Программные продукты и системы

При проведении аудита информационной безопасности (ИБ) информационных систем (ИС) перед аудиторами встает вопрос об оценке защищенности ИС, а также о выработке рекомендаций, выполнение которых может способствовать повышению уровня защищенности. При этом стоимость предложенных рекомендаций должна быть адекватной стоимости защищаемой информации, кроме того, рекомендации должны быть максимально эффективными.

Очевидно, что при проведении аудита ИБ необходимо учитывать опыт предыдущих аудитор­ских проверок. Этот опыт удобно хранить в БД и БЗ, а применять его можно с использованием технологии экспертных систем (ЭС) [1].

Разрабатываемая ЭС аудита ИБ решает следующие задачи:

-    автоматизация процедуры проведения аудита;

-    облегчение работы или полная замена экспертов ИБ;

-    использование накопленного ранее опыта;

-    выработка максимально эффективных рекомендаций;

-    снижение стоимости проведения аудита.

Для представления знаний в ЭС используется фреймовая модель, для принятия решения – прямой логический вывод.

Структурная схема ЭС представлена на рисунке 1, алгоритм ее работы – на рисунке 2.

Интерфейс пользователя предназначен для аудиторов или сотрудников компании, выполняющих аудит ИБ. Через интерфейс аудитор (сотрудник) передает ЭС запрашиваемые данные: сведения о требованиях ИБ, выполненных в системе защиты информации. Через этот же интерфейс осуществляется первоначальный выбор угроз ИБ, для которых будет проводиться аудит. Вся информация, вводимая пользователем через интерфейс, передается в рабочую память.

ЭС использует интерфейс пользователя для предоставления итоговых отчетов с результатами аудита и выработанными рекомендациями.

Интерфейс эксперта предназначен для передачи знаний экспертов ИБ в БЗ, а также для корректировки знаний, уже содержащихся в ней. Эксперт может передавать свои знания системе через инженера по знаниям или самостоятельно. Через интерфейс осуществляется и изменение блока принятия решения. Это происходит только в том случае, если в работе ЭС обнаружены ошибки.

Внешний интерфейс служит для передачи весовых коэффициентов выполненных и невыполненных требований ИБ в блок вычисления степени защищенности ИС и для передачи полученного значения обратно в ЭС для формирования на основе полученного значения рекомендаций по повышению степени защищенности.

Для разработки интерфейсов пользователя и эксперта, а также блока вычисления степени защищенности использовался язык высокого уровня C++. Для проектирования ЭС выбрана программа-оболочка CLIPS.

Рассмотрим алгоритм работы ЭС, изображенный на рисунке 2, подробнее. Во время проектирования ЭС были выявлены и классифицированы главные угрозы ИБ [1]. ЭС позволяет при проведении аудита выбирать любое количество угроз из предложенного списка (блок 2). Затем последовательно выполняется аудит для каждой из выбранных угроз.

После определения перечня рассматриваемых угроз ИБ ЭС определяет уязвимости, через которые могут быть реализованы данные угрозы (блоки 3–8). При поиске уязвимостей активизируются фреймы типа «Угроза» и «Уязвимость».

На основании определенных уязвимостей ЭС формирует перечень требований, предъявляемых к системе защиты информации (блоки 9–13), при этом активизируются фреймы типа «Уязвимость» и «Требование информационной безопасности».

После окончания формирования списка требований пользователь (аудитор или сотрудник компании), проводящий аудит ИБ, отмечает требования, выполненные в системе защиты информации (блок 14). После того как определены все выполненные и невыполненные требования, вычисляется степень защищенности ИС (блок 15).

Если степень защищенности недостаточна для ИС данного класса, ЭС формирует рекомендации для повышения уровня защищенности (блоки 16–17). При оценке степени защищенности активизируется фрейм типа «Информационная система», а при выработке рекомендаций – фреймы типов «Уязвимость», «Требование» и «Рекомендация».

Когда аудит проведен для всех выбранных угроз, ЭС формирует итоговый отчет и предоставляет его пользователю (блок 20).

Для проектирования ЭС было решено использовать программу-оболочку ЭС.

Основные критерии для выбора оболочки следующие: представление знаний с помощью фреймов, реализация процедуры прямого логического вывода, встраивание ЭС в приложения, написанные на языке высокого уровня.

С учетом перечисленных выше требований для проектирования ЭС была выбрана оболочка CLIPS (C Language Integrated Production System) – программная ЭС, разработанная в 1984 году в Космическом центре Джонсона, NASA [2].

Выбор объясняется тем, что в CLIPS встроен полный объектно-ориентированный язык программирования COOL, поэтому с помощью CLIPS можно создавать ЭС, знания в которых представлены в виде фреймов. Кроме того, CLIPS позволяет использовать продукционные правила типа «Если – То», с помощью которых удобно представлять небольшие фрагменты знаний, а также реализовывать логический вывод. Получается, что CLIPS соединяет в себе преимущества двух категорий инструментальных средств ЭС: основанных на правилах и на объектах.

Среди других достоинств оболочки CLIPS можно выделить следующие:

-    бесплатное распространение системы;

-    наличие обширной документации вместе с простотой языка, ускоряющие процесс обучения написанию программ на CLIPS;

-    высокая скорость работы созданных на CLIPS приложений;

-    возможность легко создавать, эксплуатировать и сопровождать на CLIPS крупные БЗ, используя объекты.

Кроме того, для CLIPS на языке C++ можно создавать расширения, а также интегрировать приложения CLIPS в программы.

Литература

1.   Ivanova N., Korobulina O. Methods of analysis for the information security audit / New Trends in Information Technologies. ITHEA, Sofia, 2010, pp. 152–161.

2.   Джарратано Дж., Райли Г. Экспертные системы. Принципы разработки и программирование. М.: Издат. дом «Вильямс», 2007. 1152 с.