Yazov_ITKS

тоды анализа сетевого окружения, что создает условия для быстрой компрометации ЛИС.

С развитием технологии виртуализации возрос интерес к построению ЛИС, поскольку такие технологии предоставляют богатые средства по созданию и организации работы ложных узлов вычислительной сети и сетевого оборудования. Виртуальные ЛИС также могут быть статическими, динамическими и самоорганизующимися. Статические виртуальные ЛИС проще реализовать, однако, с течением времени такие ЛИС могут быть демаскированы нарушителем, обладающим возможностями продолжительного перехвата и анализа сетевого трафика, обрабатываемого в ИТКС. Для создания динамических виртуальных ЛИС необходима реализация механизмов периодической ротации и изменения свойств элементов ЛИС, но такие ЛИС труднее демаскировать, чем статические виртуальные ЛИС. Реализация самоорганизующихся виртуальных ЛИС требует исследований в области искусственного интеллекта в интересах разработки алгоритмов изменения состава и структуры элементов ЛИС, адаптивных к действиям нарушителя. В настоящий момент в открытых источниках отсутствует информация об успешной реализации самоорганизующихся виртуальных ЛИС.

Основным свойством ЛИС, позволяющим эффективно противодействовать средствам НСД, является её степень сходства с целевым объектом, достигаемая за счёт обладания демаскирующими признаками целевого объекта. Однако ЛИС обладают признаками, по которым средство НСД может распознать объект как ложный. Такими признаками являются отличительные особенности:

сетевого трафика, циркулирующего в ЛИС (ошибки в реализации протоколов, направление и интенсивность потоков информации, используе-

581

мые протоколы и т.д.);

аппаратных, программно-аппаратных и программных средств ЛИС (производительность, тип операционной системы, версия прикладного ПО, конфигурация ПО и др.);

средств защиты информации, обрабатываемой в ЛИС (тип и комплектация средств, значения параметров, в том числе настроек технических и программных средств);

содержания электронных документов (текстов, таблиц, графиков, изображений, аудиофайлов и др.), образующих информационные ресурсы ЛИС;

использования имитатора действий пользователя (местоположение, время работы, характер решаемых задач, используемые пароли, индивиду-

альные особенности работы с информационными ресурсами и др.).

Возможность выявления демаскирующих признаков ЛИС напрямую связана с расположением средств НСД нарушителя.

Для противодействия средствам НСД, осуществляющим пассивный анализ компьютерной сети, могут быть использованы следующие меры:

организация взаимодействия ложных и целевых систем при помощи имитируемых действий пользователей в составе ложных и целевых систем;

динамическое изменение состава и структуры ложных и целевых ИТКС, затрудняющее анализ

компьютерной сети средствами НСД. Основным недостатком при реализации первой ме-

ры является необходимость внесения ложного компонента

582

в целевую ИТКС, что, во-первых, позволяет пользователю узнать о существовании в компьютерной сети ЛИС, вовторых, в случае получения контроля нарушителем над ложным компонентом в составе целевой ИТКС, позволяет ему осуществить НСД к целевой информации. Так, например, для имитации взаимодействия с ложным файловым сервером на истинной рабочей станции пользователя должен быть реализован механизм, благодаря которому периодически устанавливаются сетевые соединения с ложным файловым сервером и передаются файлы в рамках данного соединения. Если реализовать такой механизм, то помимо того, что легитимный пользователь получает информацию о наличии ложного файлового сервера, появляется проблема в фиксировании действий средства НСД. Кроме того, эффективность такой ЛИС во многом определяется степенью сходства имитируемого поведения пользователя и реального.

Реализация второй меры связана с дополнительными расходами вычислительных ресурсов ИТКС на постоянную ротацию состава и изменения структуры её элементов. Однако, такие расходы могут быть напрасны, если злоумышленник знает алгоритм ротации состава и изменения структуры компьютерной сети.

Перспективным в этом отношении является построение динамических ЛИС, способных изменять свой состав и структуру. Такие ЛИС строятся с широким применением технологии виртуализации. На рис. 5.43 представлена логическая схема взаимодействия динамической ЛИС с сетевыми средствами защиты информации АС, а также средством управления виртуальной инфраструктурой (СУВИ) информационной системы, устраняющая выявленные недостатки статических ЛИС.

583

СУВИ может быть расположено как на отдельной физической платформе, так и на одной из виртуальных машин (ВМ) целевой информационной системы. Распределенные виртуальные коммутаторы (виртуальный коммутатор обеспечивает распределение сетевого трафика между ВМ гипервизора) являются логическими объектами СУВИ, согласующими работу каждого гипервизора, входящего в состав информационной системы. Средство перемещения (миграции) ВМ изменяет её принадлежность тому или иному гипервизору (управляющему соответствующим сервером информационной системы).

Средство конфигурирования ВМ периодически изменяет сетевые и аппаратные адреса ВМ целевой информационной системы и ЛИС для того, чтобы усложнить процедуру анализа сетевого трафика средствами НСД.

Кроме того, в процессе работы истинная ВМ может изменить свой статус и перейти в разряд ложных при условии того, что вместо неё будет запущена точно такая же ВМ, на которую будет переведены все процессы, инициированные легитимными пользователями. Изменение статуса ВМ осуществляется в момент простоя ВМ, вызванного паузой в работе легитимных пользователей, например, во время обеденного перерыва. Реализация статуса ВМ может быть реализовано на принципах,заложенных в технологии миграции ВМ.

