CC BY
45Решетневскуе чтения. 2014
Например, это может быть исключение из БНМ мер, связанных с защитой среды виртуализации, если в ИСПДн не используются такие технологии, или исключение из БНМ мер, связанных с защитой мобильных устройств, если таковые в ИСПДн не используются. Полученный набор мер называется адаптированным (АБНМ).
Полученный АБНМ соотносится с частной моделью угроз безопасности ПДн. В том случае, если АБНМ не нейтрализует все актуальные угрозы, определенные в модели угроз, в АБНМ включаются дополнительные меры по обеспечению безопасности ПДн в ИСПДн. Полученный набор мер называется уточненным (УАБНМ).
В зависимости от специфики оператора ПДн на него могут распространяться требования каких-либо отраслевых стандартов или иных нормативно-правовых актов в области обеспечения безопасности ПДн и защиты информации. Например, это могут быть отраслевые требования по защите информации Банка России, если оператор является кредитной организацией. Полученный набор мер называется дополненным (ДУАБНМ).
Таким образом, вне зависимости от уровня защищенности ПДн в ИСПДн набор мер по обеспечению безопасности ПДн выбирается в соответствии с перечнем актуальных угроз информационной безопасности, неотъемлемой частью которого являются угрозы, источником которых выступает нарушитель.
Для формирования перечня угроз предлагается использовать подход, основанный на классификации угроз, источником которых является нарушитель, в соответствии с уровнями воздействия нарушителей, который подробно рассмотрен автором в работах [3-5].
На основании представленных данных показано, что формирование модели нарушителя как части модели угроз является одним из ключевых этапов построения СЗИ для ИСПДн.
Библиографические ссылки
1. О персональных данных : федер. закон от 27.07 2006 г. № 152-ФЗ // Рос. газета. 29.07.2006. № 165.
2. Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных : пост. Правительства Рос. Федерации от 01.10.2012 г. № 1119 // Собр. законодательства Рос. Федерации. 2012. № 45. Ст. 6257.
3. Стефаров А. П. Об определении актуальных угроз для информационных систем персональных данных // Решетневские чтения : материалы XVII Междунар. науч. конф., посвящ. памяти генер. конструктора ракетно-космич. систем акад. М. Ф. Решетне-ва (12-14 нояб. 2013, г. Красноярск) : в 2 ч. Ч. 2 / под общ. ред. Ю. Ю. Логинова ; Сиб. гос. аэрокосмич. ун-т. Красноярск, 2013. С. 319-321
4. Стефаров А. П., Жуков В. Г. Формирование типовой модели нарушителя правил разграничения доступа в автоматизированных системах // Известия ЮФУ. Техн. науки. 2012. № 12. С. 45-54.
5. Стефаров А. П., Жуков В. Г., Жукова М. Н. Модель нарушителя прав доступа в автоматизированной системе // Прогр. продукты и системы. 2012. № 2. С. 51-54.
References
1. Opersonalnikh dannikh: federal law FZ № 152-FZ.
2. Ob utverzdenii trebovaniy к zashite personalnikh dannikh pri ikh obrabotke v informacionnikh systemakh personalnykh dannykh: government regulation № 1119 from 01.11.2012.
3. Stefarov A. P., About determination of actual threats for information system of personal data [Ob opredelenii akuanikh ugroz dlya informacionnikh system personalnykh dannykh]. Tezisy mezdunrodnoy nauchnoy konferencii "Reshetnevskie chteniya" (Thesis of XVII International Scientific Conference "RESHETNEV READINGS"). Krasnoyarsk, 2013, p. 319-321.
