Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей

МАГИСТЕРСКАЯАТТЕСТАЦИОННАЯ РАБОТА
«Исследование уровня защиты иэффективности применения средств защиты корпоративных сетей»

Реферат
Магистерская работа содержит 101 страницу, 12рисунков, 3 таблицы, 43 источника и 2 приложения.
Магистерская работа посвящена анализу уровня защищенностисовременных корпоративных сетей. Разработана методика, позволяющая получитьколичественную оценку уровня защищенности системы. Методика основана на анализерисков информационной системы. С помощью методики можно выбирать наиболее эффективнуюсистему защиты по обеспечиваемому уровню защищенности. Приведен примериспользования разработанной методики и ее пошаговое описание.
Ключевые слова: уровеньзащищенности, риск, угроза, эффективность.
РЕФЕРАТ
Магістерська робота містить 101 сторінку, 12малюнків, 3 таблиці, 43 джерела і 2 додатки.
Магістерська робота присвячена аналізу рівня захищеностісучасних корпоративних мереж. Розроблена методика, яка дозволяє отриматикількісну оцінку рівня захищеності системи. Методика базується на аналізіризиків інформаційної системи. За допомогою методики стає можливим обиратинайефективнішу систему захисту за отриманім рівнем захисту. Наведений прикладвикористання розробленої методики та її пошаговий опис.
Ключові слова: рівеньзахищеності, ризик, погроза, ефективність.

ABSTRACT
Master’s degree work consists of 101 pages, 12pic., 3 tabl., 43 ref. and 2 appendix.
Master’s degree work dedicated to analysis of moderncorporate network security level. It is developed the method which allowsgetting quantitative valuation of the security level of corporate network. Themethod is based on risk analysis of IT system. The method allows choosing themost effective defense system for the obtained security level. There is anexample of using of this method and its step-by-step description.
Key words: securitylevel, risk, threat, effectiveness.

Содержание
Переченьусловных обозначений
ВВЕДЕНИЕ1. Описание информационной технологии1.1 Описаниекорпоративной сети
1.2. Модель угроз
1.2.1 Базовые виды угроз информации
1.2.2 Угрозы нарушения конфиденциальности
1.2.3 Угрозы нарушения целостности
1.2.4 Угрозы нарушения доступности
1.2.5 Угрозы нарушенияаутентичности
1.2.6 Угрозы нарушениянаблюдаемости
1.3 Модель нарушителя
1.4 Постановка задачи пооценке защищенности
2 ОПИСАНИЕ СРЕДСТВ ЗАЩИТЫ КИС
2.1 Межсетевые экраны
2.1.1 Технология экранирования сети
2.1.2 Компоненты МЭ
2.1.3 Фильтрующиемаршрутизаторы
2.1.4 Шлюзы сетевогоуровня
2.1.5 Прокси-сервера
2.2 Системы IDS
2.3 Антивирусная защита
2.3.1 Актуальность проблемы вируснойзащиты
2.3.2 Виды вирусных угроз
2.3.3 Виды антивирусной защиты
2.3.4 Требования к антивируснойзащите КИС
2.4 VPN решения
2.4.1 Варианты реализации VPN
2.4.2 Протоколы VPN
2.4.3 Виды реализации VPN-устройств
2.5 Сервер обновлений ПО
3Методика оценка эффективности средств защиты
3.1Проблема выбораэффективного решения
3.2 Критерии оценивания системы СЗИ
3.3 Оценка защищенностипри помощи рисков
3.4 Задание входныхпараметров системы для методики
3.4.1 Способы заданияинтенсивностей и вероятностей угроз
3.4.2 Способы заданиястоимости информационных ресурсов
3.5 Метод уступок привыборе оптимального варианта защиты
3.6 Описаниепошаговой методики
4. Применение методики определения уровня защищенности иобоснования эффективности средстВ защиты КИС
4.1 Описание защищаемой корпоративнойсистемы
4.2Определение списка угроз для КИС
4.3 Оценка стоимости информационныхресурсов
4.4 Оценка уровнязащищенности КИС и обоснование эффективности выбранных средств защиты
ВЫВОДЫ
ПЕРЕЧЕНЬ ССЫЛОК
Приложение А. Методы оценки субъективной вероятности93
Приложение Б. Копии научных трудов по результатамисследований98

ПЕРЕЧЕНЬУСЛОВНЫХ ОБОЗНАЧЕНИЙ
DDoS (distributed denial of servise) – распределенный отказ в обслуживании.
DoS (denial of servise) – отказ в обслуживании.
IDS (intrusion detection system) – система обнаружения вторжений.
IETF (The Internet Engineering Task Force) – рабочая группа по проблемным
вопросам Интернет.
FTP (file transfer protocol) – протокол передачи файлов.
URL (uniform resource locator) – унифицированный указатель ресурса.
VPN (virtual private network) – виртуальная частная сеть.
ИБ – информационная безопасность.
КС – компьютерная система.
ЛПР – лицо принимающее решение.
МЭ – межсетевой экран.
ПО – программное обеспечение.
СЗИ – система защиты информации.
ЦП – цифровая подпись.

ВВЕДЕНИЕ
В настоящее время организация режима информационнойбезопасности становится критически важным стратегическим фактором развитиялюбой отечественной компании. При этом, как правило, основное вниманиеуделяется требованиям и рекомендациям соответствующей нормативно-методическойбазы в области защиты информации. Вместе с тем многие ведущие отечественныекомпании сегодня используют некоторые дополнительные инициативы, направленныена обеспечение устойчивости и стабильности функционирования корпоративныхинформационных систем для поддержания непрерывности бизнеса в целом.
Сейчас все чаще в информационных источниках встречаетсяпонятие системного подхода при построении СЗИ. Понятие системности заключаетсяне просто в создании соответствующих механизмов защиты, а представляет собойрегулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этомвсе средства, методы и мероприятия, используемые для защиты информации,объединяются в единый, целостный механизм — систему защиты. К сожалению,необходимость системного подхода к вопросам обеспечения безопасностиинформационных технологий пока еще не находит должного понимания упользователей современных ИС.
Сегодня специалисты из самых разных областей знаний, так илииначе, вынуждены заниматься вопросами обеспечения информационной безопасности.Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе информационныхтехнологий, куда перекочуют все социальные проблемы человечества, в том числе ивопросы безопасности.
Каждый из указанных специалистов по-своему решает задачуобеспечения информационной безопасности и применяет свои способы и методы длядостижения заданных целей. Самое интересное, что при этом каждый из них в своемконкретном случае находит свои совершенно правильные решения. Однако, какпоказывает практика, совокупность таких правильных решений не дает в суммеположительного результата — система безопасности в общем и целом работаетнеэффективно.
Если собрать всех специалистов вместе, то при наличии укаждого из них огромного опыта и знаний, создать систему информационнойбезопасности зачастую так и не удается. Разговаривая об одних и тех же вещах,специалисты зачастую не понимают друг друга, поскольку у каждого из них свойподход, своя модель представления системы защиты информации. Такое положениедел обусловлено отсутствием системного подхода, который определил бы взаимныесвязи (отношения) между существующими понятиями, определениями, принципами,способами и механизмами защиты.
Таким образом, многообразие вариантов построенияинформационных систем порождает необходимость создания различных систем защиты,учитывающих индивидуальные особенности каждой из них. В то же время, большойобъем имеющихся публикаций вряд ли может сформировать четкое представление отом как же приступить к созданию системы защиты информации для конкретнойинформационной системы, с учетом присущих ей особенностей и условийфункционирования. Возникает вопрос: можно ли сформировать такой подход ксозданию систем защиты информации, который объединил бы в нечто единое целоеусилия, знания и опыт различных специалистов? При этом желательно что быуказанный подход был универсальным, простым, понятным и позволял бы водинаковой степени удовлетворить любые требования информационной безопасности.
Практическая задача обеспечения информационной безопасностисостоит в разработке модели представления системы (процессов) ИБ, которая на основенаучно-методического аппарата, позволяла бы решать задачи создания,использования и оценки эффективности СЗИ для проектируемых и существующихуникальных ИС. Основной задачей модели является научное обеспечение процессасоздания системы информационной безопасности за счет правильной оценкиэффективности принимаемых решений и выбора рационального варианта техническойреализации системы защиты информации.
Специфическими особенностями решения задачи создания системзащиты являются:
·         неполнота инеопределенность исходной информации о составе ИС и характерных угрозах;
·         многокритериальностьзадачи, связанная с необходимостью учета большого числа частных показателей(требований) СЗИ;
·         наличие какколичественных, так и качественных показателей, которые необходимо учитыватьпри решении задач разработки и внедрения СЗИ;
В магистерской дипломной работе разработана методика,позволяющая получать количественную оценку состояния защищенностиинформационной системы, при этом учитывая мнения экспертов, а также их опыт приоценке системы защиты на основании оценки вероятности угроз. Данная методикаиспользует наработки из области рисков, позволяя строить СЗИ по своимхарактеристикам соразмерной масштабу угроз. Таким образом, методика должнапозволить выбирать средства защиты оптимальные для каждой конкретной системы,характеризуемой специфическим набором угроз, требованиями и моделью нарушителя.Использование данной методики для оценки существующих систем позволит принятьрешение о целесообразности их усовершенствования, и позволит избежатьнеэффективного использования средств СЗИ при ее проектировании.

