WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

 

На правах рукописи

ПОПОВ Сергей Викторович

ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ МОНИТОРИНГА ИНЦИДЕНТОВ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАНКА НА ОСНОВЕ ОЦЕНКИ НАДЕЖНОСТИ ЕЕ КОМПОНЕНТОВ

Специальность 05.25.05 – Информационные системы и процессы

  (технические науки)

АВТОРЕФЕРАТ

диссертации на соискание ученой степени

кандидата технических наук

Тамбов 2012

Работа выполнена на кафедре «Конструирование радиоэлектронных и микропроцессорных систем» (КРЭМС) в федеральном государственном бюджетном образовательном учреждении высшего профессионального образования «Тамбовский государственный технический университет» (ФГБОУ ВПО «ТГТУ»).

Научный руководитель

Шамкин Валерий Николаевич

доктор технических наук,

профессор кафедры КРЭМС ФГБОУ ВПО «ТГТУ»

Официальные оппоненты:

Сирота Александр Анатольевич,

доктор технических наук,

ФГБОУ ВПО «Воронежский государст-
венный университет», профессор кафедры информационных систем

Погонин Василий Александрович,

доктор технических наук,

ФГБОУ ВПО «ТГТУ», профессор кафедры  «Информационные процессы и управление»

Ведущая организация

ФГБОУ ВПО «Рязанский государственный радиотехнический университет», г. Рязань

Защита диссертации состоится 15 ноября 2012 г. в 13 часов на заседании диссертационного совета Д 212.260.05 в ФГБОУ ВПО «ТГТУ» по адресу: г. Тамбов, ул. Советская, д. 106, ФГБОУ ВПО «ТГТУ», Большой актовый зал.

Отзывы на автореферат в двух экземплярах, заверенные гербовой печатью, просим направлять по адресу: 392000, г. Тамбов, ул. Советская,
д. 106, ФГБОУ ВПО «ТГТУ», ученому секретарю диссертационного совета З.М. Селивановой.

С диссертацией можно ознакомиться в библиотеке ФГБОУ ВПО «ТГТУ».

Автореферат разослан 14 октября 2012 г.

Ученый секретарь диссертационного совета

доктор технических наук, профессор  З.М. Селиванова

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность работы. В процессе эксплуатации автоматизированной банковской системы (АБС) необходимо своевременно оценивать влияние, оказываемое различными факторами, как на эффективность функционирования самой системы, так и ее отдельных подсистем. Оценка функционирования системы мониторинга инцидентов информационной безопасности (СМИИБ), являющейся одной из таких подсистем АБС, требует от администратора безопасности (администратора) значительных интеллектуальных усилий и сопряжена с определенными временными затратами.

Эффективность мониторинга может снижаться в связи с возникновением нарушений в любом из компонентов СМИИБ, однако, как показывает опыт эксплуатации, наиболее негативное воздействие имеет место при появлении ошибок в работе средств защиты информации, входящих в ее состав. В течение времени бездействия или неправильного функционирования средств защиты возникают дополнительные угрозы пропуска инцидентов информационной безопасности (ИИБ), реализация которых негативно влияет на функционирование АБС. В этой связи необходимо оперативное выявление и устранение причин нарушений в работе средств защиты информации, что зачастую весьма затруднительно сделать администратору. Объясняется это наличием множества трудно учитываемых факторов, влияющих на процесс функционирования системы мониторинга и на процесс принятия администратором решений, которые создают у него высокую степень неопределенности.

Поэтому совершенствование работы СМИИБ, связанное с обеспечением более эффективного мониторинга инцидентов информационной безопасности, за счет уменьшения неопределенности в процессе принятия решений администратором, вызываемой его недостаточной информированностью о текущем состоянии надежности входящих в состав СМИИБ средств защиты, является актуальным.

Различные вопросы оценки надежности средств защиты информации нашли свое отражение в работах В.А. Герасименко, Б.В. Палюха, А.И. Перегуды, А.Ю. Щеглова, Р.И. Насырова, Ch. Fry и др. Однако в них не обсуждался такой вопрос, как оценка надежности объектов, производимая на основе оперативно получаемых данных об их текущей эксплуатации.

Объект исследования – система мониторинга инцидентов информационной безопасности в автоматизированной банковской системе.

Предмет исследования – эффективность функционирования СМИИБ, характеризуемая среднегодовым числом инцидентов информационной безопасности, выявляемых входящими в ее состав средствами защиты информации.

