Учебники 80371

технологии на базе персональных компьютеров. В последнем случае последовательность действий администратора выглядит примерно следующим образом: на каждый компьютер необходимо установить и сконфигурировать целый ряд специальных программных средств, настроить системы управления политиками, антивирусного контроля и контроля безопасности и т.д., что является достаточно сложным и дорогостоящим процессом в освоении и сопровождении. Несмотря на наличие утилит, облегчающих работу администратора, всю настройку придется производить столько раз, сколько есть компьютеров в сети. По сравнению с этим процесс настройки сети, построенной по технологии «Тонкий клиент», является намного более простым, так как он централизован и выполняется на сервере. Набор и конфигурация программных продуктов под конкретного пользователя определяются записями в профиле пользователя. Администрирование этих записей возможно с единого (в том числе и удалённого) рабочего места, то есть настройка программного обеспечения непосредственно на рабочих местах пользователей не требуется. Администратор определяет, какие приложения будут доступны пользователям, контролирует хранимые данные, управляет распределением ресурсов, имея возможность отдавать критическим задачам больше вычислительной мощности с тем, чтобы обеспечить их выполнение в срок. Так как все программы запускаются на сервере, они не привязаны ни к какому конкретному рабочему месту, а могут «перемещаться» вместе с пользователем (точнее, вместе с его смарт-картой) с одного терминала на другой. Эти технологии часто используются для совместной работы: один сотрудник может показать другому на его рабочем месте документы или таблицы, над которыми он работает: для этого достаточно лишь вставить его персональную карточку в терминал. Пользователи имеют возможность покидать

611

свое рабочее место, не закрывая приложений, не выходя из системы, а просто вынимая свою смарт-карту из устройства. Устройство после этого может быть использовано другим сотрудником. Пользователь может вставить свою смарт-карту в любое другое свободное устройство в сети, получить доступ к своим приложениям и продолжить работу с того места, где он прервался, без длительного ожидания загрузки, проверки на вирусы и прочих атрибутов входа в работу персонального компьютера.

Но, как и у любой технологии, у технологии «Тонкий клиент» есть свои недостатки, в том числе в области обеспечения безопасности информации. Один из основных

— повышенные требования к безопасности терминального сервера. Как отмечалось выше, сосредоточение на терминальном сервере практически всего прикладного программного обеспечения и баз данных, полная зависимость работы терминалов от работоспособности сервера обусловливают повышенные требования к нему, поскольку его отказ приводит к неработоспособности всей сети. Эта проблема решается использованием нескольких серверов и балансировкой нагрузки между ними.

612

6.3. Многоагентные системы защиты и перспективы их применения

Большинство существующих СЗИ в информационных системах в основном не являются адаптивными, то есть они функционируют с теми первоначальными конфигурациями и настройками, которые в них были заложены при установке независимо от последующих изменений в составе угроз безопасности информации, изменений в самой ИТКС, а также в составе и содержании защищаемой информации. Исключение составляют некоторые подсистемы, такие как системы защиты от вредоносных программ и системы обнаружения вторжений, которые в определенной мере предназначены для адаптивный реакции на нарушения безопасности информации и, кроме того, сами могут содержать в себе реализованные адаптивные алгоритмы функционирования в зависимости от содержания угроз. Однако даже эти подсистемы не имеют возможности самообучения и оперируют только заложенными в них заранее правилами. Кроме того, большая часть подсистем и средств в составе систем защиты вообще не являются адаптивными, управление защитой в динамике изменения обстановки (то есть изменений в самой ИТКС, в составе угроз и т.д.) сегодня практически отсутствует. Это приводит к неминуемому снижению эффективности защиты. Работы по созданию адаптивных систем защиты сегодня активно ведутся во многих странах.

