Содержание к диссертации
Введение
Глава I Безопасность открытых систем
1.1 Ретроспектива открытых систем 11
1.2 Открытые системы в аспектах информационной безопасности 17
1.3 Реализация открытых систем с учетом аспектов информационной безопасности 22
1.4 Система дистанционного обеспечения как открытая система 26
1.4.1 Портал и интранет как реализация открытой системы 26
1.4.2 Система дистанционного обучения как открытая система 31
Выводы 37
Глава II Оценка рисков открытых систем
2.1 Подходы к оценке защищенности открытых систем 38
2.2 Комплексный подход к анализу рисков информационной безопасности. Этапы анализа рисков 43
2.3 Оценки защищенности информационных систем без учета рисков.. 47
2.4. Программные средства анализа рисков информационных систем... 52
2.5. Процессный подход для оценки защищенности информационных систем 56
2.6. Общие требования, предъявляемые к методике оценки рисков открытых систем 60
Выводы 62
Глава III Комплексная методика моделирования оценки рисков открытых систем
3.1 Общий алгоритм комплексного моделирования 64
3.2 Методология SADT/IDEF0 для разработки функциональной модели открытой системы 68
3.3 Моделирование открытой системы с использованием сетей Петри 72
3.4 Методика преобразования SADT/IDEFO-модели в имитационную модель 74
3.5 Разработка «Сети угроз» 77
3.6 Имитационное моделирование «Сети угроз» 79
3.7 Определение рисков и их относительных погрешностей 83
3.7.1 Интерпретация результатов имитационного моделирования 83
3.7.2 Величины ущерба и их погрешности 85
3.7.3 Рационализация применения имитационной модели 87
3.7.4 Величины рисков и их относительные погрешности 88
Выводы 89
Глава IV Защищенность системы дистанционного обучения
4.1 Функциональная модель системы дистанционного обучения 90
4.2 Модель СДО на основе сетей Петри 95
4.3 Классификация видов угроз СДО 97
4.4 Экспертные оценки 100
4.5 Функциональная модель «Сеть угроз» СДО 102
4.5.1 Вероятности реализации нарушения свойств ИБ 102
4.5.2 Имитирование «Сети угроз». Получение вероятностей реализации нарушения свойств ИБ и их погрешности 104
4.6 Оценки ущерба и вероятностей реализации угроз 106
4.7 Анализ риска ИБ СДО и их погрешности 112
Выводы 115
Заключение 116
Список использованных источников 118
Список терминов 130
Список сокращений 133
Приложение 134
- Реализация открытых систем с учетом аспектов информационной безопасности
- Комплексный подход к анализу рисков информационной безопасности. Этапы анализа рисков
- Методология SADT/IDEF0 для разработки функциональной модели открытой системы
- Имитирование «Сети угроз». Получение вероятностей реализации нарушения свойств ИБ и их погрешности
Введение к работе
Актуальность работы. Современное общество находится на этапе глобальной информатизации, когда информация представляется как ресурс, имеющий не меньшее значение, чем другие. В связи с этим появляются и развиваются новые подходы к созданию информационных систем, играющих ключевую роль в обеспечении эффективной деятельности любых современных предприятий и организаций. Развитие информационных систем идет под воздействием двух диалектически противоположных факторов.
Первый формируется под влиянием ведущих фирм-производителей компьютерного оборудования, которые, реализуя свою стратегию, стремятся монополистически преобладать в той или иной нише рынка ИТ-технологий.
Второй фактор определяется стремлением к массовому производству и широкому распространению разрабатываемой продукции. Это стремление вызывает необходимость взаимодействия множества организаций, невозможного без четкого определения спецификаций продукта и использования общих стандартов. Подобное взаимодействие приводит к удешевлению товара, улучшению его свойств - благодаря открытости структуры и появлению новых идей. Широкое распространение продукции различных фирм-производителей заставляет решать проблемы совместимости между этими товарами. Так как системы также являются продуктом, возникает необходимость в их унификации.