Целью работы является повышение эффективности функционирования СМИИБ на основе оперативной оценки показателей надежности, характеризующих работоспособность средств защиты в СМИИБ, производимой по данным текущей эксплуатации.

Для достижения поставленной цели необходимо решить следующие задачи:

  • проанализировать СМИИБ как объект исследования и выявить основные факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности;
  • сформулировать множества состояний функционирования средств защиты информации, связанных с нарушениями в работе или восстановлением работоспособности их отдельных компонентов;
  • разработать методику оперативной оценки показателей надежности средств защиты информации на основе данных, получаемых в процессе текущей эксплуатации;
  • построить процедурную модель определения вероятностей состояний функционирования средств защиты информации, обусловленных нарушениями в работе их компонентов или восстановлением работоспособности, на основе сведений о показателях надежности этих компонентов;
  • разработать подсистему обеспечения работоспособности СМИИБ, входящую в ее состав, предусмотрев в ней отдельный блок, в котором будет реализована процедурная модель определения вероятностей состояний функционирования средств защиты информации по данным их текущей эксплуатации;
  • оценить эффективность работы СМИИБ до и после внедрения в ее состав подсистемы обеспечения работоспособности.

Методы исследования. Для решения сформулированных задач в работе использовались методы: системного анализа; теории надежности; технологии проектирования информационных систем; информационной безопасности и защиты информации.

Научная новизна:

  • построена процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности, отличающаяся наличием этапов «Оценка числа поступающих сообщений» и «Оценка длины очереди», содержащих информацию, которая является для администратора индикатором возникновения нарушений в СМИИБ;
  • разработана методика оперативной оценки показателей надежности входящих в состав СМИИБ средств защиты информации по данным текущей эксплуатации, отличающаяся использованием сведений, периодически извлекаемых из электронных журналов работы и необходимых для вычисления вероятностей состояний функционирования этих средств;
  • на основе применения аппарата марковских случайных процессов с конечным числом состояний построены аналитические модели, описывающие поведение различных средств защиты информации в связи с возникающими нарушениями в работе их компонентов или восстановлением работоспособности, отличающиеся тем, что параметры этих моделей периодически обновляются;
  • на основе методики оперативной оценки показателей надежности средств защиты информации с применением аналитических моделей, описывающих их поведение в связи с возникающими нарушениями в работе или восстановлением работоспособности, построена процедурная модель, позволяющая определять вероятности состояний функционирования средств защиты по данным их текущей эксплуатации;
  • разработана подсистема обеспечения работоспособности СМИИБ (определены структура и характеристики компонентов), отличающаяся наличием блока оценки надежности средств защиты;
  • разработана структура блока оценки надежности средств защиты, реализующего процедурную модель определения вероятностей их состояний функционирования по данным текущей эксплуатации, в состав которой входят: модуль определения показателей надежности, модуль накопления данных о нарушениях работы, а также два интерфейса.

Практическая ценность:

  • реализация подсистемы обеспечения работоспособности СМИИБ обеспечивает более эффективное выявление инцидентов информационной безопасности благодаря сокращению времени простоя средств защиты из-за нарушений в работе, достигаемому за счет регулярного мониторинга состояний их функционирования;
  • разработанная методика оперативной оценки показателей надежности средств защиты информации по данным текущей эксплуатации является универсальной, что делает ее пригодной для определения характеристик надежности других технических средств, входящих в АБС;
  • периодически вычисляемые в подсистеме обеспечения работоспособности СМИИБ значения вероятностей состояний функционирования используются администратором в процессе принятия решений по реагированию на выявленные инциденты ИБ и решений по улучшению процедуры обслуживания средств защиты или их замене;
  • Операционный офис «Тамбовский» Липецкого филиала ОАО АКБ «РОСБАНК» использует разработанную методику определения показателей надежности средств защиты информации по данным их текущей эксплуатации при обслуживании своих серверов и рабочих станций;
  • Отдел информационной безопасности Управления обеспечения безопасности ВТБ24 (ЗАО) применяет разработанные в диссертации аналитические и процедурные модели для вычисления показателей надежности используемых в банке средств защиты информации.

