы 36,7% 36,7%
Планируемые к функционированию в составе системы протоколы и службы, а также программные, аппаратные особенности проектируемой АСК
26 Возможность перепрограммирования аппаратных адресов сетевых плат + -
27 Применение протокола ARP + -
28 Применение протокола IP + +
29 Применение службы доменных имен DNS + +
30 Применение протокола HTTP + +
31 Применение баз данных с языками манипулирования данными типа SQL + -
32 Применение протокола TCP + +
33 Применение протокола UDP + -
34 Применение протокола ICMP + +
35 Применение протокола DHCP + -
36 Применение статической маршрутизации в сети АСК - +
Параметры планируемых к применению в АСК криптографических алгоритмов защиты информации
37 Криптографический алгоритм защиты информации - DES
38 Срок действия ключа/время актуальности информации (выбирается более короткий параметр) - 4320 часов
39 Возможность перебора ключей злоумышленником исходя из возможностей сети, либо на основе статистических данных - 10000 ключей/с
40 Длина ключа исходя из применяемого криптографического алгоритма - 56 бит
Параметры парольной защиты учетных записей проектируемой АСК
41 Срок действия пароля - 720 часов
42 Скорость подбора паролей с учетом механизмов блокирования ввода - 1 паролей/с
43 Длина пароля - 10 символов
43 Алфавит пароля - 36 знаков
Параметры парольной защиты удаленных сетевых соединений проектируемой АСК
44 Срок действия пароля - 720 часов
45 Скорость подбора паролей с учетом механизмов блокирования ввода - 1 паролей/с
46 Длина пароля - 10 символов
47 Алфавит пароля - 36 знаков
48 Количество испытаний 100000 100000
Таблица 2
Результаты проведения моделирования для определения комплексного показателя угроз доступа к информации
№ Название Первый опыт Второй опыт
Количество реализованных угроз по видам
1 Нарушение конфиденциальности 46873 7202
2 Нарушение целостности 15049 1435
3 Отказ в обслуживании 38078 30887
Количество реализованных атак по видам
4 Количество реализованных атак подменой адреса канального уровня 1550 0
5 Количество реализованных атак подменой адреса на протокол ARP (нарушение конфиденциальности) 3661 0
6 Количество реализованных атак подменой адреса сетевого уровня (IP-spoofing) 3958 3925
7 Количество реализованных атак подменой доменного имени (нарушение конфиденциальности) 3310 3277
8 Количество реализованных атак по навязыванию ложного маршрута протоколов маршрутизации 4088 0
9 Количество реализованных атак методом подбора пароля к учетным записям (нарушение конфиденциальности) 3914 0
10 Количество реализованных атак проведением криптографического анализа полученной от прослушивания сети информации 2881 0
11 Количество реализованных атак исполнением SQL-сценариев на удаленных WEB-ресурсах 23511 0
12 Количество реализованных атак подменой адреса на протокол ARP (Нарушение целостности) 1605 0
13 Количество реализованных атак подменой доменного имени (нарушение целостности) 1429 1435
14 Количество реализованных атак методом подбора пароля к учетным записям (Нарушение целостности) 1777 0
15 Количество реализованных атак исполнением SQL-сценариев на удаленных WEB-ресурсах (нарушение целостности) 10238 0
16 Количество реализованных атак исполнением SQL-сценариев на удаленных WEB-ресурсах (отказ в обслуживании) 2651 0
17 Количество реализованных атак методом генерации ложных TCP-пакетов 2690 2722
18 Количество реализованных атак методом генерация ложных UDP-пакетов 2690 0
19 Количество реализованных атак методом генерации ложных ICMP-ответов 2238 2261
20 Количество реализованных атак методом создания ложных DHCP-клиентов 2124 0
21 Количество реализованных атак методом сброса TCP- соединения 2584 2618
22 Количество реализованных атак методом навязывания длинной сетевой маски 2811 2839
23 Количество реализованных атак методом Ping of Death 4513 4543
24 Количество реализованных атак методом принуждения к ускоренной передачи данных 1783 1798
25 Количество случайных отказов 13994 14106
26 Количество испытаний 100000 10000
27 Комплексный показатель реализации угроз 1 0,3952
Воронежский государственный технический университет
EXPERIMENTAL ESTIMATION INFORMATION SECURITY THREATS WHEN DESIGNING CRITICAL APPLICATION AUTOMATED SYSTEMS R.A. Zalogin
The column describes procedure of experimental estimation information security threats when designing critical application automated systems
Key words: information security, automated systems
