Средства компенсации угроз и аудита

on

Повышение безопасности в корпоративной информационной системе для экономических и финансовых подсистем, бухгалтерской отчетности является актуальной проблемой. Многие организации занимаются решением данной проблемы, но постоянно регистрируются новые варианты атак на информационные ресурсы корпоративных систем. Функциональные подсистемы бухгалтерского учета становятся составной частью комплексных систем автоматизации предприятия. Внедрение таких систем характерно для предприятий среднего и крупного бизнеса. Дальнейшее развитие экономических информационных систем связано с разработкой корпоративных систем управления, в которых бухгалтерские информационные системы являются одной из основных подсистем. Разграниченная политика безопасности доступа пользователей к корпоративной информационной системе, бухгалтерской подсистеме имеет общий характер, и неизменно должна быть реализована защита информации от несанкционированного доступа злоумышленника. Основная задача зашиты информационной системы сводится к контролю запуска, локализации действия процессов и авторизированного доступа к информационной системе. Использование современных методов управления информационной безопасностью позволяет поддерживать режим безопасности корпоративной информационной системы. Обязательной составной частью таких методов является проведения аудита информационной безопасности. Для реализации разграниченной политики выделяются следующие схемы доступа к ресурсам информационной системы: — разграничение прав доступа к объектам пользователей, вне разграничений процессов, эксклюзивный режим обработки запросов пользователей — доступ к объекту разрешается, если он разрешен пользователю; — разграничение прав доступа к объектам процессов вне разграничений пользователей, эксклюзивный режим обработки запросов процессов — доступ к объекту разрешается, если он разрешен процессу; — комбинированное разграничение прав доступа — разграничение прав доступа к объектам процессов в рамках разграничений пользователей, доступ к объекту разрешается, если он разрешен пользователю и процессу . В общем виде модель защиты корпоративной информационной системы, реализованной средствами аутентификации и идентификации, может быть представлена схематически (рис. 1). Злоумышленник с помощью некоторого источника угроз генерирует множество угроз для корпоративной информационной системы . Пусть множество угроз будет конечным и счетным . Каждая i-я угроза характеризуется вероятностью появления Рiугр и ущербом, приносимым информационной системе несанкционированной атакой внутреннего нарушителя. Рис. 1. Модель защиты информационной системы, реализованной с помощью средств аутентификации и идентификации Средства аутентификации пользователей являются одним из самых важных компонентов организации защиты информации в сети. Прежде чем пользователю будет предоставлено право получить тот или иной ресурс, необходимо убедиться, что он действительно тот, за кого себя выдает. При получении запроса на использование ресурса от имени какого-либо пользователя сервер, предоставляющий данный ресурс, передает управление серверу аутентификации. После получения положительного ответа сервера аутентификации пользователю предоставляется запрашиваемый ресурс. Один из средств аутентификации — это использование стандартных паролей. Пароль — совокупность символов, известных подключенному к сети абоненту. Пароль вводится в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса. В особо ответственных случаях пароль нормального выхода из сети может отличаться от входного. Эта схема является наиболее уязвимой с точки зрения безопасности — пароль может быть перехвачен и использован другим лицом . Даже будучи перехваченным, одноразовый пароль будет бесполезен при следующей регистрации, а получить следующий пароль из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы, представляющие собой устройства, вставляемые в слот компьютера. Знание секретного слова необходимо пользователю для приведения этого устройства в действие. Одной из наиболее простых систем, не требующих дополнительных затрат на оборудование, но в то же время обеспечивающих хороший уровень защиты, является S/Kеy, на примере которой можно продемонстрировать порядок предоставления одноразовых паролей. В процессе аутентификации за счет средств с использованием S/Kеy участвуют две стороны — клиент и сервер. При регистрации в системе, использующей схему аутентификации S/Kеy, сервер присылает на клиентскую машину приглашение, передаваемое по сети в открытом виде, текущее значение счетчика итераций и запрос на ввод одноразового пароля, который должен соответствовать текущему значению счетчика итерации. Получив ответ, сервер проверяет его и передает управление серверу требуемого