4. Stefarov A. P., Zhukov V. G., Zhukova M. N Software & systems, 2012, no. 2, p. 51-54.
5. Stefarov A. P., Zhukova M. N. Izvestiya YuFU, 2012, no. 12, p. 45-54.
© Жукова М. Н., Стефаров А. П., 2014
УДК 004.738
ИССЛЕДОВАНИЕ БЕЗОПАСНОСТИ ВЕБ-СЕРВИСОВ НА ОСНОВЕ АНАЛИЗА
ЖУРНАЛОВ WWW-СЕРВЕРА
С. В. Исаев
Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44. Е-таП: si@icm.krasn.ru
Описаны проблемы безопасности веб-сервисов. Предложены методы анализа потенциальных угроз на основе журналов www-сервера. Перечислены основные элементы и критерии анализа. Определены возможные виды распознаваемых угроз. Проведено тестирование программных средств, выявлены основные проблемы. Сформулированы планы по развитию программного обеспечения и меры по повышению безопасности анализируемых сервисов.
Ключевые слова: защита информации, сервер, безопасность, компьютерные сети.
Методы и средства защиты информации
RESEARCH OF THE SECURITY OF WEB-SERVICES BASED ON ANALYSIS LOGSOF WWW-SERVER
S. V. Isaev
Institute of Computational Modeling SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: si@icm.krasn.ru
The security of web services is described. The methods of analysis ofpotential threats based on logs www-server are offered. The main elements and analysis criteria are listed. The possible types of identifiable threats are identified. The software testing is carried out and the main problems are identified. The plans for the development of software and measures to improve the safety of the analyzed services are formulated.
Keywords: protection of information, www-server, security, computer networks.
Развитие информационно-телекоммуникационных технологий приводит к тому, что все больше сфер человеческой деятельности напрямую оказываются связанными с глобальной информационной сетью Интернет. В ней работает множество сервисов, в том числе и наиболее популярные на сегодняшний день сервисы на основе протокола HTTP (www-сервисы). По данным рейтинговых исследований, к концу 2013 г. число пользователей, регулярно использующих сеть Интернет, составило около 2,4 млрд человек.
Параллельно с ростом популярности растет и число всевозможных угроз [1], связанных с информационной безопасностью и направленных на кражу или порчу личной информации пользователей, хранящейся на сервере. В связи с этим возникает необходимость в своевременном обнаружении и последующей ликвидации этих угроз. Одним из методов решения этой задачи является анализ журналов веб-сервиса на предмет подозрительных действий со стороны его пользователей и пресечение их. На основе такого анализа можно улучшить защиту интернет-сервиса, настроив соответствующие его компоненты или внешние модули (межсетевой экран, систему предотвращения вторжений), тем самым повысить степень информационной безопасности системы.
Протокол HTTP является протоколом прикладного уровня согласно модели OSI. Обмен сообщениями идёт по схеме «запрос-ответ». Для идентификации ресурсов в протоколе используются глобальные URL. В отличие от многих других протоколов, HTTP не сохраняет своего состояния. Это означает отсутствие сохранения промежуточного состояния между парами «запрос-ответ». Компоненты, использующие HTTP, могут самостоятельно осуществлять сохранение информации о состоянии, связанной с последними запросами и ответами. Браузер, посылающий запросы, может отслеживать задержки ответов. Сервер может хранить IP-адреса и заголовки запросов последних клиентов. Но сам протокол не предусматривает внутреннюю поддержку состояния, что делает сложным анализ обращений во времени средствами самого web-сервиса.
Основными программными элементами при взаимодействии по протоколу HTTP являются интернет-браузер на стороне клиента и веб-сервер на противоположной стороне. WWW-сервер принимает HTTP-запросы от клиентов и выдает им HTTP-ответы, как правило, вместе с HTML-страницей, изображением,
файлом, медиапотоком или другими данными. Наиболее распространенными www-серверами, по данным Netcraft [2], являются: Apache (48 %), Microsoft (31 %) и nginx (10 %).
В работе проводился анализ только по журналам Apache как самого популярного сервера. Был использован журнал доступа, содержащий каждый запрос, обработанный на веб-сервере. Данные в нем представлены в виде строки следующей структуры [3]: [1Р]_[дата, время]_[метод http запроса]_[адрес ресурса, к которому идёт обращение]_[версия мето-дов]_[коды состояния]_[информация о клиенте].
