Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Yazov_ITKS

.pdf
Скачиваний:
348
Добавлен:
31.05.2015
Размер:
7.37 Mб
Скачать

атаки – этап вторжения (см. раздел 3.5). Для выявления атак на этапах сбора информации, реализации деструктивных действий и ликвидации следов атаки используются преимущественно иные программные средства. В связи с этим системы обнаружения атак чаще называют системами обнаружения вторжений (СОВ).

Классификационная схема, построенная по указанным признакам, приведена на рис. 5.13.

Следует отметить, что системы отличаются не только построением сенсорных устройств и применяемыми критериями принятия решения, но и различным содержанием и структурой баз данных, используемых для реализации каждого метода.

Весьма существенным является разделение систем обнаружения атак на системы с централизованным и децентрализованным (распределенным) принятием решений о наличии атак. В настоящее время практически применяются только системы с централизованным принятием решений, когда все данные от сенсорных устройств системы собираются на консоли администратора и по результатам их централизованной обработки принимается окончательное решение о наличии или отсутствии атаки. Вместе с тем сегодня разрабатываются (преимущественно за рубежом) перспективные системы с децентрализованными процедурами обработки признаков наличия атак и принятия соответствующих решений – так называемые многоагентные системы (см. раздел 5.9). Наконец, разделение систем обнаружения атак по уровням системы, на которых устанавливаются сенсоры (на уровне сети, на уровне операционной системы хоста, на уровне архитектуры процессора хоста), обусловливает возможность учета принципиально различных вариантов архитектуры построения систем, несмотря на то, что на разных уровнях могут применяться сходныеметодыобнаружения атак.

471

Системы обнаружения атак

 

 

 

 

 

 

 

 

По методам обнаружения

По степени централизации реше-

 

По уровню системы, накотором уста-

 

 

 

навливаются сенсоры обнаружения

 

 

 

 

 

 

 

 

 

 

 

 

 

Системы, реализующие сигнатурные методы обнаружения

Системы, реализующие методы выявления аномалий

Системы, основанные на комплексном применении сигнатурных методов и методов выявления аномалий

Системы с централизованной системой принятия решений о наличии атаки

Системы с децентрализованной системой принятия решений о наличии атаки (многоагентные системы)

Системы обнаружения атак на сетевом уровне

Системы обнаружения атак на уровне хоста

Системы обнаружения атак на уровне процессора хоста

Комбинированные системы обнаружения атак

Рис. 5.13. Классификация систем обнаружения атак (вторжений)

472

Требования к СОВ определены в нормативноправовом акте [58]. В этом документе использованы подходы к формированию требований, применяемые в международных стандартах. При этом класс защиты и тип СОВ (здесь рассматриваются два типа: СОВ уровня сети и уровня хоста) определяют совокупность требований к функциям безопасности СОВ.

Возможности различных СОВ по предотвращению угроз безопасности информации определяются набором реализуемых функций безопасности, составом базы решающих правил, полнотой базы сигнатур, используемыми методами обнаружения вторжений, а также имеющимися дополнительными функциональными возможностями.

Для дифференциации требований к функциям безопасности СОВ выделяются шесть классов защиты систем обнаружения вторжений. Самый низкий класс – шестой, самый высокий – первый.

СОВ, соответствующие 6 классу защиты, применяются в информационных системах, в которых обрабатывается информация, не являющаяся информацией ограниченного доступа.

СОВ, соответствующие 5 классу защиты, применяются в информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну (далее - информация конфиденциального характера) и являющаяся государственным информационным ресурсом, и (или) персональные данные (за исключением специальных категорий персональных данных).

СОВ, соответствующие 4 классу защиты, применяются в информационных системах, в которых обрабатывается информация конфиденциального характера, являющаяся государственным информационным ресурсом, и

473

(или) специальные категории персональных данных, а также в информационных системах общего пользования II класса, установленного в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489[60].

СОВ, соответствующие 3 классу защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

СОВ, соответствующие 2 классу защиты, применяются с информационных системах, в которых обрабатывается информация, содержащая совершенно секретные сведения.

СОВ, соответствующие 1 классу защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения особой важности.