В настоящее время в сфере ИТ-технологий, благодаря накопленному научному потенциалу и полученным технологическим решениям, следует отметить преобладание влияния второго фактора. Его потенциал аккумулирован в многочисленных документах международного масштаба, которые позволяют преодолеть разрыв между разнородными информационно-техническими продуктами различных фирм и промышленных групп. Эти документы являются результатом коллективной работы большого числа участников процесса стандартизации и представляют научно-методическую основу для изучения различных аспектов развития информационных технологий.
Разработки в этом направлении получили название «открытые системы» (или «открытая среда»), и в связи с интенсивным развитием данной концепции, являются с точки зрения потребителя более предпочтительными, что вызывает необходимость их рассмотрения в различных плоскостях информационных технологий, включая и информационную безопасность этих систем. Говоря об информации как о ресурсе систем управления, можно отметить, что для обеспечения его безопасности необходим комплексный подход, который позволит разносторонне обеспечить целостность, доступность и конфиденциальность.
Многообразие и широкое применение открытых систем в различных сферах человеческой деятельности, а также их зависимость от безопасности информационного ресурса усиливают значимость и актуальность научной проработки исследуемой темы. Фундамент проблемы требует конкретного исследования.
Актуальность вопросов информационной безопасности открытых систем обусловлена проблемами обеспечения целостности, доступности и конфиденциальности параллельно с вопросами обеспечения совместимости, расширяе-
мости и масштабируемости этих систем. В связи с этим для эффективной разработки защиты открытой системы, одним из важных этапов является решение исследовательских задач. Следовательно, анализ безопасности открытых систем является первоочередной задачей для достижения максимального уровня безопасности. В частности, в качестве результата анализа могут выступать оценки рисков информационной безопасности, представляющие не только научный, но и практический интерес, что и определило выбор темы диссертационного исследования.
Степень разработанности проблемы. Исследованием общетеоретических вопросов обеспечения информационной безопасности систем занимались В.Ю. Гайкович, В.Г. Герасименко, А.А. Грушо, А.А. Малюк и другие.
Проблемы защищенности различных систем нашли свое место в работах таких авторов как B.C. Горбатов, В.А. Конявский, О.Б. Макаревич, Ю.Б. Михайлов, В.А. Минаев, А.В. Старовойтов, Д.П. Зегжда и другие. В частности, вопросам анализа и аудита информационных систем свои труды посвятили А.П. Баранов, С.Д. Бешелев, А.П. Курило, В.А. Петров, С.А. Петренко, СВ. Симонов и другие.
Проблемы безопасности открытых систем рассматривались в работах СВ. Запечникова, Н.Г. Милославской, А.И. Толстого, Д.В. Ушакова. В этих трудах отражены решения, применимые на практике, по устранению уязвимых мест при реализации безопасных открытых систем. Однако, недостаточное исследование первоочередных вопросов, связанных с анализом и оценкой защищенности подобных систем также подчеркивает актуальность выбранной темы диссертационной работы.
Целью исследования является повышение уровня защищенности открытых систем.
Достижение поставленной цели диссертационного исследования предполагает решение следующих задач:
уточнить понятие «открытые системы» с точки зрения обеспечения их информационной безопасности;
провести изучение подходов по моделированию открытых систем, разработать рекомендации по дальнейшему исследованию их защищенности;
разработать методику оценки рисков для открытых систем на основе процессного подхода;
провести практическую апробацию методики, например, на основе широко распространенных в образовательной среде систем дистанционного обучения.
Объектом диссертационного исследования являются открытые информационные системы в аспекте обеспечения их информационной безопасности.
Предмет исследования - методика оценки рисков открытых информационных систем.
Методы исследования. Решение сформулированных задач строилось с использованием процессного подхода, применимого к исследованию сложных систем. Для разработки моделей использовалась теория имитационного моделирования. Для оценки угроз применялась теория массового обслуживания, в
рамках которой проводилась имитация модели. Полученные результаты обрабатывались на основе теории вероятностей и математической статистики.