1 Описание информационной технологии1.1 Описание корпоративной сети
Максимальное использование современных информационных исетевых технологий является одной из приоритетных задач для любой компании.Разработка и внедрение коммерческих проектов, используя территориальноразнесенные филиалы и представительства по всему миру, освоение новых рынков иоткрытие новых представительств невозможно без надежной и хорошо продуманнойкорпоративной сети.
В англоязычной литературе синонимом корпоративной сетиявляется понятие Intranet. Насегодняшний день технология Internet получила всеобщее признание. Наравне с интернетом развиваетсяодноименная технология Intranet. В ее развитие выделяются огромные средства и усилия, и не удивительно,если завтра внимание человечества будет больше сконцентрировано на технологииIntranet, в которой используются те же средства и техника, что и в глобальнойсети, но для осуществления коммуникаций только внутри организации. Назначениекаждой из этих технологий отражено уже в ее названии: префикс “intra-” означает“внутри”, а префикс “inter-” — “между” или “среди”. И хотя технология Intranetотносительно нова, ее концепция стара, как сама Internet.
Интрасеть (или intranet) — это частная корпоративная сеть,использующая программные продукты и технологии Internet, например, Web-сервер.Интрасети могут быть изолированы от внешних пользователей Internet с помощьюбрандмауэров или просто функционировать как автономные сети, не имеющие доступаизвне. Обычно компании создают интрасети для своих сотрудников, однакополномочия на доступ к ним иногда предоставляются деловым партнерам и другимгруппам пользователей. Другим способом обеспечения совместного доступа деловыхпартнеров к информации, хранящейся в интрасети, является создание экстрасети(extranet). Этим термином обычно называют часть интрасети, предназначенную длядоступа извне. Деловые партнеры часто создают экстрасети, обеспечивающиеограниченный доступ к отдельным частям своих интрасетей. Деловым партнерамдоступны только те части интрасети, на которые они имеют соответствующие правадоступа. Для конкурентов же любой доступ к такой интрасети закрыт. Создатьинтрасеть несложно. Например, компании достаточно организовать в своейлокальной или территориально распределенной сети Web-сервер, снабдитьпользователей Web-браузерами и при необходимости предусмотреть брандмауэр.
Как и сама сеть Internet, интрасети быстро становятсяключевым элементом корпоративных информационных систем. Фактически, большинствопроданных на сегодня Web-серверов используются именно в интрасетях [42]. Компании пришли к пониманию того, что такие«внутренние» Web-узлы являются идеальным средством распространенияинформации среди сотрудников. Причина проста: интрасеть обладает всемидостоинствами Web, включая возможность публикации документов, содержащихграфику, звук, видео и гипертекстовые ссылки. Поскольку все документы Webсоздаются в одном и том же формате (HTML), они доступны любому работающему всети сотруднику, у которого есть Web-браузер. Если Internet изменила способвзаимодействия коммерческих предприятий с «внешним миром», тоинтрасети совершенно меняют характер внутренних коммуникаций.
Сети Intranet используются по трем основным направлениям: вкачестве средства поддержки внутрикорпоративных информационных услуг:телефонные справочники, базы данных, дискуссионные группы; для передачиинформации между сотрудниками фирмы, как внутри офиса, так и между удаленнымиподразделениями; для поддержки ежедневных деловых функций, таких как ведениеучета продаж, обработка приказов, составление отчетов о поставках и др.
Корпоративная сеть, как правило, является территориальнораспределенной, т.е. объединяющей офисы, подразделения и другие структуры,находящиеся на значительном удалении друг от друга. Часто узлы корпоративнойсети оказываются расположенными в различных городах, а иногда и странах.Принципы, по которым строится такая сеть, достаточно сильно отличаются от тех,что используются при создании локальной сети, даже охватывающей несколькозданий. Основное отличие состоит в пропускной способности каналов передачиданных между узлами КИС и в том, что территориально распределенные сетииспользуют арендованные линии связи или сети общего пользования. Этиограничения являются принципиальными, и припроектировании корпоративной сети следует предпринимать все меры дляминимизации объемов передаваемых данных и защиты информации. В остальном жекорпоративная сеть не должна вносить ограничений на то, какие именно приложенияи каким образом обрабатывают переносимую по ней информацию.
Первая проблема, которую приходится решать при созданиикорпоративной сети — организация каналов связи. Если в пределах одного городаможно рассчитывать на аренду выделенных линий, в том числе высокоскоростных, топри переходе к географически удаленным узлам стоимость аренды каналовстановится просто астрономической, а качество и надежность их часто оказываетсявесьма невысокими. Естественным решением этой проблемы является использованиеуже существующих глобальных сетей. В этом случае достаточно обеспечить каналыот офисов до ближайших узлов сети. Задачу доставки информации между узламиглобальная сеть при этом возьмет на себя. Даже при создании небольшой сети в пределаходного города следует иметь в виду возможность дальнейшего расширения ииспользовать технологии, совместимые с существующими глобальными сетями. Насегодняшний день для создания корпоративных сетей все чаще используется сеть Internet .
Последний пример резкого изменения технологииавтоматизированной обработки корпоративной информации у всех на виду — онсвязан с беспрецедентным ростом популярности Internet в последние 5 лет. Использованиесетей Internet для передачи данных – недорогой идоступный практически всем предприятиям способ (а через телефонные сети иодиночным пользователям) — существенно облегчил задачу построениятерриториальной корпоративной сети, одновременно выдвинув на первый план задачузащиты корпоративных данных при передаче их по незащищенным каналам сети смногомиллионным составом пользователей. Стек TCP/IPсразу же вышел на первое место, потеснив прежних лидеров локальных сетей IPX и NetBIOS, а в территориальных сетях — Х.25. Независимость отплатформы, быстрая передача данных и графический интерфейс службы Web — воттолько несколько свойств, благодаря которым Internet столь популярна ипо-настоящему полезна. Internet уже стала стандартом международных электронныхкоммуникаций. Понимание того, что все средства, используемые в сети Internet,могут так же хорошо “работать” и внутри организации, побудило к грандиознымусилиям по извлечению частной выгоды из общественных достижений. Как крупныекорпорации, так и мелкие компании стремятся сделать свои собственные сети неменее мощными и многофункциональными, чем сама Internet.
Популярность Internet оказывает на корпоративные сети не только техническое и технологическоевлияние. Так как Internetпостепенно становится общемировой сетью интерактивного взаимодействия людей, тоInternet начинает все больше и большеиспользоваться не только для распространения информации, в том числе ирекламной, но и для осуществления самих деловых операций — покупки товаров иуслуг, перемещения финансовых активов и т.п.
Влияние Internet на корпоративную сеть — это только один, хотя и яркий, пример постоянныхизменений, которые претерпевает технология автоматизированной обработкиинформации на современном предприятии, желающем не отстать от конкурентов.Постоянно появляются технические, технологические и организационные новинки,которые необходимо использовать в корпоративной сети для поддержания ее всостоянии, соответствующем требованиям времени. Без внесения измененийкорпоративная сеть быстро морально устареет и не сможет работать так, чтобыпредприятие смогло успешно выдерживать жесткую конкурентную борьбу на мировомрынке. Как правило, срок морального старения продуктов и решений в областиинформационных технологий находится в районе 3 — 5 лет [4].
В самом частом случае корпоративная сеть или Intranet представляет из себя не толькоотдельную локальную сеть, но и несколько территориально удаленных локальныхсетей. В этих сетях должен поддерживаться протокол TCP/IP, а также хотя бы одиниз следующих протоколов: HTTP (поддержка службы Web), SMTP и POP3 (протоколы электроннойпочты), FTP (протокол передачи файлов), NNTP (группы новостей). Указанныесервисы можно комбинировать таким образом, чтобы создавать необходимую средуинформационного обеспечения, удобную не только для пользователя, но и дляслужбы поддержки, которой больше не надо будет прикладывать нечеловеческихусилий, чтобы добавить в систему новые ресурсы или информационные материалы.
С точки зрения системной функциональности корпоративная сетьвыглядит как единое целое, предоставляющее пользователям и программам наборполезных в работе услуг (сервисов), общесистемных и специализированныхприложений, обладающее набором полезных качеств (свойств) и содержащее в себеслужбы, гарантирующее нормальное функционирование сети. Ниже будет дана краткаяхарактеристика сервисов, приложений, свойств и служб.
Сервисы.
Одним из принципов, положенных в основу создания сети,является максимальное использование типовых решений, стандартныхунифицированных компонентов [43].Конкретизируя этот принцип применительно к прикладному ПО, можно выделить рядуниверсальных сервисов, которые целесообразно сделать базовыми компонентамиприложений. Такими сервисами являются сервис СУБД, файловый сервис,информационный сервис (Web-сервис), электронная почта, сетевая печать и другие
Проект КИС исключительно удобно описывать в терминахсервисов. Так, например, политику информационной безопасности целесообразностроить, исходя из потребности в защите существующих и вводимых в действиесервисов [4].
Приложения
К общесистемным приложениям относят средства автоматизациииндивидуального труда, используемые разнообразными категориями пользователей иориентированные на решение типичных офисных задач. Это — текстовые процессоры,электронные таблицы, графические редакторы, календари, записные книжки и т.д.Как правило, общесистемные приложения представляют собой тиражируемыелокализованные программные продукты, несложные в освоении и простые виспользовании, ориентированные на конечных пользователей.
Специализированные приложения направлены на решение задач,которые невозможно или технически сложно автоматизировать с помощьюобщесистемных приложений. Как правило, специализированные приложения либоприобретаются у компаний-разработчиков, специализирующихся в своей деятельностина конкретную сферу, либо создаются компаниями-разработчиками по заказуорганизации, либо разрабатываются силами самой организации. В большинствеслучаев специализированные приложения обращаются в процессе работы кобщесистемным сервисам, таким, например, как файловый сервис, СУБД, электроннаяпочта и т.д. Собственно, специализированные приложения, рассматриваемые всовокупности в масштабах корпорации, как раз и определяют весь спектрприкладной функциональности.
Свойства и службы.
Как уже говорилось выше, срок службы системно-техническойинфраструктуры в несколько раз больше, чем у приложений. Корпоративная сетьобеспечивает возможность развертывания новых приложений и их эффективноефункционирование при сохранении инвестиций в нее, и в этом смысле должнаобладать свойствами открытости (следование перспективным стандартам),производительности и сбалансированности, масштабируемости, высокой готовности,безопасности, управляемости.
Перечисленные выше свойства, по сути, представляют собойэксплуатационные характеристики создаваемой информационной системы иопределяются в совокупности качеством продуктов и решений, положенных в ееоснову. Разумеется, хорошие показатели по конкретным свойствам будутдостигаться за счет грамотных технических решений системного конструирования.Так, система будет обладать свойствами безопасности, высокой готовности иуправляемости за счет реализации в проекте корпоративной сети соответствующихслужб.
Общесистемные службы — это совокупность средств, ненаправленных напрямую на решение прикладных задач, но необходимых дляобеспечения нормального функционирования информационной системы корпорации [4]. В качестве обязательных в корпоративную сеть должныбыть включены службы информационной безопасности, высокой готовности,централизованного мониторинга и администрирования [4].
Чтобы дать некоторое представление о потенциальныхвозможностях корпоративных сетей Intranet, приведем несколько реальных примеровтаких систем. По данным 2004 года фирма Digital Equipment имеет 400внутрикорпоративных Web-серверов. Компания Silicon Graphics поддерживаетвнутреннюю Web-сеть, которая содержит 150 тыс. документов на более чем 1000серверов. Другой крупный производитель — Boeing Aerospace — обладает сетьюIntranet, распределенной по всей территории США, которой пользуются 96 тыс. служащих.Американский военно-морской флот установил защищенную сеть Intranet дляобеспечения контроля за перемещением 11 своих авианосцев [5].
Согласно заключению аналитиков, более 20% крупнейших компанийиз списка Fortune 1000 имеют сети Intranet на базе службы Web. Что касаетсяобщей статистики, то 16% коммерческих фирм в США уже установили Intranet и еще50% находятся в процессе подготовки. Поэтому не следует удивляться мнениюаналитиков, что в следующем году более половины устанавливаемых сегодня серверовбудут использоваться в сетях Intranet. Некоторые даже прогнозируют, что накаждый сервер Internet будет приходиться 4 сервера Intranet [5].
Пример корпоративной сети небольшого предприятия представленна рисунке 1.1. Все о чем говорилось выше отображено на данной схеме:центральный офис со своей локальной сетью, работа с удаленными клиентами,работа с удаленными пользователями – сотрудниками корпорации, связьтерриториально распределенных офисов с главным офисом, связь с сетью партнеров.В корпоративной сети функционируют все необходимые сервисы для успешноговедения бизнес деятельности компании. Но наряду с преимуществами которыепредоставляет корпоративная сеть, есть и ряд недостатков которые могутпоставить под угрозу нормальное функционирование компании. Первостепенной иосновной проблемой в корпоративных сетях была есть и будет безопасностьинформации. Так как сейчас, в эпоху информации, потеря информационных ресурсовможет стать причиной банкротства. В связи с этим крупным компаниям приходитьсятратить большие суммы денег на поддержание безопасности их сетей на должномуровне, но тем не менее это не делает технологию корпоративных сетей менеепривлекательной для построения бизнеса.
/>
Рисунок 1.1 – Схема корпоративной сети среднего предприятия.1.2 Модель угроз
1.2.1 Базовые виды угроз информации
Как уже было отмечено выше одной из первостепенных задач длянормального функционированию КИС и возможности с ее помощью успешного ведения бизнесаявляется безопасность информационных потоков которые в ней циркулируют.
В общем случае существуют следующие базовые виды угрозбезопасности [6]
·         Нарушениеконфиденциальности
·         Нарушениецелостности
·         Нарушениедоступности
·         Нарушениенаблюдаемости
·         Нарушениеаутентичности
Каждой приведенной выше угрозе соответствует соответствующаяпредоставляемая услуга защищенной системы, т.е., услуга конфиденциальности,целостности, доступности, наблюдаемости и аутентичности соответственно. Системапри этом считается защищенной или безопасной, если обеспечивает всевышеперечисленные услуги [7].
Все угрозы для корпоративных сетей в общем случае могут бытьподелены на две категории [7]:
·         угрозы, исходящиеот злоумышленника
·         угрозы, связанныес реализацией, поддержкой или с нарушением среды функционирования КИС
Угрозы, исходящие от злоумышленника [7]:
·         Перехват (ивозможно разглашение) конфиденциальной информации – нарушениеконфиденциальности.
·         Несанкционированные источником модификация, формируемой им информации, либосоздание информации от его имени – нарушение целостности.
·         Ложный отказисточником факта формирования и передачи информации определённому получателю взаданное время – нарушение аутентичности.
·         Ложноеутверждение получателем факта получения информации от определённого источника взаданное время – нарушение аутентичности.
·         Ложноеутверждение источником факта формирования и передачи информации определённомуполучателю в заданное время – нарушение аутентичности.
·         Ложный отказполучателем факта получения информации от определённого источника в заданноевремя – нарушение аутентичности.
·         Несанкционированноеизменение алгоритмов функционирования некоторой подсистемы КИС – возможна любаябазовая угроза.
·         Блокированиеработоспособности некоторой подсистемы ИТС (web, pop, smtp сервера) – нарушение доступности.
Угрозы, связанные с реализацией, поддержкой или с нарушениемвнутренней среды функционирования КИС :
·         неверная с точкизрения безопасности реализация и развертывание продукта;
·         неверная поддержкаи администрирование продукта;
·         нарушение средыфункционирования продукта;
В действительности, правильная реализация продуктаподразумевает, надежную аутентификацию и авторизацию пользователя, а такжезащищенные каналы связи с ним и между составляющими частями системы. Этифакторы напрямую уменьшают приведенные угрозы, связанные с нарушителем. Крометого, верная реализация продукта подразумевает определенную настройку егосоставляющих частей и используемых технологий, что уменьшает риск неправильнойподдержки и администрирования продукта. Кроме того, решение принципа работы сминимальными привелегиями, а также с защищенными каналами связи междукомпонентами системы позволяет снизить риски, связанные с безопасностью, принарушении среды функционирования продукта, которое, может быть связано как суязвимостями операционной системы и др. компонентов, так и с преднамеренными (втом числе, физическими) действиями злоумышленника.
Остановимся более подробно на базовых угрозах, и приведемпримеры реализации данных угроз.
1.2.2 Угрозынарушения конфиденциальности
Конфиденциальность – свойство информации, которое заключаетсяв том, что информация не может быть получена неавторизованным пользователем, тоесть пользователем который не имеет привилегий на использование даннойинформации [1]. Хранение и просмотр ценной информации только теми людьми, ктопо своим служебным обязанностям и полномочиям предназначен для этого.Конфиденциальность призвана обеспечить защиту передаваемых данных от пассивныхатак, то есть защита потока данных от возможности его аналитическогоисследования. Это означает невозможность для нарушителя обнаружить как источникинформации, так и ее содержимое. Основным способом обеспеченияконфиденциальности является шифрование информации на ключах пользователей. Приэтом ознакомиться с содержанием информации могут только владельцы ключей накоторых зашифрована информация. Обеспечение этого свойства является, пожалуй,одним из важнейших, поскольку при нарушении целостности и доступностиинформации в результате порчи или кражи ее можно восстановить из архивов, а вотпри нарушении конфиденциальности она станет общедоступной, что может повлечьогромные убытки. К угрозам нарушения конфиденциальности информации относятхищение (копирование) и утечку информации. Основными видами атак направленныхна нарушение конфиденциальности является пассивное подслушивание и перехват вканалах связи, незаконное использование прав (маскарадинг) похищение ключевойинформации. Примером перехвата может служить прослушивание канала в сети. Такаяатака является пассивным воздействием и ведет к нарушению конфиденциальностиинформации. Наличие ключевой информации у злоумышленника может привести кнарушению конфиденциальности зашифрованных сообщений и тем самым нарушить ихконфиденциальность. Зачем использовать сложные методы криптоанализа, требующиебольших затрат, если можно использовать более простую схему, тем более что чащевсего сотрудники компаний сами того даже не подозревая могут распространятьважные данные или к ним могут быть применены методы социальной инженериикоторые в данный момент представляют большую угрозу для всех областейинформационной деятельности.
1.2.3 Угрозынарушения целостности
Целостность — свойство информации, которое заключается в том,что информация не может быть модифицирована неавторизованным пользователем [1].Поддержание целостности ценной и секретной информации означает, что оназащищена от неправомочной модификации. Существует множество типов информации,которые имеют ценность только тогда, когда мы можем гарантировать, что ониправильные. Основная задача мер по обеспечению целостности заключается ввозможности выявления факта модификации сообщения, что информация не былаповреждена, разрушена или изменена любым способом. Искажение информации означаетполный контроль над информационным потоком между объектами системы иливозможность передачи сообщений от имени другого объекта. Для реализациицелостности используются различные виды цифровой подписи, и однонаправленныефункции хэширования. Примером нарушения целостности информация может бытьподделка писем электронной почты, или документов, намеренное изменениеинформации с целью обмана либо выдачи себя за кого то другого что может повлечьза собой убытки или сказаться на репутации субъекта.
1.2.4 Угрозынарушения доступности
Доступность – свойство ресурса системы (КС, услуги, объектаКС, информации), которое заключается в том, что пользователь и/или процесс,который владеет соответствующими полномочиями, может использовать ресурс всоответствии с правилами установленными политикой безопасности, не ожидаябольше заданного (короткого) промежутка времени, то есть когда он находится всостоянии, необходимом пользователю, в месте, необходимом пользователю, и в товремя когда он ему необходим [1]. То есть обеспечение того, чтобы информация иинформационные системы были доступны и готовы к эксплуатации всегда, как толькоони потребовались. В этом случае должна быть гарантия что информация всегдадоступна и поддерживается в пригодном состоянии. Цель взломщика — добиться,чтобы операционная система на атакованном объекте вышла из строя и,следовательно, для всех остальных объектов системы доступ к ресурсам данногообъекта был бы невозможен.
Основными видами атак приводящих к недоступности информацииявляются DoS-атаки (отказ в обслуживании) чтоприводит к невозможности законных пользователей информации ею воспользоваться внужный момент. Разновидностью DoS-атаки,скорее ее усовершенствованием, является DDoS-атака. Ее отличительной чертой являетсяраспределенность по сети Internet: обычно она реализуется с узлов на которых несанкционированноустановлено вредоносное ПО с централизованным управлением, котороезадействуется командой по сети и инфицированные машины начинают забрасыватьпакетами жертву. К сожалению на данный момент нет стопроцентной защиты отданного вида атак, как впрочем и от остальных. Примерами такого рода атакявляются атаки на публичные WEB-серверана которых хранятся разнородные данные, и как результат вывод их из строя иневозможность качественно предоставлять сервис. Атака может быть направлена на WEB-сервер компании, на почтовую службуили на шлюз корпоративной сети с целью отрезать ее от сети. 1.2.5 Угрозы нарушенияаутентичности
Аутентичность – обеспечивается при помощи процедурыаутентификации. Аутентификация – это процедура проверки соответствияпредъявленного идентификатора объекта КС на предмет принадлежности его этомуобъекту [1]. Угрозы нарушения аутентичности заключаются в том, что в результатепроведения некоторых действий пользователь и (или) процесс выдает себя задругого пользователя и имеет возможность воспользоваться чужими правами ипривилегиями. Примерами реализации такой угрозы являются:
·         Атака типа человек посередине (Man in the middle). Заключается в том, что злоумышленник незаметновнедряется в канал связи между двумя абонентами и получает полный контроль надинформацией (модификация, удаления, создание дезинформации), которойобмениваются участвующие стороны. При этом он остается абсолютно невидимым дляабонентов.Данная атака может свести на нет все средства по защите КИС. Есть примеры реализации данной атаки на протокол SSL который используется сейчас вбольшинстве коммерческих систем электронной коммерции и банковской сфере.
·         Навязываниеложных сетевых адресов (ARP-spoofing) и доменных имен (DNS-spoofing), а также подмена web серверов их локальными копиями,выдающими себя за легальные (phishing).1.2.6 Угрозы нарушениянаблюдаемости
Наблюдаемость –– свойство ИС, которое делает возможным фиксирование деятельностипользователей и процессов, использования пассивных объектов, а так жеоднозначно устанавливать идентификаторы причастных к конкретным событиямпользователей и процессов с целью нарушения политики безопасности или скрытияфакта ответственности за определенные события имевшие место [1]. Примерамиреализации таких атак может быть:
·         Очистка журналоваудита систем
·         Вывод из строясистемы аудита
·         Перезаписьжурнала аудитов искусственно созданным потоком информации для затирания болееважных данных, в результате чего, записи о некоторых событиях пропадают
·         Внедрениевредоносного ПО.
1.3 Модель нарушителя/>
Согласно приказу ДСТСЗИ СБУ № 31 от 30.04.06, в зависимости отзапланированных условий эксплуатации средств защиты информации и соответственностоимости защищаемой информации, выделяют четыре уровня возможностей нарушителя[2]:
Нулевой уровень – случайное непреднамеренное ознакомление синформацией (случайное прослушивание в канале);
Первый уровень – нарушитель имеет ограниченные средства исамостоятельно создает способы и методы атак на средства защиты, а также наинформационно-телекомуникационные системы при помощи распространенныхпрограммных средств и ЭВМ;
Второй уровень – нарушителькорпоративного типа имеет возможность создания специальных технических средств,стоимость которых соотносится с возможными финансовыми убытками при утере,изменении или уничтожении защищаемой информации. В этом случае дляраспределения вычислительной нагрузки при реализации атак могут использоватьсялокальные вычислительные центры.
Третий уровень – нарушитель имеет научно-технический ресурс,который приравнивается к научно-техническому ресурсу специальной службыэкономически развитой державы.
Еще одним способом классификации нарушителей может быть ихразделение на внешних и внутренних. По статистике, 80 процентов инцидентовбезопасности происходит по вине сотрудников организаций, то есть внутреннихнарушителей в результате своей преднамеренной или некомпетентной деятельности[5].
Мотивы для нарушения безопасности могут быть следующими :
·         недостаткииспользуемых информационных технологий.
·         безответственность;
·         демонстрациясвоего превосходства (самоутверждение);
·         «борьба ссистемой»;
·         корыстныеинтересы пользователей системы;
·         недостаткииспользуемых информационных технологий.
·         ошибкипользователей и администраторов;
К внутренним нарушителям в первую очередь нужно отнестинепосредственных пользователей и операторов информационной системы, в том числеруководителей различных уровней:
·         прикладных исистемных программистов;
·         сотрудниковслужбы безопасности;
·         техническийперсонал по обслуживанию зданий и вычислительной техники
·         прикладных исистемных программистов;
·         администратороввычислительных сетей и информационной безопасности;
·         вспомогательныйперсонал и временных работников.
Внешние нарушители представляют собой в первую очередь лицазаинтересованные в нанесении ущерба компании. Это могут быть :
·         клиенты компании
·         конкуренты
·         государственныеконтролирующие органы
·         сообществохакеров
Типы нарушителей могут сильно отличаться, варьироваться посоставу, возможностям и преследуемым целям. От одиночного нарушителя,действующего удаленно и скрытно, до хорошо вооруженной и оснащенной силовойгруппы, действующей молниеносно и напролом. Нельзя не учитывать возможности сговорамежду нарушителями, относящимися к различным типам, а также подкупа иреализации других методов воздействия.
Для корпоративных сетей организаций могут встречатьсянарушители всех уровней. Это могут быть сотрудники компании, представляющиеугрозу из-за своей некомпетентности или с целью преднамеренно нанести ущербкомпании. К этой категории можно отнести обычных пользователей, которыезачастую даже не подозревают об опасности своих действий, так и администраторовсети и даже управляющий персонал некомпетентный в своей деятельности.Извне угрозу для компании представляет в первую очередь сообщество хакеров,которыми чаще всего движет интерес, но иногда за их действиями может стоятьфирма-конкурент или «обиженный» сотрудник, пытающиеся нанести ущерб компании.
Построение модели нарушителя является залогом успеха припроектировании СЗИ КИС а также при проверке СЗИ. Так как выявления возможногоинициатора угроз позволяет более полно определить перечень угроз, оценитьвозможности злоумышленника и разрабатывать СЗИ для защиты от него.
1.4 Постановка задачи по оценке защищенности
Поддержание требуемого уровня безопасности являетсяактуальным вопросом для многих учреждений, как государственных, так и частных.Поэтому на решение этого вопроса тратится много средств. Проблема заключается втом, чтобы создать эффективную систему защиты, которая бы могла не толькообеспечивать гарантированный уровень защиты, но максимально соответствоватьнуждам компании. При этом, как правило, значительное внимание уделяется описаниюразличных технических решений, анализу преимуществ и недостатков известныхаппаратных и программных средств и технологий защиты информации. В меньшейстепени затрагиваются вопросы и меры организационного обеспечения ИБ компании — стратегия и тактика защиты информации, концепция и политика безопасности, планызащиты информационных ресурсов компании в штатных и внештатных условияхфункционирования КИС, а также уровень защищенности всей системы в целом.
Результативное решение задач анализа и синтеза СЗИ не можетбыть обеспечено одними лишь способами умозрительного описания их поведения вразличных условиях — системотехника выдвигает проблемы, требующиеколичественной оценки характеристик. Такие данные, полученные экспериментальноили путем математического моделирования, должны раскрывать свойства СЗИ.Основным из них является эффективность, под которой, согласно [3], понимаетсястепень соответствия результатов защиты информации поставленной цели.Последняя, в зависимости от имеющихся ресурсов, знаний разработчиков и другихфакторов, может быть достигнута в той или иной мере, при этом возможныальтернативные пути ее реализации. Эффективность имеет непосредственную связь сдругими системными свойствами, в том числе качеством, надежностью,управляемостью, помехозащищенностью, устойчивостью. Поэтому количественнаяоценка эффективности позволяет измерять и объективно анализировать основныесвойства систем на всех стадиях их жизненного цикла, начиная с этапаформирования требований и эскизного проектирования.
Обеспечение защиты информации на практике происходит вусловиях случайного воздействия самых разных факторов. Некоторые из нихсистематизированы в стандартах, некоторые заранее неизвестны и способны снизитьэффективность или даже скомпрометировать предусмотренные меры. Оценкаэффективности защиты должна обязательно учитывать как объективныеобстоятельства, так и вероятностные факторы.
Нормативные документы по оценке безопасности ИТ практическине содержат конкретных методик, в результате чего величина разрыва между общимидекларациями и конкретным инструментарием по реализации и контролю их положенийявляется недопустимой. Исходя же из своего предназначения, методическая базадолжна охватывать все критически важные аспекты обеспечения и проверкивыполнения требований, предъявляемых к информационной безопасности. Объективнымвидом оценки эффективности СЗИ является функциональное тестирование,предназначенное для проверки фактической работоспособности реализованныхмеханизмов безопасности и их соответствия предъявленным требованиям, а такжеобеспечивающее получение статистических данных. В силу того, что средствабезопасности обладают ограниченными возможностями по противодействию угрозам,всегда существует вероятность нарушения защиты, даже если во время тестированиямеханизмы безопасности не были обойдены или блокированы. Для оценки этойвероятности должны проводиться дополнительные исследования. В методическомплане определение эффективности СЗИ должно заключаться в выработке сужденияотносительно пригодности способа действий персонала или приспособленноститехнических средств к достижению цели защиты информации на основе измерениясоответствующих показателей, например, при функциональном тестировании.Эффективность оценивается для решения следующих задач [11]:
·         принятие решенияо допустимости практического использования СЗИ в конкретной ситуации;
·         выявление вкладовразличных факторов в достижение цели;
·         установлениепутей повышения эффективности СЗИ;
·         сравнениеальтернативных вариантов систем.
Факторы, влияющие на уровень защиты информации,систематизированы во многих нормативных документах. Однако, независимо от волии предвидения разработчиков, возникают и иные, заранее неизвестные припроектировании систем защиты информации обстоятельства, способные снизить эффективностьзащиты или полностью скомпрометировать предусмотренные проектом мерыинформационной безопасности. Оценка эффективности защиты информации должнаобязательно учитывать эти объективные обстоятельства, а ее характеристики,должны иметь вероятностный характер. Развитие подобной методологии, включаясистему нормативных документов, содержащих количественные, измеримые показателиэффективности СЗИ, обеспечит интересы как заказчиков, так и проектировщиков.Особую важность приобретает обоснование оптимальных значений показателейэффективности, учитывающее целевое предназначение информационной системы.
Таким образом, при использовании современной методическойбазы, оценка эффективности СЗИ носит в основном нечеткий, субъективный характер[11]; практически полностью отсутствуют нормированные количественныепоказатели, учитывающие возможные случайные или преднамеренные воздействия. Врезультате достаточно сложно, а зачастую и невозможно, оценить качествофункционирования информационной системы при наличии несанкционированныхвоздействий на ее элементы, а, соответственно, и определить, чем один вариантпроектируемой системы лучше другого. Представляется, решением проблемыкомплексной оценки эффективности СЗИ является использование системного подхода,позволяющего еще на стадии проектирования количественно оценить уровеньбезопасности и создать механизм управления рисками. Однако этот путь реализуемпри наличии соответствующей системы показателей и критериев.
В дипломном проекте описывается методика оценки уровня защищенностиСЗИ со стороны рисков. В основу методики положена идея, что уровень рисков взащищенной системе должен быть минимален по отношению к уровню защищенностисистемы без защиты. В данной ситуации можно получить количественную оценкууровня защищенности информации. Методика оперирует вероятностными даннымреализации угроз, которые в свою очередь являются источником неопределенностиввиду невозможности своего однозначного измерения. Уровень точности оценки вомногом зависит от полноты списка выдвинутых требований к СЗИ и в соответствии стребованиями, списка выдвинутых угроз.