Для обеспечения реализации функций безопасности СОВ в среде функционирования СОВ должны быть обеспечены следующие условия:

установка, конфигурирование и управление СОВ в соответствии с эксплуатационной документацией;

предоставление доступа СОВ к контролируемым объектам информационной системы;

совместимость компонентов СОВ с элементами контролируемой информационной системы;

физическая защита элементов информационной системы, на которых установлены компоненты

СОВ.

Помимо угроз безопасности информации, обрабатываемой в ИТКС, СОВ должны обеспечивать обнаружение

474

и(или) блокирование угроз безопасности информации, которым подвержены сами СОВ. К таким угрозам относятся:

нарушение целостности программного обеспечения СОВ;

нарушение целостности данных, собранных или созданных СОВ;

отключение или блокирование нарушителями компонентов СОВ;

несанкционированное изменение конфигурации СОВ;

несанкционированное внесение изменений в логику функционирования СОВ через механизм обновления базы решающих правил.

Нейтрализация указанных угроз безопасности информации обеспечивается механизмами самих СОВ или внешними по отношению к СОВ механизмами и мерами защиты информации, реализуемыми в среде функционирования СОВ.

К функциям безопасности СОВ предъявляются требования, установленные на основе национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408 [17], в том числе:

требования к составу функций безопасности СОВ (табл. 5.1) и сред (табл.5.2), в которых эти системы функционируют;

требования к составу функциональных возможностей СОВ (табл. 5.3), обеспечивающих реализацию функций безопасности;

требования к реализации функциональных возможностей СОВ (табл. 5.4);

требования доверия к безопасности систем обнаружения вторжений (табл. 5.5).

475

Детализация требований к функциям безопасности СОВ, установленных настоящим разделом, а также взаимосвязи этих требований указываются в профилях защиты, разрабатываемых в документах ФСТЭК России и утверждаемых в пределах ее полномочий.

Спецификации профилей защиты СОВ уровня сети и узла для каждого класса защиты СОВ приведены в табл. 5.6. Идентификаторы профилей защиты приводятся в формате ИТ.СОВ.ТК.ПЗ, где обозначение «С» определяет, что система обнаружения вторжений относится к уровню сети, обозначение «У» определяет, что система обнаружения вторжений относится к уровню узла, цифра определяет класс защиты системы обнаружения вторжений от 1 до 6. Примеры построения систем обнаружения вторжений показаны на рис. 5.14 и 5.15.

476

 

 

 

 

Таблица 5.1

 

Состав функций безопасности системы обнаружения вторжений

Условное

обозна-

Наименование функции

Краткое содержание функции безопасности

чение

функции

безопасности

безопасности

 

 

 

 

ФБ 1

Разграничение доступа к

Разграничение доступа к управлению СОВ на основе ролей

 

 

управлению СОВ

администраторов СОВ

ФБ 2

Управление

работой

Управление со стороны администраторов СОВ режимами вы-

 

 

СОВ

 

полнения функций безопасности СОВ

ФБ 3

Управление

параметра-

Управление параметрами системы обнаружения вторжений

 

 

ми системы обнаружения

(правилами в базе решающих правил системы обнаружения

 

 

вторжений

 

вторжений, другими данными системы обнаружения

 

 

 

 

вторжений), которые влияют на выполнение функций

 

 

 

 

безопасности системы обнаружения вторжений, со стороны

 

 

 

 

администраторов системы обнаружения вторжений

ФБ 4

Управление

установкой

Управление режимами получения и установки обновлений

 

 

обновлений

(актуализа-

(актуализации) базы решающих правил СОВ

 

 

ции) базы

решающих

 

 

 

правил СРВ

 

 

ФБ 5

Анализ данных СОВ

Анализ заданными методами (сигнатурный, эвристический)

 

 

 

 

собранных СОВ данных о функционировании контролируемой

 

 

 

 

информационной системы с целью вынесения решения об об-

 

 

 

 

наружении вторжения (атаки)

477

 

 

 

 

 

 

Продолжение табл. 5.1

Условное

обозна-

Наименование функции

Краткое содержание функции безопасности

чение

функции

 