Информационную базу исследования составляют публикации и материалы научно-практических конференций по вопросам, относящимся к теме диссертации, ресурсы Интернет, приведенные в списке литературы.
Научная новизна диссертационной работы состоит в применении комплексного и целостного исследования методов оценки рисков информационной безопасности на основе системного научного подхода. При этом впервые:
для оценки рисков открытых систем используется процессный подход, как основа для дальнейшего моделирования;
предложен метод перехода от функциональной модели SADT/IDEFO к имитационной модели, описанной в терминах математической теории сетей Петри;
введено понятие «Сеть угроз» на основе определения сетей Петри, и предложены правила перехода от «Сети угроз» к языку имитационного моделирования;
разработан метод расчета вероятностей реализаций угроз, позволяющий давать практические результаты из формализованных теоретических исследований;
разработан метод расчета рисков информационной безопасности, на основе вероятностей реализаций угроз и показателей ущерба, оцененных экспертным методом.
Практическая ценность работы определяется вкладом, связанным с решением актуальной научно-практической проблемы - разработки комплексной методики оценки рисков информационной безопасности открытых систем на примере широко используемых систем дистанционного обучения.
Практическая значимость подтверждается внедрением разработанной методики:
для оценки защищенности информационной системы Оренбургского государственного аграрного университета;
в учебный процесс, как дополнительный лекционный материал по курсу «Основы информационной безопасности», читаемый для студентов МИФИ, обучающихся по специальности 075500 - «Комплексное обеспечение информационной безопасности автоматизированных систем».
методика применялась для оценки рисков системы дистанционного обучения Оренбургского государственного института менеджмента на этапе ее проектирования.
Основные положения, выносимые на защиту:
Алгоритм методики оценки рисков информационной безопасности открытых систем.
Методика перехода от SADT/IDEFO модели к модели математического аппарата сетей Петри.
Определение «Сети угроз» и правила перехода от «Сети угроз» к языку имитационного моделирования.
4. Метод расчета значений рисков информационной безопасности открытых систем.
Апробация работы. Основные положения и наиболее актуальные выводы диссертации докладывались автором на Всероссийских научно-практических конференциях «Проблемы информационной безопасности в системе высшей школы», (2007, 2008 гг.). Материалы диссертации использовались при подготовке лекций и практических занятий по курсу «Основы информационной безопасности» в Московском инженерно-физическом институте и Оренбургском государственном институте менеджмента. Выводы и исследования легли в основу 8 публикаций.
Структура работы. Диссертация состоит из введения, четырех глав, заключения, содержит список использованной литературы из 138 наименований и приложение. В диссертации 140 страница машинописного текста, 15 таблиц, 11 рисунков и приложение.
Реализация открытых систем с учетом аспектов информационной безопасности
Создание открытой системы для организации является сложной- и трудо емкой задачей, допускающей различные подходы. На1 ранней стадии определе ния требований и спецификаций системы разработчики должны выделить те компоненты, которые будут включены в среду открытых систем, и те, которые будут работать вне системы. Учитывая сложность процесса построения таких систем, важно не ошибиться с выбором компонентов, в том числе и элементов защиты. Факторы, которые влияют на выбор, могут включать и уже сделанные ин вестиции в технические и программные средства, и приложения с критически ми характеристиками, перечнем требований пользователей, и неизвестные бу дущие технологии и ограничения в ресурсах. Частью процесса принятия реше ния будет учет противоречий между открытостью и функциональностью, воз можностью создания или приобретения новых продуктов, открытостью и стой мостью. Во всех случаях системы будут выполнять необходимые функции только тогда, когда они построены в соответствии с поставленными задачами. Для; этого?