Журнал ошибок отслеживает важные события сервера, в том числе запуски, перезагрузки, предупреждения или ошибки, связанные с работой сервера, запрещенные или недействительные запросы. Каждое событие описывается строкой следующей структуры: [дата]_[уровень ошибки]_[адрес, с которого пришёл запрос, вызвавший ошибку]_[описание ошиб-ки]_[реферер].
Существует много как бесплатных, так и коммерческих продуктов, занимающихся анализом журналов веб-сервера. В подавляющем большинстве они обрабатывают только журнал доступа и предоставляют развернутый отчет по посетителям веб-ресурса. В процессе исследования были рассмотрены следующие средства: Analog, Apache Log Analyzer, Sawmill Enterprise, Web Spy Vantage Ultimate, WebLog Expert Lite. К сожалению, ни один из этих инструментов не даёт возможности анализа журнала файла ошибок и не предоставляет какой-либо информации по потенциальным угрозам.
На основе представленной в журналах информации был сделан вывод о возможности выявления следующих видов распространенных [4] угроз:
1. Обнаружение попыток несанкционированного доступа к содержимому путем вызова внутренних ссылок, например, административным интерфейсам. Характеризуется наличием нескольких записей в файле ошибок за короткое время, как правило, c одного адреса.
2. Обнаружение попыток нагрузочных атак на сайт (DOS). Характеризуется большим количеством запросов за короткое время с одного адреса.
3. Обнаружение распределенных атак на сайт (DDOS). Характеризуется большим количеством запросов с разных адресов.
Решетневские чтения. 2014
Количество попыток несанкционированного доступа
Были разработаны алгоритмы обработки данных журналов для обнаружения каждого вида угроз и реализующие их программные компоненты. Опытным путем произведена настройка параметров поиска. Был проведен анализ журналов сайта ИВМ СО РАН за несколько недель, который позволил выявить несколько похожих на атаки воздействий. На основе данных анализа были построены временные диаграммы событий (см. рисунок), выявлены потенциально опасные источники и адреса запросов.
Планируется разработка системы анализа журналов в реальном времени совместно с системами обнаружения попыток вторжений и мониторинга, действующих в корпоративной сети Красноярского научного центра [1]. Система может быть использована для предварительного анализа и подстройки систем безопасности на площадках контент-провайдеров.
Библиографические ссылки
1. Исаев С. В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. 2012. Вып. 3 (43). С. 20-25.
2. August 2014 Web Server Survey [Электронный ресурс]. Netcraft// web-server-survey. URL:
http://news.netcraft.com/archives/category/web-server-survey.
3. Barnett C. Preventing Web Attacks with Apache: technical manual. Cambridge: Addison Wesley Professional, 2006. 624 с.
4. Галатенко В. А. Основы информационной безопасности : учеб. пособие. М. : ИНТУИТ.ру, 2008. 207 с.
References
1. Isaev S. V. Analiz dinamiki internet-ugroz seti Krasnoyarskogo nauchnogo centra SO RAN. Vestnik SibGAU. 2012, № 3 (43), р. 20-25.
2. August 2014 Web Server Survey: Netcraft// webserver-survey. Available at: http://news.netcraft.com/ archives/category/web-server-survey/.
3. Barnett C. Preventing Web Attacks with Apache: technical manual. Cambridge: Addison Wesley Professional, 2006. 624 с.
4. Galatenko V. A. Osnovy informatsionnoi bezopasnosti: utchebnoe posobie. Moskva: internet-universitet informatsionnyh tehnologii INTUIT.ru, 2008. 207 с.
© №аев С. В., 2014
УДК 004.056
О МОДЕЛЬНО-АЛГОРИТМИЧЕСКОМ ОБЕСПЕЧЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ЗНАНИЯМИ ОБ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Д. В. Калачев
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-таП: kala4evdv@gmail.com
Рассматривается вопрос создания модельно-алгоритмического обеспечения системы поддержки принятия решения на основании управления знаниями об инцидентах информационной безопасности путем построения онтологии предметной области.
Ключевые слова: инцидент информационной безопасности, управление знаниями, онтология.