безопасности

 

безопасности

 

 

 

 

 

 

 

 

ФБ 6

Аудит

безопасности

Регистрация и учет выполнения функций безопасности СОВ

 

 

СОВ

 

 

 

 

ФБ 7

Контроль

целостности

Контроль целостности программного кода и базы решающих

 

 

СОВ

 

 

 

правил СОВ

ФБ 8

Сбор данных о событиях

Сбор информации о передаче сетевого трафика; событиях, ре-

 

 

и

активности

в

гистрируемых в журналах аудита элементов информационной

 

 

контролируемой

 

системы

 

 

информационной

 

 

ФБ 9

Реагирование СОВ

 

Реагирование СОВ на выявленные вторжения (атаки):

 

 

 

 

 

 

фиксация факта обнаружения вторжения, уведомление

 

 

 

 

 

 

уполномоченных лиц, блокирование вторжения (атаки)

ФБ 10

Маскирование СОВ

 

Маскирование наличия датчиков СОВ в информационной сис-

 

 

 

 

 

 

теме способами, затрудняющими нарушителям их выявление с

 

 

 

 

 

 

целью последующего отключения или блокирования работы

 

 

 

 

 

 

компонентов СОВ

478

Таблица 5.2 Состав функций безопасности среды, в которых функционирует система обнаружения

вторжений

Условное обо-

Наименование функции безо-

Краткое содержание функции безопасности, реализуе-

значение функции

пасности

мой в среде функционирования

безопасности

 

 

ФБС 1

Обеспечение доверенной связи

Обеспечение идентификации и аутентификации админи-

 

 

страторов системы обнаружения вторжений.

 

 

Обеспечение доверенной связи между системой

 

 

обнаружения вторжений и администраторами системы

 

 

обнаружения вторжений

ФБС 2

Обеспечение доверенного ка-

Обеспечение доверенного канала получения обновлений

 

нала

базы решающих правил системы обнаружения вторже-

 

 

ний от разработчика

ФБС 3

Обеспечение условий безопас-

Обеспечение защищенной области для выполнения

 

ного функционирования

функций безопасности системы обнаружения вторже-

 

 

ний.

 

 

Обеспечение меток времени для реализации функции

 

 

аудита безопасности системы обнаружения вторжений

ФБС 4

Управление атрибутами безо-

Обеспечение возможности управления атрибутами безо-

 

пасности

пасности компонентов системы обнаружения вторжений

 

 

и объектов информационной системы

479

Таблица 5.3 Состав функциональных возможностей система обнаружения вторжений

Условное

Состав функциональных возможностей СОВ

Условное обозначение

 

обозначение

 

семейства(функциональной

 

реализуемой

Наименование функциональной возможности

возможности)в соответствии с

функции

 

ГОСТ Р ИСО/ МЭК 15408-2

 

безопасности

 

ФБ 1

FMT_MOF

Управление отдельными функциями функций безопасно-

 

 

сти СОВ

 

FMT_MTD

Управление данными функций безопасности СОВ

 

FMT_SMR

Роли управления безопасностью

ФБ 2

FMT_MOF

Управление отдельными функциями функций безопасно-

 

 

сти СОВ

 

FID_CON_EXT

Управление системой обнаружения вторжений

 

FID_INF_EXT

Интерфейс СОВ

ФБ 3

FMT_MTD

Управление данными функций безопасности СОВ

ФБ 4

FID_UPD_EXT

Обновление базы решающих правил СОВ

ФБ 5

FID_ANL_EXT

Анализ данных СОВ

ФБ 6

FAU_GEN

Генерация данных аудита безопасности

 

FAU_SAR

Просмотр аудита безопасности

ФБ 7

FPT_TST

Самотестирование функций безопасности СОВ

ФБ 8

FID_COL_EXT

Сбор системных данных СОВ

 

FID_RSC_EXT

Контроль ресурсов

 

FID_PCL_EXT

Анализ протоколов

ФБ 9

FID_RCT_EXT

Реагирование СОВ

ФБ 10

FID_MSK_EXT

Маскирование СОВ

480

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]