В аспектах информационной безопасности необходимо также: учитывать, вопросы: сохранения целостности: и?.- доступности; информации,. находящейся:в І системе; Для: сохранения этих свойств,» в рамках концепции открытых систем, необходимо предпринятЬїряд шагов: Этищействия определят целесообразностьи,эффективность вложенных вшроект, инвестиций: На: рисунке:: Iі представлены технологические этапы создания: открытой системы. ФактическиюниполученынаосновестандартовІ[481; 55]-. Рисунок 1. Технологический цикл построения открытых систем Рассмотримтехнологическиеэтапы создания открытой системыподробно.. Определение? целей деятельности. На этом этапе; прежде чем: начать применение технологии к поставленной; задаче, важно определить цели» деятельности а также ограничения.
Среди многих прочих имеется важный фактор, способствующий эффективности, любой организации, который СОСТОИТ В; том; чтобы сосредоточить ограниченные ресурсы и добиться быстрого возвращения; инвестиций: Идентификация требований к прикладной системе. Часть требований к прикладной системе может быть сформулирована в терминах производительности, надежности и т.д. Эти характеристики чаще всего не зависят от открытости системы. Свойства, которые влияют на мобильность программ и информации, мобильность персонала и условия взаимодействия, в системе, прямо определяют открытость. Такие свойства приложений должны быть рассмотрены и специфицированы, в терминах стандартов, для того чтобы реализовать преимущества концепции открытых систем. Подготовка, профиля для описания набора. свойств открытой среды. Прикладной профиль описывает свойства и характеристики, необходимые для того, чтобы прикладная система могла функционировать.
Он должен идентифицировать как стандартные, так и нестандартные характеристики таким образом; чтобы можно было учесть все требования при выборе платформ, разработки или же приобретении программного обеспечения: Профилыкак часть,среды может охватывать ряд приложений. С его расширением системы, затраты в дальнейшем будут окупаться по мере включения новых приложений. Кроме того, рассматривая приложения, параллельно существующие в рамках общего профиля, можно создать основу для лучшего их взаимодействия и групповой мобильности. Синтез компонентов в соответствии с выбранным профилем. Приобретение или разработка систем, компонентов, в которых реализованы стандарты и службы, требуемые для избранного профиля, являются необходимыми, но не достаточными составляющими процесса создания открытой системы. Приложения должны быть построены так, чтобы можно было использовать именно те свойства системы, которые заданны профилем. Если приложение использует иные свойства системы, то переносимость и интероперабельность в лучшем случае будут в дальнейшем ограничены, а в худшем — утрачены.
Комплексный подход к анализу рисков информационной безопасности. Этапы анализа рисков
Для эффективной защиты от атак необходима оценка уровня безопасности информационной системы; именно для этих целей применяются методики анализа и оценки рисков. В результате полученной оценки можно сформулировать набор требований к системе, обеспечивающий необходимый уровень защиты [83, 84].
Остановимся подробнее на принципах построения моделей определения текущих и ожидаемых значений показателей уязвимостей. Для этого воспользуемся понятием анализа рисков информационной безопасности.
Под риском будем понимать возможность возникновения некоторой угрозы, связанной- с текущей" деятельностью компании. Также риск - это комбинация вероятности события и его последствий (ISO/IEC 27001:2005).
Оценка риска - это количественная- или качественная оценка ущерба, который может произойти, если вычислительная система не защищена от определенных угроз.
Анализ риска - это процесс изучения- характеристик и слабых сторон системы, проводимый с использованием вероятностных расчетов с целью определения ожидаемого ущерба-в случае возникновения неблагоприятных событий. Задача анализа риска состоит в определении степени приемлемости того или иного риска в .работе системы.
Построение эффективной системы управления, рисками IT-безопасности -это не разовый проект, а комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничени&на ресурсы и время [73].
