 |
 |
№ 3 май-июнь 2006 г.
Тема номера: МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
|
|
МЕТРИКИ БЕЗОПАСНОСТИ ДЛЯ ОЦЕНКИ УРОВНЯ ЗАЩИЩЕННОСТИ
КОМПЬЮТЕРНЫХ СЕТЕЙ НА ОСНОВЕ ПОСТРОЕНИЯ ГРАФОВ АТАК
И. В. Котенко, д. т. н., профессор,
руководитель научно-исследовательской группы компьютерной безопасности
М. В. Степашкин, научный сотрудник,
СПИИРАН |
|
  |
Один из подходов к вычислению метрик безопасности и определению общего уровня защищенности компьютерных сетей может основываться на тщательном анализе возможных действий злоумышленников, направленных на реализацию различных угроз нарушения безопасности, и построении графов этих действий. В статье развивается подход к анализу защищенности компьютерных сетей на основе построения общих графов атак, и предлагается соответствующая система метрик безопасности. Общий граф атак описывает всевозможные варианты реализации нарушителем атакующих действий. Предполагается, что такие графы строятся на основе моделирования действий нарушителя с учетом параметров конфигурации компьютерной сети и правил реализуемой политики безопасности, а также целей, уровня знаний и разнообразия местоположения нарушителя, что позволяет исследовать действия как внешнего, так и внутреннего злоумышленника. В статье описывается методика анализа защищенности компьютерных сетей, базирующаяся на предложенной системе метрик безопасности. Представляется разработанная система анализа защищенности, реализующая предложенный подход, и на тестовом примере демонстрируется ее работа.
Введение
Нарушение информационной безопасности компьютерных сетей может быть вызвано множеством различных причин: наличием уязвимостей в операционных системах и приложениях, реализацией неправильной политики безопасности, неверной конфигурацией аппаратного и программного обеспечения, ошибками, допущенными при настройке механизмов защиты, и т. д. Таким образом, при проектировании и эксплуатации компьютерных сетей перед проектировщиком и (или) администратором сети (безопасности) возникает следующая задача: проверить, обеспечивают ли заданная политика безопасности, планируемые для применения или уже используемые параметры конфигурации сети и механизмы защиты необходимый уровень защищенности, характеризующийся заданной системой метрик безопасности.
Кроме того, на этапе эксплуатации компьютерных сетей довольно часто происходят изменения в их конфигурации и составе используемого программного и аппаратного обеспечения, поэтому необходимо постоянно производить мониторинг сети, анализ имеющихся уязвимостей и оценку уровня защищенности.
Данная работа посвящена развитию подхода к анализу защищенности компьютерных сетей на основе построения общих графов атак и разработке системы метрик безопасности, используемой для оценки уровня защищенности компьютерных сетей на различных этапах их жизненного цикла, включая этапы проектирования и эксплуатации.
Методика анализа защищенности компьютерных сетей, использующая предлагаемую систему метрик безопасности, подразумевает реализацию комплекса следующих действий:
- построения графов возможных атакующих действий, выполняемых из различных точек сети и направленных на реализацию различных угроз безопасности с учетом квалификации нарушителя;
- определения уязвимостей и «узких мест» в защите (наиболее критичных компонентов компьютерной сети);
- вычисления метрик безопасности и определения общего уровня защищенности;
- сопоставления полученных метрик с требованиями и выработки рекомендаций по усилению защищенности.
На основе предложенных в работе моделей, методик и системы метрик безопасности разработана система анализа защищенности (САЗ). Основной целью разработки САЗ было создание исследовательского инструментария для экспресс-анализа защищенности сложных компьютерных сетей с учетом не только их конфигурации (топологии, используемого программного и аппаратного обеспечения, используемых средств защиты), но и реализуемой в них политики безопасности.
< ... >
| |
 |
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|
