криттехн_отч (1085464), страница 3
Текст из файла (страница 3)
Располагая полной информацией, оба центра (FedCIRC, NIРС) могут определить место, откуда исходит угроза, и оперативно устранить ее возможные негативные последствия. Все данные об инцидентах, связанных с информационными происшествиями в Пентагоне и других федеральных ведомствах, будут собираться и анализироваться в Национальном центре безопасности и реагирования (NSIRС) для определения угроз информационным ресурсам США.
Особое внимание уделено ограничению масштабов ущерба информационной инфраструктуре уже непосредственно в ходе вторжения, на основе разработки специальных корпоративных и индивидуальных планов действий. Важная роль в этом направлении отводится федеральному агентству по действиям в чрезвычайных условиях (ФЕМА), модернизация системы связи которого в рамках данной программы будет проведена в течение 2000-2003 гг.
Шестая программа "Активизация НИОКР по поддержке программ 1-5" устанавливает приоритеты в техническом обеспечении "Национального плана защиты информационных систем", требования к оборудованию систем защиты для поддержания на необходимом уровне безопасности всей инфраструктуры в целом. Предусматривается создание специально для этих целей новой научной организации - Института проблем защиты информационной инфраструктуры 13Р. В настоящее время на исследования и разработки в области защиты информационной инфраструктуры в бюджете уже выделено 500 млн. дол. Ключевыми технологиями в области информационной защиты рассматриваются: сети обнаружения вторжения, системы искусственного интеллекта по вскрытию программных "закладок" в операционных системах, методы приостановки действий и выдворения нарушителей, а также устранения последствий их вторжения, повышения надежности и живучести как отдельных ресурсов, так и инфраструктуры в целом, определения критически важных узлов, компонентов или систем.
Подготовке и распределению необходимого количества специалистов в области информационной безопасности отводится седьмая программа. Ею предусматривается провести переподготовку имеющихся специалистов и подготовить новых, широко используя опыт Пентагона, АНБ и других федеральных ведомств.
В сознании большинства американцев еще нет понимания истинного масштаба новых потенциальных угроз, появившихся как результат стремительного и широкого внедрения практически во все сферы общественного устройства США современных информационных технологий. Общество должно осознать, что последствия "электронного Перл-Харбора" по своим масштабам могут быть несопоставимы с тем, что было в истории Америки. Предназначение восьмой программы в том и состоит, чтобы резко улучшить положение в этой сфере.
В бюджете 2000 г. по инициативе президента, поддержанной конгрессом США, выделено 1,5 млрд. долларов на обеспечение безопасности национальной инфраструктуры.
"Обеспечение полной защиты гражданских свобод, личных прав и личных сведений всех американцев" - цель десятой программы. Любые действия правительственных учреждений, связанных с поиском информации в личных компьютерах и электронных сообщениях, должны осуществляться в строгом соответствии с законодательством.
Краткий обзор программ "Национального плана защиты информационных систем" достаточно наглядно показывает серьезность намерений американской администрации поднять проблему информационной безопасности на новый, теперь уже национальный уровень.
В США работы по созданию системы обнаружения несанкционированного доступа в информационные сети (FIDNET) проводятся в рамках «Национального плана защиты информационных систем», который предусматривает полномасштабное разворачивание системы FIDNET в 2003 году. Финансирование по этой программе, в частности, на 1999 год составило порядка 1,5 млрд. долларов. Сравнимая с этой сумма была затрачена небюджетными организациями США на работы в области борьбы с компьютерными преступлениями.
Функционирование системы мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы основывается на оснащении информационно-телекоммуникационных систем необходимыми (существующими и разрабатываемыми) программно-аппаратными средствами, которые должны решать задачи обнаружения атакующих информационных воздействий, идентификацию этих воздействий, определение источников этих воздействий. Решение указанных задач должно осуществляться с достаточной точностью и оперативностью, что в свою очередь требует разработки соответствующего алгоритмического обеспечения. Решение указанной задачи существенно затрудняется тем, что при совершении компьютерного нападения применяются все доступные способы и средства для затруднения решения задач обнаружения и идентификации атакующих информационных воздействий и их источников.
Таким образом создание системы мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы предполагает включение в состав системы обеспечения информационной безопасности информационно-телекоммуникационных систем подсистемы мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему.
По содержанию функциональных требований к системе обеспечения информационной безопасности информационно-телекоммуникационных систем проводятся интенсивные исследования и их содержание постоянно расширяется. По современным представлениям, изложенным в разработанных в 1996 году Единых критериях безопасности информационных технологий, система обеспечения информационной безопасности перспективной информационно-телекоммуникационной системы должна содержать следующие подсистемы:
- защиты информации;
- безопасности защиты;
- идентификации и аутентификации;
- аудита;
- контроля за использованием ресурсов;
- обеспечения прямого взаимодействия;
- контроля доступа к системе;
- конфиденциальности доступа к системе;
- информационного обмена;
К подсистеме "Аудита" предъявляются следующие требования:
- автоматическое реагирование на вторжение в систему;
- регистрация и учет событий;
- управление аудитом;
- выявление отклонений от штатного режима работы;
- распознавание вторжений в систему;
- предобработка протокола аудита;
- защита протокола аудита;
- постобработка протокола аудита;
- анализ протокола аудита;
- контроль доступа к протоколу аудита;
- отбор событий для регистрации и учета;
- выделение ресурсов под протокол аудита.