Опубликованные документы различных организаций; рассмотренные выше, положениями стандарты в области защиты информации посвященьг вопросам анализа защищенности. Они не содержат важных деталей, к примеру, критериев выбора шкал оценивания; применяемых к оценке модели и т.д., которые надо обязательно конкретизировать при разработке используемых на практике методик [17, 20, 23, 24, 25, 27, 32, 36, 64, 68, 79, 80, 88, 97, 100, 124, 127]. Таким образом, невозможно предложить какую-либо единую, приемлемую для различных типов систем, универсальную методику, соответствующую определенной концепции управления-рисками. Однако, существуют общие, базовые этапы оценки рисков: идентификация, оценка, измерение, выбор контрмер:
Идентификация. В любой методике необходимо идентифицировать риски, как вариант - их составляющие (угрозы и уязвимости). Сложность задачи составления списка угроз и уязвимостей, обоснованность его полноты зависит от того, какие требования предъявляются к детализации списка. Как правило, для оценки угроз и уязвимостей применяются: - экспертные оценки; статистические данные; учет факторов, влияющих на уровни угроз и уязвимостей.
Один из возможных подходов к разработке подобных методик - накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы и уязвимости в других информационных системах. Но, при практической реализации такого подхода возникают следующие сложности: во-первых, должен быть собран весьма обширный материал о происшествиях в этой области; во-вторых, данный подход оправдан далеко не всегда.
Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика и эксплуатирует новейшие элементы технологии (для которых пока нет достоверной статистики), то оценки угроз и уязвимостей могут оказаться недостоверными.
Другой подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей, позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но иные аспекты [104].
Оценка риска. На этом этапе рассматриваются следующие аспекты: шкалы и критерии измерения рисков; оценку вероятностей событий; технологии измерения рисков.
Для измерения рисков не существует естественной шкалы. Риски можно оценивать по объективным или субъективным критериям.
Примером объективного критерия является вероятность надежности оборудования, т.е. вероятность выхода из строя какого-либо оборудования за опре -деленный промежуток времени. Пример субъективного критерия!- оценка владельцем информационного ресурса риска, выходаиз.строя оборудования.
Методология SADT/IDEF0 для разработки функциональной модели открытой системы
Исследование вопросов обеспечения безопасности информационных технологий усугубляется большой неопределенностью условий функционирования ИС. Поэтому, для построения моделей анализа функциональной составляющей объекта предлагается применить методологию SADT7IDEF0 [59].
Существует много источников [4, 5, 59, 133], посвященных данной методологии, в которых детально и подробно представлены все нюансы проектирования. Остановимся на общем описании проектирования систем с использованием SADTTDEFO. Изначально методология структурного анализа и проектирования, называемая SADT (Structured Analysis and Design Technique), была разработана Дугласом Т. Россом для описания сложных систем, включающих в себя людей, машины, программное обеспечение. В связи с широким распространением и популярностью SADT был разработан стандарт IDEF0, который применялся в американской аэрокосмической промышленности. Его широкое применение вызвано следующими причинами [59]: - IDEF0 — методология, которая довольно четко отражает такие системные характеристики, как управление, обратная связь и исполнители; - имеет развитые процедуры коллективной работы, а также может проектироваться на ранних стадиях создания системы; - имеет возможность сочетания и синхронизации с другими структурными методами проектирования. Следует отметить, что в связи с активной применяемостью IDEF0 были разработаны другие стандарты семейства IDEF, которые позволяют отображать и анализировать модели деятельности широкого спектра сложных систем в различных областях применения. Согласно основному определению модели в SADT: М есть модель системы S, если М может быть использована для получения ответов относительно S с точностью А, можно заключить, что первым этапом модели служит четкая постановка вопросов, на которые должна ответить модель. Если модель не отве чает на поставленные вопросы или отвечает с недостаточной точностью, то считается - модель не достигла своей цели. Для того чтобы точнее описать систему, необходимо ее исследовать согласно представленной последовательности. алгоритма: - получение знаний (изучение предметной области); - создание модели; - распространениематериала; - рецензирование; - обсуждение и окончательное принятие модели.
