CC BY
41
Е.А. Нетребенко, А.К. Шилов
Россия, г. Таганрог, ТРТУ
ПРОГРАММНОЕ СРЕДСТВО ДЛЯ АНАЛИЗА РИСКОВ RISK WATCH
В настоящее время применяются различные технологии анализа рисков безопасности предприятий. Они отличаются различными концепциями и постановками задач анализа рисков. Отличаются и практические реализации методик, которые соответствуют этими концепциями. И, наконец, используется различное специализированное программное обеспечение для анализа рисков. При проведении анализа часто используются некоторые традиционные принятые в международной практике схемы. Одним из основных стандартов определяющих базовый уровень информационной безопасности предприятия, является ISO 17799.
Доклад посвящен результатам опытного использования программного продукта компании Risk Wateh, специально разработанного для этих целей. Программа является автоматизированным средством для идентификации и оценки защищаемых ресурсов, угроз, уязвимостей и мер защиты как информационной, так и физической безопасности предприятия. При соответствующей квалификации пользователей программа может помочь провести упрощенный анализ рисков и на его основе выбрать контрмеры и механизмы защиты. Заложенная в программе методика содержит четыре основные фазы. Первая фаза - «определение» - с помощью имеющихся шаблонов описываются параметры предприятия. Вторая фаза -«данные» - вводятся конкретные характеристики защищаемой системы. Третья фаза - «оценка» - устанавливаются связи между ресурсами, потерями, угрозами и уязвимостями, рассчитываются математические ожидания потерь за год, расчет повторяется для условия внедрения средств защиты, оценивается эффект от таких мероприятий. Четвертая фаза - «отчеты» - генерация отчетов различного типа. RiskWatch использует сравнительно несложную модель описания информационной системы и оценки рисков. Не учитываются организационные и административные факторы. Учитывается только программно-технический уровень защиты. Также принимаются во внимание только финансовые аспекты.
В докладе приводятся результаты работы с программой для предприятий различного типа и даются предложения по использованию ее в учебном процессе.
А.Ю. Половников
Россия, г. Юбилейный, Московской области, 4 ЦНИИ МО РФ
ПРЕДЛОЖЕНИЯ ПО ОРГАНИЗАЦИИ КОНТРОЛЯ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ ОТ СПЕЦИАЛЬНЫХ ПРОГРАММНО-МАТЕМАТИЧЕСКИХ ВОЗДЕЙСТВИЙ
Анализ структур многих информационно -телекоммуникационных систем (ИТКС) решающих свои специфичные задачи, показывает, что как правило их структуры имеют общие принципы. В общем случае, с точки зрения сбора данных о их функционировании включают четыре уровня контроля функционирования ИТКС, представленные на рис.1.
- уровень специального программного обеспечения (СПО) прикладной, отвечающий за взаимодействие с пользователем. Примером элементов ИТКС, работающих на этом уровне, можно назвать средства реализации протокола взаимодействия комплексов баллистических задач с сервером сбора измерений или средства взаимодействия сервера приложений с клиентами;
Секция
Комплексная защита объектов сложных систем
- уровень системы управления базами данных (СУБД), отвечающий за хранение и сортировку данных ИТКС. Примером элементов ИТКС, работающих на этом уровне, можно назвать СУБД Линтер, Oracle, MS SQL Server;
- уровень операционной системы (ОС), отвечающий за обеспечение функционирования СУБД и специального программного обеспечения. Примером элементов ИТКС, работающих на этом уровне, можно назвать ОС МС ВС, ОС Microsoft Windows NT, Linux;
- уровень сети, отвечающий за взаимодействие узлов ИТКС. Примером элементов ИТКС, работающих на этом уровне, можно назвать межсетевые экраны, маршрутизаторы, коммутаторы, модемы, стеки протоколов TCP/IP, IPX/SPX и SMB/NetBIOS в составе ОС.
Злоумышленник, реализующий специальное программно-математическое воздействие (СПМВ), имеет много возможностей по нарушению функционирования ИТКС и доступу к защищаемой информации, которые могут быть осуществлены на всех четырех вышеназванных уровнях ИТКС. Например, для получения несанкционированного доступа к измерительной информации в СУБД Oracle сервера сбора измерений противник может попытаться реализовать одну из следующих возможностей:
Получить информацию при помощи комплекса специальных задач, являющегося клиентом сервера сбора информации (прикладной уровень специального ПО).