Таким образом анализируя состав требований к подсистеме "Аудита" можно сделать вывод о том, что система мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы должна рассматриваться как ее составляющая и в рамках подсистемы "Аудита" должна быть дополнена составляющей формирования адекватного ответа на идентифицированные атакующие информационные воздействия.
Многие современные атаки длятся секунды или даже доли секунды, поэтому включение в процесс реагирования человека часто вносит недопустимо большую задержку. Ответные меры должны быть в максимально возможной степени автоматизированы, иначе формирование адекватного ответа во многом теряет смысл. Автоматизация нужна еще и по той причине, что далеко не во всех организациях администраторы безопасности обладают достаточной квалификацией для адекватного реагирования на идентифицированные атакующие информационные воздействия. Хорошая система адекватного реагирования на идентифицированные атакующие информационные воздействия должна уметь внятно объяснить, почему была поднята тревога, насколько серьезна ситуация и каковы рекомендуемые способы действия. Если выбор должен оставаться за человеком, то в идеале он должен сводиться к нескольким элементам меню, а не к решению концептуальных проблем. Таким образом система мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы должна рассматриваться как составляющая подсистемы автоматического реагирования на вторжение в систему.
Подсистема автоматического реагирования на вторжение в систему, включающая в себя систему мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему, дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграничение доступа. (Например, межсетевой экран бессилен против нелегальных модемных входов/выходов, а система мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему позволяет обнаруживать их.).
Подобное дополнение необходимо по следующим причинам:
- во-первых, существующие средства разграничения доступа не способны реализовать все требования политики безопасности, если последние имеют более сложный вид, чем разрешение/запрет атомарных операций с ресурсами информационной системы. Развитая политика безопасности может, например, накладывать ограничения на суммарный объем прочитанной пользователем информации, запрещать доступ к ресурсу В, если ранее имел место доступ к ресурсу А, и т.п.;
- во-вторых, в самих защитных механизмах сети могут быть ошибки и слабости, поэтому помимо внедрения, пусть самых эффективных защитных механизмов, приходится заботиться и об обнаружении фактов преодоления внедренных в систему средств защиты;
- в третьих, в процессе эксплуатации защитных механизмов пользователи могут допускать нарушения правил их эксплуатации, приводящие к возможности нарушения политики безопасности.
Подсистема автоматического реагирования на вторжение в систему должна иметь тесные связи с другими подсистемами. Так, например, она может опираться на традиционные механизмы протоколирования. В свою очередь, после выявления нарушения зачастую требуется просмотр ранее накопленной регистрационной информации для того, чтобы оценить ущерб, понять, почему нарушение стало возможным, спланировать меры, исключающие повторение инцидента. Параллельно производится надежное восстановление первоначальной (то есть не измененной нарушителем) конфигурации. Кроме того, система мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему должна иметь возможность изменения ее конфигурации в зависимости от изменения внешних условий эксплуатации информационно-телекоммуникационной системы, выявления признаков новых видов информационного оружия и др.
Управление безопасностью
Последним положением Рекомендаций, на котором необходимо остановиться, является дополнение выше рассмотренной совокупности служб безопасности подсистемой управления безопасностью.
Функции управления безопасностью могут быть разделены на три группы
• управление безопасностью системы;
• управление службами безопасности;
• управление механизмами безопасности. Управление безопасностью системы включает следующие функции управления безопасностью:
• поддержки целостности политики безопасности;
• взаимосвязи с остальными функциями управления ВОС и управления услугами и механизмами безопасности;
• управления механизмом событий безопасности, механизмом контроля безопасности и механизмом восстановления безопасности.
Управление безопасностью системы осуществляется тремя механизмами безопасности.
Механизм событий безопасности включает фиксацию попыток нарушения безопасности системы, а также может включать фиксацию нормальных событий, таких, как подключение объекта и т.п. Под управлением этим механизмом понимается установление пороговых значений для включения сигнализации о событиях безопасности и извещения объектов о данных событиях.
Механизмы контроля безопасности - это просмотр и изучение системных журналов и наблюдение за функционированием системы с целью определения достаточности средств ее контроля на соответствие принятой политике безопасности и процедурам обработки данных, обнаружение нарушений безопасности и выработка рекомендаций по изучению средств контроля и процедур безопасности. Управление данным механизмом включает выбор событий безопасности, заносимых в журнал безопасности, включение и отключение регистрации событий безопасности и подготовка отчетов о безопасности системы.
Механизм восстановления безопасности реализует процедуры восстановления на основе правил политики безопасности. Управление им заключается в установлении правил, определяющих действия системы при нарушениях безопасности, а также в извещении объектов о нарушениях в системе и вмешательстве администратора.
Управление службами безопасности реализует управление отдельными сервисными службами безопасности (определение и назначение необходимой услуги безопасности, определение правил выбора конкретного механизма безопасности для требуемой услуги, согласование параметров механизмов безопасности, а также вызов определенных механизмов безопасности посредством функции управления механизмом безопасности).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