2. ОПИСАНИЕ СРЕДСТ ЗАЩИТЫКИС
2.1 Межсетевые экраны
2.1.1 Технологияэкранирования сети
Сегодня, деятельность любого предприятия во многом зависит отсети Internet и тех сервисов, которые онапредоставляет,поэтому вопрос о целесообразности использования Internet возникает очень редко. В то же времяочень остро ставится вопрос о том, чтобы была возможность использовать всепривилегии и выгоды сети Internet с минимальным риском для деятельности предприятия. Поэтому сегодня напервый план выходит проблема обеспечения безопасности в КИС со стороны сетевоговоздействия.
И этот сегмент не стоит на месте и постоянно развивается,причем очень динамично. Основными средствами защиты КИС были, есть и остаютсямежсетевые экраны. В литературе можно встретить их синонимы такие как:брандмауэр, firewall, фильтрующий маршрутизатор и пр. [12]. Все эти термины подразумевают одно и то же, имеютодно функциональное назначение, но могут содержать в себе разный наборинструментов защиты. Сетевые экраны являются лишь инструментом системыбезопасности. Они предоставляют определенный уровень защиты и являютсясредством реализации политики безопасности на сетевом уровне. Уровеньбезопасности, который предоставляет сетевой экран, может варьироваться взависимости от требований безопасности. Существует традиционный компромиссмежду безопасностью, простотой использования, стоимостью, сложностью и т.д.Сетевой экран является одним из нескольких механизмов, используемых дляуправления и наблюдения за доступом к и из сети с целью ее защиты.
Система firewall заменяет маршрутизатор или внешний шлюз сети(gateway). Защищенная часть сети размещается за ним. Пакеты, адресованныеFirewall, обрабатываются локально, а не просто переадресовываются. Пакеты же,которые адресованы объектам, расположенным за Firewall, не доставляются. Поэтой причине хакер вынужден иметь дело с системой защиты Firewall. Схемавзаимодействия Firewall с локальной сетью и внешней сетью Интернет показана нарисунке 2.1
/>
Рисунок. 2.1 Схема Firewall
Такая схема проще и надежнее, так как следует заботиться озащите одной машины, а не многих. Чаще всего МЭ представляет из себя сетевуюстанцию с двумя и более сетевыми интерфейсами [13]. При этом через один интерфейс осуществляется связь с Интернет, а черезвторой – с защищенной сетью. МЭ совмещает функции маршрутизатора-шлюза, экранаи управления экраном.
Недостатки FireWall происходят от ее преимуществ, осложняядоступ извне, система делает трудным и доступ наружу. Для многих программ,которые работают на нестандартных портах и не поддерживают прокси-сервера, дляустановки соединения придется либо открывать порты, либо отказаться от ихиспользования. Служба FTP в системе может и отсутствовать, но если она есть,доступ возможен только в сервер FireWall и из него. Внутренние ПК не могутустановить прямую FTP-связь ни с какой ЭВМ из внешнего мира. Процедуры telnet иrlogin возможны только путем входа в сервер. Как правило большинство МЭ запрещаютпропуск ICMP трафика во внутреннюю сеть.
Понятно, что в целях безопасности защищенная сеть не можетиметь выходов во внешний мир помимо системы МЭ, в том числе и через модемы.Экран конфигурируется так, чтобы маршрут по умолчанию указывал на защищеннуюсеть. Для пользователей защищенной сети создаются специальные входы для FTP,telnet и других услуг. При этом может не вводится каких-либо ограничений потранспортировке файлов в защищенную сеть и блокируется передача любых файлов изэтой сети, даже в случае, когда инициатором FTP-сессии является клиентзащищенной сети. Внешние клиенты Интернет не могут получить доступа ни к однойиз защищенных ЭВМ ни через один из протоколов.
2.1.2 Компоненты МЭ
В большинстве случаев к МЭ экранам выдвигается ряд требований:
·         фильтрацияпакетов на сетевом уровне
·         фильтрацияпакетов на прикладном уровне
·         настройка правилфильтрации и администрирования
·         использованиестойких протоколов для аутентификации по сети
·         ведение журналоваудита
Выполнения первых трех требований в МЭ используютсяследующие компоненты:
·         фильтрующиемаршрутизаторы
·         шлюзы сетевогоуровня
·         шлюзы прикладногоуровня (прокси-сервера)
2.1.3 Фильтрующие маршрутизаторы
Фильтрующие маршрутизаторы представляют собой простейшийкомпонент сетевого экрана. Маршрутизатор передает данные в обоих направленияхмежду двумя (или более) разными сетями. «Нормальный» маршрутизаторпринимает пакет из сети A и «переадресует» его к месту назначения всети B. Фильтрующий маршрутизатор делает то же самое, но решает не только какмаршрутизировать пакет, но также следует ли этот пакет посылать куда-либовообще. Это делается путем установки ряда фильтров, с помощью которыхмаршрутизатор решает, что делать конкретно с данным пакетом.
При подготовке маршрутизатора для фильтрации пакетов, важныследующие критерии политики отбора: IP-адреса отправителя и получателя, номераTCP-портов отправителя и получателя, состояние бита TCP «ack», номераUDP-портов отправителя и получателя, и направление передачи пакетов (т.e., A->Bили B->A). Другой информацией, необходимой для формирования схемы безопаснойфильтрации, является, меняет ли маршрутизатор порядок инструкций фильтрации (сцелью оптимизации фильтров, это может иногда изменить значение и привести кнепреднамеренному доступу), и можно ли использовать фильтры для входящих ивыходящих пакетов на каждом из интерфейсов. Если маршрутизатор фильтрует тольковыходные пакеты, тогда он является внешним по отношению своих фильтров и можетбыть более уязвим для атак. Кроме уязвимости маршрутизатора, это различие междуфильтрами, используемыми для входных и выходных пакетов, является особенноважным для маршрутизаторов с более чем 2 интерфейсами. Другими важным моментомявляется возможность создавать фильтры на основе опций IP-заголовка и состоянияфрагментов пакета. Формирование хорошего фильтра может быть очень трудным итребовать хорошего понимания типа услуг (протоколов), которые будутфильтроваться.
2.1.4 Шлюзы сетевого уровня
Шлюзы сетевого уровня представляют собой устройства или ПОреализующие технологию NAT —это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.Преобразование адресов методом NATможет производиться почти любым маршрутизирующим устройством — маршрутизатором,сервером доступа, межсетевым экраном. Суть механизма состоит в замене обратного(source) адреса при прохождении пакета водну строну и обратной замене адреса назначения (destination) в ответном пакете. Наряду садресами source/destination могут также заменяться номера портовsource/destination. NAT сокращает необходимость в глобально уникальных IP-адресах. Позволяет подключаться кИнтернету организации с локально уникальными адресами путём трансляции этихадресов в глобально маршрутизируемое адресное пространство. Также NAT может использоваться для сокрытия IP-адресов локальной сети.
Преимущества NAT[14]:
1. Позволяет сэкономить IP-адреса, транслируя нескольковнутренних приватных IP-адресов в один внешний публичный IP-адрес (или внесколько, но меньше, чем внутренних).
2. Позволяет предотвратить обращение снаружи ко внутреннимхостам, оставляя возможность обращения изнутри наружу. При инициализациисоединения изнутри сети создаётся трансляция. Ответные пакеты, поступающиеснаружи, соответствуют созданной трансляции и поэтому пропускаются. Дляостальных пакетов, поступающих снаружи, соответствующей трансляции несуществует, поэтому они не пропускаются.
Недостатки NAT[14]:
1. Не все протоколы могут «преодолеть» NAT. Некоторые(например, IPSec) не в состоянии работать, если на пути между взаимодействующимихостами есть трансляция адресов. Некоторые межсетевые экраны, осуществляющиетрансляцию IP-адресов, могут исправить этот недостаток, соответствующим образомзаменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях(например, в командах протоколов FTP или H.323).
2. Из-за трансляции адресов «много в один» появляютсядополнительные сложности с идентификацией пользователей. Необходимо хранитьполные журналы аудита трансляций.
2.1.5 Прокси-сервера
Прокси-сервер является средством переадресации прикладныхуслуг через одну машину. Существует обычно одна машина (защищенная ЭВМ),которая действует в качестве прокси-сервера для широкого списка протоколов(Telnet, SMTP, FTP, HTTP, и т.д.), но могут быть индивидуальные машины для некоторыхвидов услуг. Вместо непосредственного соединения с внешним сервером, клиентподключается к прокси-серверу, который в свою очередь инициирует соединение сзапрашиваемым внешним сервером. В зависимости от используемого прокси-сервераможно конфигурировать внутренних клиентов так, чтобы они осуществляли этоперенаправление автоматически, без информирования пользователя, другие могуттребовать, чтобы пользователь сам подсоединялся к прокси-серверу и затеминициировал подключение в рамках специального формата.
Применение прокси-сервера предоставляет существенныепреимущества в обеспечении безопасности. Имеется возможность добавления списковдоступа для протоколов, требующие от пользователей или систем обеспеченияопределенного уровня аутентификации прежде чем доступ будет предоставлен. Могутбыть запрограммированы продвинутые прокси-серверы, иногда называемые ALG(Application Layer Gateways), которые ориентированы на определенные протоколы.Например, ALG для FTP может отличать команду «put» от «get»;организация может пожелать разрешить пользователям выполнять «get»для файлов из Интернет, но запретить «put» для локальных файлов наудаленном сервере. Напротив, фильтрующий маршрутизатор может блокировать илинет FTP-доступ, но не может реализовывать частичные запреты. Прокси-серверымогут также конфигурироваться для шифрования потоков данных на основеразнообразных параметров. Организация может использовать эту особенность, чтобыразрешить криптографические соединения между двумя узлами, один из которыхразмещен в Интернет. Сетевые экраны обычно рассматриваются как средствоблокировки доступа для злоумышленников, но они часто используются в качествеспособа доступа легальных пользователей к узлу. Существует много примеров,когда легальному пользователю может быть нужно получать регулярно доступ кбазовой странице во время презентаций, конференций и т.д. Доступ к Интернетбывает часто реализован через ненадежную машину или сеть. Правильносконфигурированный прокси-сервер может допускать правильных пользователей в узел,блокируя доступ всех остальных.
В настоящее время наилучшим вариантом сетевого экранасчитается комбинация двух экранирующих маршрутизаторов и одного или болеепрокси-серверов в сети между маршрутизаторами. Такая схема позволяет внешнемумаршрутизатору блокировать любые попытки использования нижележащего IP-уровнядля нарушения безопасности (IP-spoofing, маршрутизация отправителя, неправильная фрагментация пакетов), в то жевремя прокси-сервер защищает уязвимости на уровне верхних протоколов. Целью внутреннегомаршрутизатора является блокировка всего трафика кроме направленного на входпрокси-сервера. Если реализована эта схема, может быть обеспечен высокийуровень безопасности
Огромное значение имеет хорошо настроенная системарегистрации всех сетевых запросов, так как она позволяет администратору вовремяидентифицировать угрозы и принять меры по их устранению.
Большинство сетевых экранов предоставляют систему журналов,которые могут настраиваться, чтобы сделать администрирование безопасности сетиболее удобным. Система мониторинга может быть централизована, исконфигурирована так, чтобы посылать предупреждения при возникновениианомальной ситуации. Важно регулярно просматривать журнальные файлы прималейшем признаке вторжения или попытки взлома. Так как некоторыезлоумышленники будут пытаться скрыть свои следы путем редактирования журнальныхфайлов, желательно защитить эти файлы. Существует много способов, включая:драйвы WORM (write once, read many), и централизованные журнальные файлы,организованные через утилиту «syslog» с их периодическимрезервированием [15].
Системы FireWall часто используются в корпоративных сетях,где отдельные части сети удалены друг от друга. В этом случае в качестведополнительной меры безопасности применяется шифрование пакетов. СистемаFireWall требует специального программного обеспечения. Следует иметь в виду,что сложная и дорогостоящая система FireWall не защитит от “внутренних”злоумышленников. Если требуется дополнительная степень защиты, при авторизациипользователей в защищенной части сети могут использоваться аппаратные средстваидентификации, а также шифрование имен и паролей.
При выборе той или иной системы Firewall следуетучитывать ряд обстоятельств.
·         Операционнаясистема. Существуют версии Firewall, работающие с UNIX и Windows NT. Некоторыепроизводители модифицируют ОС с целью усиления безопасности. Выбирать следуетту ОС, которую вы знаете лучше.
·         Рабочиепротоколы. Все Firewall могут работать с FTP (порт 21), e-mail (порт 25), HTTP(порт 80), NNTP (порт 119), Telnet (порт 23), Gopher (порт 70), SSL (порт 443)и некоторыми другими известными протоколами. Как правило, они не поддерживаютSNMP.
·         Типы фильтров.Сетевые фильтры, работающие на прикладном уровне прокси-сервера, предоставляютадминистратору сети возможность контролировать информационные потоки,проходящие через Firewall, но они обладают не слишком высоким быстродействием.Аппаратные решения могут пропускать большие потоки, но они менее гибки.Существует также “схемный” уровень прокси, который рассматривает сетевыепакеты, как черные ящики и определяет, пропускать их или нет. Отбор при этомосуществляется по адресам отправителя, получателя, номерам портов, типаминтерфейсов и некоторым полям заголовка пакета.
·         Системарегистрации операций. Практически все системы Firewall имеют встроенную системурегистрации всех операций. Но здесь бывает важно также наличие средств дляобработки файлов с такого рода записями.
·         Администрирование.Некоторые системы Firewall снабжены графическими интерфейсами пользователя.Другие используют текстовые конфигурационные файлы. Большинство из нихдопускают удаленное управление.
·         Простота. Хорошаясистема Firewall должна быть простой. Прокси-сервер должен иметь понятнуюструктуру и удобную систему проверки. Желательно иметь тексты программ этойчасти, так как это повышает уровень защиты от лазеек и уязвимостей в ПО.
·         Туннелирование.Некоторые системы Firewall позволяют организовывать туннели через Интернет длясвязи с удаленными филиалами фирмы или организации (системы Интранет).Естественно, что информация по этим туннелям передается в зашифрованном виде.
Существуют сетевые экраны в широком диапазоне цен ипроизводительности. Цена коммерческого варианта начинается примерно с $1000 USDи достигает $25000 USD. Сетевые экраны на базе бесплатного ПО могут бытьпостроены за меньшую сумму. При использовании бесплатного ПО затратная частьсоставляет покупку аппаратной части и поиск квалифицированного администратора.Следует учитывать, что правильная конфигурация сетевого экрана (коммерческогоили самодельного) требует определенного мастерства и знания TCP/IP. Оба типатребуют регулярного обслуживания, установки пакетов обновления и корректировкипрограмм, и непрерывного контроля. При оценке бюджета сетевого экрана, этидополнительные издержки должны также учитываться наряду с аппаратной частьюсетевого экрана.
Сетевые экраны могут оказать помощь при обеспечениибезопасности сети, они защищают от большого числа атак. Но важно иметь в виду,что они являются лишь частью решения. Они не могут защитить сетевой узел отвсех типов атак.
2.2 Системы IDS
Системы выявления атак IDS решают задачу мониторингаинформационной системы на сетевом, системном и прикладном уровнях с цельюобнаружения нарушений безопасности и оперативного реагирования на них. СетевыеIDS служат в качестве источника данных для анализа сетевых пакетов, a IDSсистемного уровня (хостовые — host based) анализируют записи журналов аудитабезопасности ОС и приложений. При этом методы анализа (выявления атак) остаютсяобщими для всех классов IDS.
Было предложено немало различных подходов к решению задачиобнаружения атак. В общем случае речь идет о преднамеренной активности,включающей, помимо атак, действия, выполняемые в рамках предоставленныхполномочий, но нарушающие установленные правила политики безопасности. Однаковсе существующие IDS можноразделить на два основных класса: одни применяют статистический анализ, другие- сигнатурный анализ.
Статистические методы базируются на предположении о том, чтоактивность злоумышленника всегда сопровождается какими-то аномалиями,изменением профиля поведения пользователей, программ и аппаратуры.
Основным методом выявления атак, принятым в большинствесовременных коммерческих продуктов, является сигнатурный анализ. Относительнаяпростота данного метода позволяет с успехом внедрять его в практику. IDS, применяющие сигнатурный анализ,обычно ничего «не знают» о правилах политики безопасности, реализуемых МЭ,поэтому в данном случае речь идет не о преднамеренной активности, а только об атаках.Основной принцип их функционирования — сравнение происходящих в системе/сетисобытий с сигнатурами известных атак — тот же, что используется в антивирусномПО.
Общие критерии оценки безопасности ИТ (ISO 15408) содержат набор требований FAU_SAA под названием «Анализ данных аудита безопасности» (Security audit analysis) [3]. Эти требования определяютфункциональность IDS, которые ищутзлоумышленную активность методами как статистического, так и сигнатурногоанализа.
Компонент FAU_SAA2 «Выявление аномальной активности,основанное на применении профилей» (Profile based anomaly detection) предполагает обнаружение аномальнойактивности с помощью профилей системы, определяющих опасные с точки зрениябезопасности действия пользователей системы, и выявление этих действий. С цельюустановления степени опасности действий того или иного пользователя вычисляютсясоответствующие «рейтинги недоверия» к пользователям. Чем больше опасностьдействий пользователя, тем выше его «рейтинг недоверия». Когда «рейтинг недоверия»достигает установленного критического значения, предпринимаются предусмотренныеполитикой безопасности действия по реагированию на злоумышленную активность.
Компоненты FAU_SAA3 «Простая эвристика атаки» (Simple attack heuristics) и FAU_SAA4«Сложная эвристика атаки» (Complex attack heuristics) предусматривают выполнениесигнатурного анализа для поиска злоумышленной активности. В случае атаки FAU_SAA4 сигнатура задает последовательность событий,являющуюся признаком нарушения установленных в системе правил политикибезопасности.
Существует два не исключающих друг друга подхода к выявлениюсетевых атак: анализ сетевого трафика и анализ контента. В первом случаеизучаются лишь заголовки сетевых пакетов, во втором — их содержимое. Конечно,наиболее полный контроль информационных взаимодействий обеспечивается толькопутем анализа всего содержимого сетевых пакетов, включая их заголовки и областиданных. Однако с практической точки зрения такая задача трудновыполнима из-заогромного объема данных, которые пришлось бы обрабатывать. Современные IDS начинают испытывать серьезныепроблемы с производительностью уже при скорости 100 Мб/с в сетях. Поэтому вбольшинстве случаев целесообразно прибегать для выявления атак к анализусетевого трафика, в некоторых случаях сочетая его с анализом контента.
Как уже было отмечено выше, соответствующие продукты делятсяна системы IDS на базе сети и на базе хоста. Обе системы пытаются выявитьвторжения, но обрабатывают совершенно разные данные. Система IDS на базе сети впопытке распознать атаку читает поток данных, подобно анализатору. Она состоитглавным образом из регистрирующих все сетевые пакеты сенсоров, интерфейскоторых подключен к предназначенному для анализа или копирования портукоммутатора. В качестве альтернативы для подключения в сеть такой системы можноприменять концентраторы или разветвитель [16].
Система IDS на базе хоста использует агентов [16]. Ониработают как небольшое дополнительное программное обеспечение на контролируемыхсерверах или рабочих местах и анализируют активность на основании данныхжурналов регистраций и аудита в поисках признаков опасных событий.
Самый старый и наиболее распространенный метод выявления атак— так называемое сопоставление с шаблоном. Как и при сканировании вирусов, онопирается на список шаблонов или сигнатур, на основании которых делаетсязаключение об атаке. Проще говоря, подобные системы сравнивают каждый пакетданных со всеми шаблонами и при совпадении с одним из них считают, чтообнаружили вторжение. Недостаток метода заключается, прежде всего, в большихзатратах, а кроме того — в плохой масштабируемости [4]. Намного эффективнее метод анализа протоколов, впроцессе которого последовательного сравнения с шаблоном не производится, асначала декодируются используемые при взаимодействии протоколы. Отклонения отразрешенного стандарта уже служат первыми вероятными признаками атаки.Дополнительно могут использоваться определенные шаблоны, правда, трафик данныхсравнивается только с относящимися к соответствующему протоколу шаблонами, чтозначительно повышает производительность. Однако на практике граница междуанализом протоколов и оптимизированным с учетом протокола сопоставлением сшаблонами остается нечеткой.
В теории кроме анализа протоколов и сопоставления с шаблономимеется еще и статистический метод [16]. В соответствии с ним система IDSопределяет сначала «эталонное значение» на основании множества параметровсетевого трафика, а затем рассматривает отклонения от него как потенциальныевторжения. Однако этот метод еще не получил практического признания, и почтивсе существующие коммерческие системы применяют сопоставление с шаблоном илианализ протоколов вместе с сопоставлением с шаблоном.
Как и у систем защиты от вирусов, эффективность системы IDSна базе сети во многом зависит от актуальности шаблона. Поскольку новыеуязвимые места обнаруживаются ежедневно и злоумышленники не упускают случаямногими из них воспользоваться, система IDS должна быть всегда актуальной. Еслиее шаблоны обновляются только раз в месяц, то нужно учитывать, что в промежуткемежду обновлениями могут появиться новые, не распознаваемые системой атаки.Системы на основе анализа протокола способны лишь частично закрыть этот пробел— только в случае, если новые атаки реализуются с отклонением от протокола.Самая большая проблема сегодняшних систем выявления атак заключается в высокихоперационных издержках из-за большого количества ложных сигналов тревоги. Онивозникают, если шаблон из списка встречается в обычном потоке данных, даже приотсутствии атаки, или когда обычные приложения используют незначительныемодификации стандартных протоколов, что в конечном итоге приводит к подачесистемой IDS сигнала тревоги. Иногда причиной служат сетевые ошибки,неправильно сконфигурированные сервер или рабочее место.
Во избежание ложных сигналов тревоги применяются различныеподходы. Прежде всего можно использовать комплексные шаблоны: вероятность того,что они появятся в обычном трафике, очень мала. Однако комплексные шаблоныухудшают производительность сенсора, и вряд ли этот путь является перспективным— ведь производители постоянно пытаются превзойти и так уже довольно высокуюмаксимальную пропускную способность сенсоров.
Другая возможность заключается в корреляции потенциальноизвестных атак с информацией о фактически имеющейся инфраструктуре ИС.Специфическое для Windows злонамеренное действие, направленное против рабочейстанции UNIX, является либо полностью ошибочным, либо, по крайней мере,бессмысленным, так как нацелено на уязвимое место, которого нет у конечной системы.Следовательно, сигнал тревоги можно либо отфильтровать, либо значительноснизить его приоритет. В качестве источника информации по инфраструктуреслужат, например, результаты сканирования сети или специальных сенсоров. Вовремя анализа система считывает общий сетевой трафик и выясняет на основесодержащейся в пакетах данных информации, какая операционная система или какиеприложения находятся по определенному конечному адресу в контролируемой сети.Наиболее оптимальный вариант — коррелировать данную информацию в режимереального времени с регистрацией сигналов тревоги, поступающих от системывыявления атак.
В большинстве случаев администраторы, пытаясь избежать ложныхсигналов об атаке, вручную подстраивают сенсоры системы IDS. При этом онидеактивируют определенные шаблоны для конкретных групп сенсоров или IP-адресов.Такая работа требует не только больших затрат и средств, она может привести ктому, что сенсоры станут почти слепыми, а это ставит под сомнение смысл всегопроекта по внедрению IDS.
В целом проблема ложных сигналов тревоги в системах склассической технологией выявления на базе анализа протоколов и сопоставления сшаблоном не разрешаема. Лишь совершенно новая идея для выявления атак способнаповлиять на улучшение ситуации [17]. Кроме того,независимо от проблематики ложных сигналов тревоги, операционные издержки прииспользовании системы IDS очень высоки. Система IDS распознает только тевторжения, для которых ей удается подобрать известный шаблон в потоке данныхили выявить очевидное отклонение от сетевого протокола.
Итак, важными признаками качественной системы выявления атакявляется не только и не столько то, какой объем трафика она способнаконтролировать и анализировать, а, прежде всего, точность обнаружения иимеющиеся инструменты у администратора для дополнительного слежения и анализавручную. В этом случае простое и быстрое получение информации о другойпротоколируемой деятельности по тому же самому исходному или конечному адресу —только начало работы.
Самая лучшая скорость распознавания ничего не даст, есличеловек не справляется с потоком информации, который такая система выдает.Занять за короткий промежуток времени всю имеющуюся память сигналами тревоги обатаках для системы IDS — не проблема. И все же этот аспект часто не принимаетсяво внимание при выборе решения. Позже в процессе внедрения компании вынужденыуправлять данными о событиях размером более 1 Гбайт, так как, вопреки обещаниямпроизводителей, многие случаи классифицируются как вторжение далеко не сразу.Но если позже возникает необходимость повторно отследить инцидент, произошедшиймесяца три назад, в распоряжении администратора должны быть необходимые данныена тот момент времени.
При проектировании СЗИ с применением IDS, должны учитываться ограничения имеющихся систем. Чащевсего производители указывают предельные значения: число известных шаблонов илимаксимально анализируемую пропускную способность. Однако обычно они неуказывают, как много или какие именно вторжения система IDS не можетобнаружить. Проблема снова заключается в технологии выявления, поскольку и прианализе протоколов она частично базируется на шаблонах. Когда в потоке данныхприсутствует определенный шаблон, атака распознается. Но если атака происходит,а шаблон при этом не появляется, то система ее не обнаруживает. Часто системывыявляют вторжение по характерной последовательности байт при атаке посредствомизвестного автоматизированного инструмента вторжения, так называемогоэксплоита. Если злоумышленник обладает достаточным опытом, у него есть хорошийшанс создать такой инструмент самому и провести атаку так, чтобы она осталасьнезамеченной со стороны системы IDS на базе шаблонов.
Многие вторжения происходят на уровне приложения и, хотя онииспользуют общий основной принцип, являются еще и очень индивидуальными. Нетникаких шаблонов, которые можно было бы распознать на сетевом уровне. Способнаявыявить такие атаки система IDS должна была бы, вместо поиска шаблонов, знатьлогику индивидуальных приложений и отслеживать их текущий статус. Вводдесятизначного числа может быть разрешен в одном поле формы Web, а в другомполе или по другому URL он может привести к несанкционированному выполнениюкоманд. Многие современные системы выявления атак не предлагают такуюфункциональность.
Соответственно нужно с осторожностью пользоватьсястатистическими данными и исследованиями, где дается оценка системы IDS на базеглобально распределенных сенсоров. Высказывания об атаках преимущественно черезпорт 80 действительны только в отношении некоторых из них — на базе готовыхэксплоитов, но не касаются все чаще встречающихся индивидуальных атак,специфичных для приложений. Такие атаки сенсоры системы IDS обнаруживают лишь висключительных случаях.
Концептуально сигнатура сетевой атаки практически неотличается от сигнатуры вируса. Она представляет собой набор признаков,позволяющих отличить сетевую атаку от других видов сетевого трафика. Так,перечисленные ниже признаки могут рассматриваться в качестве сигнатур атак [5]:
примеры сигнатур атак, используемых при анализетрафика (заголовков сетевых пакетов):
·         в заголовке TCP-пакета установлен порт назначения139 и флаг ООВ (Out of Band), что является признаком атаки аля WinNuke;
·         установленыодновременно противоречащие друг другу флаги ТСР-пакета: SYN и FIN. Посредством данной комбинации флагов во многихатакующих программах удается обходить фильтры и мониторы, проверяющие толькоустановку одиночного SYN-флага;
пример сигнатуры атаки, применяемой при анализеконтента:
·         «GET.cgi-bin/etc/passwd». Появление такой строки в области данных HTTP-пакета свидетельствует о наличии эксплойтов типа phf, php или aglimpse.
Методы анализа контента имеют еще один существенныйнедостаток. Они не работают, когда атакующие программы (DDoS, trojans) обращаются к шифрованию трафика. Например, в Back Orifice trojan или Barbwire DDoS-команды,передаваемые между клиентом и сервером (менеджером и агентом), шифруютсяпосредством алгоритма blowfish. Методы обнаружения такого рода атак ограничиваются анализом заголовковсетевых пакетов.
В настоящее время IDS начинают все шире внедряться в практику обеспечения безопасностикорпоративных сетей. Однако имеется ряд проблем, с которыми неизбежносталкиваются организации, развертывающие у себя систему выявления атак. Этипроблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Приведем некоторые из них:
·         большая стоимостькоммерческих IDS;
·         малаяэффективность современных IDS,характеризующихся большим числом ложных срабатываний и несрабатываний (false positives and false negatives);
·         требовательностьк ресурсам и порой неудовлетворительная производительность IDS уже на скорости 100 Мбит/с в сетях;
·         недооценкарисков, связанных с сетевыми атаками;
·         отсутствие ворганизации методики анализа рисков и управления ими, позволяющей руководствуадекватно оценивать величину риска и обосновывать стоимость реализацииконтрмер;
·         необходимость ввысокой квалификации экспертов по выявлению атак, без которой невозможновнедрение и развертывание IDS.
Стоимость современных IDS в аппаратном исполнении колеблется от 5000 USD до 50000 и даже выше [18]. Здесьстоимость определяет в первую очередь масштаб предприятия требования кпропускной способности и набор сигнатур атак. В то же время на рынке существуютпродукты программного исполнения которые значительно дешевле и более доступны.Как и в случае с МЭ, а в отношении IDS еще существенней, уровень защищенности обеспечиваемый данным средствомна 80 процентов зависит от компетентности администраторов и выхода обновленийсигнатур. В прессе существует множество примеров когда системы IDS бездействовали из-за отсутствиятонкой настройки под конкретную систему, снижая тем самым целесообразностьсвоего применения фактически к нулю.
2.3 Антивирусная защита
2.3.1 Актуальность проблемы вирусной защиты
В настоящее никто не станет отрицать важность системыантивирусной безопасности на предприятии – это в большинстве случаев наиболееактуальная система, из всего ряда развернутых систем обеспечения информационнойбезопасности. Конечно подобная ситуация возникла не сама по себе, а обусловленав первую очередь лавинообразным ростом числа новых компьютерных вирусов.
Данное положение вещей подтверждается неоднократнымиисследованиями различных авторитетных компаний. Так, например, из отчета поитогам 2004 года, приведенного на рисунке 2.2 – исследование (опрос) компанииErnst & Young, явно видно, что большинство опрошенных специалистов,проблему вирусной опасности поставили именно на первое место [19].
/>
Рисунок 2.2. Наибольшие угрозы для бизнеса (исследованиекомпании Ernst & Young).
Помимо этого, сети компаний находятся в постоянном развитии,соответственно растет и число точек проникновения вирусов в корпоративные сети.Когда-то вредоносный код попадал на компьютер к пользователю только посредствомпереносных носителей информации. В настоящее время, как правило, основнымиточками проникновения являются, в первую очередь – электронная почта, шлюзы(центральная точка входа в корпоративную сеть) и серверы Интернет (Web browsing– различные CGI скрипты и прочий вредоносный код скачиваемый пользователем).
Одновременно с развитием корпоративной сети, необходимо, чтобы система антивирусной защиты, в лучшем случае опережала ее развитие на шагили же изменялась одновременно и в соответствии с расширением количества иликачества сервисов, предоставляемых пользователям данной сети [20]. Чтобыподчеркнуть данное высказывание приведем небольшую классификацию вирусов, иопишем угрозы которые они несут для КИС.
2.3.2 Виды вирусных угроз
Троянские кони.
«Троянский конь» представляет собой полезную иликажущуюся полезной программу или командную процедуру, содержащую скрытый код,который после запуска программы-носителя выполняет нежелательные илиразрушительные функции.
Программа этого типа может служить для опосредованноговыполнения операций, которые несанкционированный пользователь не можетвыполнить непосредственно. Например, для получения доступа к файлам другогопользователя на компьютере, находящемся в совместном пользовании несколькихчеловек, злоумышленник может создать программу «троянского коня»,которая в ходе выполнении изменит параметры контроля доступа к файламсоответствующего пользователя, сделав эти файлы открытыми для всех. Создавтакую программу, автор может спровоцировать других пользователей запустить ее,поместив эту программу в общедоступный каталог и присвоив ей имя, котороебольшинству пользователей покажется именем полезной программы или утилиты.Примером может служить программа, якобы создающая список файлов пользователя внужном формате. После того как какой-нибудь пользователь запустит такуюпрограмму, автор программы может получить доступ к информации, содержащейся вфайлах этого пользователя. Примером «троянского коня», который оченьтрудно выявить, является компилятор, модифицированный с целью внедрениядополнительного кода в компилируемые программы определенного вида, например впрограммы входа в систему [21]. Этот код представляет собой лазейку в модулерегистрации, который позволяет автору программы войти в систему с помощьюспециального пароля. Обнаружить такого «троянского коня» по исходномукоду программы входа в систему невозможно.
Вторым источником мотивации для написания «троянскогоконя» является разрушение данных. В этом случае программа, котораявыполняет какие-то полезные функции (например, программа-калькулятор), можетбез каких бы то ни было внешних проявлений удалить файлы пользователя.
Вирусы.
Вирус представляет собой программу, которая может«заражать» другие программы путем их модификации. В модифицированныйкод включается код вируса, в результате чего код вируса может продолжатьзаражать другие программы.
Внесенный в компьютерную систему, типичный вирус временнозахватывает управление дисковой операционной системой компьютера. Затем, прикаждом контакте зараженного компьютера с незараженным программным обеспечениемочередная копия вируса помещается в новую программу. Таким образом инфекцияможет передаваться от компьютера к компьютеру ничего не подозревающимипользователями, обменивающимися содержимым магнитных дисков или пересылающимипрограммы по сети. Сеть, с ее возможностями доступа к приложениям и системнымслужбам других компьютеров, является прекрасной средой для распространениявируса.
«Черви»
Сетевые программы-«черви» используют сетевыесоединения для распространения от одной системы к другой. Во время работы наотдельном компьютере сетевой «червь» может вести себя каккомпьютерный вирус или внедрять «троянских коней», либо выполнятькакие-то другие разрушительные или подрывные операции. Для размножения сетевой«червь» использует какое-нибудь из сетевых средств доставкиинформации. Примерами таких средств могут быть следующие службы.
·         Электроннаяпочта. «Червь» отправляет свою копию по почте в другую систему.
·         Удаленный вызовпрограмм. «Червь» запускает свою копию на выполнение в другойсистеме.
·         Доступ кудаленной системе. «Червь» входит в удаленную систему какпользователь, а затем использует команду копирования себя из одной системы вдругую.
Новая копия программы-«червя» в результатеоказывается запущенной в удаленной системе, где в дополнение ко всем другимпредусмотренным операциям «червь» продолжает размножаться указаннымвыше способом.
Сетевой «червь» во многом подобен компьютерномувирусу: у него тоже есть инкубационный период, фаза распространения, фазаактивизации и фаза выполнения. В фазе распространения обычно выполняютсяследующие функции.
·         Поиск другихсистем, которые можно заразить, путем проверки списков известных данномукомпьютеру узлов или других подобных объектов, хранящих информацию об адресахудаленных систем.
·         Установлениесоединения с удаленной системой.
·         Копированиесвоего кода в удаленную систему и инициирование ее запуска там.
Перед тем как копировать себя в другую систему, сетевой«червь» может также пытаться проверить, не была ли система ужеинфицирована ранее. В многозадачной среде он может также скрывать своеприсутствие с помощью назначения себе названия, соответствующего системномупроцессу, или с помощью использования какого-либо другого имени, не вызывающегоподозрения у системного оператора.
Так же как и вирусам, сетевым «червям» труднопротивостоять. Однако меры сетевой защиты в совокупности с мерами по защитеотдельных компьютерных систем при условии их правильной разработки и применениязначительно уменьшают опасность, которую представляют собой «черви».
Природа вирусов.
Вирусы могут делать все, что могут делать обычные программы.Единственное различие состоит в том, что вирус присоединяется к другойпрограмме и выполняется скрытно в процессе работы программы-носителя. Во времясвоего выполнения вирус может выполнить любую операцию, например стереть файлыдокументов и программы.
Жизненный цикл типичного вируса состоит из четырех этапов[6].
1.  Инкубационный период. Вирус никак непроявляется. В конце концов вирус будет активизирован некоторым событием,например наступлением определенной даты, присутствием другой программы илифайла, появлением достаточного места на диске. Инкубационный период имеют невсе вирусы.
2.  Фаза распространения. Вирус помещает свою копию в другиепрограммы или в определенные системные области на диске. Теперь всеинфицированные программы будут содержать копию вируса, каждая их которых тожедолжна будет когда-нибудь пройти свою фазу распространения.
3.  Фаза активизации. Вирус активизируется для выполненияфункции, с которой он создавался. Фаза активизации может быть инициированасамыми разными системными событиями, например наличием определенного числакопий данного вируса в системе.
4.  Фаза выполнения. Выполняется содержащаяся в вирусефункция. Эта функция может быть как вполне безобидной (например, выводсообщения на экран), так и совершенно деструктивной (например, уничтожениепрограмм и файлов с данными).
Работа большинства вирусов построена в соответствии с архитектурнымипринципами конкретной операционной системы и в некоторых случаях дажеконкретных аппаратных средств. Таким образом, в их основе лежит использованиенедостатков и нюансов тех или иных систем.
Типы вирусов
С тех пор как появились вирусы, началась и бесконечная борьбамежду авторами вирусов и авторами антивирусных программ. Как тольковырабатывались эффективные методы противодействия уже известным вирусам,появлялись новые типы вирусов. В [22] предлагается следующая классификациянаиболее важных типов вирусов.
·         Паразитный вирус.Традиционная и до сихпор самая распространенная форма вируса. Паразитный вирус добавляет свой код кисполняемым файлам и размножается при каждом запуске инфицированной программы,находя другие файлы, которые можно было бы инфицировать.
·         Резидентныйвирус. Размещается воперативной памяти как часть резидентной системной программы. С моментаразмещения в памяти инфицирует любую запускаемую программу.
·         Загрузочныйвирус. Инфицирует главную загрузочную запись или загрузочный сектор ираспространяется, когда система загружается с зараженного диска.
·         Вирус-невидимка. Разновидность вируса, имеющегоспециально предусмотренное свойство, защищающее вирус от обнаруженияантивирусным программным обеспечением.
·         Полиморфный(мимикрирующий) вирус. Вирус,код которого изменяется при каждом новом заражении, что делает практическиневозможным обнаружить его по «сигнатуре».
Существуют и другие, гораздо более хитроумные решения.Например, вирус может перехватывать обращения к функциям ввода-вывода и припопытках прочитать подозрительные части диска с помощью этих функций возвращатьоригинальные неинфицированные версии программ. Таким образом, применяемая вданном случае характеристика стелс (скрытный) относится не столько к вирусам,сколько к технологии, обеспечивающей вирусу защиту от обнаружения.
Полиморфный вирус создает при размножении копии,эквивалентные по функциональности, но существенно различающиеся по двоичномупредставлению кода [6]. Как и в случае с вирусами-невидимками, это делается сцелью противостоять программам, обнаруживающим вирусы. Для таких вариацийпредставления кода вирус может вставлять в свой код генерируемые случайнымобразом избыточные команды или же изменять порядок следования не зависящих другот друга команд. Более эффективным подходом является шифрование. Часть вируса,называемая механизмом управления мутациями (mutation engine), генерирует случайное значение ключа, с помощьюкоторого шифрует остальной код вируса. Ключ сохраняется вместе с вирусом, амеханизм управления мутациями видоизменяется. Во время запуска инфицированнойпрограммы вирус с помощью сохраненного ключа расшифровывается. При новоминфицировании генерируется новый ключ.
Еще одним оружием в арсенале авторов вирусов является пакетинструментальных средств для разработки вирусов. Такой пакет позволяет дажеотносительному новичку быстро создать целый набор вирусов разных типов. Хотявирусы, созданные с помощью пакета инструментальных средств разработки, обычнооказываются менее изощренными в сравнении с вирусами, созданными «снуля», неограниченное число новых вирусов, которые можно генерировать спомощью пакета, представляет собой достаточно серьезную проблему для схемантивирусной защиты.
Макровирусы.
За последние годы число вирусов, регистрируемых на корпоративныхузлах, стремительно возросло [23]. Практически весь этот прирост связан сраспространением нового типа вирусов, называемых макровирусами. Согласноинформации NCSA (National Computer Security Agency — Национальное агентство компьютерной безопасностиСША) макровирусы сегодня составляют две трети от общего количества вирусов[24].
Макровирусы особенно опасны по следующим причинам.
·         Макровирусынезависимы от платформы. Так, практически все макровирусы поражают документы Microsoft Word. Поэтому любая аппаратно-программная система,поддерживающая Word, может бытьзаражена таким вирусом.
·         Макровирусыинфицируют документы, а не выполняемый код. А информация, вводимая вкомпьютерную систему, по большей части представлена в форме документов, а непрограмм.
·         Макровирусыбыстро распространяются. Чаще всего распространение происходит по электроннойпочте.
Существование макровирусов построено на использовании средствподдержки макросов, предлагаемых в Word и других офисных приложениях (например, Microsoft Excel). По сути, макрос представляет собой программу,встроенную в документ текстового процессора или файл какого-то другого типа.Обычно пользователи используют макросы для того, чтобы автоматизироватьвыполнение часто выполняемых действий, что позволяет сэкономить время. Языкмакросов чаще всего является каким-нибудь вариантом языка программирования Basic. Пользователь может записатьпоследовательность нажатий клавиш в виде макроса, а затем настроить программутак, чтобы записанный макрос вызывался нажатием функциональной клавиши иликакой-то специальной комбинацией клавиш.
Создание макровирусов оказывается возможным благодарясуществованию автоматических макросов. Это макросы, которые выполняютсяавтоматически, без явной активизации их пользователем. Типичными автоматическипроисходящими событиями являются открытие, закрытие файла, а также запускприложения. Во время своего выполнения макрос может копировать себя в другойдокумент, удалять файлы и выполнять любые другие действия, разрушающие системупользователя. В Microsoft Word имеется три типа автоматическихмакросов.
·         AutoExec. Макрос, названный зарезервированнымименем AutoExec, находится в шаблоне normal.dot или в глобальном шаблоне, хранящемся в каталогезапуска (startup directory) Word, и автоматически выполняется при запуске Word.
·          Автомакрос.Выполняется, когда происходит определенное событие, например открытие илизакрытие документа, создание нового документа шп завершение работы Word.
·         Командный макрос.Если находящийся в глобальном файле макросов ил; связанный с текущим документоммакрос имеет имя, совпадающее с названием команды Word, он будет выполняться при каждом вызове этойкоманды(например, команды FileSave)пользователем.
Обычно распространение макровируса происходит следующимобразом. Автомакрос или командный макрос вставляется в документ Word, который передается в компьютернуюсистему по электронной почте или с внешнего носителя информации. В какой-томомент после открытия документа макровирус начинает выполняться. Он копируетсвой код в глобальный файл макросов. При следующем запуске Word становится активным инфицированныйглобальный файл макросов. При выполнении макрос может размножаться и выполнятьдействия, наносящие вред системе.
В современные версии Word встроена защита от макровирусов. Microsoft предоставляет в распоряжениепользователя средство защиты от макровирусов, выявляющее подозрительные файлы Word и предупреждающее пользователя обопасности, связанной с открытием файлов, содержащих макросы. Ведущиеразработчики антивирусных программ тоже создали средства для обнаружения иудаления опасных макровирусов. Однако, как и в случае любых других вирусов,борьба в области макровирусов продолжается и не всегда в лучшую сторону.

