Технология обнаружения ВН представляет собой совокупность методов обнаружения атак нарушителя на АС [14, 23]. Данная технология реализуется при помощи специализированных программно-аппаратных комплексов, называемых системами обнаружения ВН, выполняющими две основные функции:
- формирование банка данных, содержащего сведения о работе АС, который впоследствии может быть использован для выявления ВН на АС, защищаемые системой обнаружения ВН. Банк данных, формируемый системой обнаружения, может включать в себя: параметры заголовков сообщений, поступающих в АС, время, количество и объём данных, поступающих в АС, число установленных логических соединений с АС за единицу времени, текущий уровень загрузки АС, контрольные суммы программного обеспечения АС и др.;
- определение на базе сформированного банка данных фактов проведения ВЫ на информационные ресурсы и инфраструктуры АС, защищаемых системой обнаружения.
Первую функцию систем обнаружения ВН выполняют сенсоры, а вторую - анализаторы. Настройка параметров работы сенсоров и анализаторов осуществляется центром управления системой обнаружения ВН. В настоящее время существует два основных типа сенсоров: сенсоры, функционирующие на базе анализа журналов аудита АС, и сенсоры, функционирующие на базе анализа трафика, передаваемого по каналу связи, к которому подключена АС.
Основная задача сенсоров, функционирующих на базе анализа журналов аудита АС, заключается в формировании банка данных, содержащего сведения о работе АС. Такой банк данных создаётся на базе регистрационных записей журналов аудита, формируемых АС. Схематично структура системы обнаружения ВН, включающая сенсоры, функционирующие на базе анализа журнала аудита, изображена на рис. 1.
рис.1. Структура системы обнаружения ВН
Недостатком сенсоров, функционирующих на базе анализа журналов аудита АС, является платформенная зависимость, поскольку необходимая для системы обнаружения ВН информация по-разному представлена в различных ОС, под управлением которых функционируют АС. Так, например, характер представления регистрационной информации в журналах ОС рабочих станций пользователей отличается от варианта представления ОС, используемой в большинстве серверов.
К преимуществам сенсоров, функционирующих на базе анализа журналов аудита АС, можно отнести относительно небольшой объём и высокую точность данных, извлекаемых сенсором из журналов аудита АС. Поскольку извлечённая информация не требует дальнейших преобразований и готова к обработке, то системы обнаружения с сенсорами на базе анализа журнала аудита АС обладают высоким быстродействием.
Основная задача сенсоров, функционирующих на базе анализа трафика, заключается в перехвате сообщений, передаваемых по каналам связи, к которым подключена АС, и формировании банка данных, содержащего информацию о работе АС. Критерии перехвата сообщений должны задаваться администратором безопасности. Схематично структура системы обнаружения ВН с сенсорами на базе анализа сетевого трафика отражена на рис. 2.4.
рис.2. Структура системы обнаружения
После того как сенсор осуществил перехват сообщения, он должен извлечь из заголовка сообщения и поместить в банк данных системы обнаружения необходимую информацию, такую как типы и параметры протоколов, используемых для формирования сообщений, поступающих в АС, время, количество и объём передаваемых сообщений и др. Накопленный в базе данных материал позволит анализатору системы сделать вывод о наличии ВН на АС.
В сравнении с сенсорами, функционирующими на базе анализа журналов аудита АС, данный тип сенсоров, базирующийся на анализе канального трафика, позволяет получать больший объём информации о работе АС, что позволяет обнаруживать большее число ВН. Так, например, сенсоры, функционирующие на базе анализа журналов аудита, как правило, не фиксируют аппаратные адреса АС, обменивающихся между собой сообщениями, что позволяет нарушителю выполнить несанкционированные действия путём фальсификации своего аппаратного адреса. В этом случае обнаружить ВН этого типа способна лишь система обнаружения, включающая сенсоры, функционирующие на базе анализа канального трафика. Другим преимуществом сенсоров этого типа является высокая степень отказоустойчивости. Это объясняется тем, что сенсоры, функционирующие на базе анализа журналов аудита, жёстко привязаны к АС, на которой хранится журнал, т.е. в случае выведения из строя АС перестанет функционировать и сенсор. В то же время сенсоры, функционирующие на основе анализа канального трафика, устанавливаются в каналы связи и не зависят от работоспособности окружающих их АС.
