Какой бы путь ни был выбран, все равно придется столкнуться с проблемой управления VPN-устройствами и поддержания согласованных правил безопасности для VPN и межсетевых экранов в масштабах всей организации. Если сотрудники не обладают достаточными навыками в этой области, можно доверить создание виртуальной частной сети независимой компании, оказывающей соответствующие услуги.

Следует также отметить, что использование VPN не является поводом для отказа от специализированных средств безопасности. По статистике, до 80% всех инцидентов, связанных с информационной безопасностью, происходит по вине авторизованных пользователей, имеющих санкционированный доступ в корпоративную сеть, а это значит, что атака или вирус от такого пользователя будут зашифрованы и переданы наравне с безобидным трафиком [30]. Необходимо упомянуть еще одну особенность VPN - использование этой технологии снижает производительность сети, что обусловлено задержками установления защищенного соединения между VPN-устройствами, задержками шифрования данных, задержками контроля их целостности и увеличенным трафиком из-за использования более длинных заголовков пакетов.

В общем средства VPN позволяют осуществлять безопасную передачу данных по открытым каналам связи, при этом обеспечивая надежную криптографическую защиту данных от всевозможных угроз. При этом уровень защищенности при использовании VPN средств зависит от правильности их настройки, что требует определенного квалификационного уровня системного администратора и знание технологии VPN и используемых протоколов.

2.5 Сервер обновлений ПО

В современных КИС численность рабочих станций уже давно превысила цифру в 100 единиц. При всем этом перечень прикладного ПО, которое используется пользователями в КИС, также может быть довольно большим. Многие администраторы сталкиваются с проблемой обновления ОС и приложений в локальной сети. Чтобы обеспечивать должный уровень безопасности ПО не должно содержать в себе потенциально опасных уязвимостей. Разработчики ПО при обнаружении уязвимостей сразу же выпускают к нему заплатки или патчи. Суть проблемы как раз и заключается в том, чтобы установить эти обновления на рабочие станции КИС. ПО может иметь в себе встроенные средства обновления, а производители данного ПО, как правило, регулярно обновляют свои веб-сайты новыми версиями ПО. Но если в сети насчитывается большое количество компьютеров, то обновление каждого из них займет определенный процент времени администратора, а также повлечет большой расход интернет трафика.

Для автоматизации процесса обновления, а также экономии ресурсов компании используется специализированное ПО для централизованного обновления. Сервер обновлений скачивает все необходимые заплатки с определенной периодичностью на свой локальный диск, а рабочие станции для обновления подключаются уже непосредственно к нему. Чаще всего эти средства обновления рассчитаны на конкретную операционную систему или антивирусный продукт. Выгоды такого решения очевидны: экономия времени администратора, актуальная версия ПО, содержащая последние программные улучшения, обновленная база вирусов обеспечивающая защиту от всех известных вирусов.

К тому же централизованная система обновлений уменьшает вероятность загрузки поддельных пакетов обновлений, измененных злоумышленником с целью нарушения безопасности организации. Многие программы обновления поддерживают проверку ЦП производителя для загружаемых пакетов и обеспечивают защищенный режим взаимодействия, исключая возможность подмены злоумышленником сервера обновлений и самих пакетов обновлений.

Таким образом, централизованная система обновления ПО в КИС способствует повышению уровня защищенности всей системы в целом, экономит время администраторов и ресурсы компании. В то же время такие системы перекрывают многие угрозы, такие как переполнение буфера, отказ в обслуживании и пр. Для обеспечения должного уровня защищенности КИС в ней обязательно должна присутствовать система централизованного обновления ПО.

В разделе были описаны основные средства и технологии, применяемые в настоящее время для защиты КИС в сетевом аспекте. Конечно, кроме перечисленных решений может существовать и масса других, отличающихся своими характеристиками, реализацией или набором средств. Как раз и выбор оптимального набора средств является одним из вопросов, решаемых в данной дипломной работе.3 Методика оценки эффективности средств защиты

3.1 Проблема выбора эффективного решения

Любая целенаправленная деятельность человека, начиная от бытовой и оканчивая профессиональной, представляет собой непрерывную последовательность принимаемых и реализуемых решений. Поэтому умение принимать эффективные решения отличает высококвалифицированных специалистов и жизненно успешных людей. Это обстоятельство определило давний и неугасающий интерес к разработке формальных методов, правил-алгоритмов, процедур, которым можно обучить, как альтернативы субъективному интуитивному искусству принятия решений. В процессе исследований было установлено, что принимаемые решения различаются по значимости последствий, особенностям ситуаций, в которых принимается решение, степени полноты и точности исходной информации, но с формальной точки зрения имеют общую методологию и инструментарий реализации. При этом большинство формальных процедур принятия решений является инвариантными предметной области.

Широкое распространение современной вычислительной техники, ее интенсивное использование во всех сферах как средства автоматизации интеллектуальной деятельности человека, придало дополнительный импульс изучению и формализации процессов принятия решений. Они отличаются сложностью, возможными последствиями, но с формальной точки зрения могут быть представлены одной обобщенной моделью, инвариантной конкретному содержанию проблемы принятия решений. Анализ позволяет выделить следующие основные задачи обобщенной процедуры принятия решения: [31]

· формирование цели, ее анализ и формализация;

· определение множества возможных путей ее достижения (множества решений);

· формирование оценки (меры) позволяющей сравнивать (ранжировать) возможные решения между собой по качеству;

· выбор из возможного множества экстремального, т.е. наилучшего по качеству единственного решения.