2.3.3 Виды антивирусной защиты
Идеальным решением проблемы вирусов является предотвращениеинфицирования: не следует допускать начального проникновения вируса вкомпьютерную систему. Этой цели в общем достичь невозможно, хотя предпринятыепревентивные меры могут снизить число успешно завершенных вирусами атак. Почтиидеальный подход должен обеспечивать выполнение следующих требований.
·         Обнаружение. Еслизаражение произошло, оно должно быть немедленно обнаружено с установлениемместа обитания вируса.
·         Идентификация.Как только заражение вирусом обнаружено, необходимо идентифицировать типвируса, инфицировавшего программу.
·         Удаление. Кактолько вирус идентифицирован, следует удалить все следы вируса изинфицированных программ и восстановить программы в их исходный вид. Важноудалить вирус из всех инфицированных систем, чтобы болезнь не распространяласьдальше.
Если вирус обнаружен, но его не удается идентифицировать илиудалить из системы, альтернативой является удаление инфицированной программы споследующей ее новой загрузкой с резервной копии.
Технологии разработки вирусов и антивирусов идут рука обруку. Первые вирусы представляли собой сравнительно простые фрагменты кода имогли быть удалены с помощью относительно простых антивирусных программ. Помере усложнения вирусов антивирусное программное обеспечение тоже становилосьвсе сложнее и изощреннее.
В [22] антивирусные программы разделяются на четырепоколения.
·         Первое поколение:обычные сканеры.
·         Второе поколение:эвристические анализаторы.
·         Третье поколение:мониторы.
·         Четвертоепоколение: полнофункциональные системы защиты.
Антивирусные программы-сканеры первого поколения дляидентификации вирусов использовали характерные для соответствующих вирусовсигнатуры. Вирусы могли содержать «групповые символы», но все копиивируса имели в основном одну и ту же структуру и неизменный код. Такиепрограммы-сканеры, использующие сигнатуры, могли обнаруживать только известныевирусы. Другой тип сканеров первого поколения предполагал поиск несоответствийтекущих значений длин файлов со значениями, сохраненными в специальной базеданных.
Сканеры второго поколения уже не ориентированы на конкретныесигнатуры. Вместо этого в них начали применять эвристический анализ, с помощьюкоторого можно было сделать вывод о возможном наличии в программе вируса. Однаиз разновидностей таких сканеров предполагала поиск в программе фрагментовкода, характерного для вирусов. Например, сканер мог искать начало циклашифрования, используемого полиморфным вирусом, и пытаться открыть ключшифрования. Получив ключ, сканер мог расшифровать тело вируса, идентифицироватьвирус, удалить его из программы и вернуть программу в рабочее состояние.
Другим подходом, применявшимся в антивирусных программахвторого поколения, была проверка целостности. С каждой программой можно связатьконтрольную сумму. Если вирус инфицирует программу, не меняя при этомконтрольной суммы, то проверка целостности обязательно это обнаружит. Чтобыпротивостоять вирусам, которые при заражении могут менять соответствующуюконтрольную сумму, можно использовать некоторую функцию хэширования сшифрованием. Ключ шифра хранится отдельно от программы, чтобы вирус не могсгенерировать новый хэш-код и зашифровать его. Использование функциихэширования с шифрованием вместо обычной контрольной не дает вирусу возможностимодифицировать программу таким образом, чтобы результат хэширования послеинфицирования не изменялся.
Программы третьего поколения представляли собой резидентныепрограммы, выявляющие вирусы по выполняемым ими действиям, а не по их структурев инфицированной программе. Преимуществом таких программ было то, что для нихне требовалось постоянно обновлять базу данных сигнатур и эвристик для всебольшего числа вирусов. Вместо этого достаточно было определить относительнонебольшой набор действий, характеризующих возможные проявления вируса.
Продукты четвертого поколения представляют собой пакеты,объединяющие в единое целое все существующие антивирусные технологии. Такойподход, помимо выполнения сканирования и наличия компонентов, позволяющихрегистрировать определенные действия вирусов, предполагает наличие средствуправления доступом, с помощью которых можно ограничить возможности вирусов попроникновению в систему и по внесению изменений в файлы с целью распространенияинфекции под видом обновления.
Вирусная война продолжается. С появлением пакетов четвертогопоколения появилась возможность построения всеобъемлющей стратегии антивируснойзащиты, являющейся неотъемлемой частью общих мероприятий по обеспечению защитыкомпьютерной системы.
2.3.4 Требования к антивируснойзащите КИС
Обычная корпоративная сеть включает в себя сотни рабочихстанций, десятки серверов, активное и пассивное телекоммуникационноеоборудование и, как правило, имеет очень сложную структуру. При этом стоимостьобслуживания такой сети катастрофически растет вместе с увеличением числаподключаемых объектов сети. Очевидно, расходы на антивирусную защиту являютсяне последним пунктом в списке общих расходов. Однако существует принципиальнаявозможность их снижения путем реализации централизованной установки, управленияи обновления всем антивирусным комплексом защиты корпоративной сети.
Важно отметить, что при начальном построении системыантивирусной безопасности важно точно определить точки, которые мы будемзащищать и свести огромную архитектуру сети к четкой функциональной модели.
Пример простейшей функциональной модели приведен на рисунке2.4.
/>
Рисунок 2.3. Функциональная модель корпоративной сети
На данной модели не показан, например, сервисный и сетевойуровень, т.е. если имеется необходимость обеспечения антивирусного контроля наданных уровнях автоматизированной системы, то необходимо добавить их вфункциональную модель.
Взглянув на конкретную функциональную модель, становится,очевидно, что антивирусную безопасность в данной корпоративной сети необеспечить за счет антивирусов устанавливаемых на рабочих станциях и серверах.Да, бесспорно, есть решения, включающие несколько антивирусных продуктов (дляразных точек проникновения), но нет одного продукта, который бы могконтролировать все участки корпоративной сети [25].
При таком положении дел важно помнить о централизованномконтроле и управлении всеми антивирусными продуктами, которые используются напредприятии.
Необходимо, чтобы администратор мог с единой консолиотслеживать все точки проникновения вирусов и, эффективно управлять всемиприсутствующими в сети предприятия точками антивирусной защиты. В нынешнихусловиях развития вирусной индустрии, отсутствие подобного рычага у администратораприведет в лучшем случае к потере контроля над несколькими объектами сетипредприятия (устаревшие базы вирусных сигнатур, отключенный режим сканированияв реальном времени, вообще не установленное антивирусное ПО), а в худшем – кпотере контроля вообще над частью системы антивирусной защиты. И, как правило,это происходит в момент появления новой уязвимости и в то же время червя,который использует данную уязвимость – так называемая угроза «Zero-day» [25].
Сложность создания комплексного централизованного управленияи является нелегкой задачей для успешного создания эффективных корпоративныхсистем антивирусной защиты, что, в конечном счете, и приводит к столь вероятнойугрозе проникновения компьютерных вирусов в корпоративные сети.
Для того, что бы окончательно определиться – какой должнабыть система антивирусной защиты КИС, необходимо задуматься, что еще должно входить в ее функциональность. Для начала используем те требования, которыепредъявляет к подобным системам международный, наиболее авторитетный, стандартв области управления информационной безопасностью – ISO 17799 [10].
Если проанализировать данный стандарт, то можно выделить рядтребований, предъявляемых к самой системе антивирусной безопасности и кнеобходимым возможностям по управлению данной системой:
·         многоплатформенность;
·         отказоустойчивость;
·         масштабируемость,интегрируемость и возможность централизованного управления и обновления;
·         работаантивирусных средств в режиме реального времени и по расписанию;
·         оценкананесенного ущерба и восстановление системы:
Øобнаружение и уничтожение опасныхостатков вирусов, в том числе и ликвидация изменений в системах, выполненныхвредоносным кодом;
Øвыявление незащищенных объектов сетии обеспечение немедленной их защиты;
Øподробные, разноуровневые (например,отчеты для технических специалистов в данной области, для техническихменеджеров (руководителей) и отчеты для руководителей высшего звена) отчеты, поработе всего антивирусного комплекса
·         контроль наджизненным циклом эпидемии и своевременное информирование персонала;
·         способностьперекрывать все потенциальные каналы проникновения вирусов в корпоративнуюсеть;
·         предоставлениякомплексного решения для гетерогенной корпоративной сети.
Безусловно, в любом из общих стандартов по информационнойбезопасности, невозможно полностью отразить все требования, для каждой изподсистем защиты, вследствие чего, существует необходимость в дополнении иболее подробном описании каждого из указанных выше требований.
Конечно, есть требования (может быть даже субъективные),которые не описаны стандартами, но на них всегда обращают при построении любойиз корпоративных систем. В первую очередь идет речь, например, опроизводительности и удобности эксплуатации антивирусных решений. Конечно,данные требования никто в стандарт по безопасности вносить не будет, но онисуществуют и играют не последнюю роль при выборе конкретных решений. Список ираскрытие этих требований перечислены ниже [25].
Стоимость решения
Конечно, стоимость довольно часто играет одну из главныхролей при выборе решения, ведь это прямые затраты, которые должны обеспечитьнадежное функционирование всей корпоративной сети предприятия. При этом многиеупускают из виду то, что все антивирусные решения продаются на ограниченныйпериод времени, затем необходимо или обновлять лицензии, или продлеватьтехническую поддержку (что на практике, в общем-то, одно и то же). В конечномсчете, довольно привлекательное решение в ценовом варианте, может оказатьсязначительно дороже конкурентных предложений.
Лицензионная политика производителя
Очень важно сразу обратить внимание на лицензионную политикупроизводителя. Некоторые из производителей до сих пор в продукты,предназначенные для сегмента корпоративных предприятий, включают «License ForceCheck». И может оказаться так, что, купив какое-то количество лицензий,антивирус откажется защищать все объекты сети вашего предприятия, т.к. ихокажется чуть больше, вследствие использования каких-либо служебных почтовыхящиков или временных тестовых стендов.
Эффективность обнаружение вирусов
Достаточно важна, поскольку напрямую оправдывает финансовыезатраты на приобретение и эксплуатацию антивирусного ПО.
Обнаружение вредоносного кода любого типа
Безусловно, на данный момент практически отсутствуютантивирусы, которые не обнаруживают весь спектр вредоносного кода. Но, тем неменее, необходимо обращать на это внимание, например, антивирус,устанавливаемый для защиты Lotus Domino, должен обладать возможностьюблокирования скриптов, позволяющих выполнить неавторизованные действия от именипользователя.
Производительность
Если антивирусная защита «конфликтует» с производительностьюсистемы, доставкой почты или другими ключевыми аспектами современного процессаделового общения, у конечного пользователя появляется желание ее отключить.Вследствие чего, в любом случае рекомендуется перед полноценным внедрениемантивирусной системы выполнить «пилотное» тестирование на небольшом участкесети.
Готовность быстрого реагирования на появление новых угроз
Никто не станет отрицать, что одно из важных свойств продукта(а точнее производителя) – способность своевременно и быстро реагировать напоявление новых угроз.
Управляемость всем антивирусным комплексом
Возможность централизованного администрирования антивирусногопрограммного обеспечения чрезвычайно актуальна, так как нельзя полагаться нато, что конечные пользователи будут поддерживать работоспособность и обновлениеантивирусной защиты на своих рабочих станциях. При этом бывает так, что врезультате системного сбоя (не обязательно самого антивирусного ПО) происходитсбой системы обновления. А это уязвимость во всей системе. Даже подобныеединичные случаи, среди сотен защищаемых объектов могут привести к непоправимымпоследствиям.
Управление антивирусной защитойудаленных пользователей
Сейчас появилось большое количество пользователей, которыевыполняют свою работу дома, подключаясь к ресурсам корпорации удаленно,создавая тем самым новые точки проникновения вирусов. Поэтому администраторунеобходимо поддерживать их на том же уровне антивирусной защиты, что илокальных пользователей.
Автоматическое распространение и обновление
Сегодня администраторы могут быть ответственны за сотнирабочих станций и десятки различных сегментов сети предприятия, проверитькаждый объект сети самостоятельно невозможно. Поэтому понятно требованиеадминистратора, который хочет при помощи антивирусного ПО автоматизироватьпроцесс распространения и обновления. При этом максимально минимизироватьтрафик и время распространения обновлений.
Централизованное уведомление и оповещение
Если администратор антивирусной системы не сможет получитьмгновенную единую картину всех уязвимых точек сети, то они могут упустить извиду потенциальную и, как правило, реальную вирусную атаку.
Удобность администрирования
Если администратор сам является удаленным пользователем,интерфейс броузера (как административной консоли) дает ему возможностьадминистрирования всего предприятия независимо от своего местонахождения. Приэтом Web интерфейс оказывается наиболее привычным, по сравнению с обычным GUIинтерфейсом, т.к. довольно часто дизайнерские способности производителейантивирусов оставляют желать лучшего. А Web интерфейс достаточно прост иудобен.
Возможность четкой и детальной настройки антивирусной системы
Что отличает антивирусное программное обеспечение длякорпоративного использования, от программного обеспечения для домашнегоиспользования – необходимость в наличие большей детализации настроек. Этосвязано с тем, что требования для разных объектов сети зачастую сильноразнятся. К сожалению, многие антивирусные производители не считают необходимымрасширять возможности по настройке всего комплекса.
Таким образом на сегодняшний день вирусные угрозыпредставляют для современных КИС наибольшую опасность. Это показуют иисследования статистики нарушений и мнение экспертов в этой области. Из этогоможно сделать вывод что обеспечение должного уровня антивирусной защита всовременных КИС должно являться неотъемлемой частью общей программы защиты ипроблемы вирусной активности должны решаться в первую очередь для обеспечениядолжного уровня гарантий безопасности.

