(Решетневскце чтения
A. S. Prosochkin
«Voskhod» the brunch of Moscow Aviation Institute (The National Research University), Kazachstan, Baikonur
SPLINE-FUNCTIONS METODS IN SIGNAL FILTER PROBLEMS
It is examined the filter properties of spline, given in weighed sum of basic functions. Weighting coefficient of separate basic function is calculated as weighed sum of indications products of outcome signal to corresponding value of basic function. It is given formulae which define amplitude spline spectrum. The method of calculation the basic function value.
© npocoHKHH A. C., 2011
УДК 004.056
А. П. Стефаров
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск
СОВРЕМЕННЫЕ АСПЕКТЫ АНАЛИЗА ИНЦИДЕНТОВ В СИСТЕМАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассматриваются различные методы анализа инцидентов информационной безопасности и требования к ним в свете уменьшения числа ложных срабатываний и повышения достоверности обнаружения инцидентов информационной безопасности.
Обнаружение и анализ инцидентов информационной безопасности играет важную роль в реализации политики безопасности организации. Вместе с развитием информационных систем должны развиваться и поддерживать свою эффективность системы безопасности. Использование распределенных систем привело к появлению большого числа уязвимых мест, требуются безопасные условия для информационного обмена в телекоммуникационной среде.
Анализ инцидентов информационной безопасности выполняет две важные функции в защите информационных ресурсов. Во-первых, он является обратной связью, позволяющей уведомить сотрудников информационной безопасности об эффективности компонент системы безопасности. Отсутствие обнаруженных инцидентов информационной безопасности при наличии эффективной системы защиты является свидетельством того, что система информационной безопасности организации надежна. Во-вторых, он является индикатором, приводящим в действие запланированные ответные меры безопасности.
К обнаружению и анализу инцидентов информационной безопасности предъявляют следующие требования [1]:
- должны быть определены подвергаемые протоколированию события, уровень протоколирования, перечень регистрационных данных о событии; также следует ассоциировать потенциально регистрируемые события с идентификаторами пользователей системы;
- должны быть определены атрибуты, на основании которых производится выбор протоколируемых событий безопасности;
- должен быть определен порядок хранения и защиты регистрируемой информации;
- должны быть регламентированы требования к механизмам обнаружения инцидентов информационной безопасности;
- должны быть определены требования к применяемым методам обнаружения инцидентов информационной безопасности.
На основании политики безопасности должны быть определены требования к применяемым методам обнаружения инцидентов информационной безопасности, все механизмы обнаружения должны быть согласованы друг с другом, а локальные инструкции -изменяться для повышения достоверности работы системы информационной безопасности организации. Например, если сигналы тревоги от сервера поступают группе технической поддержки клиент-серверных приложений, а сигналы тревоги межсетевого экрана -группе сетевых администраторов, атака может быть недооценена или вообще проигнорирована.
Из вышеизложенного следует, что анализ инцидентов информационной безопасности должен позволять адекватно и оперативно реагировать на атаки, повышать производительность системы информационной безопасности, при этом число ложных срабатываний должно быть незначительным.
Методы и средства защиты информации
Таким образом, необходимо контролировать настройки активного сетевого оборудования, систем журналирования событий, четко классифицировать нарушителя в соответствии с его действиями и настраивать механизмы обнаружения инцидентов информационной безопасности [2-4].
Специалист по информационной безопасности оценивает инциденты информационной безопасности в соответствии со структурой сети, классификацией ценности информации, циркулирующей в системе.
Анализ инцидентов информационной безопасности можно разделить на грубый и тонкий [5].
Под грубым анализом инцидентов информационной безопасности понимается анализ с применением сигнатурного метода. В этом случае события информационной безопасности однозначно классифицируются как атака.
Тонкий анализ подразумевает отнесение регистрируемого события к атаке в соответствии с политикой информационной безопасности, структурой сети, статистическим анализом работы пользователей, групповой политикой пользователей.
Каждый пользователь автоматизированной системы в соответствии с групповой политикой пользователей относится к той или иной группе. Принадлежность к группе дает ему права и возможности для выполнения различных задач. Регистрируемые события должны быть ассоциированы с определенной группой пользователей, что позволит выявить общие легитимные действия последних.
В случае выявления аномальных действий пользователя это событие регистрируется, после чего принимается решение об отнесении его к признакам атаки. В этом случае информация о событии добавляется к известным сигнатурам атак и тиражируется между сетевыми и хостовыми агентами, распределенными в автоматизированной системе.
Применение данного подхода позволит повысить надежность системы реагирования на инциденты информационной безопасности за счет децентрализованной схемы управления и адаптировать систему реагирования на инциденты информационной безопасности путем ассоциации регистрируемых событий с определенной группой пользователей. Кроме того, обеспечивается самообучение системы реагирования на инциденты информационной безопасности при тиражировании сигнатур атак и быстрое развертывание сети агентов при изменении архитектуры сети организации.
Библиографические ссылки
1. Scarfone K., Grance T., Masone K. Computer Security Incident Handling Guide. Recommendation of the National Institute of Standards and Technology // National Institute of Standards and Technology. Gaithersburg (USA), 2008.
2. Стефаров А. П., Жукова М. Н. Применение теории игр при оценке систем защиты информации // Решетневские чтения : материалы XI Междунар. науч. конф. Красноярск, 2007. С. 74-75.
3. Стефаров А. П., Жукова М. Н. Оценка системы защиты информации на основе теоретико-игровых моделей // Актуал. пробл. авиации и космонавтики : материалы IV Всерос. конф. творческой молодежи. Красноярск, 2008. С. 52-55.
4. Стефаров А. П., Жукова М. Н., Шкроб Н. В. Социальный агент как элемент системы защиты информации / Решетневские чтения : материалы XI Междунар. науч. конф. Красноярск, 2008. С. 67-69.
5. Загоруйко Н. Г. Прикладные методы анализа данных и знаний. Новосибирск: Изд-во Ин-та математики, 1999.
A. P. Stefarov
Siberian State Aerospace University named after academician M. F. Reshetnev, Russia, Krasnoyarsk
MODERN ASPECTS OF INCIDENTS' ANALYSIS IN INFORMATION SECURITY SYSTEMS
In this article we propose to consider process of information security incidents' analysis. Various methods of analysis have advantages and disadvantages. In that case scrutiny of data analysis in order to reduce the number of false positives and improve the reliability of information security incidents' detection become an urgent problem.
© Crei^apoB A. n., 2011