Деятельность организации обеспечивается системой взаимоувязанной управленческой документации. Её состав определяется компетенцией структурных подразделений организации, порядком разрешения вопросов (единоначальный или коллегиальный), объёмом и характером взаимосвязей между организацией и его структурными подразделениями, другими органами управления и организациями.
Процесс выявления и регламентации состава информации – это тайна фирмы, являющаяся основополагающей частью системы защиты информации. Состав этих сведений фиксируется в специальном перечне, где закрепляется факт отнесения их к защищаемой информации и определяющий период конфиденциальности сведений, уровень или гриф секретности, а также список лиц, которые имеют право использовать их сведения.
Ценность информации и требования к её надежности находятся в прямой зависимости. Ценность информации может быть выражена в денежном эквиваленте и характеризовать конкретный размер прибыли при её использовании или размер убытков при её потере. Производственная или коммерческая ценность недолговечна и определяется временем, необходимым конкурентам для выработки той же идеи или её хищения.
Технология защиты информации от НСД [9] представляет собой совокупность методов и средств защиты информационных ресурсов и инфраструктур АС от несанкционированного ознакомления и обработки, включая защиту от несанкционированной модификации, уничтожения или копирования информации. Технология защиты информации от НСД базируется на проведении процедуры идентификации и аутентификации субъектов доступа к этой информации. В качестве аутентификационных параметров доступа могут выступать:
- пароли, вводимые пользователем с клавиатуры;
- смарт-карты;
- идентификаторы;
- электронные 118В-ключи;
- криптографические ключи пользователя;
- биометрические параметры пользователя и др.
Обобщённый алгоритм работы средств, построенных на базе технологии защиты информации от НСД, выглядит следующим образом. На этапе получения доступа к какому-либо информационному ресурсу или инфраструктуре АС средства защиты запрашивают аутентификационные параметры субъекта доступа и сравнивают их со значениями, хранящимися в БД средства защиты. В случае установления соответствия между сравниваемыми величинами субъекту разрешается доступ к соответствующим ресурсам и инфраструктурам АС. В противном случае средство защиты информации от НСД несколько раз повторяет запрос на повторный ввод аутентификационных данных, после чего блокирует доступ к АС и сигнализирует администратору безопасности о попытке получения НСД. В случае если АС функционирует в многопользовательской среде, то помимо простого контроля доступа средства защиты информации от НСД выполняют функции разграничения прав доступа разных пользователей к ресурсам и инфраструктурам АС.
В дополнение к функциям аутентификации средства защиты информации от НСД могут выполнять контроль целостности ресурсов и инфраструктур АС. Контроль целостности может осуществляться либо на основе имитовставки алгоритма ГОСТ 28147-89 [7], либо на основе функции хеширования алгоритма ГОСТ Р 34.11-34. В этом случае средства защиты информации от НСД функционируют аналогично системам обнаружения ВН, базирующимся на методе контроля целостности (см. п. 5.4). Как правило, для повышения производительности средствами защиты информации от НСД осуществляется контроль целостности не всех ресурсов и инфраструктур АС, а лишь их наиболее критических компонентов. Контроль целостности может осуществляться как в процессе загрузки, так и динамически в процессе функционирования АС.
В процессе своего функционирования средства зашиты информации от НСД формируют журнал аудита безопасности, содержащий следующие регистрационные записи:
- дату и время попытки доступа субъектов к ресурсам и инфраструктурам АС с указанием её результата (успешный, неуспешный - несанкционированный);
- идентификатор субъекта, предъявленный при попытке получения доступа;
- аутентификационные параметры субъекта, предъявленные при неуспешной попытке доступа.
Технология антивирусной защиты представляет собой совокупность методов обнаружения и удаления программных компонентов, несанкционированно внедрённых в информационную сферу АС и предназначенных для выполнения несанкционированных действий, направленных на реализацию угроз ИБ. Такие программные компоненты принято называть «вирусами» [46]. Частными случаями вирусов являются: информационные «закладки», информационные люки, программы типа «троянский конь» и др. Внесение вирусов может осуществляться нарушителем как на технологическом, так и на эксплуатационном этапе жизненного цикла ГСПД.