2.4 VPN решения
2.4.1Варианты реализации VPN
Широкое распространение глобальных сетей передачи данныхпредоставляет возможность объединять территориально разбросанные локальные сетиорганизаций для создания так называемых частных виртуальных сетей (VPN). Глобальные сети в этом случаевыступают как транспортный компонент, объединяющий локальные сети в единуюинформационно-вычислительную систему. Создание VPN велось и до стремительного роста глобальных сетей,однако для их объединения служили выделенные каналы передачи данных, чтоприводило:
·         к высокойстоимости аренды выделенных каналов связи;
·         к жесткойпривязанности к местоположению. Например, в случае переезда офиса компании с развернутымсегментом локальной сети, связанным выделенным каналом с общей сетьюпредприятия, возникали дополнительные проблемы с последующим подключениемлокальной и общей сетей.
/>
Рисунок 2.4.Территориально-распределенная КИС основанная на технологии VPN.
Использование коммутируемых каналов глобальных сетей передачиданных позволило добиться гибкости, масштабируемости и универсальности при построенииVPN. Кроме того, расширение Internet позволило многим компаниям перевестичасть персонала на домашний режим работы. В этом случае сотрудник имеетпостоянную связь с фирмой в рамках, например, системы электронногодокументооборота, при этом проблемы связи его с сетью офиса решаютсяпосредством провайдеров.
Необходимость в обеспечении безопасности сетей на основепротокола IP постоянно возрастает. В современном, сильно связанном мире бизнесапри наличии Интернета, интрасетей, дочерних отделений и удаленного доступакритически важная информация постоянно перемещается через границы сетей. Задачасетевых администраторов и других специалистов информационных служб состоит втом, чтобы этот трафик не допускал:
·         модификациюданных во время их передачи по каналам,
·         перехват,просмотр или копирование,
·         доступ к даннымсо стороны неавторизованных пользователей.
Указанные проблемы известны как обеспечение целостностиданных, конфиденциальности и аутентификации. Кроме того, необходима защита отвоспроизведения информации.
Для решения проблемы передачи информации через открытыеканалы интернет используют VPNрешения. VPN- это объединение ряда локальных сетей, подключенных к сети общегоназначения, в единую виртуальную (логически выделенную) сеть. VPN средства организовывают защищенныйтуннель между двумя точками средствами криптографии. При этом они предоставляютширокие возможности по выборам алгоритмов аутентификации, шифрования и проверкицелостности потока данных [27].
При использовании VPN ресурсы компании могут быть легко консолидированы и употреблены сбольшей эффективностью. По причине того, что VPN может работать по сети интернет, у компании невозникнет значительных затрат связанных с покупкой дополнительного оборудованияи арендой линий связи. Использование выделенных (арендованных) линий связиможет привести к повышению издержек до сотен тысяч долларов, а такие затратывесьма сложно оправдать.
К тому же главным достоинством VPN является возможность обеспечения безопасностимножества коммуникационных потоков посредством одного механизма. При VPN- соединении web, e-mail, ftp, интернет-видеоконференции и любые другие потокиданных, использующие протокол TCP/IP, защищены от любопытных глаз. Болееконкретно – потоки информации защищены от нежелательных получателей сиспользованием криптографических методов.
С помощью VPNможно избежать ряда угроз. VPNобеспечивает целостность и конфиденциальность данных путем шифрования а такжеих аутентификацию при помощи использования специальных протоколов и схемаутентификации.
Также средства VPN засчет скрытия информации относящейся к транспорту IP пакетов защищены от ряда сетевых атак, таких как IP-spoofing и hijacking, также они защищены от атак типа man-in-the-middle [28].
Конечно в реализации самого ПО для создания VPN или его аппаратной реализации могутбыть уязвимости но как правило на практике используются проверенные временемрешения известных разработчиков, которые выпускают постоянные обновления изаплатки для своих продуктов.
Основные требования, которые должны выполнять решения VPN, следующие :
·         Аутентификацияпользователя. Средстводолжно аутентифицировать удаленного VPN-клиента и предоставлять доступ толькоавторизованным пользователям. Оно также должно обеспечивать политику аудита дляпросмотра активности пользователей: кто, когда и на сколько подключался.
·         Управление IPадресами. Средство VPN должно выдавать адреса из подсети и давать гарантию чтоэти адреса не раскроются.
·         Шифрованиеданных. Данные передаваемые по публичным сетям должны быть нечитаемыми.
·         Управлениеключевой информацией. VPN-средство должно генерировать ключи для шифрования иобновлять их с определенной периодичностью.
Можно выделить четыре основных варианта построения сети VPN,которые используются при создании корпоративных VPN сетей:
1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколькораспределенных филиалов одной организации, взаимодействующих по открытымканалам связи. Именно этот вариант получил широкое распространение во всеммире, и именно его в первую очередь реализуют компании-разработчики. Этотвариант представляет собой топологию сеть-сеть. В этой конфигурации каждый шлюзрасположен на конце сети и обеспечивает безопасность канала связи между двумя(или более) сетями. Конфигурация этого типа лучше всего подходит для соединениятерриториально разделенных локальных сетей. Основное преимущество даннойконфигурации заключается в том, что удаленные локальные сети в VPN прозрачныдля конечного пользователя. Фактически шлюзы VPN являются для пользователейусловными маршрутизаторами. Структуры сеть-сеть VPN могут быть использованы длясвязи внутренних сетей, как если бы они имели смежные каналы. Данные,передаваемые между сетями интранет, сохраняют конфиденциальность во времяпередачи. Эта схема применима также для внешних сетей (extranet) несколькихкомпаний, где каждая компания разделяет свои ресурсы только с партнерами побизнесу.