Графический язык SADT блaгoдapяt своей итеративности и декомпозиции, а также наличию небольшого количества базовых элементов позволяет строить объекты с необходимым уровнем детализации. Построение модели и ее декомпозиция производится «сверху вниз». Таким образом, на верхнем уровне находится объект, а на нижнем описываются? более-детально его отдельные блоки. Эта методология базируется на четырех основополагающих понятиях: - функциональный блок (activity box); - интерфейсная дуга (arrow);, - декомпозиция (decomposition); - глоссарий (glossary). Представим каждое из этих понятий. Функциональный блок графически изображается в виде прямоугольника (рисунок 5) и представляет собо& некоторую конкретную функцию в рамках рассматриваемой системы. По требованиям стандарта, название каждого функционального блока должно быть сформулировано в глагольном словосочетании, например, «производить товар», а не «производство товара». Каждая из четырех сторон функционального блока имеет своё определенное значение (роль), при этом: - верхняя сторона имеет значение «Управление» (control); - левая сторона имеет значение «Вход» (input); - правая сторона имеет значение «Выход» (output); — нижняя сторона имеет значение «Механизм» (mecHanism)i Эти;значения называются?также;ІЄОМ- кодом (input,,control output,.me chanism). Каждый функциональный блок в «рамках единой рассматриваемой системы должен иметь і свойг уникальный; идентификационный номер, который- позволит однозначно его идентифицировать для дальнейшей декомпозиции: Вторым основополагающим:понятием;методологии SADT является поня тие интерфейсной дуги; (arrow). (Интерфейсныедуги часто называют потоками; или стрелками). Интерфейсная дуга отображает: элемент системы; который об рабатывается функциональным блоком;или оказывает иное влияние на функ цию; представленную: данным функциональным блоком. Её графическим изо бражением является: однонаправленная, стрелка; Каждая интерфейсная дуга должна иметь свое уникальное наименование: (arrow:label) которое1 по требова нию IDEFj должно:быть выражено существительным (например, «ресурсы» или «товар»). , Методология структурного анализа SADT/IDEF0 описывает функциональную сущность объекта в виде объектно-ориентированной модели.
Следует отметить, что построение надежной і и оптимальной» в раз личных аспектах системы. защиты для объекта невозможно; без; четких: знаний о; том, в какой среде этот объект функционирует, каково его назначение,, цели, насколько критична информация,. которую он обрабатывает или хранит. Анализ функциональной составляющей объекта является важным, зачастую во многом определяющим степень защищенности объекта и выбор средств защиты. Следовательно SADT-моделирование существенно для получения достоверного и показательного конечного результата. Как известно, проектирование новой или анализ существующей: системы г начинается с изучения объекта исследования; выявления его характеристик-свойств, внутреннего и внешнего взаимодействий, т.е. наиболее полного описания. Чем больше начальной информации об исследуемой системе, тем выше и качественнее конечный результат. Применительно к области ИБ и оценке.рис-ков начальное понимание системы позволит эффективно употребить выбранный метод оценки,рисков; В: качестве методики описания ИС будет использована методология SADT/IDEFO; Свойствами IDEFO-моделирования, можно описать функциональную сторону исследуемой ИС. Выбор обосновывается тем что, как.было;описано выше, открытые системы.представляют собой.реализацию широкой; элементной базы и; выбранная стратегия позволит проводить уточнения, декомпозицию необходимых частей такой системы. Модель системы,. реализованная по методологии SADT/IDEFO; в большей степени отражает сторону функционирования и в меньшей - систему информационной безопасности в ней.
Имитирование «Сети угроз». Получение вероятностей реализации нарушения свойств ИБ и их погрешности
Под локальными угрозами будем понимать атаки, осуществляемые в пределах одной компьютерной системы. Удаленные угрозы - это атаки, осуществляемые за пределами компьютерной системы по каналам передачи данных. На поток данных - атаки на каналы передачи данных. Каждая группа делится на подгруппы в зависимости от метода и технологии атакующего вида. 1. К локальным видам можно отнести следующие атаки: Социальная инженерия - один из самых разрушительных методов атак, не использующий технические средства. Такой метод основан на использовании человеческого фактора. Закладки в ПО — использование заранее созданных и подготовленных так называемых «черных дверей» в программном обеспечении для атаки на систему.