пользователю сервиса. Контрольные суммы используются при создании резюме фиксированной длины для представления длинных сообщений. Алгоритмы расчета контрольных сумм разработаны так, чтобы они были по возможности уникальны для каждого сообщения. Таким образом, устраняется возможность подмены одного сообщения другим с сохранением того же самого значения контрольной суммы. Однако при использовании контрольных сумм возникает проблема передачи их получателю. Одним из возможных путей ее решения является включение контрольной суммы в так называемую электронную подпись. Средства аутентификации и идентификации выполняют функцию полной или частичной компенсации угроз для информационной системы. Основной характеристикой средств аутентификации и идентификации является вероятность устранения каждой i-й угрозы . За счет функционирования средств аутентификации и идентификации обеспечивается уменьшение ущерба W, наносимого информационной системе воздействием угроз. Обозначим общий предотвращенный ущерб информационной системе через а предотвращенный ущерб за счет ликвидации воздействия i-й угрозы — через . Формальная постановка задачи имеет вид: , (1) где T — некоторый вектор, характеризующий набор средств аутентификации и идентификации. Предотвращенный ущерб в общем виде выражается соотношением: . (2) Предотвращенный ущерб средствами аутентификации и идентификации за счет ликвидации i-й угрозы злоумышленника на информационную систему: . (3) При условии независимости угроз и аддитивности их последствий . (4) Вероятность появления i-й угрозы определяется статистически и соответствует относительной частоте ее появления , (5) где — частота появления i-й угрозы. Таким образом, проанализировав вероятность появления i-й угрозы можно констатировать, что средства аутентификации и идентификации обеспечивают защиту корпоративной информационной системы на должном уровне. Предотвращенный ущерб выражается соотношением: . (6) Для решения проблемы аутентификации и идентификации для субъекта «процесс» необходимо нейтрализовать возможность запуска процессов под другими именами (lоgin) и крайне необходимо предотвратить процесс трансформации исполняемых файлов информационной системы. В качестве альтернативного решения данной проблемы необходимо использовать замкнутость программной среды, приложений. Замкнутость достигается за счет механизма контроля доступа к информационным ресурсам и обеспечения целостности программного обеспечения. Реализация механизма контроля выполняется в том случае, когда корректно разграничены права на запуск исполняемых файлов. Под корректностью разграничения прав понимается регламент выполнения запуска программного обеспечения и противодействия любой трансформации разрешенных к исполнению объектов. Если в качестве субъекта доступа выступает «пользователь» и «процесс», то механизм контроля также может контролировать замкнутость программной среды в комплексе. Достоинством данного механизма является обеспечение разграничения доступа для всех пользователей корпоративной информационной системы. Использование средств аутентификации и идентификации предотвращает несанкционированный доступ злоумышленника к информационной корпоративной системе. Также осуществляется разграничение доступа к ресурсам между различными пользователями, чтобы не получить доступ к разграниченным ресурсам другого пользователя, и возможность утечки конфиденциальной информации становится минимальной. Показатели информационной безопасности характеризуют конфиденциальность, целостность и доступность. Обобщенные показатели зависят от показателей качества информационной системы. Доверие к информационной системе формируется на основе принятых стандартов и требований достоверности . Математическое моделирование позволяет логическим путем прогнозировать последствия альтернативных действий по управлению информационной безопасностью и показывает, какому из них следует отдать предпочтение. Применение математических моделей дает метод, повышающий эффективность суждений и интуиции администрации. В теории массового обслуживания выделяют задачи: максимальной длины очереди; необходимой скорости обслуживания; количества приборов обслуживания, которые работают параллельно. Необходимо построить математические модели системы массового обслуживания. Экспериментируя с моделью, можно получить нужные ответы. Полученные при этом данные в сочетании с наблюдениями реальных систем используются для верификации модели. Для анализа и синтеза моделей информационной безопасности подсистем корпоративной системы может быть использована детерминированная модель очереди пользователей. Для расчета берутся средние значения интенсивности входного потока и времени обслуживания пользователей с некоторыми «запасами». Также могут быть использованы: модель