Модели угроз безопасности систем и способы их реализации, определение критериев уязвимости и устойчивости систем к деструктивным воздейс

Все попадающие в "Дозор-Джет" почтовые сообщения  проходят процедуру разбора на составляющие компоненты. При этом происходит разбор как заголовков сообщения (отправитель, получатель, скрытая копия, тело сообщения и пр.), так и всей его структуры, вне зависимости от количества уровней вложенности. Это позволяет анализировать сообщения, содержащие прикрепленные файлы, а также сообщения, которые были несколько раз перенаправлены корреспондентами.

Анализ разобранных  сообщений включает:

1. Определение характеристик сообщения — отправитель, получатель, дата, размер, структура;
2. Определение характеристик вложений — имя, размер, тип, количество;
3. Распознавание форматов вложений — сжатия/архивирования, документов, исполнимых файлов, графических, аудио- и видео файлов;
4. Анализ текста в заголовках сообщения, теме, теле письма и вложенных файлах.

При обнаружении  соответствия почтовых сообщений заданным в правилах фильтрации критериям, система осуществляет одно или несколько из заранее предписанных действий: 

1. Отправка  сообщения получателю;
2. Отказ в передаче (блокировка сообщения);
3. Задержка сообщения для последующего анализа;
4. Помещение в карантинную зону;
5. Регистрация сообщения;
6. Архивирование сообщения;
7. Проставление пометок;
8. Отправка уведомления (оповещение администратора системы и др.).

При этом обязательно  осуществляется протоколирование всех производимых действий.

Рассмотрим еще  несколько программных средств  мониторинга.

Intruder Alert

Это программный  продукт, предназначенный для выявления  несанкционированных действий и  противодействия им. Продукт в  постоянном режиме ведет наблюдение за всей сетью и выявляет подозрительные действия в условиях многоплатформенных сетей. Intruder Alert позволяет обеспечить безопасность предприятия, запуская специальные процедуры на тех системах, где установлены агенты. В случае обнаружения атаки Intruder Alert может запустить до 14 различных способов противодействия. В состав Intruder Alert входят следующие архитектурные компоненты: ITA Admin, ITA View, менеджер и агенты.  

SunShield BSM (Basic security module)

Это базовый  модуль сервисов безопасности, встроенный в серверные системы на ОС Solaris. Модуль, встроенный в ядро операционной системы, собирает информацию по десяткам тысяч событий, происходящих в системе. Для удобства обработки события структурированы по 20 различным классам. Собранная информация может анализироваться локально, может передаваться на выделенный сервер безопасности либо обрабатываться средствами автоматического реагирования на попытки НСД (Intruder Alert, CyberCop Server).  

NFR - Network Flight Recorder

Network Flight Recorder (NFR) представляет собой программное  средство автоматического выявления  несанкционированных действий и  реагирования на них.

Позволяет создавать  собственные фильтры для распознавания  атак, строить свои сценарии реакций  на попытки НСД и писать программы  для различной статистической обработки  событий.

NFR анализирует  состояние сетевого трафика и  статистическую информацию, позволяя  администратору сети оценить степень загруженности сети, оперативно просматривать данные об использовании системных ресурсов и возникновении неисправностей в работе сети, нештатной (подозрительной) активности и о попытках несанкционированного доступа в систему. NFR характеризуется обширной базой данных известных сетевых атак; настраиваемыми сценариями реакций на события; возможностью выбора способов уведомления администратора о событиях; мощными средствами создания отчетов.

NFR работает под  управлением различных UNIX-ориентированных  ОС. Поставляется с исходными текстами.

 

2. 4. Разработка методологии  и методического  аппарата оценки  ущерба от воздействия  угроз информационной  безопасности

 

Виды возможного ущерба от нарушения безопасности информации определяются следующими факторами /5/:

1. основными  функциями и задачами объектов  информатики (ОИ);

2. организацией  информационного обмена на ОИ;

3. видом и  содержанием информации, подвергшейся  воздействию угроз;

4. видом источника  угроз безопасности информации (БИ) и видом нарушения БИ.

На основе анализа  указанных выше факторов проведена  классификация возможных видов  ущерба от нарушения безопасности информации на типовых ОИ. По виду нарушения  безопасности информации можно выделить следующие виды ущерба на типовых ОИ:

1. ущерб от  нарушения конфиденциальности информации;

2. ущерб от  нарушения ценности информации;

3. ущерб от  нарушения доступности информации.

По характеру  проявления ущерб можно разделить  на прямой и косвенный. Прямой ущерб  связан с воздействием угроз БИ непосредственно  на информацию и ее носители и проявляется как необходимость затрат людских и материальных ресурсов на восстановление информации и/или ее носителей.

Косвенный ущерб  связан с последствиями нарушения  безопасности информации на типовых  ОИ для субъектов информационных отношений (потребителей информации), в качестве которых могут выступать:

1. государство;

2. организации,  предприятия (в т.ч. негосударственные);

3. граждане страны.

В этом случае ущерб  проявляется как людские, моральные  или материальные потери в различных сферах деятельности субъектов информационных отношений (в политической, экономической, военной, научно-технической, социальной сферах). По величине потерь (масштаба ущерба) ущерб может быть классифицирован как очень значительный, значительный, средний, незначительный и очень незначительный.

