СИСТЕМА ИНТЕЛЛЕКТУАЛЬНЫХ СЕРВИСОВ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ КРИТИЧЕСКИХ ИНФРАСТРУКТУР
Котенко Игорь Витальевич
д-р техн. наук, профессор, зав. лабораторией проблем компьютерной безопасности Санкт-Петербургского института информатики и автоматизации РАН (СПИИРАН), г. Санкт-Петербург
E-mail: [email protected]. ru Саенко Игорь Борисович д-р техн. наук, профессор, вед. науч. сотр. лаборатории проблем компьютерной безопасности Санкт-Петербургского института информатики и автоматизации РАН ( СПИИРАН), г. Санкт-Петербург
E-mail: [email protected]
THE SYSTEM OF INTELLIGENT INFORMATION SECURITY SERVICES
FOR CRITICAL INFRASTRUCTURES
Igor Kotenko
Ph.D., Professor, Head of Laboratory of Computer Security Problems, St. Petersburg Institute for Informatics and Automation of RAS (SPIIRAS), St. Petersburg
Igor Saenko
Ph.D., Professor, Leading research scientist of Laboratory of Computer Security Problems, St. Petersburg Institute for Informatics and Automation of RAS (SPIIRAS),
St. Petersburg
АННОТАЦИЯ
В статье приводится описание архитектуры системы интеллектуальных сервисов защиты информации (СИСЗИ), предлагаемой для использования в критических инфраструктурах. Рассматриваются структурная и функциональная модели СИСЗИ. На их основе выделяются и рассматриваются как основные функциональные механизмы СИСЗИ механизмы обработки данных, управления моделями, поддержки решений и реагирования, визуализации и хранения данных о событиях безопасности.
ABSTRACT
The paper describes the architecture of the System of Intelligent Information Security Services of (SIISS) for use in critical infrastructures. Structural and functional models of the SIISS architecture are described. On their basis the mechanisms of data processing, model management, decision support and reaction, visualization and storing security event data are marked and discussed as basic SIISS function mechanisms.
Ключевые слова: компьютерная сеть; защита информации; критически важная инфраструктура; архитектура системы.
Keywords: computer network; information security; critical infrastructure; system architecture.
Защита информации в компьютерных сетях, образующих критические инфраструктуры (КИ), к которым относятся системы связи и управления политических, государственно-административных, промышленно-
экономических, силовых, научно-технических, образовательных и прочих структур и организаций, должна базироваться на использовании интеллектуальных сервисов защиты. В этой связи система интеллектуальных сервисов защиты информации (СИСЗИ) является необходимым и достаточно перспективным средством защиты информации в критической инфраструктуре [7].
Так как выработка управленческих решений в СИСЗИ осуществляется путем обработки информации о событиях, происходящих в КИ, то в основу ее функционирования целесообразно положить технологию «управления информацией и событиями безопасности» (Security Information and Event Management System, SEIM) [6]. К информации о событиях безопасности относятся все данные об изменении состояния элементов защищаемой инфраструктуры, формируемые программным или аппаратным способом [8]. Несмотря на то, что отдельные механизмы SIEM систем изучены достаточно хорошо, остается актуальной задача формирования архитектуры СИСЗИ для КИ, функционирующей на основе технологии SIEM [5]. Ее решению и посвящена настоящая работа.
Архитектура СИСЗИ для КИ должна охватывать различные узлы и устройства с соединением граничных узлов и сетей через ведомственные сети и сети общего пользования. Следовательно, архитектура СИСЗИ должна иметь следующие уровни: данных, событий и прикладной уровень. На уровне данных
осуществляется сбор данных о событиях безопасности, их обобщение, нормализация и предварительная корреляция. Уровень событий отвечает за распространение информационных потоков событий безопасности между потребителями в реальном времени. Прикладной уровень осуществляет обработку событий безопасности, моделирование, поддержку решений и реагирование, визуализацию, хранение событий в репозитории.
В структурной модели архитектуры СИСЗИ следует выделять следующие три группы элементов: удаленные (граничные) сервисы и агенты, шину обмена данными и основные сервисы и агенты. Телекоммуникационная система, играющая роль шины обмена данными, соответствует модели WAN—of— LANs [9], являющейся наиболее приемлемой для КИ, так как в них объекты зачастую сильно разделены географически.
В функциональной модели архитектуры СИСЗИ выделяются следующие функциональные механизмы: обработки событий, управления моделями, поддержки решений и реагирования, визуализации и хранения данных.
