Программные продукты и системы

Многие коммерческие и государственные организации, заменив практически всю свою техническую и программную инфраструктуру, вынуждены периодически проводить контроль (технический аудит) созданных и эксплуатируемых АСУ.

С этой целью привлекаются специалисты (эксперты) по информационной безопасности, работа которых заключается в определении уязвимостей программно-технических средств АСУ и разработке рекомендаций по защите информации. После получения экспертного заключения по защите информации на объекте информатизации зачастую устанавливаются обновления для операционных систем (ОС), блокируются незадействованные порты и устройства ввода/вывода (USB, FLOPPY, DVD и т.д.), устанавливаются межсетевые экраны в сегменты вычислительной сети, ужесточается регламент служебного времени (контрольно-про­пускной режим) и т.п.

Несмотря на то, что методы и средства защиты информации постоянно совершенствуются, разработка методики оценки реального уровня защищенности и создание инструментальных средств, при помощи которых проводятся подобные проверки, по-прежнему актуальны и востребованы.

Существующие методики оценки, в основе которых заложен вероятностный подход либо подход к проверке соответствия требований по защищенности, заданных на этапе технического задания (уточненных на этапе технического проекта), не учитывают реальное состояние защищенности, а лишь дают приближенную оценку, основанную на данных, полученных экспертным путем.

Программные комплексы (ПК), созданные для автоматизации процесса оценки защищенности, не могут рассчитать реальный уровень защищенности и дать адекватную оценку. Такие ПК, как «АванГард» [1] и аналогичные ему, направлены на оценку рисков нарушения информационной безопасности, но при проведении экспертной оценки не учитывают техническую структуру объекта информатизации и особенности АСУ.

Такое положение в технологиях и методиках оценки защищенности информации сложилось из-за отсутствия системного подхода в методологии анализа и синтеза средств защиты информации (СЗИ), сложности объективного подтверждения эффективности СЗИ и неполноты нормативно-ме­тодического обеспечения информационной безопасности прежде всего в области систем показателей и критериев.

Инструментальные средства для проведения оценки

Оценку защищенности АСУ предлагается проводить по направлениям локального и сетевого тестирования АСУ [2].

Локальное тестирование заключается в проверке состояния защищенности объекта информатизации от внутреннего нарушителя. С этой целью используются следующие инструментальные средства:

-      сканеры портов Nmap, SuperScan и др. (определяют количество и наименования открытых портов);

-      средства анализа защищенности XSpider, Сканер-ВС и др. (определяют перечень уязвимых мест и выдают рекомендации по их блокированию).

Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку состояния защищенности объекта информатизации в агрессивных условиях. Для этого используются следующие инструментальные средства:

-      снифферы WireShark, Ettercap и др. (проводят пассивное и/или активное прослушивание сетевого трафика);

-      средства моделирования компьютерных атак MetaSploit Framework, Nessus и др. (проводят моделирование компьютерных атак на различные ОС и ПО).

Методика оценки защищенности АСУ в условиях компьютерных атак

Исходными данными методики являются: программно-технические средства АСУ (рабочие станции, серверы), объединенные в локальную вычислительную сеть (ЛВС); коммуникационное оборудование (маршрутизаторы, коммутаторы ЛВС, концентраторы и т.п.); средства защиты информации (межсетевые экраны, антивирусные средства, средства защиты информации и др.).

К выходным показателям методики относятся количество выявленных IP-адресов и открытых портов на них, а также уязвимых мест и реализованных через них компьютерных атак.

Основные проводимые операции (действия) представлены в таблице.

Алгоритм методики следующий.

1. Выполнение начинается с подключения к вычислительной сети и проведения пассивного прослушивания сетевого трафика, в результате чего определяются IP-адреса компьютеров, находящихся в сети. Большинство современных снифферов, анализируя сетевые пакеты, сразу определяют ОС активных компьютеров. Наименование ОС является основным параметром, который в качестве исходных данных используется при выполнении следующих этапов.

2. Полученные при прослушивании сети IP-ад­реса компьютеров задаются в виде диапазона, по которому проводится сканирование сети. В результате сканирования формируется уточненный перечень компьютеров и их IP-адресов с указанием количества открытых портов P на них.

3. Следующим действием является анализ уязвимостей. Для этого при помощи соответствующих программных средств задается уточненный перечень IP-адресов компьютеров для сканирования. В результате сканирования формируется список уязвимостей и уязвимых портов Y, на которых функционируют службы и сервисы ОС тестируемых компьютеров.