/>
Рисунок 2.5. Схема подключения сеть-сеть
2. Вариант «Client/Server VPN», который обеспечивает защитупередаваемых данных между двумя узлами (не сетями) корпоративной сети.Особенность данного варианта в том, что VPN строится между узлами,находящимися, как правило, в одном сегменте сети, например между рабочейстанцией и сервером. Такая необходимость очень часто возникает в тех случаях,когда необходимо создать в одной физической, несколько логических сетей.Например, когда требуется разделить трафик между финансовым департаментом иотделом кадров, которые обращаются к серверам, находящимся в одном физическомсегменте. Этот вариант похож на технологию VLAN, которая действует на уровневыше канального.
/>
Рисунок 2.6. Подключение к сети VPN двух стационарных компьютеров
3. Вариант «Extranet VPN» предназначен для тех сетей, кудаподключаются так называемые пользователи со стороны, уровень доверия к которымнамного ниже, чем к своим сотрудникам. Примером Extranet VPN являетсяобъединение сетей различных корпорация для ведения совместной деятельности.
4. Вариант «Remote AccessVPN», позволяющий реализовать защищенное взаимодействие между сегментомкорпоративной сети (центральным офисом или филиалом) и одиночным пользователем,который подключается к корпоративным ресурсам из дома (домашний пользователь)или через notebook (мобильный пользователь). Данный вариант отличается тем, чтоудаленный пользователь, как правило, не имеет «статического» адреса и
подключается к защищаемому ресурсу не через выделенноеустройство VPN, а напрямую с собственного компьютера, где и устанавливаетсяпрограммное обеспечение, реализующее функции VPN. Простой способ обеспечитьмобильным пользователям возможность соединения с корпоративной сетью даетвиртуальная защищенная сеть, или структура, хост-сеть VPN. В конфигурации такого рода каждый хост независимосвязывается с локальной сетью через шлюз VPN. Каждый хост аутентифицируется, и для негоорганизуется VPN-туннель. Мобильный хост может бытьприсоединен любым способом, будь то коммутируемая линия (dial-up), соединение с локальной сетью или беспроводное соединение.
Структура хост-сеть оправдана в случае удаленного доступа.Мобильный пользователь может иметь программное обеспечение VPN на своем портативном компьютере исоединяться с внутренней вычислительной сетью через шлюз VPN. Эта схема VPN может быть использована и для сотрудников, работающихдома (со своего домашнего компьютера). Медленный, но уверенный ростиспользования цифровых и кабельных модемов делает привлекательной возможностьработать из дома. VPN делает потокинформационного обмена конфиденциальным и нечитаемым до того момента, когда онпопадает в корпоративный шлюз VPN.
/>
Рисунок 2.7. Подключение к сети VPN удаленного пользователя2.4.2 Протоколы VPN
Широкое распространение VPN, построенных на основе глобальных сетей передачиданных, делает их уязвимыми по отношению к атакам потенциального нарушителя,поскольку такая конфигурация наследуют все уязвимости стека используемыхпротоколов. Наиболее актуально вопросы безопасности стоят для VPN, где в качестве транспортногопротокола используется TCP/IP, так как сети такого типа часто используются в Internet для передачи конфиденциальныхданных, пересылаемых в виде информационных пакетов по протоколам IP и/или IPX. Средства обеспечения информационной безопасноститрансформируют IP-пакеты,встраивая их внутрь других пакетов (инкапсуляция), которые затеммаршрутизируются через Internet. Таким образом, информационный поток трансформируется в другойинформационный поток (туннелирование). При этом шифруются не только поля данныхпередаваемого IP пакета, но и адресная часть, ислужебные поля данных.
Говоря о протоколах, используемых для передачи информации посетям VPN, следует отметить, что основными вэтих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протоколтрансляции канального уровня), Layer2 Tunneling Protocol (протокол туннелирования канальногоуровня), Point-to-Point Tunneling Protocol (протокол туннелирования точкаточка), а также протокол IP Security (IPSec), предложенный комитетом IETF.
В последнее время растет популярность технологии SSL VPN на базе протокола SSL\TLS,который используется для защиты соединений в WEB-броузерах.
Первые три спецификации известны под общим названиемпротоколов трансляции канального уровня, поскольку в соответствии с ними пакетыпротоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протоколаканального уровня (РРР), а уже затем передаются адресату по IP-сети. Хотя эти спецификации ипретендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации,проверки целостности каждого передаваемого пакета, а также средств управленияключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использованияпервых трех спецификаций для обеспечения безопасности информации при передаче врамках VPN необходимо применение дополнительныхсредств ее защиты.
Виртуальные частные сети на основе протокола SSL (SecureSockets Layer) предназначены для безопасного предоставления корпоративныхсетевых услуг любому авторизованному пользователю, который получает возможностьудаленного доступа к корпоративным ресурсам из любой точки мира, где имеетсяИнтернет и стандартный веб-браузер. Использование веб-броузера и встроенныхсистем шифрования SSL обеспечивает доступ к корпоративной сети с любыхудаленных устройств, например, через домашние ПК, интернет-киоски илибеспроводные устройства Wi-Fi, то есть из любой точки, включая и те, гдеустановка клиентского программного обеспечения VPN и создание соединений VPN спротоколом IPSec сопряжены с большими трудностями. Администраторы могутнастраивать параметры доступа к веб-сайтам и корпоративным приложенияминдивидуально для каждого пользователя. Кроме того, поскольку корпоративныемежсетевые экраны, как правило, поддерживают соединения по протоколу SSL,дополнительная настройка сети не требуется. В результате технология SSL VPNпозволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки.
2.4.3 Виды реализации VPN-устройств
Все продукты для создания VPN можно условно разделить на двекатегории: программные и аппаратные. Программное решение для VPN — это, какправило, готовое приложение, которое устанавливается на подключенном к сетиотдельном компьютере. Ряд производителей, такие как компании AxentTechnologies, Check Point Software Technologies и NetGuard, поставляютVPN-пакеты, которые легко интегрируются с программными межсетевыми экранами иработают на различных операционных системах, включая Windows NT/2000, SunSolaris и Linux. Поскольку для построения VPN на базе специализированногопрограммного обеспечения требуется создание отдельной компьютерной системы,такие решения обычно сложнее для развертывания, чем аппаратные. Созданиеподобной системы предусматривает конфигурирование сервера для распознаванияданного компьютера и его операционной системы, VPN-пакета, сетевых плат длякаждого соединения и специальных плат для ускорения операций шифрования. Такаяработа в ряде случаев может оказаться затруднительной даже для опытныхспециалистов. С другой стороны, программные решения для VPN стоят относительнонедорого. В отличие от них аппаратные VPN-решения включают в себя все, чтонеобходимо для соединения, — компьютер, частную (как правило) операционнуюсистему и специальное программное обеспечение. Ряд компаний, в том числе CiscoSystems, NetScreen и Sonic, предлагают целый спектр решений, которые могутмасштабироваться в зависимости от количества одновременных VPN-соединений, скоторыми предполагается работать, и ожидаемого объема трафика. Развертыватьаппаратные решения, безусловно, легче. Они включают в себя все, что необходимодля конкретных условий, поэтому время, за которое их можно запустить,исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратныхVPN-решений является гораздо более высокая производительность. К минусамаппаратных VPN-решений можно отнести их высокую стоимость. Еще один недостатоктаких решений состоит в том, что управляются они отдельно от других решений побезопасности, что усложняет задачу администрирования инфраструктуры безопасности,особенно при условии нехватки сотрудников отдела защиты информации.
Существуют также интегрированные решения, в которых функциипостроения VPN реализуются наряду с функцией фильтрации сетевого трафика,обеспечения качества обслуживания или распределения полосы пропускания.Основное преимущество такого решения — централизованное управление всемикомпонентами с единой консоли. Второе преимущество — более низкая стоимость врасчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаютсяотдельно. Примером такого интегрированного решения может служить VPN-1 откомпании Check Point Software, включающий в себя помимо VPN-модуля, модуль,реализующий функции межсетевого экрана, модуль, отвечающий за балансировкунагрузки, распределение полосы пропускания и т.д. Как правило, выбор VPN решения определяется тремяфакторами: размер сети, технические навыки, которыми обладают сотрудникиорганизации, и объем трафика, который планируется обрабатывать. Процессшифрования данных требует существенных вычислительных ресурсов и можетперегрузить компьютер, когда несколько VPN-соединений одновременно участвуют впередаче данных. В этом случае, чтобы разгрузить центральный процессор,возможно, придется установить специальные ускорительные платы.
Какой бы путь ни был выбран, все равно придется столкнуться спроблемой управления VPN-устройствами и поддержания согласованных правилбезопасности для VPN и межсетевых экранов в масштабах всей организации. Еслисотрудники не обладают достаточными навыками в этой области, можно доверитьсоздание виртуальной частной сети независимой компании, оказывающейсоответствующие услуги.
Следует также отметить, что использование VPN не являетсяповодом для отказа от специализированных средств безопасности. По статистике,до 80% всех инцидентов, связанных с информационной безопасностью, происходит повине авторизованных пользователей, имеющих санкционированный доступ вкорпоративную сеть, а это значит, что атака или вирус от такого пользователябудут зашифрованы и переданы наравне с безобидным трафиком [30]. Необходимоупомянуть еще одну особенность VPN — использование этой технологии снижаетпроизводительность сети, что обусловлено задержками установления защищенногосоединения между VPN-устройствами, задержками шифрования данных, задержкамиконтроля их целостности и увеличенным трафиком из-за использования болеедлинных заголовков пакетов.
В общем средства VPN позволяют осуществлять безопасную передачу данных по открытым каналамсвязи, при этом обеспечивая надежную криптографическую защиту данных отвсевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности ихнастройки, что требует определенного квалификационного уровня системногоадминистратора и знание технологии VPN и используемых протоколов.
2.5 Сервер обновлений ПО
В современных КИС численность рабочих станций уже давнопревысила цифру в 100 единиц. При всем этом перечень прикладного ПО, котороеиспользуется пользователями в КИС, также может быть довольно большим. Многие администраторысталкиваются с проблемой обновления ОС и приложений в локальной сети. Чтобыобеспечивать должный уровень безопасности ПО не должно содержать в себепотенциально опасных уязвимостей. Разработчики ПО при обнаружении уязвимостейсразу же выпускают к нему заплатки или патчи. Суть проблемы как раз изаключается в том, чтобы установить эти обновления на рабочие станции КИС. ПОможет иметь в себе встроенные средства обновления, а производители данного ПО,как правило, регулярно обновляют свои веб-сайты новыми версиями ПО. Но если всети насчитывается большое количество компьютеров, то обновление каждого из нихзаймет определенный процент времени администратора, а также повлечет большойрасход интернет трафика.
Для автоматизации процесса обновления, а также экономииресурсов компании используется специализированное ПО для централизованногообновления. Сервер обновлений скачивает все необходимые заплатки с определеннойпериодичностью на свой локальный диск, а рабочие станции для обновленияподключаются уже непосредственно к нему. Чаще всего эти средства обновлениярассчитаны на конкретную операционную систему или антивирусный продукт. Выгодытакого решения очевидны: экономия времени администратора, актуальная версия ПО,содержащая последние программные улучшения, обновленная база вирусовобеспечивающая защиту от всех известных вирусов.
К тому же централизованная система обновлений уменьшаетвероятность загрузки поддельных пакетов обновлений, измененных злоумышленникомс целью нарушения безопасности организации. Многие программы обновленияподдерживают проверку ЦП производителя для загружаемых пакетов и обеспечиваютзащищенный режим взаимодействия, исключая возможность подмены злоумышленникомсервера обновлений и самих пакетов обновлений.
Таким образом, централизованная система обновления ПО в КИСспособствует повышению уровня защищенности всей системы в целом, экономит времяадминистраторов и ресурсы компании. В то же время такие системы перекрываютмногие угрозы, такие как переполнение буфера, отказ в обслуживании и пр. Дляобеспечения должного уровня защищенности КИС в ней обязательно должнаприсутствовать система централизованного обновления ПО.
В разделе были описаны основные средства и технологии,применяемые в настоящее время для защиты КИС в сетевом аспекте. Конечно, кромеперечисленных решений может существовать и масса других, отличающихся своимихарактеристиками, реализацией или набором средств. Как раз и выбор оптимальногонабора средств является одним из вопросов, решаемых в данной дипломной работе.3Методика оценки эффективности средств защиты
3.1 Проблема выбора эффективного решения
Любая целенаправленная деятельность человека, начиная отбытовой и оканчивая профессиональной, представляет собой непрерывнуюпоследовательность принимаемых и реализуемых решений. Поэтому умение приниматьэффективные решения отличает высококвалифицированных специалистов и жизненноуспешных людей. Это обстоятельство определило давний и неугасающий интерес кразработке формальных методов, правил-алгоритмов, процедур, которым можнообучить, как альтернативы субъективному интуитивному искусству принятиярешений. В процессе исследований было установлено, что принимаемые решенияразличаются по значимости последствий, особенностям ситуаций, в которыхпринимается решение, степени полноты и точности исходной информации, но сформальной точки зрения имеют общую методологию и инструментарий реализации.При этом большинство формальных процедур принятия решений являетсяинвариантными предметной области.
Широкое распространение современной вычислительной техники,ее интенсивное использование во всех сферах как средства автоматизацииинтеллектуальной деятельности человека, придало дополнительный импульс изучениюи формализации процессов принятия решений. Они отличаются сложностью, возможнымипоследствиями, но с формальной точки зрения могут быть представлены однойобобщенной моделью, инвариантной конкретному содержанию проблемы принятиярешений. Анализ позволяет выделить следующие основные задачи обобщеннойпроцедуры принятия решения: [31]
·         формированиецели, ее анализ и формализация;
·         определениемножества возможных путей ее достижения (множества решений);
·         формирование оценки(меры) позволяющей сравнивать (ранжировать) возможные решения между собой покачеству;
·         выбор извозможного множества экстремального, т.е. наилучшего по качеству единственногорешения.
В теории принятия решений совокупность перечисленных задачобразует общую проблему принятая решений, третья называется задачей оценивания,а четвертая – задачей оптимизации.
Конечной целью решения общей задачи принятия решений являетсявыбор из допустимого множества решений X единственного наилучшего, т.е. экстремального по выбраннымчастным критериям решения
/>                                               (3.1)
Если задача однокритериальная, т.е. n=1, тоона имеет единственное решение, в случае если п>1, т.е. задача являетсямногокритериальной, ее однозначное решение можно получить только в частныхслучаях, а в общем случае задача не имеет единственного решения.
Выше было показано, что задача многокритериальной оптимизации(3.1) является некорректной, так как в общем случае не обеспечивает определенияединственного оптимального решения из допустимого множества X. Эта некорректность может быть устранена путем регуляризациизадачи, т.е. введением некоторой дополнительной информации. математическихсоотношений или правил, позволяющих обеспечить выбор единственного решения. Приреализации неконструктивного подхода источником регуляризационной информацииявляется ЛПР. Однако ЛПР данную информацию не формализует, а использует наинтуитивном уровне [31].
Общий подход к решению этой проблемы заключается втрансформации многокритериальной задачи в однокритериальную со скалярным критерием.Это обусловлено следующими двумя причинами. Во-первых, значение скалярногоколичественного критерия можно интерпретировать как точку на числовой оси, иранжирование таких точек не представляет затруднений, так как отношенияпредпочтения и эквивалентности превращаются соответственно в неравенство (>)и равенство (=). Во-вторых, все методы поиска экстремума ориентированы наскалярную функцию.
Существует несколько способов трансформациимногокритериальных оптимизационных задач в однокритериальные. Одним из этихметодов является метод главного критерия, который мы в дальнейшем используемдля решения оптимизационной задачи по оценке эффективности системы защиты.
Принцип базируется на выделении главного критерия и переводевсех остальных критериев в ограничения. Для этого проводится анализ конкретныхособенностей многокритериальной задачи, из множества частных критериеввыбирается один – самый важный, и он принимается в качестве единственногокритерия оптимизации. Для каждого из остальных частных критериев назначаетсяпредельное значение, ниже которого он не может опускаться. Таким образом, всечастные критерии, кроме одного превращаются в ограничения, дополнительносуживающие область допустимых решений X. Тогда исходная многокритериальная задача (3.1) превращается воднокритериальную вида
/>                                                    (3.2)
где /> -оптимизационный скалярный критерий; /> –наихудшие допустимые значения частных критериев -ограничений; знак">" используется для критериев, которые необходимомаксимизировать, а знак "
Вывод главного (оптимизационного) критерия и уровнейограничений для /> всех другихкритериев является субъективной операцией, осуществляемой экспертами или ЛПР.Следует отметить, что можно рассмотреть несколько различных вариантов исравнить результаты.
При реализации рассмотренного метода необходимо обращать особоевнимание на то. чтобы допустимое множество решений, заданное частнымикритериями – ограничениями, не оказалось пустым..
3.2 Критерии оценивания системы СЗИ
В любой области деятельности для выбора эффективной системы, этасистема должны характеризоваться некоторыми параметрами, на основании которых иделается выбор. В качестве таких параметров для СЗИ можно выделить следующие:производительность, стоимость, производительность, управляемость,совместимость, защищенность и пр. Как уже было отмечено выше, выбор оптимальнойсистемы по такому множеству ее характеристик является классической задачейоптимизации и не всегда может иметь эффективное решение. Тем более что многиепараметры противоречивы: с ростом уровня защищенности, например, растетстоимость, сложность настройки, в то же время падает производительность.Поэтому в нашей методике будет производиться оценка эффективности системы попараметру защищенности, как основного показателя, характеризующего уровеньобеспечиваемой защиты СЗИ, а на остальные характеристики вводятся ограничения.Будем оценивать защищенность системы (Z) количественно в зависимости от стоимостизащищаемой информации, вероятности взлома, стоимости самой системы защиты,производительности системы:
/>,
где Синф — стоимость защищаемой информации;
рвзл –– вероятность взлома;
Цсзи — стоимость СЗИ;
П — производительность системы.
С учетом введенного понятия защищенности системы оптимизационнаязадача состоит в обеспечении максимального уровня защищенности (как функциистоимости защищаемой информации и вероятности взлома) при минимальной стоимостисистемы защиты и минимальном влиянии ее на производительность системы:
Zopt= тахZ(Синф, рвзл, Цсзи, П).
С учетом сказанного может быть сделан важный вывод омногокритериальном характере задачи проектирования системы защиты. При этом,кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейшиххарактеристик системы. Например, обязательно должно учитываться влияние системызащиты на загрузку вычислительного ресурса защищаемого объекта.
В общем случае загрузка вычислительного ресурса определяетсяколичеством прикладных задач, решаемых объектом в единицу времени.
Исходные параметры для задачи проектирования системы защиты, атакже возможности сведения задачи к однокритериальной [32] проиллюстрированы рисунке. 3.1.
/>
Рисунок. 3.1. Критерии оценки защищенности
3.3 Оценка защищенности при помощи рисков
Рассмотрим защищенность системы с точки зрения риска. Заметим, чтоиспользование теории рисков для оценки уровня защищенности на сегодняшний деньявляется наиболее часто используемым на практике подходом. Риск (R) — это потенциальные потериот угроз защищенности:
R(p)= Синф*рвзл.
По существу, параметр риска здесь вводится как мультипликативнаясвертка двух основных параметров защищенности.
С другой стороны, можно рассматривать риск как потери в единицу времени:
R(l)=Синф*lвзл ,
где lвзл — интенсивность потока взломов (под взломом будемпонимать удачную попытку реализации угрозы информации).
Эти две формулы связаны следующим соотношением:
/>
где /> — общая интенсивность потоканесанкционированных попыток нарушения основных свойств информации злоумышленниками.
В качестве основного критерия защищенности будем использовать коэффициентзащищенности (D),показывающийотносительное уменьшение риска в защищенной системе по сравнению с незащищеннойсистемой.
/>,                                                                      (3.3)
где Rзащ – риск в защищенной системе;
 Rнез – риск в незащищенной системе.
Таким образом, в данном случае задача оптимизации выглядитследующим образом:
/>
Для решения этой задачи сведем ее к однокритериальной посредствомвведения ограничений. В результате получим:
/>
где Цзад и Пзад – заданные ограничения настоимость системы защиты и производительность системы.
Целевая функция выбрана исходя из того, что именно она отражаетосновное функциональное назначение системы защиты — обеспечение безопасностиинформации.
Производительность системы Псзи рассчитывается сприменением моделей и методов теории массового обслуживания и теории расписаний(в зависимости от того, защищается ли система оперативной обработки, либореального времени) [32]. На практике возможнозадание ограничения по производительности (влияние на загрузку вычислительногоресурса защищаемой системы) не непосредственно в виде требуемойпроизводительности системы, а как снижение производительности (dПсзи) информационной системы отустановки системы защиты. В этом случае задача оптимизации будет выглядетьследующим образом:
/>
или после сведения ее к однокритериальной:
/>
где Цзад и dПзад — заданные ограничения на стоимость системызащиты и снижение производительности.
Заметим, что на наш взгляд, именно такой принцип сведения задачи коднокритериальной целесообразен [32], т.к. в любом техническом задании на разработку системы защитыуказывается, в какой мере система защиты должна оказывать влияние напроизводительность системы. Как правило, внедрение системы защиты не должно снижатьпроизводительность системы более чем на 10%. Кроме того, обычно вводитсяограничение на стоимость системы защиты.
Если рассчитанное значение коэффициента защищенности (D) не удовлетворяеттребованиям к системе защиты, то в допустимых пределах можно изменять заданныеограничения и решить задачу методом последовательного выбора уступок примеркоторого будет рассмотрен ниже. При этом задается приращение стоимости иснижение производительности:
Ц*зад = Цзад + DЦ ,
П*зад = Пзад — DП или dП*зад = dПзад + DdП.
В таком виде задача решается в результате реализации итерационнойпроцедуры путем отсеивания вариантов, не удовлетворяющих ограничительнымусловиям, и последующего выбора из оставшихся варианта с максимальнымкоэффициентом защищенности.
Теперь выразим коэффициент защищенности через параметры угроз. Вобщем случае в системе присутствует множество видов угроз. В этих условияхзададим следующие величины:
W – количество видов угроз, воздействующих на систему;
/>– стоимость (потери) от взлома i-того вида;
/>– интенсивность потока взломов i-того вида,соответственно;
/>– вероятность появления угроз i-того вида в общем потокепопыток реализации угроз, причем />;
/>– вероятность отражения угроз i-того вида системойзащиты. Соответственно, для коэффициента потерь от взломов системы защитыимеем:

/>,
где Ri(p)– коэффициент потерь от взлома i-того типа; показывает, какие в среднем потери приходятся наодин взлом i-тоготипа. Для незащищенной системы Pугр i = Qi, для защищенной системы
Pугр i = Qi*(1-pi).
Соответственно, для коэффициента потерь от взломов системы защитыв единицу времени имеем:
/>,
где /> – коэффициент потерь отвзломов i-того типа в единицу времени.
Для незащищенной системы />, для защищенной системы />. Соответственно, из(3.3) имеем:
/>.                                   (3.4)
Если в качестве исходных параметров заданы вероятности появленияугроз Qi то коэффициент защищенности удобно считать через вероятностипоявления угроз. Если же в качестве исходных параметров заданы интенсивностипотоков угроз li, то, естественно, коэффициент защищенностисчитается через интенсивность.
Очевидно, что при использовании любого математического методапроектирования системы защиты необходимо задавать определенные исходныепараметры для оценки ее защищенности. Однако именно с этим связаны основныепроблемы формализации задачи синтеза системы защиты. Поэтому мы отдельнорассмотрим основные пути решения данной задачи, рассмотрим возможные способызадания вероятностей и интенсивностей угроз.
3.4 Задание входных параметров системы для методики
3.4.1 Способы задания интенсивностей и вероятностей угроз
Основной проблемой проведения количественной оценки уровнязащищенности является задание входных параметров для системы защиты —вероятностей и интенсивностей угроз. Рассмотрим возможные способы заданиявероятностей и интенсивностей угроз.
1.Метод статистической оценки li(Qi) и pi.
Основным способом задания интенсивностей потоков угроз li (вероятностей угроз Qi ) и вероятностей взломов piявляется получение этихзначений на основе имеющейся статистики угроз безопасности информационныхсистем, в которых реализуется система защиты. Если существует статистика дляаналогичной информационной системы, то задавать исходные параметры для оценкизащищенности можно на ее основе. При этом желательно, чтобы сходныеинформационные системы эксплуатировалась на предприятиях со сходной спецификойдеятельности.
Однако при практической реализации такого подхода возникаютследующие сложности. Во-первых должен быть собран весьма обширный материал опроисшествиях в данной области. Во-вторых данный подход оправдан далеко невсегда. Если информационная система достаточно крупная (содержит многоэлементов, расположена на обширной территории), имеет давнюю историю, топодобный подход, скорее всего, применим. Если же система сравнительно невеликаи эксплуатирует новейшие элементы технологии (для которых пока нет достовернойстатистики), оценки угроз могут оказаться недостоверными
Заметим, что статистика угроз периодически публикуется достаточноавторитетными изданиями, т.е. всегда существуют исходные данные дляиспользования данного подхода для большинства приложений средств защитыинформации. Обычно эта статистика доступна в Интернете на сайтахспециализированных организаций.
Если же необходимая статистика по угрозам безопасностиотсутствует, то можно воспользоваться одним из других подходов, описанныхдалее.
2.Оптимистически-пессимистический подход. В рамках данного подходапредусмотрено два разных способа.
Первый способ — это способ равных интенсивностей «li = a, a = const. При этом способе длярасчета защищенности константа а может быть выбрана любой. В формуле (3.4) онабудет вынесена за скобки и в конечном итоге сократится, так что защищенность вданном случае будет зависеть только от потерь:
/>(3.5)
Второй способ — это способ пропорциональности потерям
li = a*Ci, a = const. При этом способепредполагается, что чем больше потери от взлома, тем чаще осуществляютсяпопытки несанкционированного доступа к этой информации. То есть интенсивностипотоков угроз прямо пропорциональны потерям. В этом случае защищенность будетзависеть от квадрата потерь:
/>(3.6)
3. Метод экспертной оценки. Экспертная оценка исходных параметровдля расчета защищенности может осуществляться с использованием так называемой дельфийскойгруппы. Дельфийская группа — это группа экспертов, созданная в целях сбораинформации из определенных источников по определенной проблеме.
При этом необходимо задать лингвистический словарь возможныхоценок экспертов, определить набор вопросов и условных значений квалификацийотдельных экспертов. После определения всех входных переменных производитсяпоочередный опрос каждого эксперта. После опроса всех экспертов с учетом ихквалификации определяется общая оценка группы и согласованность (достоверность)ответов для каждого вопроса.
Эксперт оценивает эффективность (вероятность) отражения угрозэлементами защиты рi и вероятность появления угроз Qi Вероятности экспертзадает лингвистическими оценками: отлично, хорошо, удовлетворительно, плохо, неотражает; вероятно, близко к нулю, близко к единице, весьма вероятно и т.п.Затем эти лингвистические оценки при помощи словаря переводятся в числа рi и Qiв диапазоне [0; 1]. Вприложении А описываются дополнительные методы экспертных оценок.
Для задания вероятности появления угрозы возможна оценкавероятности появления угрозы i-того вида в общем потоке угроз:
/>
Исходя из заданной квалификации экспертов, рассчитываются их веса(значимость) в группе по формуле:
/>
где Se — квалификация эксперта, задаваемая в некотором диапазоне,например, от 0 до 10 в зависимости от опыта, образования и других качествэксперта.
Затем оценки суммируются с учетом весов экспертов:
/>
где рie и Qie – оценка вероятностей отражения и появления
 угроз, сделанные одним экспертом;
 ke – «вес» эксперта в группе.
После расчета общей оценки всей группы рассчитываетсясогласованность ответов, которая может использоваться для оценки достоверностирезультатов. Согласованность рассчитывается при помощи среднеквадратическогоотклонения и выражается в процентах.
Максимальная согласованность достигается при одинаковыхзначениях оценок экспертов и в этом случае равняется 100%. Минимальнаясогласованность достижима при максимальном разбросе оценок экспертов.