Недостатками динамических ЛИС является:

сложность реализации;

повышенные затраты вычислительных ресурсов АС, связанные с перемещением ВМ;

возможность демаскирования компонентов ЛИС за счет анализа средствами НСД команд на пе-

ремещение и изменение адресов ВМ. Динамические ЛИС могут быть реализованы как с

использованием механизма, моделирующего поведение пользователя, так и без него. Разработка таких средств является перспективным направлением.

585

6.СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

ИПЕРСПЕКТИВЫ ИХ РАЗВИТИЯ

6.1.Стратегии защиты информации при построении систем защиты

Как отмечалось ранее, создание ИТКС в защищенном исполнении направлено на исключение или существенное затруднение получения злоумышленником конфиденциальной информации или иной нужной ему для выполнения несанкционированных действий информации, обрабатываемой в системе, а также на исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую информацию и ее носители.

В соответствии с требованиями нормативных правовых актов и методических документов уполномоченных органов исполнительной власти [18, 19, 52] «защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты ин-

формации информационной системы (далее – система защиты информации информационной системы)». Та-

ким образом, меры и средства защиты информации являются элементами, с помощью которых создается система защиты информации.

Сегодня систему защиты информации рассматривают как «совокупность организационных мероприятий,

586

технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации».

Состав и структура СЗИ существенно зависят от выбранной стратегии защиты, под которой понимается основополагающая идея, такой общий порядок действий по защите информации, который определяет целевую установку проводимых мероприятий по защите информации в ИТКС или ее элементе. Классификация возможных стратегий защиты информации приведена на рис. 6.1. Их характеристика кратко сводится к следующему.

По признаку организации защиты стратегии делятся на периметровую, эшелонированную, выборочную, дифференцированного контроля и реакции и тотального контроля доступа к процессам и элементам системы.

В конце 90-х годов прошлого века преимущественно реализовывалась в компьютерных системах, в том числе в ИТКС, периметровая стратегия, в соответствии с которой защита осуществлялась по периметру сети. Под периметром сети понимается сегмент компьютерной сети, находящийся между внутренними компьютерными системами и внешними сетями, такими как сеть Internet.Защита по периметру сети осуществляется с применением, например, средств межсетевого экранирования, шлюзов безопасности, средств организации виртуальных частных сетей, средств обнаружения и предотвращения вторжений, средств антивирусной защиты и т.п. от угроз, источники которых расположены за пределами сети.

Однако при стратегии периметровой защиты практически игнорируются угрозы, связанные с внутренними их источниками - нарушителями, программными и про- граммно-аппаратными закладками, вредоносными программами.

587

Это обусловило то, что сегодня основное внимание уделяется более совершенной «эшелонированной» защите.

Эшелонированная защиты – это защита, при которой меры защиты распределяются по определенным «эшелонам», к которым могут относиться: «периметр сети», серверы, коммуникационные элементы (коммутаторы, маршрутизаторы и т.п.), рабочие станции, процессоры серверов и рабочих станций, блоки информации (директории, каталоги, файлы), выполняемые процессы, команды, инструкции и т.д.

При этом в каждом эшелоне реализуются свои меры защиты, то есть с переходом от эшелона к эшелону защита дополняется новыми мерами и средствами защиты и тем самым усиливается.

Реализация указанных стратегий не всегда возможна в той или иной организации, предприятии из-за неприемлемых затрат финансовых, материальных или иных ресурсов. В этих условиях могут быть применены стратегии выборочной защиты или дифференцированного контроля и реакции.

Стратегия выборочной защиты основана на определении некоторого набора «ключевых» элементов системы (аппаратных, программных компонентов, каталогов, файлов), относительно которых реализуются необходимые меры защиты, при этом угрозы иным ресурсам игнорируются. Такая неполная защита может оказаться ущербной, однако организация (предприятие) вынуждено использовать такую стратегию из-за неприемлемых затрат при реализации иных стратегий.

Несколько отличается от стратегии выборочнойзащиты стратегия дифференцированного контроля и реакции, суть которой состоит, во-первых, в дифференциации требований, предъявляемых к защите информации, обра-

589

батываемой в разных аппаратных и программных элементах системы (например, на сервере и в рабочих станциях), к разным блокам информации в зависимости от ее содержания (например, к файлам базы данных, к исполняемым файлам и т.п.), и в выборе соответствующих этим требованиям мер и средств защиты. Несмотря на то, что такая стратегия является вполне корректной с точки зрения обеспечения необходимого уровня защиты информации, ее реализация сопряжена не только со сложностью формирования требований, но с корректным выбором и согласованием применения мер и средств защиты.

По направленности действий по защите различаются стратегии пресечения, обмана (отвлечения) и смешанные стратегии. Сегодня на практике в основном применяется стратегия пресечения, направленная на запрет выполнения любых несанкционированных действий с защищаемой информаций или с воздействием на ее носители и средства обработки. Вместе с тем сегодня в связи с расширяющимся внедрением технологий виртуализации стали активно прорабатываться способы защиты, основанные на стратегии обмана – отвлечения нарушителя на ложный информационных ресурс. Применение такой стратегии связывается, прежде всего, с созданием ЛИС (см. раздел 5).

В настоящее время выбор стратегии защиты не выделяется в отдельную процедуру. Это объясняется непроработанностью общей методологии защиты с использованием разных стратегий, скудностью применяемых мер и средств защиты, реализующих стратегию обмана нарушителей, однако знать о перспективах применения разных стратегий защиты нужно и важно для практики.

С учетом выбранной стратегии формируется состав СЗИ. Обобщенный состав возможных подсистем СЗИ приведен на рис. 6.2.

590