 Для более  детального определения вида  и величины ущерба необходимо  разработать (или использовать  существующие) модели ситуаций, приводящие  к возникновению ущерба в результате нарушения безопасности информации в различных подсистемах и звеньях типовых ОИ.

Для определения  показателей ущерба от нарушения  безопасности информации необходимо проанализировать механизм возникновения ущерба от различных  угроз БИ на типовых ОИ. Ущерб  от нарушения БИ на типовом ОИ является следствием следующих событий:

1. воздействия  угроз БИ на технические средства  обработки информации;

2. воздействия  угроз БИ посредством физических  полей, создаваемых основными  и вспомогательными техническими средствами обработки информации и людьми - носителями информации; воздействия угроз БИ на людей - носителей информации или имеющих доступ к информации в процессе ее обработки.

Для установления причинно-следственных связей описывающих  процесс возникновения ущерба субъектам  информационных отношений (ИО) в результате нарушения безопасности информации рассмотрим более подробно последствия  воздействия угроз БИ на элементы объекта информатики.

Воздействие угроз  на аппаратные средства ОИ приводит к  ухудшению качества их функционирования, которое может проявляться как ухудшение их тактико-технических характеристик (временных, точностных, энергетических, частотных, и др. в зависимости от типа средства).

Учитывая, что  аппаратные средства являются материальной основой процесса обработки информации на ОИ, ухудшение их ТТХ автоматически  ведет к снижению эффективности  процесса обработки информации, и  далее, через снижение эффективности  решаемых объектом информатики частных функциональных задач, к снижению эффективности функционирования объекта информатики в целом. В свою очередь, это приводит к потерям, издержкам, которые несут субъекты ИО, вид и масштаб которых определяется следующими факторами:

1. содержанием  информации, обрабатываемой на ОИ;

2. областью применения (использования) результатов обработки  информации (выходной информации);

3. степенью и  видом нарушения БИ;

4. видом источника  угроз БИ и целью его деятельности.

 Аналогичные  последствия возникают при воздействии  угроз БИ на программные средства, используемые в процессе обработки  информации на ОИ, а также при  воздействии угроз БИ на физические  поля - носители информации и на  людей - носителей информации  и/или участвующих в процессе  обработки информации (персонал  ОИ, пользователи ОИ, источники информации).

 Такой подход  позволяет сформировать иерархию  видов ущерба от угроз БИ  и соответствующих им показателей ущерба. В качестве интегрального показателя для оценки ущерба выбран показатель "стоимость потерь в результате нарушения БИ", который в свою очередь распадается на несколько показателей более низкого уровня, зависящих от вида нарушения БИ (нарушение целостности, доступности и/или конфиденциальности информации), а также от вида потерь, среди которых можно выделить:

1. затраты на  восстановление аппаратных,  программных средств и качества информации;

2. потери в  результате снижения эффективности  функционирования объекта информатики.

 Более конкретное содержание показателей ущерба на этом уровне зависит от конкретных условий, т.е. от того, какие показатели выбраны для оценки эффективности функционирования ОИ. Например, для автоматизированных систем управления, в зависимости от их назначения, в качестве показателя эффективности может быть использован один из следующих:

1. среднее время  цикла управления;

2. среднее время  обработки информации;

3. среднее время  выполнения совокупности расчетов;

4. среднее время  доведения информации до потребителя  и др.

 Соответственно, в качестве показателей ущерба  в этом случае могут быть  использованы:

1. относительное  или абсолютное увеличение среднего  времени обработки информации  или соответствующая этому событию  стоимость потерь для субъектов  ИО и т.д.

 В свою  очередь, каждый из этих показателей  есть функция от показателей  более низкого иерархического  уровня:

1. от показателей  эффективности решаемых объектом  частных функциональных задач;

2. от показателей  эффективности процесса обработки  информации;

3. от показателей  качества исходной и обрабатываемой  на объекте информации;

4. от показателей  качества функционирования аппаратных  и программных средств.

 Каждый из  перечисленных показателей также  может быть представлен системой  показателей еще более низкого уровня. Например, для аппаратных средств в качестве таких показателей могут служить тактико-технические характеристики, вид и допустимые пределы изменения которых указываются в формуляре на эти средства.

В настоящее  время разработаны ряд методических подходов к расчету показателей  ущерба от нарушения БИ. Общие выводы, которые могут быть сделаны по результатам анализа этих подходов, состоят в следующем.

 В настоящее  время не разработаны методики, в полной мере учитывающие  влияние угроз БИ на качество  функционирования аппаратных и  программных средств обработки  информации и на качество самой обрабатываемой на ОИ информации.

 Кроме того, не существует методик, позволяющих  оценивать конечный результат  воздействия угроз БИ, т.е. получить оценку ущерба субъектам ИО в результате нарушения БИ. Это связано с недостаточной изученностью самого механизма возникновения ущерба, отсутствием моделей ОИ, процессов обработки информации в них, позволяющих оценить влияние угроз не только на эффективность процесса обработки информации, но и далее на эффективность решения объектом частных функциональных задач, а также на качество и эффективность функционирования объекта в целом.