На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 3 май-июнь 2006 г.
Тема номера: МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


МЕТРИКИ БЕЗОПАСНОСТИ ДЛЯ ОЦЕНКИ УРОВНЯ ЗАЩИЩЕННОСТИ
КОМПЬЮТЕРНЫХ СЕТЕЙ НА ОСНОВЕ ПОСТРОЕНИЯ ГРАФОВ АТАК

И. В. Котенко, д. т. н., профессор,
руководитель научно-исследовательской группы компьютерной безопасности
М. В. Степашкин, научный сотрудник,
СПИИРАН


Предыдущая статьяСледующая статья

Один из подходов к вычислению метрик безопасности и определению общего уровня защищенности компьютерных сетей может основываться на тщательном анализе возможных действий злоумышленников, направленных на реализацию различных угроз нарушения безопасности, и построении графов этих действий. В статье развивается подход к анализу защищенности компьютерных сетей на основе построения общих графов атак, и предлагается соответствующая система метрик безопасности. Общий граф атак описывает всевозможные варианты реализации нарушителем атакующих действий. Предполагается, что такие графы строятся на основе моделирования действий нарушителя с учетом параметров конфигурации компьютерной сети и правил реализуемой политики безопасности, а также целей, уровня знаний и разнообразия местоположения нарушителя, что позволяет исследовать действия как внешнего, так и внутреннего злоумышленника. В статье описывается методика анализа защищенности компьютерных сетей, базирующаяся на предложенной системе метрик безопасности. Представляется разработанная система анализа защищенности, реализующая предложенный подход, и на тестовом примере демонстрируется ее работа.

Введение

Нарушение информационной безопасности компьютерных сетей может быть вызвано множеством различных причин: наличием уязвимостей в операционных системах и приложениях, реализацией неправильной политики безопасности, неверной конфигурацией аппаратного и программного обеспечения, ошибками, допущенными при настройке механизмов защиты, и т. д. Таким образом, при проектировании и эксплуатации компьютерных сетей перед проектировщиком и (или) администратором сети (безопасности) возникает следующая задача: проверить, обеспечивают ли заданная политика безопасности, планируемые для применения или уже используемые параметры конфигурации сети и механизмы защиты необходимый уровень защищенности, характеризующийся заданной системой метрик безопасности.

Кроме того, на этапе эксплуатации компьютерных сетей довольно часто происходят изменения в их конфигурации и составе используемого программного и аппаратного обеспечения, поэтому необходимо постоянно производить мониторинг сети, анализ имеющихся уязвимостей и оценку уровня защищенности.

Данная работа посвящена развитию подхода к анализу защищенности компьютерных сетей на основе построения общих графов атак и разработке системы метрик безопасности, используемой для оценки уровня защищенности компьютерных сетей на различных этапах их жизненного цикла, включая этапы проектирования и эксплуатации.

Методика анализа защищенности компьютерных сетей, использующая предлагаемую систему метрик безопасности, подразумевает реализацию комплекса следующих действий:

  • построения графов возможных атакующих действий, выполняемых из различных точек сети и направленных на реализацию различных угроз безопасности с учетом квалификации нарушителя;
  • определения уязвимостей и «узких мест» в защите (наиболее критичных компонентов компьютерной сети);
  • вычисления метрик безопасности и определения общего уровня защищенности;
  • сопоставления полученных метрик с требованиями и выработки рекомендаций по усилению защищенности.

На основе предложенных в работе моделей, методик и системы метрик безопасности разработана система анализа защищенности (САЗ). Основной целью разработки САЗ было создание исследовательского инструментария для экспресс-анализа защищенности сложных компьютерных сетей с учетом не только их конфигурации (топологии, используемого программного и аппаратного обеспечения, используемых средств защиты), но и реализуемой в них политики безопасности.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100