Преодоление ограничений на уровне firmware - тип атак, при котором производится взлом микрокода чипа, что позволяет управлять системой. Атака на средства аутентификации — это атака, при которой злоумышленник выдает себя за пользователя системы. Повышение привилегий - атака, при которой злоумышленник повышает права доступа существующему пользователю(ям) в системе. Постороннее ПО — использование злоумышленником дополнительного программного обеспечения, установленного в атакующей системе с целью кражи, подмены, уничтожения информации. 2. Теперь исследуем виды удаленных атак. Под удаленными понима ются атаки, осуществляемые за пределами атакуемой системы. Сбор информации об объекте защиты - процесс получения данных об уязвимостях в атакуемой системе.
Спам — посылка большого числа одинаковых сообщений, используемая для организации дешевой рекламной компании или просто для надоедания людям. Вирусы и Трояны,— небольшие программы, которые вставляют себя в другие программы и выполняют работу, отличную от определенных спецификаций программы. Отказ в обслуживании - атака, при которой система или часть системы приходит к выводу из строя и перестает выполнять свои функции. Маскировка - высвечивание ложного экрана с целью выяснения имени и пароля пользователя. Атака на маршрутизацию — атака, при которой злоумышленник меняет путь пакетов с целью перехвата или подмены информации Атаки на конкретные сервисы — атаки на сервисы с целью вывода из строя. Переполнение буфера - явление, при котором происходит запись данных за пределами памяти буфера, установленной для программы. Это ведет к аварийному завершению или зависанию программы или всей системы в целом. 3. Атаки, осуществляемые на поток данных, совершаются на каналы передачи данных. Они классифицируются на пассивные (прослушивание передаваемых сообщений и анализ трафика) и активные (атаки, при которых злоумышленник имеет возможность модифицировать передаваемые данные).
Атаки повтором или replay-атака — означают пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа. Злоумышленник посредник или модификация потока данных означает либо изменение содержимого пересылаемых данных, либо изменение порядка сообщений. Создание ложного потока (фальсификация) - атака, при которой злоумышленник пытается выдать себя за пользователя системы. В качестве методики опроса экспертов воспользуемся методом Дель-фы. Этот метод применяется для повышения эффективности использования мнения экспертов по сравнению с традиционными методами открытых обсуждений и позволяет еще на этапе проектирования системы выделить наиболее важные элементы, требующие особого внимания. Приведем основные черты этого метода: - анонимность. Исключает влияние экспертов друг на друга при принятии решения, так как эксперты высказывают свое мнение, а не мнение группы; - регулируемая обратная связь, которая дает возможность более четко понять мнение эксперта, так как ему дается возможность обосновать его; - групповой ответ. Несмотря на изолированность друг от друга, экспертные оценки анализируются, оставляя повторяемые и тем самым отсекая случайные высказывания. Рассмотрим реализацию этого метода в предложенной методике. В опросе участвуют 17 экспертов, причем они удалены друг от друга. Это позволит исключить влияние мнений экспертов друг на друга. Каждому эксперту предлагается представить угрозы, которые, по его мнению, имеют место в данной системе. Далее на основе этого списка и заранее подготовленной «Сети угроз» предлагается оценить вероятность появления того или иного события в «Сети угроз» и оценить ущерб, полученный от реализации той или иной угрозы. В представленном примере в качестве значений измерений оценки ущерба будем использовать условные единицы. После получения оценок имитируется работа системы на основе имитационной модели и выявляются частоты реализации угроз или классов угроз. Ввиду того, что довольно сложно отобразить некоторые виды угроз, предлагается сделать нечеткую классификацию угроз. Поделим все угрозы согласно основным свойствам безопасности информации, т.е. конфиденциальности, целостности, доступности. Нечеткость возникает вследствие принадлежности угрозы к нескольким свойствам ИБ. В таблице 5 представлена данная классификация угроз, которая сформирована на основе п. 4.3