Одним из интенсивно развиваемых направлений совершенствования СЗИ является переход при создании перспективных адаптивных СЗИ к децентрализованному принципу их построения или к созданию так называемых многоагентных систем защиты. Создание таких систем является адекватным ответом на, как правило, разветвленный и многоуровневый характер процессов реализации угроз в

613

распределенных информационных системах. Важным аспектом, учитываемым при создании многоагентных систем, является также то, что сегодня системы защиты являются уникальными для конкретной ИТКС, а это вынуждает при проектировании систем защиты для других ИТКС каждый раз проводить их разработки практически заново с учетом особенностей построения и функционирования каждой конкретной ИТКС. Особенностью многоагентных систем является то, что при децентрализованном принципе их построения достаточно просто парируются сложности создания системы защиты, связанные с наличием большого многообразия вариантов архитектур построения информационных систем.

Основой многоагентных систем являются агенты – программные или программно-аппаратные компоненты, реализующие предопределенные функции безопасности, взаимодействующие между собой, обменивающиеся сообщениями на языке высокого уровня для принятия согласованных решений, адаптирующиеся к реконфигурации сети, изменению трафика и новым видам атак и иных нарушений безопасности информации, использующие алгоритмы обучения, инициализирующие деятельность других агентов и решающие, таким образом, весь необходимый комплекс задач защиты информации в информационной системе.

Агенты могут быть как статическими (закрепленными за определенным хостом), так и мобильными (перемещаемыми в рамках защищаемой ИТКС).

Некоторые типы агентов приведены на рис. 6.9. Краткая их характеристика сводится к следующему.

614

Рис. 6.9. Структура многоагентной системы защиты информации

615

Базовыми агентами для многоагентной СЗИ являются агенты защиты, мета-агенты и агенты-демоны.

В составе агентов защиты важнейшую роль играют

агенты обнаружения нарушений. Все действия субъектов

иобъектов регистрируются этими агентами. В результате обработки сообщений, формируемых в защищаемой информационной системе, агенты обнаружения нарушений могут прекращать информационные процессы, информировать администратора безопасности и уточнять правила разграничения доступа. При этом отдельно могут выделяться из них агенты выявления источников угроз, обнаружения несанкционированных действий пользователей, обнаружения вторжений, что обусловлено необходимостью их сопряжения с базами сигнатур сетевых атак. По аналогичным причинам могут выделяться агенты антивирусной защиты, однако они не только обнаруживают вредоносные программы или последствия инфицирования, но

иосуществляют перемещение вредоносных программ в карантин, лечение инфицированного программного обеспечения.

Агенты обнаружения нарушений предназначены для обнаружения НСД в информационную систему, к компонентам системы или к конкретным каталогам и файлам, определения отклонений действий зарегистрированных пользователей от предписанного порядка, последствием которых может стать НСД к информации и нарушение ее целостности, а также для поиска недокументированных функций и ошибок в составе аппаратного и программного обеспечения. Именно в таких агентах реализуются, например, известные методы обнаружения сетевых атак.

Эти агенты совместно с агентами регистрации, протоколирования и аудита должны выполнять все функции системы регистрации и учета, идентифицировать наличие

616

сценариев НСД и, кроме того, осуществлять статистическую обработку данных о поведении субъектов по отношению к объектам, в соответствии с которой определяются отклонения от нормального поведения и признаки НСД. Агенты обнаружения нарушений могут также генерировать отчеты о поведении субъектов защищаемой информационной системы и передавать их администратору безопасности.

Агенты разграничения физического осуществляют программный или программно-аппаратный контроль доступа пользователей в помещение, к аппаратуре, к сети и т.д., в том числе с использованием биометрических средств аутентификации.

Мета-агенты выполняют управление процессами защиты информации, включая координацию действий других агентов и разрешение конфликтов между ними.

Агенты обнаружения нарушений совместно с мета-

агентами образуют подсистему обнаружения нарушений и

решают задачи обнаружения и/или классификации нарушений на основании информации, регистрируемой «простыми» агентами-демонами, ассоциированными с различными компонентами программного обеспечения (с сетевыми протоколами, операционной системой, прикладными программами), а также получаемой от агентов защиты.

Агенты-демоны анализируют сообщения безопасности, циркулирующие в сети и передаваемые агентами. Они информируют систему о поступающих сообщениях и выполняют их первичную обработку. Информация от демонов поступает к одному из агентов защиты, которые обрабатывают эти сообщения и активизируют других агентов (либо напрямую, либо через мета-агента).