Прочитать нужные данные средствами самой СУБД Oracle (уровень СУБД).
Прочитать файлы базы данных, обращаясь непосредственно к файловой системе (уровень ОС).
Перехватить и расшифровать передаваемые по сети данные (уровень сети).
Таким образом для полноты данных о функционировании ИТКС в условиях ИП необходимо в комплексе контролировать все уровни ИТКС: специальный, СУБД, ОС, сеть.
Сбор данных, контролируемых в ИТКС на уровне сети должен осуществляться от следующих устройств и программных средств: цифровой каналообразующей аппаратуры; модемов оптических, спутниковых и проводных каналов связи; коммутаторов ЛВС; маршрутизаторов; межсетевых экранов; рroxy-серверов; программных модулей, реализующих протоколы в составе ОС. На уровне ОС в ИТКС, функционирующей в условиях информационного противоборства необходимо собирать следующую информацию:
Загрузка центрального процессора. Текущее состояние CPU сравнивается с заданными администратором пороговыми величинами, соответствующими состояниям «предкритическое» и «критическое».
с г
Специальный уровень Специальный
уровень
уровень СУБД - уровень СУБД
уровень ОС - уровень ОС
Коммуникационное
Уровень сети оборудование Уровень сети
к. 1 )
Рис. 1. Уровни контроля функционирования ИТКС Загрузка оперативной памяти и пространства подкачки.
Состояние файловых систем. На основании заданных пороговых величин осуществляется мониторинг процента заполнения каждой файловой системы.
Информация о файлах. Фиксируется изменение даты файла, изменение его
размера.
Информация о процессах. Датчики осуществляют сбор информации обо всех системных процессах и, в случае непредусмотренной остановки или запуска какого-либо важного процесса, информируют об этом. Данные Log-файлов на предмет обнаружения конкретных сообщений. Информация об изменениях в реестре. Для компьютеров, работающих под управлением ОС Windows 95/98 и Windows NT должен осуществлятся мониторинг изменений в системном реестре.
Сбор данных, контролируемых в ИТКС на уровне ОС должен осуществляться от следующих устройств и программных средств: сменных носителей информации (FDD, ZIP); портов COM, LPT и USB шины; системных сетевых библиотек ОС; системных библиотек файловой системы; системных библиотек менеджера памяти; системных библиотек разграничения доступа.
На уровне СУБД в ИТКС необходимо осуществлять сбор следующих данных:
Обобщенная информация о состоянии СУБД. Сюда входят данные о состоянии и количестве табличных разделов и конфигурационных файлов, статусе экземпляра БД.
Различные числовые конфигурационные параметры.
Подробная информация о состоянии табличных разделов (процент использованности и степень фрагментации).
Данные об активно используемых конфигурационных файлах, т.е. численный показатель интенсивности их ввода/вывода.
Данные о количестве пользователей и сеансов.
Действия администратора по изменению конфигурации СУБД.
Действия оператора по просмотру информации.
Имена файлов и таблиц БД, открываемых оператором.
Идентификаторы удаленных пользователей, подключающихся к СУБД.
Действия локальных и удаленных пользователей по просмотру и изменению информации в БД.
Основным источником информации о состоянии СУБД является системная таблица администратора, фиксирующая основные события в СУБД. При создании ИТКС, функционирующих в условиях воздействия СПМВ, в составе СПО каждого АРМ должен быть разработан модуль мониторинга. Модуль мониторинга предназначен для выдачи информации администратору, которая должна включать: идентификатор активного оператора АРМ; действия оператора по изменению конфигурации СПО; действия оператора по просмотру информации; функциональное назначение осуществляемых в настоящее время действий СПО; функциональное назначение файлов и таблиц БД, открываемых оператором; идентификаторы удаленных пользователей, подключающихся к СПО; действия удаленных пользователей по просмотру и изменению информации. Таким образом, комплексный контроль функционирования ИТКС на уровне СПО, ОС, СУБД и сети позволит своевременно обнаружить и нейтрализовать СПМВ злоумышленника.
Л.Г. Осовецкий, А.В. Птицын.
Россия, г. Санкт-Петербург, ООО «Рубеж-92»
ПРОБЛЕМЫ ПОСТРОЕНИЯ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
При планировании и организации работ по созданию комплексной системы защиты информации от несанкционированного доступа в телекоммуникационной