на базе теории распределений (частотные распределения для интенсивности входного потока и времени обслуживания); марковская модель очереди (выделяются определенные состояния объекта обслуживания и вероятности переходов между ними); имитационная модель случайных процессов поступления объектов и формирования процессов обслуживания. Основные компоненты модели для экономических и финансовых систем, бухгалтер кой отчетности могут включать определенные параметры и способы. Определение входного потока требований (Ni ) Ni = f(nij); вероятностные характеристики (Рj); периодические колебания действий пользователей (Sk); тренд основных показателей (Tm). Определение способа, которым выполняется обслуживание пользователей (Vd), — соответствующая подсистема обслуживания, вероятностные характеристики. Неадекватность математического представления реальной информационной системы с многими упрощениями и идеализациями определяется недостатком информации, времени на принятие решения по защите информационного ресурса соответствующей подсистемы. Под структурой системы следует понимать организацию ее отдельных элементов (Sk) с учетом их взаимосвязей и поставленных перед системой целей. Элементом системы Sk является любая ее часть, не подлежащая расчленению при данном рассмотрении. В рамках информационной системы S выделяют различные по своему назначению подсистемы Sk, которые можно рассматривать как самостоятельные системы. С точки зрения роли отдельных подсистем в решении задач управления их разделяют на функциональные и обеспечивающие. Информационная система как сложная и многофункциональная система может быть декомпозирована по различным признакам. Применительно к системам управления безопасностью распространенными признаками структуризации служат вид управляемого ресурса и функции управления экономическим объектом. Состав функциональных подсистем Sk во многом определяется особенностями экономической системы S, ее отраслевой принадлежностью, формой собственности, размером, характером деятельности предприятия . Структура бухгалтерского аппарата зависит от численности работников, объема учетно-контрольных работ, их значимости и сложности. Поэтому на небольших предприятиях структура бухгалтерии более проста. В бухгалтерии средних и крупных предприятий круг объектов учета значительно шире, поэтому возникает необходимость подразделить аппарат бухгалтерии на части. Поскольку бухгалтерская информационная система SВ призвана автоматизировать работу аппарата бухгалтерии, состав ее функциональных подсистем соответствует основным участкам бухгалтерского учета. В бухгалтерской информационной системе «БЭСТ-ОФИС» SВ, предназначенной для автоматизации учета на предприятиях малого бизнеса, могут быть выделены следующие функциональные подсистемы: учет операций SВоп; расчеты SВрасч; основные средства SВ осню сред.; заработная плата SВ ЗП; материалы SВ МАТ; баланс SВ БАЛ; налоги SВ НАЛ. SВ = { SВоп ; SВрасч; SВ осню сред.; SВ ЗП; SВ МАТ; SВ БАЛ; SВ НАЛ }. Другим примером служит контур учета в многопользовательском сетевом комплексе полной автоматизации предприятия, который ориентирован на средние предприятия. Здесь состав функциональных подсистем следующий: учет материальных ценностей; учет основных средств и нематериальных активов; учет труда и заработной платы; учет банковских, кассовых и валютных операций; учет фактических затрат; сводный учет и консолидированная отчетность. Состав обеспечивающих подсистем не зависит от выбранной предметной области. Он может варьироваться в зависимости от сложности информационной системы. При выборе информационной системы следует иметь в виду, что чем более полно представлен состав обеспечивающих подсистем, тем более качественной является информационная система . Подсистема организационно-правового обеспечения представляет собой совокупность организационных и правовых актов, регламентирующих разработку, внедрение и функционирование ИС. Подсистема кадрового обеспечения решает вопросы определения потребности в кадрах, количественного и качественного состава работников в различных звеньях системы, подбора и расстановки их на этапах функционирования информационной системы. Подсистемы научного и экономического обеспечения призваны выполнять задачи, связанные с разработкой критериев оптимальности и эффективности системы, эффективности от внедрения новейших достижений науки и техники, новой информационной технологии проектирования, а также определения основных направлений дальнейшего развития и совершенствования системы. Методы управления информационной безопасностью корпоративных систем необходимо развивать в части использования средств компенсации угроз и аудита безопасности. Предложено дополнительно учитывать реализуемость угрозы обхода нарушителем программы аудита безопасности.