Обработка сообщений используется для обучения посредством использования агентов обучения. Эти агенты

617

используют доступную информацию о нормальных функциональных процессах, возможных аномалиях, каналах и сценариях НСД. Агенты обнаружения нарушений взаимодействуют с агентами подавления нарушителя или иного источника угрозы, а также с агентамиоценки повреждений и восстановления целостности данных.

Координация деятельности агентов каждого хоста ИТКС частично осуществляется мета-агентом соответствующего хоста. Для организации взаимодействия агентов, расположенных на различных хостах, в случае обнаружения нарушений также используется мета-агент.

Основные функции мета-агента хоста связаны с управлением системой обнаружения нарушений и обработкой информации, получаемой от агентов других хостов сети и мета-агентов информационной системы в целом. Сообщения, посылаемые мета-агентом хоста, могут формироваться по инициативе администратора или быть реакцией мета-агента на сообщения, полученные от агентов хоста, мета-агентов других хостов.

Компонент архитектуры многоагентной системы, ассоциированный с некоторым хостом, может состоять из одного или нескольких экземпляров агентов каждого типа, специализированного на выполнении некоторой функции безопасности.

Зарубежными фирмами в настоящее время разработаны несколько многоагентных систем, таких как NFR (networkflightrecorder) и NETPROWLER фирмы Symantec, EMERALD (EventMonitoringEnablingResponsestoAnomalousLiveDisturbances) лаборатории информатики Стэндфордского исследовательского института и др. Вместе с тем многие вопросы практического применения таких систем пока не решены. В частности не оценено влияние многоагентной системы на загрузку работы сети, отсутствует

618

методология оптимизации распределения функций между агентами системы и обоснования состава таких агентов в системе в зависимости от характеристик защищаемой компьютерной сети и др. Отечественных разработок таких систем пока нет, однако исследования в направлении их создания ведутся. Достоинствами таких систем являются:

повышение оперативности выполнения задач защиты информации в силу распараллеливания функций;

способность продолжать функционировать, когда часть компонент системы стали разрушенными или изолированными, то есть робастность и отказоустойчивость системы защиты;

возможность быстрой реконфигурации СЗИ за счет перераспределения функций агентов систе-

мы, перемещения агентов по элементам сети. Многоагентные системы имеют реальную возмож-

ность интегрировать в себе самые передовые достижения теории искусственного интеллекта. Можно без сомнений утверждать, что появление этого направления свидетельствует о стремлении достигнуть принципиально нового уровня защиты информации, а темпы его развития дают основание предсказывать ему ведущую роль в ближайшие десятилетия в широком круге приложений.

619

ЗАКЛЮЧЕНИЕ

Данное пособие написано в интересах подготовки специалистов по специальностям «Информационная безопасность телекоммуникационных систем», «Информационная безопасность автоматизированных систем» и дисциплине «Технология проектирования систем защиты информации в информационно-телекоммуникационных системах».

Впособии содержится минимально необходимый объем знаний для разработки систем защиты информации для ИТКС и оно не является инструкцией для разработчиков.

Основное внимание в нем уделено вопросам защиты информации от угроз, связанных с несанкционированным доступом, которые сегодня являются наиболее опасными для ИТКС. Некоторые аспекты проектирования современных ИТКС в данном пособии вообще не затронуты, например, вопросы защиты информации в ИТКС, создаваемых с использованием новых информационных технологий: суперкомпьютерных технологий, технологий «облачных» вычислений, беспроводных технологий и др. Однако без изложенных в пособии знаний весьма сложно себе представить специалиста по созданию систем защиты информации в ИТКС.

Впособии учтены самые последние требования нормативных и правовых документов, касающихся регулирования деятельности в области защиты информации в информационных системах. Вместе с тем, нормативноправовая база сегодня очень быстро развивается и трудно определить, какие требования из изложенных и в какие сроки будут меняться. Однако базовые знания, раскрытые

вданном пособии и определяющие как организацию, так и

620