Механизм обработки событий выполняет корреляцию релевантных событий, выделяемых их потоков информации, и помещает их в репозиторий. Обработка сложных событий является параллельной, что способствует объединению вычислительных мощностей для достижения требуемой производительности и регулированию количества выделенных ресурсов.
Механизм управления моделями выполняет моделирование поведения системы и вырабатывает модели угроз и предупреждения безопасности, которые возвращаются обратно в репозиторий. Этот механизм реализуется двумя модулями: прогностическим анализатором безопасности (ПАБ) и компонентом моделирования атак и поведения системы защиты (КМАПСЗ). ПАБ обеспечивает расширенные возможности мониторинга безопасности. В частности, он поддерживает моделирование поведения КИ в ближайшей перспективе и предсказывает возможные нарушения безопасности. ПАБ поддерживает выявление требований безопасности, спецификацию имитационной модели и развитие правил мониторинга.
Компонент КМАПСЗ обеспечивает дополнительные аналитические возможности СИСЗИ за счет реализации функций моделирования атак и анализа защищенности. КМАПСЗ работает в двух режимах: проектирования (не является режимом реального времени) и эксплуатации (реальный масштаб времени или близкий к нему). Его входными данными являются: конфигурация компьютерной сети; политики безопасности; формируемые предупреждения; внешние базы данных уязвимостей; профили нарушителей; требуемые значения метрик безопасности. Результаты его работы лежат в большом диапазоне — от обнаруженных уязвимостей до вырабатываемых решений [1, 2].
Механизм поддержки решений и реагирования (КПРР) реализует инструментарий администратора, основанный на модели организации OrBAC. Он анализирует входящие события, модели угроз и предупреждения безопасности и вырабатывает реакцию и контрмеры, приводящие к модификации политик безопасности.
Функция визуализации является достаточно важной для СИСЗИ в КВИ. Для ее реализации предлагается использовать модуль визуализации, который включает три слоя: интерфейс пользователя; слой управляющих сервисов; слой графических элементов.
Репозиторий обеспечивает хранение данных о событиях безопасности и непосредственное взаимодействие прикладных модулей. Его архитектура предлагается на принципах «сервисно-ориентированной архитектуры» и на основе онтологического подхода, что обеспечивает применение логического вывода для поддержки процесса принятия решений [6].
Рассмотренная в настоящей статье архитектура СИСЗИ была успешно апробирована для сервисных КИ в проекте MASSIF Европейского Союза, посвященном построению систем управления информацией и событиями безопасности нового поколения [7].
Работа выполняется при финансовой поддержке РФФИ, программы фундаментальных исследований ОНИТ РАН, Министерства образования и
науки Российской Федерации (государственный контракт 11.519.11.4008), при
частичной финансовой поддержке, осуществляемой в рамках проектов
Евросоюза SecFutur и MASSIF, а также в рамках других проектов.
Список литературы:
1. Котенко И.В., Коновалов А.М., Шоров А.В. Моделирование бот-сетей и механизмов защиты от них // Системы высокой доступности. — 2011. — № 2. — С. 107—111.
2. Котенко И.В., Степашкин М.В., Дойникова Е.В. Анализ защищенности автоматизированных систем с учетом социо-инженерных атак // Проблемы информационной безопасности. Компьютерные системы. — 2011. — № 3. — С. 40—57.
3. Котенко И.В., Саенко И.Б. Построение системы интеллектуальных сервисов для защиты информации в условиях кибернетического противоборства // Труды СПИИРАН. — 2012. — Вып. 3(22). — С. 84— 100.
4. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИИРАН. —2012. — Вып.1 (20). — C. 27—56.
5. Котенко И.В., Саенко И.Б., Полубелова О.В., Чечулин А.А. Технологии управления информацией и событиями безопасности для защиты компьютерных сетей // Проблемы информационной безопасности. Компьютерные системы. — 2012. — № 2. — C. 57—68.
6. Полубелова О.В., Котенко И. В., Саенко И.Б., Чечулин А.А. Применение онтологий и логического вывода для управления информацией и событиями безопасности // Системы высокой доступности, № 2, т. 8, 2012. С.100—108.
7. MASSIF FP7 Project [Electronic resource]. — Access mode: http://www.massif-project.eu (request date: 21.01.2013).
8. Miller D.R., Harris Sh., Harper A.A., VanDyke S., Black Ch. Security Information and Event Management (SIEM) Implementation. McGraw-Hill Companies. 2011. — 430 p.
9. Verissimo P., Neves N., Correia M. The middleware architecture of MAFTIA: A blueprint // Proceedings of the IEEE Third Survivability Workshop, October 2000. — P. 157—161.