3.4.2 Способы задания стоимости информационныхресурсов
Важнейшей характеристикой защищаемого объекта (как следствие,и системы защиты) является стоимость потерь от взлома. Рассмотрим возможныеспособы задания стоимости потерь. Методпозволяет установить ценность ресурсов. Ценность физических ресурсов в данномметоде зависит от цены их восстановления в случае разрушения. Ценность данных ипрограммного обеспечения определяется в следующих ситуациях:
·         недоступностьресурса в течение определенного периода времени;
·         разрушениересурса — потеря информации, полученной со времени последнего резервногокопирования, или ее полное разрушение;
·         нарушениеконфиденциальности в случаях несанкционированного доступа штатных сотрудниковили посторонних лиц;
·         модификацияданных — рассматривается для случаев мелких ошибок персонала (ошибки ввода),программных ошибок, преднамеренных ошибок;
·         наличие ошибок,связанных с передачей информации: отказ от доставки, недоставка информации,доставка по неверному адресу.
Для оценки возможного ущерба рекомендуется воспользоватьсянекоторыми из перечисленных критериев:
·         ущерб репутацииорганизации;
·         нарушениедействующего законодательства;
·         ущерб дляздоровья персонала;
·         ущерб, связанныйс разглашением персональных данных отдельных лиц;
·         финансовые потериот разглашения информации;
·         финансовыепотери, связанные с восстановлением ресурсов;
·         потери, связанныес невозможностью выполнения обязательств;
·         дезорганизациядеятельности.
1.Стоимость похищенной/искаженной/утерянной информации.
Исходные данные:
ci[грн./бит]удельнаяцена информации;
v[6um/c]скоростьполучения/искажения/уничтожения информации;
t[c]… время нахождения субъекта в системе;
Vi[6um]объем информации.
Сi =min(ci*v*tj ,ci*Vi).
2.Затраты от невозможности получения доступа к информации.
Исходные данные:
ci[грн./бит]удельнаяцена недоступности информации;
t[c]время восстановления системы.
Сi =ci*t.
Чтобы точнее определить ущерб в результате реализации угрозинформации необходимо прибегнуть к некоторой классификации угроз и выделить тотпринцип классификации который в большей мере характеризует стоимость потерь.
Существуют различные классификации угроз:
Ø  попринципам и характеру воздействия на систему;
Ø  поиспользуемым техническим средствам;
Ø  поцелям атаки и т.п.
Очевидно, что стоимость потерь Сi удобнее задавать дляугроз, классифицированных по целям атаки. Что касается характеристикиинтенсивности угроз, то она определяется с помощью средств аудита и сетевогомониторинга, которые различают угрозы по принципам и характеру воздействия насистему (механизму атаки, способу проникновения). Вероятность отражения угрозысредствами защиты рi определяется в соответствии с теми механизмами,которые реализованы в каждом средстве. Причем каждый из механизмов в общемслучае может отражать несколько видов атак.
Такимобразом, необходимо задавать соответствие между всеми этими параметрами (см.рисунок. 3.2). Для успешного приведения в соответствие различных параметровоценки защищенности необходимо корректное построение модели нарушителя. В этоймодели должны быть отражены практические и теоретические возможностинарушителя, его априорные знания, время и место действия.
/>
Рисунок 3.2. Взаимозависимость параметров защиты
Задание соответствия между стоимостью потерь и интенсивностьюугроз можно осуществлять следующим образом:
1.Статистический подход. Статистический подход является основным,как обладающий большей достоверностью. Из анализа статистики можно выявитьвероятности нанесения определенных видов ущерба при определенных видах взломов.Однако на практике далеко не всегда подобная статистика существует, вчастности, при внедрении новых технологий защиты информации, новых версий ОСили приложений и т.д., т.к. для ее сбора требуется некоторое время. В этомслучае может использоваться пессимистический подход.
2.Пессимистический подход. Если не имеется достаточной статистики,можно воспользоваться другим способом. Будем считать, что при проникновении всистему злоумышленник наносит наибольший вред, какой он только может причинить.
Именно этот подход мы используем для определения стоимости потерьв случае реализации хотя бы одной из угроз. К тому же, как показывает практика,при преодолении злоумышленником хотя бы одного из барьеров защиты, общийуровень защищенности всей системы резко снижается, что может привести к ееполной компрометации. Исходя из этих убеждений наш подход к оценке ущербавполне обоснован, и уровень потерь будет равен максимальному при любых видахатак и нарушений.
При задании соответствия между интенсивностью угроз и вероятностьюих отражения нужно учитывать, что, если в системе реализовано несколькомеханизмов, отражающих некоторую атаку, вероятность преодоления защитырассчитывается следующим образом.
Если pk есть вероятность отражения i-той угрозы каждымсредством защиты, то вероятность взлома системы />будет:
/>,
а вероятность отражения угрозы системой защиты
/>.
3.5 Метод уступок при выборе оптимального варианта защиты
Качественная зависимость изменения основных параметров,характеризующих систему защиты, от ее сложности — используемого наборамеханизмов защиты, представлена
на рисунке 3.3. Проанализировав характер зависимостей от сложностисистемы, можем сказать, что стоимость системы защиты возрастает неограниченно,а производительность снижается в пределе до нуля.
В то же времякривая коэффициента защищенности (D) стремится к предельному значению – к единице(100%) и в некоторый момент достигает насыщения. Это в свою очередь приводит ктому, что при дальнейшем нарастании сложности (и, соответственно, увеличениицены, а также снижении производительности) увеличение коэффициента защищенностипроисходит незначительно.
Следовательно,при проектировании системы защиты, параметры защищенности которой расположены вобласти насыщения, целесообразно проанализировать параметры альтернативныхвариантов. То есть целесообразно исследовать возможность использования менеесложных систем защиты и, задав некоторый промежуток снижения коэффициентазащищенности (dD), выбрать систему, уровень защищенности которой удовлетворяетполученному (D-dD). Конечно, если таковыеимеются. При этом может быть получен ощутимый выигрыш в цене и производительности.
/>
Рисунок 3.3. Примерприменения метода последовательного выбора уступок
В этом исостоит применение известного метода последовательных уступок при выбореоптимальной системы защиты. Этот метод, как уже упоминалось, подразумеваетсведение многокритериальной задачи оптимизации к однокритериальной.
Методпоследовательных уступок представляет собою итерационную человеко-машиннуюпроцедуру, используя которую разработчик, давая допустимые приращения однимпараметрам (в частности, задавая снижение коэффициента защищенности),анализирует изменение других, принимая решение о допустимости вводимых уступок.
Таким образом, весь процесс анализа уровня безопасностиусловно можно разделить на этапы сбора и анализа полученных данных имодификации параметров системы защиты.
3.6 Описание пошаговой методики
Оценка защищенности с учетом приведенных выше расчетныхформул и выбор оптимального варианта системы защиты (необходимого наборамеханизмов защиты) осуществляется следующим образом:
1.        Расчетпараметров Сi, li, рi. для оценки защищенности по исходным данным,полученным статистическим или, в случае недостатка статистики, одним изприведенных выше способов (оптимистически-пессимистический подход, методэкспертной оценки).
2.        Расчеткритериев защищенности D, ЦС3И, ПСЗИ (dПСЗИ) для каждого варианта системызащиты (набора механизмов защиты).
3.        Выборсистемы защиты (набора механизмов защиты при разработке системы) с максимальнымкоэффициентом защищенности D, удовлетворяющей ограничениям по стоимости ЦС3И ипроизводительности ПС3И.
4.        Анализизменения коэффициента защищенности dD при задании приращенийдля критериев ЦС3И и dПСЗИ методом последовательного выбора уступок соценкой целесообразности выбора системы, удовлетворяющей новым ограничениям.
Для получения более точных данных приближенных к реальности ив большей степени соответствующих специфике организации, на первом этапе(подготовительном), предшествующем этапу расчета параметров, требуется провеститщательное описание системы. Этот пункт является неотъемлемой частью многихмеждународных стандартов в области информационной безопасности. Его значимостьочевидна, т.к. чем лучше специалист знает объект который ему предстоитзащищать, тем более точную оценку он сможет получить[8].
На данном шаге описываются цели создания информационнойсистемы, ее границы, информационные ресурсы, требования в области ИБ икомпонентов управления информационной системой и режимом ИБ.
Описание информационной системы рекомендуется выполнять всоответствии со следующим планом:
·         аппаратныесредства ИС, их конфигурация;
·         используемое ПО;
·         интерфейсысистемы, то есть внешние и внутренние связи с позиции информационнойтехнологии;
·         типы данных иинформации;
·         персонал,работающий в данной ИС (обязанности);
·         миссия данной ИС(основные цели);
·         критичные типыданных и информационные процессы;
·         функциональныетребования к ИС;
·         категориипользователей системы и обслуживающего персонала;
·         формальныетребования в области ИБ, применимые к данной ИС (законодательство,ведомственные стандарты и т.д.);
·         архитектураподсистемы ИБ;
·         топологиялокальной сети;
·         программно-техническиесредства обеспечения ИБ;
·         входные ивыходные потоки данных;
·         системауправления в данной ИС (должностные инструкции, система планирования в сфереобеспечения ИБ);
·         существующаясистема управления в области ИБ (резервное копирование, процедуры реагированияна нештатные ситуации, инструкции по ИБ, контроль поддержания режима ИБ ит.д.).
·         организацияфизической безопасности;
·         управление иконтроль внешней по отношению к ИС средой (климатическими параметрами,электропитанием, защитой от затоплений, агрессивной среды и т.д.).
·         На втором шагеметодике при оценке стоимости СЗИ может использоваться 2 подхода:
1. Первый подход — назовем его наукообразным — заключается втом, чтобы освоить, а затем применить на практике необходимый инструментарийполучения метрики и меры безопасности, а для этого привлечь руководствокомпании (как ее собственника) к оценке стоимости защищаемой информации,определению вероятностей потенциальных угроз и уязвимостей, а такжепотенциального ущерба. Если информация не стоит ничего, существенных угроз дляинформационных активов компании нет, а потенциальный ущерб минимален — ируководство это подтверждает — проблемой ИБ можно, наверное, не заниматься.Если же информация стоит определенных денег, угрозы и потенциальный ущерб ясны,то понятны и рамки бюджета на корпоративную систему ИБ. Существенно, что приэтом становится возможным привлечь руководство компании к осознанию проблем ИБи построению корпоративной системы защиты информации и заручиться его поддержкой.В качестве такого подхода для оценки стоимости системы защиты можетиспользоваться данная методика без введения ограничений на параметр ЦСЗИ,а ориентироваться только на требуемый уровень защищенности [5].
2. Второй подход (назовем его практическим) состоит вследующем: можно попробовать найти инвариант разумной стоимости корпоративнойсистемы защиты информации. Ведь существуют аналогичные инварианты в другихобластях, где значимые для бизнеса события носят вероятностный характер.Поэтому эксперты-практики в области защиты информации нашли некий оптимум,позволяющий чувствовать себя относительно уверенно, — стоимость системы ИБдолжна составлять примерно 10-20% от стоимости КИС — в зависимости от уровняконфиденциальности информации. Это и есть та самая оценка на основепрактического опыта (best practice), накоторую можно положиться. Очевидно, что второй подход не лишен недостатков.Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемыИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенносэкономить на услугах внешних консультантов[4].
В данном разделе была описана пошаговая методика оценкисредств СЗИ. Описаны параметры, с которыми оперирует методика, методы ихполучения и оценки. Также был описан принцип оценки рисков, положенный в основуметодики и выведена формула для получения количественной оценки уровнязащищенности, обеспечиваемого СЗИ.
4. Применение методикиопределения уровня защищенности и обоснования эффективности средстВ защиты КИС
4.1 Описание защищаемой корпоративной системы
Разработанная нами методика позволяет оценить уровеньзащищенности КИС при определенном наборе средств СЗИ и, соответственно, оценитьэффективность средств СЗИ. Относительно КИС проведем оценку СЗИ по даннойметодике именно в аспекте сетевой защиты. Так как эта область ИБ является оченьдинамичной и требует к себе особого внимания.
Уровень защищенности и эффективность средств защиты будемоценивать для сети представленной на рисунке 4.1. Этот пример отражает в себекорпоративную сеть небольшого предприятия, с несколькими филиалами исотрудниками, работающими на дому с возможностью удаленного подключения к сети.
/>
Рисунок 4.1. Пример КИСнебольшого предприятия
Система состоит из следующих элементов:
·         точка доступа VPN для удаленного подключения к КИСсотрудников предприятия либо удаленных офисов;
·         межсетевой экранс поддержкой proxy и NAT;
·         IDS –система обнаружения вторжений;
·         сервер обновленийПО, клиентских ОС;
·         серверантивирусной защиты;
·         почтовыйкорпоративный сервер smtp иpop3.
·         внутренняялокальная сеть с рабочими станциями сотрудников отделов.
·         файл-сервер накотором хранятся документы отделов и информация общего пользования. Данныйсервер одновременно является контроллером домена Windows NT.
На компьютерах сотрудников установлена операционная система MS Windows 2000 SP4 споследним набором обновлений и стандартным ПО от Microsoft.входящим в комплект поставки ОС. Наконтроллере домена установлена ОС Windows 2003 Server.
Для данной сети защищаемая информация хранится как на локальных компьютерах пользователей поотделам, так и на файл-сервере. Причем с этими данными пользователи должныиметь возможность работать как в локальной сети, так и удаленно из дома или издругого филиала предприятия. Для оценки уровня критичности данного сервисаотметим сделаемпредположение, что 30процентов персонала компании, имеющие доступ к защищаемой информации работаютудаленно. Это обусловлено повышенной мобильностью персонала, частымикомандировками, а также с целью повышения общей продуктивности персонала многиесотрудники работают на дому.
Как уже говорилось в первом разделе, в данном примереопределения уровня защищенности КИС будет определяться только в сетевом аспекте,с защитой как отвнешнего так и о внутреннего злоумышленника.
4.2 Определение списка угроз для данной КИС
В первую очередь нам нужно оценить информационные угрозы,вероятности их отражения СЗИ, а также величину потерь в результате реализацииугроз. Для этого получения точных оценок требуется наиболее полное перечисленийугроз сетевой безопасности для описанной сети. Важно выявить и идентифицироватьполный список угроз, так как именно в этом случае будет получена точная оценка.Для перечня угроз можно использовать как стандарты в области безопасности,которые содержат в себе списки угроз и контрмер по защите от них, так и личныйопыт по защите в данной области. В большинстве случаев стандарты дают толькообщий список угроз, берущийся за основу и достаточный для базового уровнязащищенности. Для обеспечения более высоких требований к информационнойбезопасности этот список должен быть дополнен [5].
Применительно к конкретной системе этот список можетдополняться пунктами, характеризующими данную систему и составленных на основееё специфики, области ее деятельности предприятия, специфической моделинарушителя, и стоимости информации.
За основу списка взят список угроз из германского стандарта BSI [9]. Этот стандарт появился вГермании в 1998 г. как «Руководство по защите информационных технологий длябазового уровня защищенности». Можно выделить следующие блоки этого документа:
·         методологияуправления ИБ (организация менеджмента в области ИБ, методология использованияруководства);
·         компонентыинформационных технологий:
-   основные компоненты (организационныйуровень ИБ, процедурный уровень, организация защиты данных, планированиедействий в чрезвычайных ситуациях);
-   инфраструктура (здания, помещения,кабельные сети, организация удаленного доступа);
-   клиентские компоненты различных типов(DOS, Windows, UNIX,мобильные компоненты, прочие типы);
-   сети различных типов (соединения«точка-точка», сети Novell NetWare, сети с ОС UNIX и Windows,разнородные сети);
-   элементы систем передачи данных(электронная почта, модемы, межсетевые экраны и т.д.);
-   телекоммуникации (факсы,автоответчики, интегрированные системы на базе ISDN, прочие телекоммуникационные системы);
-   стандартное ПО;
-   базы данных;
·         каталоги угрозбезопасности и контрмер (около 600 наименований в каждом каталоге).
При этом все каталоги структурированы следующим образом.Угрозы по классам:
·         форс-мажорныеобстоятельства;
·         недостаткиорганизационных мер;
·         ошибки человека;
·         техническиенеисправности;
·         преднамеренныедействия.
Контрмеры по классам:
·         улучшениеинфраструктуры;
·         административныеконтрмеры;
·         процедурныеконтрмеры;
·         программно-техническиеконтрмеры;
·         уменьшениеуязвимости коммуникаций;
·         планированиедействий в чрезвычайных ситуациях.
Все компоненты рассматриваются по такому плану: общееописание, возможные сценарии угроз безопасности (перечисляются применимые кданному компоненту угрозы из каталога угроз безопасности), возможные контрмеры(перечисляются возможные контрмеры из каталога контрмер). Фактически сделанапопытка описать с точки зрения ИБ наиболее распространенные компонентыинформационных технологий и максимально учесть их специфику. Стандартоперативно пополняется и обновляется по мере появления новых компонентов.Каталоги угроз безопасности и контрмер, содержащие по 600 позиций, являютсянаиболее подробными из общедоступных. Ими можно пользоваться самостоятельно — при разработке методик анализа рисков, управления рисками и при аудитеинформационной безопасности. Мы также ссылаемся на этот стандарт дляопределения базовых угроз безопасности. В соответствие с тем, что наша оценказащищенности дается в сетевом аспекте угрозы из стандарта выбирались из двухподклассов: технические неисправности и преднамеренные действия.
Угрозы которым подвержена корпоративная сеть в областисетевой защиты следующие [9]:
·         Неэффективныймониторинг событий безопасности в КИС.
·         Неавторизованноеиспользование прав (маскарадинг)
·         Неконтролируемоеиспользование ресурсов
·         Недоступностьданных
·         Манипуляция данныхи ПО.
·         Потеряконфиденциальности важных данных в UNIX системах
·         Неавторизованноеиспользование ИТ системы
·         Прослушиваниесети
·         Нарушениеконфиденциальности данных
·         Злоупотреблениеправами пользователей и администраторов
·         Троянские кони
·         Вирусы
·         DoS и DDoS атаки
·         Макровирусы
·         Уязвимости ПО илиошибки
·         Подбор паролей
·         IP Spoofing
·         DNSSpoofing
·         WEBSpoofing
·         Захват сетевыхподключений
·         Различные видысканирования сети
·         Атаки напротоколы
·         Вредоносное ПО :spyware, adware
·         Переполнениебуфера
·         Монополизацияканала
·         Уязвимостипротоколов аутентификации
4.3 Оценка стоимости информационных ресурсов
Следующим пунктом методики является оценка информационныхресурсов компании и оценка ущерба в результате реализации угроз. Этот пунктявляется важным звеном методики. Он позволяет ранжировать информационныересурсы компаний по степени их критичности для ведения нормальной деятельностипредприятия. На этом этапе становится понятно какие ресурсы требуют защиты впервую очередь и какие средства на это могут быть потрачены. То есть этот пунктпозволяет нам определить в первую очередь стоимость информационных ресурсов, аво-вторых, задает предел стоимости СЗИ.
Для оценки уровня ущерба выраженного в денежном эквивалентемы используем пессимистический подход и будем считать что убытки будутмаксимальны при реализации хотя бы одной из угроз. В частном случае, какправило, каждая из угроз представляет для информации определенное воздействие,которое не может характеризоваться полным разрушением информации либо еенепригодностью. К тому же практика и данные статистики защиты КИС показывают,что реализации хотя бы одной из угроз может привести к компрометации инарушении целостности всей системы. А злоумышленники, как правило, начинаютсвое вторжение с мельчайших угроз и ошибок в деятельности персонала,последовательно увеличивая свои привилегии в системе. В нашем случае дляпростоты примера мы воспользуемся именно пессимистическим способом оценкистоимости информации. При этом угрозы классифицируем по способу воздействия наинформацию. Разделим их на две группы: в первую включим угрозы, приводящие кнедоступности информационного ресурса, во вторую угрозы, приводящие к нарушениюцелостности и конфиденциальности. Размер ущерба в денежном эквиваленте для двухвидов воздействия составляет 1000 грн/час и 50000 грн соответственно. То естькомпания несет убытки 1000 грн/час если ее сотрудники не могут получитьсвоевременный доступ к информационному ресурсу (удаленные пользователи) и 50000грн. если информация станет общедоступной или станет нечитаемой в результатеискажений. В качестве основного источника защищаемой информации определен файлсервер находящийся внутри КИС.
4.4 Оценка уровня защищенности КИС и обоснованиеэффективности
выбранных средств защиты
Для оценкивероятности отражения угроз каждым из средств защиты использовался методэкспертной оценки. В качестве экспертов выступали сотрудники кафедры БИТ.Результат экспертной оценки вероятностей отражения угроз СЗИ приведен в таблице4.1.
Общий уровень защищенности обеспечиваемый СЗИ будем считатьпо формуле (3.5) при этом будем использовать первый способ оптимистически-пессимистическогоподхода. При использовании этого способа предполагаем, что „li = a, a = const, что интенсивности угрозравные и равны константе. Таким образом, подставляя значения вероятностей pi и сумму потерь Сi в формулу (3.3) получаем общийуровень защищенности системы равный:
D =0.903932*100% = 90 %.
Таблица 4.1. Таблицавероятностей отражения угроз безопасности СЗИ, полученная экспертным методомоценки.  Вероятность отражения угрозы с учетом средств защиты Общая вероятность Ci Ci*(1-pi) Вид уязвимости Средство защиты Межсетевой экран/NAT VPN шлюз Сервер обновлений IDS Антивирус   Ущерб, грн     Троянские кони         0,95 0,95 30000 1500 Вирусы         0,90 0,9 10000 1000 DoS 0,80 0,99   0,99   0,99998 5000 0,1 DDoS 0,60 0,80   0,95   0,996 5000 20 Макро вирусы         0,60 0,6 30000 12000 Уязвимости ПО или ошибки     0,90     0,9 25000 2500 IP Spoofing 0,70 0,99   0,93   0,99979 20000 4,2 DNS Spoofing       0,90   0,9 25000 2500 WEB Spoofing       0,50   0,5 10000 5000 Захват сетевых подключений 0,50 0,99   0,90   0,9995 25000 12,5 Различные виды сканирования сети 0,60     0,90   0,96 5000 200 Недоступность данных       0,85   0,85 5000 750 Нарушение конфиденциальности данных   0,95 0,30     0,965 45000 1575 Некорректные параметры заголовков пакетов и запросов 0,7   0,5 0,8   0,97 9000 270 Автоматический подбор паролей (login) 0,75     0,9   0,975 35000 875 Атаки на протоколы     0,5 0,8   0,875 10000 1250 Неэффективный мониторинг событий безопасности в КИС 0,3     0,7   0,79 25000 5250 Монополизация канала 0,6     0,9   0,96 4000 160 Неавторизованное использование прав(маскарадинг) 0,3     0,9   0,93 30000 2100 Манипуляция данных и ПО   0,5 0,6 0,3 0,6 0,944 25000 1400 Неконтролируемое использование ресурсов 0,5 0,6 0,3 0,8 0,6 0,9888 30000 336 Потеря конфиденциальности важных данных в UNIX системах 0,7 0,8     0,5 0,97 31000 930 Неавторизованное использование ИТ системы 0,6 0,7 0,3 0,8 0,66 0,99429 40000 228,48 Прослушивание сети   0,9       0,9 40000 4000 Злоупотребление правами пользователей и администраторов 0,1 0,1       0,19 10000 8100 Вредоносное ПО :spyware, adware       0,5 0,95 0,975 38000 950 Переполнение буфера     0,8     0,8 15000 3000 582000 55911,28 Уровень защищенности   0,90393251
В данном случае была произведена оценка защищенности ужесуществующей реальной системы с необходимым набором средств защиты. В практикечаще возникают ситуации когда необходимо выбрать из набора средств только те,которые в большей степени соответствуют нуждам компании, в данном случаеобеспечивают наибольший уровень защиты, при этом система должна иметьминимальную стоимость и оказывать минимальное воздействие на производительностьвсей системы в целом.
Применим методику для выбора оптимальной системы защиты длятой же системы. При этом введем ограничения на стоимость такой системы защиты.Предположим, что система защиты должна составлять от 10 до 20 процентов отобщей стоимости КИС. Именно такой подход предлагают многие современные экспертыпри оценке стоимости СЗИ. Допустим, что общая стоимость нашей КИС согласноданных ее владельца составляет 150 000 грн… В этом случае целесообразно насистему защиты потратить 20000 грн… В общем случае ограничения на стоимостьСЗИ ограничиваются сверху стоимостью информации.
Оценим уровень защищенности при использовании следующихсредств защиты: МЭ, VPN-шлюз, сервер обновлений и сервер антивирусной защиты.Оценка приведена в таблице 4.2. В этом случае уровень защищенности будетследующим D = 0.760958*100% = 76 %. Стоимостьтакого решения составит порядка 20000 грн [35].
В качестве альтернативного набора средств будем использоватьМЭ, VPN-шлюз, и систему IDS (таблица 4.3). Для такой системыуровень защиты будет равняться D =0.697539*100% = 69 %. Стоимость второго решения будет составлять 35000-40000грн [35].
Таблица 4.2. Таблица вероятностейотражения угроз СЗИ состоящей из 4 компонентов: МЭ, VPN-шлюз, сервер обновленийи сервер антивирусной защиты.  Вероятность отражения угрозы с учетом средств защиты Общая вероятность Ci Ci*(1-pi) Вид уязвимости Средство защиты Межсетевой экран/NAT VPN шлюз Сервер обновлений IDS Антивирус   Ущерб, грн     Троянские кони         0,95 0,95 30000 1500 Вирусы         0,90 0,9 10000 1000 DoS 0,80 0,99       0,998 5000 10 DDoS 0,60 0,80       0,92 5000 400 Макро вирусы         0,60 0,6 30000 12000 Уязвимости ПО или ошибки     0,90     0,9 25000 2500 IP Spoofing 0,70 0,99       0,997 20000 60 DNS Spoofing           25000 25000 WEB Spoofing           10000 10000 Захват сетевых подключений 0,50 0,99       0,995 25000 125 Различные виды сканирования сети 0,60         0,6 5000 2000 Недоступность данных           5000 5000 Нарушение конфиденциальности данных   0,95 0,30     0,965 45000 1575 Некорректные параметры заголовков пакетов и запросов 0,7   0,5     0,85 9000 1350 Автоматический подбор паролей (login) 0,75         0,75 35000 8750 Атаки на протоколы     0,5     0,5 10000 5000 Неэффективный мониторинг событий безопасности в КИС 0,3         0,3 25000 17500 Монополизация канала 0,6         0,6 4000 1600 Неавторизованное использование прав(маскарадинг) 0,3         0,3 30000 21000 Манипуляция данных и ПО   0,5 0,6   0,6 0,92 25000 2000 Неконтролируемое использование ресурсов 0,5 0,6 0,3   0,6 0,944 30000 1680 Потеря конфиденциальности важных данных в UNIX системах 0,7 0,8     0,5 0,97 31000 930 Неавторизованное использование ИТ системы 0,6 0,7 0,3   0,66 0,97144 40000 1142,4 Прослушивание сети   0,9       0,9 40000 4000 Злоупотребление правами пользователей и администраторов 0,1 0,1       0,19 10000 8100 Вредоносное ПО :spyware, adware         0,95 0,95 38000 1900 Переполнение буфера     0,8     0,8 15000 3000 582000 139122,4 Уровень защищенности   0,76095808
Стоит отметить что снижение производительности, оказываемоесистемой защиты на КИС находится в пределах допустимых 10 процентов [32]. Внашем случае уровень производительности системы задается каналом доступа в сетьинтернет. Для подключения к сети интернет вполне достаточной для нашей моделиКИС является скорость 10 мбит/с. Все средства, используемые для защиты работаютсо скоростью значительно превышающей 10 мбит/с [18,36] и таким образомоказывают минимальное влияние на производительность системы.
Таблица 4.3. Таблица вероятностей отражения угроз СЗИсостоящей из 3 компонентов: МЭ, VPN-шлюз, система IDS.  Вероятность отражения угрозы с учетом средств защиты Общая вероятность Ci Ci*(1-pi) Вид уязвимости Средство защиты Межсетевой экран/NAT VPN шлюз Сервер обновлений IDS Антивирус   Ущерб, грн     Троянские кони           30000 30000 Вирусы           10000 10000 DoS 0,80 0,99   0,99   0,99998 5000 0,1 DDoS 0,60 0,80   0,95   0,996 5000 20 Макро вирусы           30000 30000 Уязвимости ПО или ошибки           25000 25000 IP Spoofing 0,70 0,99   0,93   0,99979 20000 4,2 DNS Spoofing       0,90   0,9 25000 2500 WEB Spoofing       0,50   0,5 10000 5000 Захват сетевых подключений 0,50 0,99   0,90   0,9995 25000 12,5 Различные виды сканирования сети 0,60     0,90   0,96 5000 200 Недоступность данных       0,85   0,85 5000 750 Нарушение конфиденциальности данных   0,95       0,95 45000 2250 Некорректные параметры заголовков пакетов и запросов 0,7     0,8   0,94 9000 540 Автоматический подбор паролей (login) 0,75     0,9   0,975 35000 875 Атаки на протоколы       0,8   0,75 10000 2500 Неэффективный мониторинг событий безопасности в КИС 0,3     0,7   0,79 25000 5250 Монополизация канала 0,6     0,9   0,96 4000 160 Неавторизованное использование прав(маскарадинг) 0,3     0,9   0,93 30000 2100 Манипуляция данных и ПО   0,5   0,3   0,65 25000 8750 Неконтролируемое использование ресурсов 0,5 0,6   0,8   0,96 30000 1200 Потеря конфиденциальности важных данных в UNIX системах 0,7 0,8       0,94 31000 1860 Неавторизованное использование ИТ системы 0,6 0,7   0,8   0,976 40000 960 Прослушивание сети   0,9       0,9 40000 4000 Злоупотребление правами пользователей и администраторов 0,1 0,1       0,19 10000 8100 Вредоносное ПО :spyware, adware       0,5   0,5 38000 19000 Переполнение буфера           15000 15000 582000 176031,8 Уровень защищенности   0,697539863

