Нир Виталий. Выпускная квалификационная работа разработка модели оценки рисков информационной безопасности корпоративной сети
Скачать 0.65 Mb.
|
3.6 Рекомендации к построению добавочной защитыС учетом сказанного можно признать обоснованными следующие подходы к построению добавочных средств защиты для защищенных ОС (т.е. обладающих встроенными механизмами защиты): - добавление механизмов защиты, отсутствующих в ОС, и усиление добавочными средствами штатных встроенных механизмов защиты; - реализация всех механизмов защиты добавочными средствами и их применение наряду со встроенными механизмами. Очевидно, что первому подходу присущи два недостатка: во-первых, невозможность решения концептуальных вопросов защиты информации, рассмотренных ранее, во-вторых, невозможность резервирования основных механизмов защиты. При этом к основным механизмами защиты от НСД относятся механизмы идентификации и аутентификации пользователя при входе в систему, а также механизмы управления доступом к ресурсам. Что касается второго подхода, то он, возможно, характеризуется некоторой избыточностью. Вместе с тем он позволяет в полном объеме решать рассматриваемые проблемы защиты информации. В качестве замечания следует отметить, что, на наш взгляд, в критичных приложениях по изложенным ранее причинам недопустимо использование свободно распространяемых (не коммерческих) средств защиты, а также свободно распространяемых защищенных систем (в частности ОС) без применения средств добавочной защиты. Говоря же о средствах добавочной защиты, прежде всего следует иметь в виду использование коммерческих отечественных продуктов, сертифицированных по принятым требованиям информационной безопасности[20]. Особенности проектирования системы защиты на основе оценки защищенности системы Этапы проектирования системы защиты Задача проектирования системы защиты принципиально отличается от задач проектирования иных информационных систем. Дело в том, что проектирование осуществляется с учетом статистических данных об уже существующих угрозах. Однако в процессе функционирования системы защиты поле угроз может принципиально измениться. В частности, это связано с тем, что многие угрозы предполагают нахождение злоумышленниками ошибок в реализации системных и прикладных средств, которые могут быть неизвестны на момент создания системы защиты, но должны быть учтены в процессе ее функционирования. Поэтому проектирование системы защиты - процедура итерационная, в общем случае предполагающая следующие этапы, на рисунке 1: - проектирование первоначальной системы защиты (исходный вариант); - анализ защищенности на основе статистических данных, полученных в процессе эксплуатации системы защиты; - модификация «узких мест» системы защиты (настройка / замена / дополнение отдельных механизмов защиты информации). Рисунок 1 - Проектирование системы защиты Методы проектирования системы защиты с избыточными механизмами защиты Необходимость избыточных механизмов в системе защиты Выше мы особо отмечали одну принципиальную особенность функционирования системы защиты. Суть ее заключается в том, что коэффициент защищенности непрерывно снижается в процессе функционирования защищенной системы. Это связано с накоплением информации злоумышленником о системе защиты, а также с накоплением статистики об ошибках реализации системных и прикладных средств. Возникает следующая проблема. Если строить систему с требуемым уровнем защищенности (учитывающим текущую статистику угроз), то через небольшой промежуток времени функционирования защищаемой системы систему защиты потребуется проектировать вновь, что связано с большими накладными расходами. Поэтому ранее был сделан вывод о необходимости разработки системы защиты с учетом не только существующей статистики угроз, но и с учетом потенциально возможных (неизвестных) угроз. Тем не менее, приходится учитывать тот факт, что наличие запаса по параметрам защищенности приводит к значительным накладным расходам, прежде всего, по параметрам производительности. Что касается стоимости, то лучше раз создать систему с избыточными механизмами защиты и заплатить изначально больше, чем практически сразу после ее внедрения вновь проектировать систему защиты, т.е. вновь оплачивать все расходы, связанные с этим проектированием, да еще думать об очередном ее внедрении в функционирующую систему, что, как правило, протекает весьма болезненно [20,22]. Из сказанного можем сделать важнейший вывод: с целью увеличения жизненного цикла системы защиты (без необходимости ее модификации) разработчикам следует ориентироваться не только на существующую статистику угроз, но и закладывать технические решения, позволяющие противодействовать неизвестным на момент проектирования системы защиты угрозам (потенциальным угрозам). Обратите внимание на принципиальную разницу между подходами резервирования и подходами включения избыточных механизмов. При резервировании механизмы защиты дублируются такими же механизмами (решают те же функциональные задачи), но реализуются иным способом. Резервный призван заменить основной механизм при выходе его из строя (при обнаружении его уязвимости к атакам). Что касается включения избыточных механизмов, то здесь рассматривается добавление новых механизмов с иными, чем у механизмов, реализованных в системе защиты, свойствами (решающих частично, либо полностью иные функциональные задачи). Другое дело, что данные возможности на первых этапах функционирования системы защиты могут быть не востребованными. Поэтому, чтобы не загружать излишне вычислительные ресурсы системы, их рекомендуется не активизировать - благодаря избыточным механизмам реализуется запас защищенности. |