Таким образом, путем локального тестирования можно определить коэффициент уязвимости компьютеров вычислительной сети. Коэффициент уязвимости L локального тестирования равен отношению количества открытых портов к количеству портов, на которых обнаружена уязвимость, и находится по формуле

,                                                                (1)

где Pi – количество открытых портов на i-м компьютере; Yi – количество портов i-х компьютеров, на которых были найдены уязвимости.

4. Этап выполнения методики, содержащий активные действия, заключается в моделировании компьютерных атак через уязвимости протоколов передачи данных, ОС, ПО. Программные средства моделирования компьютерных атак включают в свой состав основные (E) и дополнительные (A) сценарии компьютерных атак. Количество возможных компьютерных атак может быть ограничено на основе выявления ОС, установленных на тестируемых компьютерах.

По результатам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, который равен отношению количества реализованных компьютерных атак к общему количеству возможных (предполагаемых) компьютерных атак и находится по формуле

,                                                     (2)

где Ri – количество реализованных компьютерных атак на i-м компьютере; EО – количество основных сценариев моделирования компьютерных атак (Exploits), ограничивается наименованием ОС (O); AО – количество дополнительных сценариев моделирования компьютерных атак (Auxiliaries), ограничивается наименованием ОС (O).

Коэффициенты уязвимости, полученные по результатам локального и сетевого тестирования, составляют коэффициент общей уязвимости системы W, который находится по формуле

W=L×S.                                                                     (3)

Коэффициент защищенности системы Z1 можно найти, исходя из того, что уровень защиты системы и уровень общей уязвимости системы дополняют друг друга до единицы:

Z1=1–W.                                                                   (4)

5. На заключительном этапе методики осуществляются сбор данных о количестве обнаруженных компьютерных атак и расчет коэффициента реального уровня защищенности АСУ. Сбор данных может быть реализован двумя основными способами:

-      при наличии на объекте информатизации средств обнаружения компьютерных атак данные о количестве компьютерных атак находятся на основе анализа журнала регистрации событий таких средств;

-      если на объекте информатизации установлены штатные СЗИ, вывод о количестве компьютерных атак делается путем обхода СЗИ и суммирования фактов обнаружения несанкционированных действий на них.

Коэффициент эффективности СЗИ определяется по формуле

,                                                              (5)

где Kобн – количество компьютерных атак, обнаруженных всеми СЗИ; R – общее количество реализованных компьютерных атак.

Оценка реального уровня защищенности АСУ может быть получена на основе расчета обобщенного коэффициента, который находится как произведение коэффициента защищенности системы и коэффициента эффективности СЗИ и выражается формулой

Z=Z1×Z2.                                                                     (6)

Обобщая, можно сделать следующие выводы. Авторами разработана методика оценки реального уровня защищенности АСУ в условиях моделирования компьютерных атак. Сложность и территориальная распределенность элементов АСУ, повышение требований к обеспечению их защищенности в условиях компьютерных атак приводят к необходимости поиска новых форм испытаний и тестирования программных средств АСУ, к которым в первую очередь относится натурное и имитационное моделирование компьютерных атак. Приведен перечень инструментальных средств, используемых для проведения оценки, включая средства моделирования компьютерных атак.

Достоверность и обоснованность полученных результатов обеспечиваются полнотой учета исходных данных о сценариях компьютерных атак, уязвимостях АСУ, полученных из практики; полнотой учета факторов, влияющих на защищенность АСУ в условиях компьютерных атак; созданием реальной обстановки (внезапность проведения испытаний, что дает чистоту эксперимента) и наличием штатно функционирующих СЗИ, а также выбором показателей оценки эффективности средств защиты информации, применяемых в разработанных методах и алгоритмах тестирования.

Литература

1. Бурдин О.А., Гордеев Ю.А., Кононов А.А. Оценка рисков нарушения информационной безопасности с помощью комплексной экспертной системы «АванГард» // Системные проблемы качества математического моделирования, инфор-мационных, электронных и лазерных технологий: матер. Междунар. конф. и российск. науч. шк. М.: МГИЭМ, 2001. Ч. 5.     С. 134–139.

2. Войнов Ю.В., Мукминов В.А. Об архитектуре средств тестирования автоматизированных систем в условиях моделирования информационных воздействий // Изв. Инс-та инженер. физики. 2011. № 1. С. 36–39; Методика проведения технических экспертиз и испытаний автоматизированных систем в условиях моделирования информационных воздействий. С. 8–12.