Из проведенного анализа можно выделить как более эффективныйпервый набор СЗИ, так как он обеспечивает больший уровень защищенности и приэтом требует меньших капиталовложений. С помощью методики мы определили, чтодля данного примера КИС наиболее оптимальным решением по защите будет являтьсянабор средств состоящий из: МЭ, VPN-шлюза,антивирусного сервера и сервера обновлений ПО. Если при анализе будетиспользоваться значительно большее количество вариантов СЗИ, для выборанаиболее эффективного может использоваться метод последовательных уступок,который был описан в предыдущем разделе.

Выводы
В магистерской работе была разработана методика, позволяющаяоценить уровень защищенности КИС. Результатом методики является количественнаяоценка уровня защищенности. В результате количественной оценки можно болееточно сравнивать несколько вариантов защиты и таким образом выбирать наиболееэффективный. На вход методики подаются вероятности реализации угроз иуязвимостей относительно защищаемой КИС, стоимость защищаемых ресурсов (оценкапотери в случае выхода из строя информационного ресурса) и частота угрозкаждого вида в общем потоке угроз. Вводятся ограничения на стоимость СЗИ и снижениеуровня производительности системы, оказываемое СЗИ. На выходе методики получаемколичественную оценку защищенности для всей СЗИ в целом.
На первом шаге составляется список угроз, характеризующий ИСсо стороны информационной безопасности, определяем вероятности угроз ивероятности отражения угроз системой защиты, стоимость информационных ресурсов.
На втором шаге вводятся ограничения на стоимость СЗИ и наснижения уровня производительности КИС, оказываемое на КИС системой защиты.
На третьем шаге производится оценка по математическимформулам общего уровня защищенности КИС обеспечиваемого выбранными средствамизащиты.
На четвертом шаге из множества вариантов защиты оцененных пометодике выбирается тот, который максимально соответствует требованиям и не выходитза рамки вводимых ограничений.
Фактически уровень защищенности определяется как отношениерисков в защищенной системе к рискам незащищенной системе. В методику положенподход оценки систем при помощи рисков. Подход на основе рисков сейчасвнедряется в многие области информационной безопасности так как он позволяетболее точно описывать информационные ресурсы через характерные им уязвимости,стоимость самих ресурсов, и ранжировать риски и соответственно информационныересурсы по степени критичности для деятельности организации.
К преимуществам методики следует отнести простоту еереализации, распространённый математический аппарат, доступность для понимания.
В качестве недостатков можно отметить в первую очередь то,что методика не учитывает особенностей функционального взаимодействия средствзащиты. Примером сказанного может выступать случай, когда устройство VPN доступа находится за антивируснымшлюзом и последний не может проверять зашифрованный трафик. Для разрешениятакой ситуации требуется более детальная проработка средств защиты и ихсовместимости на начальных этапах проектирования СЗИ.
Таким образом, разработанная методика может использоватьсядля определения обеспечиваемого уровня защиты СЗИ, как на начальных этапахпроектирования СЗИ так и на стадии оценки уровня защиты уже существующих системс целью их модификации или при проведении аудита. Разработанная методика можетприменяться для оценки уровня защищенности организаций всех сфер деятельности,так как она характеризует информационную систему со стороны рисков исоответственно может быть конкретизирована под конкретную организацию. Степеньконкретизации зависит от уровня зрелости организации, специфики еедеятельности, требуемого уровня защищенности и модели злоумышленника и прочихфакторов. То есть в каждом конкретном случае методика может быть адаптированапод конкретные нужды предприятия с учетом специфики его функционирования иведения бизнеса.
Уровень точности получаемой на выходе оценки зависит в первуюочередь от полноты списка угроз и уязвимостей, как основных составляющих риска,точности оценки информационных ресурсов, а также точности оценки вероятностныххарактеристик реализации угроз. Для оценки этих характеристик можетпотребоваться привлечение, как технических специалистов, так и представителейуправления самой компании, что позволяет в дальнейшем результативнейфинансировать и контролировать процесс внедрения СЗИ.
Перечень ССЫЛОК
1.    ДСТСЗИ 1.1-003-99Терминология в отрасли защиты информации в компьютерных системах от НСД. От01.07.1999
2.    ПриказДепартамента специальных телекоммуникационных систем и защиты информации Службыбезопасности Украины N 31 от 30.04.2004
3.    Международныйстандарт ISO/IEC15408 “Общие критерии оценки безопасности информационных технологий”
4.    Галицкий А…Защита информации в сети — анализ технологий и синтез решений. ДМК. 2004.
5.    Петренко С.А.,Симонов С.В. Управление информационными рисками. Экономически оправданнаябезопасность. –– М.: Компания Айти; ДМКПресс, 2004.
6.    Столлингс ВильямКриптография и защита сетей: принципы и практика, 2-е изд. – М.: Издательскийдом «Вильямс», 2001.
7.    Конеев И.Р.,Беляев А.В… Информационная безопасность предприятия. BHV-СПб. 2003
8.    NIST 800-30 cтандарт США «Предотвращениеи мониторинг инцидентов связанных с вредоносным ПО»
9.    Германскийстандарт «Руководство по защите информационных технологий для базового уровнязащищенности».
10.  Международный стандарт ISO 17799:2000 “Практические правилауправления информационной безопасностью”
11.  Л. Хмелев. Оценка эффективности мербезопасности, закладываемых при проектировании электронно-информационныхсистем. Труды научно-технической конференции “Безопасность информационныхтехнологий», Пенза, июнь 2001
12.  Норткатт Стивен. Защита сетевогопериметра. Dia Soft. 2004.
13.  Стивен Норткат. Обнаружение нарушенийбезопасности в сетях. Изд.3. Диалектика-Вильямс. 2003
14.  ru.wikipedia.org/wiki/NAT
15.  www.linux.ru/
16.  www.securityfocus.com/ids
17.  Стюарт Мак-Клар, Джо. Секретыхакеров. Изд.4. Безопасность сетей -готовые решения. Диалектика-Вильямс. 2004.
18.  www.cisco.com/global/RU/index.shtml
19.  www.ey.com/cis
20.  www.anti-malware.ru/index.phtml?part=survey&surid=updates
21. ThomsonK. “Reflection on Trysting Trust (Deliberate software bugs)” Communications ofthe ACM, August 1994.
22. StephensonP. “Preventive medicine.” LAN magazine, Novemder 1999
23. BergA. “Viruses: More infections then ever, users say.” LAN Times June 23,1997
24. www.nsca.com
25. http://www.anti-malware.ru/index.phtml?part=analysis
26. http://www.domarev.kiev.ua/
27.  Петров А.А. Компьютернаябезопасность. Криптографические методы защиты. –– М.: ДМК, 2000
28.  Хетч Б., Колесников О. LINUX: создание виртуальных частных сетей(VPN). – М.: КУДИЦ-ОБРАЗ, 2004.
29.  www.citforum.ru/
30.  www.securitylab.ru
31.  Петров Э.Г. «Методы и средствапринятия решений в социально экономических и технических системах». –– Херсон:ОЛДИ-плюс, 2003.
32.  Щеглов А.Ю. Защита компьютернойинформации от несанкционированного доступа. –– СПб: Наука и Техника, 2004
33.  www.uni.ru
34.  www.kaspersky.ru
35.  www.osp.ru/text/302/138646.html
36.  www.ptsecurity.ru/analisis01.asp
37.  www.pcwelt.de/news/sicherheit/107774/
38.  /updates.drweb.com
39.  www.av-test.org/
40.  www.anti-malware.ru/index.phtml?part=analysis&anid=proactive
41.  www.anti-malware.ru/index.phtml?part=compare&anid=packs
42.  Форристал. Защита от хакеров WEB-приложений. ДМК. 2004.
43. Зима В…Безопасность глобальных сетевых технологий. BHV-СПб. 2001.

Приложение А. Методыоценки субъективной вероятности
Как правило, на практике субъективную вероятность приходитсяпривлекать в следующих случаях:
·         когда объективнаявероятность некачественная;
·         еслипредполагается, что полученные закономерности и объективная вероятность небудут наблюдаться в будущем;
·         когда нетобъективных данных о наблюдениях в прошлом.
В таких ситуациях субъективную вероятность можнорассматривать как меру уверенности эксперта в возможности наступления события.Она может быть представлена по-разному: вероятностным распределением намножестве событий, бинарным отношением на множестве событий, не полностьюзаданным вероятностным распределением или бинарным отношением и другимиспособами.
Покажем, как определить субъективную вероятность. Разделимпроцесс на три этапа [5]:
·         подготовительныйэтап;
·         получение оценок;
·         анализ оценок.
Первый этап позволяет выделить объект исследования — некоторое множество событий. Далее проводится предварительный анализ свойствэтого множества (устанавливается зависимость или независимость событий,дискретность или непрерывность случайной величины, порождающей данное множествособытий). На основе такого анализа выбирается один из подходящих методовопределения субъективной вероятности. На этом же этапе проводится подготовкаэксперта или группы экспертов, ознакомление его с методом и проверка пониманияпоставленной задачи экспертами.
Второй этап состоит в применении метода, выбранного на первомэтапе. Результатом этого этапа является набор чисел, который отражаетсубъективный взгляд эксперта или группы экспертов на вероятность того или иногособытия. Здесь далеко не всегда удается установить окончательное распределение,поскольку результаты могут быть противоречивыми.
Третий этап заключается в исследовании и обобщениирезультатов опроса. Если вероятности, представленные экспертами, не согласуютсяс аксиомами вероятности, то это доводится до сведения экспертов и ответуточняется так, чтобы они соответствовали аксиомам. Для некоторых методовопределения субъективной вероятности третий этап исключается, поскольку самметод состоит в выборе распределения, подчиняющегося аксиомам вероятности,которое в том или другом смысле наиболее близко к оценкам экспертов. Примерытаких методов — метод главного значения для конечного множества независимыхсобытий и минимаксный метод для зависимых событий. Особую важность третий этапприобретает при агрегировании оценок, полученных от группы экспертов. Например,в методе Делфи, после анализа вероятностей, представленных отдельнымиэкспертами, предполагается повторение второго этапа, то есть повторный опрос.Далее вновь следует третий этап, и в случае необходимости процедура выполняетсяеще раз.
А.1 Классификация методов получения субъективной вероятности
Методы определения субъективной вероятности можно классифицироватьв зависимости от формы поставленных перед экспертами вопросов или отхарактеристик событий и случайных величин, а также от числа привлекаемыхэкспертов. В задачах оценки рисков в условиях неопределенности требуетсяоценивать вероятность (возможность) состояний внешней среды (неопределенныхфакторов). Поскольку внешняя среда может принимать лишь одно значение иззаданного множества, то при оценке субъективных вероятностей обычно применяютметоды, предназначенные для множеств несовместных событий. Среди методов,служащих для оценки вероятностей в случае конечных множеств несовместныхсобытий, наибольшее практическое значение имеют три: метод прямого приписываниявероятностей, метод отношений и метод собственного значения, а в случаебесконечных множеств несовместных событий — метод изменяющегося интервала иметод фиксированного интервала.
Для практической реализации указанных методов необходима ихдетальная доработка и адаптация к характеру решаемых задач. Также понадобитсяразработать и реализовать конкретные алгоритмы проведения опроса экспертов поэтим методам. В качестве дополнения к таким алгоритмам нужны процедурыграфического представления данных, подготовленных экспертом. Это позволитэксперту вносить необходимые корректировки в свои прежние оценки исходя изобщей картины. А для обработки вероятностей, представленных несколькимиэкспертами, следует создавать процедуры агрегирования вероятностей. В их основуможет быть положен метод взвешенной суммы. Для лучшей согласованности оценокэкспертов обычно разрабатывают итеративную процедуру проведения экспертизы,основанную на методе Делфи.
Условно методы нахождения субъективной вероятности можноразделить на следующие три группы.
Первая, самая многочисленная группа, — это прямые методы,состоящие в том, что эксперт отвечает на вопрос о вероятности события. К нимотносятся метод изменяющихся интервалов, метод фиксированных интервалов, методотношений, графический метод, метод собственного значения, методы оценкипараметров распределения и др. Независимо от конкретного метода данной группыэксперт должен оценивать непосредственно вероятность событий.
Вторую группу образуют методы, в которых вероятность событийвыводится из решений экспертов в гипотетической ситуации. Примером являетсяметод лотерей, а также метод равноценной корзины. Формально говоря, применениеметодов второй группы требует от эксперта сравнения не вероятностей кактаковых, а полезности альтернатив, при которых исход зависит от реализациислучайной величины. Многие эксперты отмечают возрастающую сложность вопросов иболее существенные ошибки при применении этих методов по сравнению с методамипервой группы.
Третья группа — это гибридные методы, требующие от экспертовответов на вопросы как о вероятности, так и о полезности. К гибридным методамотносятся некоторые разновидности метода лотерей.
А.2 Методы получения субъективной вероятности
Постановка задачи заключается в том, что путем опросаэкспертов следует построить вероятностное распределение на конечном множественесовместимых (взаимоисключающих) событий.
Прямая оценка вероятностей событий.
В этом методе эксперту или группе экспертов предъявляетсясписок всех событий. Эксперт должен указать последовательно вероятность всехсобытий. Возможны различные модификации метода. В одной из модификацийпредлагается сначала выбрать наиболее вероятное событие из предложенногосписка, а затем оценить его вероятность. После этого событие из спискаудаляется, а к оставшемуся списку применяется уже описанная процедура. Суммавсех полученных вероятностей должна равняться единице.
Метод отношений.
Эксперту сначала предлагается выбрать наиболее вероятноесобытие. Этому событию приписывается неизвестная вероятность P1. Затем экспертдолжен оценить отношения вероятностей всех остальных событий к вероятности P1выделенного события (коэффициенты С2,..., CN). С учетом того, что суммавероятностей равна 1, составляется уравнение:
Pl(l + C2+C3 +… +CN) = 1.
Решив это уравнение и найдя величину P1, можно вычислитьискомые вероятности.
Метод собственного значения.
Метод основан на том, что неизвестный вектор вероятностей (Р1,...,Pn) является собственным вектором некоторой специальнопостроенной матрицы, отвечающим ее наибольшему собственному значению. Сначалаэксперту задается вопрос, какое из двух событий более вероятно. Предположим,что более вероятно событие S1.Затем эксперта спрашивают, во сколько раз событие S1 вероятнее, чем S2.Полученное от эксперта отношение записывается на соответствующее место вматрице.
Метод равноценной корзины.
Этот метод позволяет получить вероятность исходя изэкспертного сравнения полезности альтернатив. Предположим, надо вычислитьвероятность некоторого события S1.Определим какие-либо два выигрыша, в частности денежных, которые существенноразличны, например: первый выигрыш — 1 млн. грн., а второй О грн., и предложимэксперту на выбор участие в одной из двух лотерей. Первая лотерея состоит втом, что выигрыш в 1 млн. грн. эксперт получает, если состоится событие S1, а выигрыш в 0 грн. — если событиене происходит. Для организации второй лотереи представим себе гипотетическуюкорзину, заполненную белыми и черными шарами, первоначально в равномколичестве, скажем, по 50 шаров каждого цвета. Если вынутый шар белый, тоучастнику достается 1 млн. грн., если черный — 0 грн. Эксперта просят отдатьпредпочтение одной из двух лотерей. Если с точки зрения эксперта лотереиравноценны, делается вывод о том, что вероятность события S1 равна 0,5. Если эксперт выбираетпервую лотерею, то из корзины вынимается часть черных шаров и заменяется тем жеколичеством белых. Если предпочтение отдается второй лотерее, то часть белыхшаров заменяется черными. В обоих случаях эксперту вновь предлагаетсяпоучаствовать в одной из двух лотерей. Изменяя соотношение шаров вгипотетической корзине, добиваются равноценности двух лотерей. Тогда искомаявероятность события S1 равна доле белых шаров в общем их количестве.
Некоторые рекомендации.
Известно, что субъективная вероятность, получаемая экспертнымпутем, существенно зависит от используемого метода. В частности, экспертнередко склонен преувеличивать вероятность наименее вероятного события, а такженедооценивать вероятность наиболее вероятного или преувеличивать дисперсиюоцениваемой случайной величины. Рассмотрим несколько рекомендаций, выполнениекоторых позволит корректно проводить опрос эксперта с помощью различныхметодов:
·         необходимообучить эксперта процедуре проведения экспертизы. Особенно это касаетсяэкспертов, имеющих слабую подготовку по теории вероятностей;
·         надо отдаватьсебе отчет в том, что сама процедура опроса эксперта является лишь одним звеномво всем процессе определения вероятностей. Предшествующие шаги по вычленениюсобытий и выбору подходящего метода столь же важны. Нельзя пренебрегать также ипоследующим анализом полученных вероятностей с целью возможной ихкорректировки;
·         старайтесьприменять объективную информацию о вероятностях событий, например данные о том,как такие события происходили в прошлом. Эта информация должна быть доведена доэксперта. Не забывайте также обрабатывать алгебраическим путем предыдущиеоценки эксперта, чтобы сопоставить их с его новыми оценками;
·         для проверкинадежности представленных данных рекомендуется обращаться к каким-либо другимметодам нахождения субъективной вероятности или даже к модификации методов.Определенные различными методами вероятности необходимо показать эксперту дляуточнения его оценок;
·         при выбореконкретного метода нужно учитывать опыт работы эксперта с числовымипоказателями. В любом случае употребление знакомых эксперту понятий, фраз,вопросов и шкал облегчает возможности численного представления вероятности;
·         всегда, когда этовозможно, старайтесь получать субъективную вероятность от нескольких экспертов,а затем некоторым образом агрегировать ее в одну;
·         сложные методы,требующие больших усилий от эксперта, например метод лотерей, лучше неприменять, за исключением случаев, когда имеются серьезные аргументы в пользувыбора этих методов.
Выполнение этих рекомендаций позволяет существенно улучшитьоценки вероятности.