В теории принятия решений совокупность перечисленных задач образует общую проблему принятая решений, третья называется задачей оценивания, а четвертая - задачей оптимизации.

Конечной целью решения общей задачи принятия решений является выбор из допустимого множества решений X единственного наилучшего, т.е. экстремального по выбранным частным критериям решения

(3.1)

Если задача однокритериальная, т.е. n=1, то она имеет единственное решение, в случае если п>1, т.е. задача является многокритериальной, ее однозначное решение можно получить только в частных случаях, а в общем случае задача не имеет единственного решения.

Выше было показано, что задача многокритериальной оптимизации (3.1) является некорректной, так как в общем случае не обеспечивает определения единственного оптимального решения из допустимого множества X. Эта некорректность может быть устранена путем регуляризации задачи, т.е. введением некоторой дополнительной информации. математических соотношений или правил, позволяющих обеспечить выбор единственного решения. При реализации неконструктивного подхода источником регуляризационной информации является ЛПР. Однако ЛПР данную информацию не формализует, а использует на интуитивном уровне [31].

Общий подход к решению этой проблемы заключается в трансформации многокритериальной задачи в однокритериальную со скалярным критерием. Это обусловлено следующими двумя причинами. Во-первых, значение скалярного количественного критерия можно интерпретировать как точку на числовой оси, и ранжирование таких точек не представляет затруднений, так как отношения предпочтения и эквивалентности превращаются соответственно в неравенство (>) и равенство (=). Во-вторых, все методы поиска экстремума ориентированы на скалярную функцию.

Существует несколько способов трансформации многокритериальных оптимизационных задач в однокритериальные. Одним из этих методов является метод главного критерия, который мы в дальнейшем используем для решения оптимизационной задачи по оценке эффективности системы защиты.

Принцип базируется на выделении главного критерия и переводе всех остальных критериев в ограничения. Для этого проводится анализ конкретных особенностей многокритериальной задачи, из множества частных критериев выбирается один - самый важный, и он принимается в качестве единственного критерия оптимизации. Для каждого из остальных частных критериев назначается предельное значение, ниже которого он не может опускаться. Таким образом, все частные критерии, кроме одного превращаются в ограничения, дополнительно суживающие область допустимых решений X. Тогда исходная многокритериальная задача (3.1) превращается в однокритериальную вида

(3.2)

где - оптимизационный скалярный критерий; - наихудшие допустимые значения частных критериев -ограничений; знак ">" используется для критериев, которые необходимо максимизировать, а знак "<" - минимизировать.

Вывод главного (оптимизационного) критерия и уровней ограничений для всех других критериев является субъективной операцией, осуществляемой экспертами или ЛПР. Следует отметить, что можно рассмотреть несколько различных вариантов и сравнить результаты.

При реализации рассмотренного метода необходимо обращать особое внимание на то. чтобы допустимое множество решений, заданное частными критериями - ограничениями, не оказалось пустым..

3.2 Критерии оценивания системы СЗИ

В любой области деятельности для выбора эффективной системы, эта система должны характеризоваться некоторыми параметрами, на основании которых и делается выбор. В качестве таких параметров для СЗИ можно выделить следующие: производительность, стоимость, производительность, управляемость, совместимость, защищенность и пр. Как уже было отмечено выше, выбор оптимальной системы по такому множеству ее характеристик является классической задачей оптимизации и не всегда может иметь эффективное решение. Тем более что многие параметры противоречивы: с ростом уровня защищенности, например, растет стоимость, сложность настройки, в то же время падает производительность. Поэтому в нашей методике будет производиться оценка эффективности системы по параметру защищенности, как основного показателя, характеризующего уровень обеспечиваемой защиты СЗИ, а на остальные характеристики вводятся ограничения. Будем оценивать защищенность системы (Z) количественно в зависимости от стоимости защищаемой информации, вероятности взлома, стоимости самой системы защиты, производительности системы:

,

где Синф -- стоимость защищаемой информации;

рвзл -- вероятность взлома;

Цсзи -- стоимость СЗИ;

П -- производительность системы.

С учетом введенного понятия защищенности системы оптимизационная задача состоит в обеспечении максимального уровня защищенности (как функции стоимости защищаемой информации и вероятности взлома) при минимальной стоимости системы защиты и минимальном влиянии ее на производительность системы:

Zopt= тахZ(Синф,рвзл,Цсзи,П).

С учетом сказанного может быть сделан важный вывод о многокритериальном характере задачи проектирования системы защиты. При этом, кроме обеспечиваемого уровня защищенности, должен учитываться еще ряд важнейших характеристик системы. Например, обязательно должно учитываться влияние системы защиты на загрузку вычислительного ресурса защищаемого объекта.

В общем случае загрузка вычислительного ресурса определяется количеством прикладных задач, решаемых объектом в единицу времени.

Исходные параметры для задачи проектирования системы защиты, а также возможности сведения задачи к однокритериальной [32] проиллюстрированы рисунке. 3.1.

Рисунок. 3.1. Критерии оценки защищенности

3.3 Оценка защищенности при помощи рисков

Рассмотрим защищенность системы с точки зрения риска. Заметим, что использование теории рисков для оценки уровня защищенности на сегодняшний день является наиболее часто используемым на практике подходом. Риск (R) -- это потенциальные потери от угроз защищенности:

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11