Положения, выносимые на защиту:

  • процедурная модель функционирования СМИИБ в виде последовательности этапов обработки сообщения о произошедшем в АБС событии информационной безопасности;
  • множества состояний функционирования различных средств защиты информации, входящих в состав СМИИБ, которые обусловлены нарушениями в их работе или восстановлением работоспособности;
  • методика оперативной оценки показателей надежности входящих в состав СМИИБ средств защиты информации по данным текущей эксплуатации;
  • аналитические модели, построенные на основе применения аппарата марковских случайных процессов с конечным числом состояний, описывающие поведение различных средств защиты информации в связи с возникающими нарушениями в их работе или восстановлением работоспособности;
  • процедурная модель определения вероятностей состояний функционирования средств защиты информации по оперативным данным текущей эксплуатации;
  • подсистема обеспечения работоспособности СМИИБ (структура и характеристики компонентов);
  • блок оценки надежности средств защиты, содержащий: модуль определения показателей надежности; модуль накопления данных о нарушениях работы; два интерфейса;
  • результаты оценки эффективности работы СМИИБ до и после внедрения подсистемы обеспечения ее работоспособности.

Работа выполнена в соответствии пунктами 1 и 3 паспорта специальности 05.25.05 («Информационные системы и процессы») и посвящена исследованиям в области разработки информационного обеспечения АБС и реализации процессов сбора, хранения, обработки, поиска и передачи информации, характеризующей ее деятельность.

Апробация результатов исследования. Основные результаты представлены на: 3-й Международной научно-практической конференции «Наука и устойчивое развитие общества. Наследие В.И. Вернадского»
(Тамбов, 2008); 6-й Международной научно-практической конференции «Наука на рубеже тысячелетий» (Тамбов, 2009); 6-й Международной научно-практической конференции «Прогрессивные технологии развития» (Тамбов, 2009); 2-й Международной научно-практической конференции «Прогрессивные технологии и перспективы развития» (Тамбов, 2010);
4-й Межвузовской научно-практической ежегодной конференции «Новые технологии и инновационные разработки» (Тамбов, 2011); Международной научно-технической конференции «Современные информационные технологии» (Пенза, 2011); Всероссийской научной школе «Актуальные проблемы нано- и микроэлектроники» (Тамбов, 2011).

Публикации. Материалы, отражающие основные результаты работы, представлены в 13 публикациях, в том числе в четырех статьях изданий, рекомендованных ВАК РФ.

Структура и объем работы. Диссертация, общий объем которой составляет 236 страниц, состоит из введения, пяти глав, выводов по главам, заключения, аббревиатур и условных обозначений, списка использованной литературы, приложений. Основной материал изложен на 135 страницах текста, содержит 24 рисунка и 8 таблиц. Список литературы включает 134 наименования.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность темы диссертации, определены объект и предмет исследования, сформулированы цель и задачи исследования, приведены положения, выносимые на защиту, раскрыты научная новизна и практическая значимость, кратко описано содержание глав.

В первой главе «Проблема мониторинга состояния информа­ционной безопасности автоматизированной банковской системы. Цель и задачи исследования» проведен литературный обзор научных публикаций, посвященных принципам функционирования, структуре, классификации и направлениям развития АБС, который позволил оценить их современное состояние.

Кратко освещены вопросы обеспечения информационной безопасности (ИБ) в банке, обоснована значимость мониторинга ИБ в АБС. Отмечено, что эффективность мониторинга снижается в наибольшей степени при появлении ошибок в работе средств защиты информации (СЗИ), входящих в состав СМИИБ. При этом в течение времени бездействия СЗИ или неправильного их функционирования возникают дополнительные угрозы пропуска инцидентов информационной безопасности (ИИБ), реализация которых приводит к снижению эффективности функционирования АБС. Оперативно выявить и устранить причины нарушений в работе СЗИ зачастую сложно для администратора из-за трудно учитываемых факторов, влияющих на процесс принятия им решений, что создает у него высокую степень неопределенности.

Определены объект и предмет исследования. Сформулированы цель и задачи диссертационной работы.

Во второй главе «Анализ системы мониторинга инцидентов информационной безопасности банка как объекта исследования» изучена структура и функции СМИИБ, собраны и обработаны статистические данные, характеризующие среднесуточное количество событий информационной безопасности (СИБ) и ИИБ, регистрируемых в АБС крупного банка, качественно оценено влияние различных факторов на эффективность мониторинга ИИБ, построена процедурная модель функционирования СМИИБ.

Под СИБ понимается идентифицированное появление определенного состояния системы, сервиса или сети, которое свидетельствует либо о возможном нарушении политики ИБ банка или отказе защитных мер, либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности. Под ИИБ понимается появление одного или нескольких нежелательных (неожиданных) СИБ, с которыми связана значительная вероятность создания угрозы ИБ.

Отмечается, что АБС включает в себя три автоматизированные системы (АС): «Управление банком»; «Операционный день банка»; «Банковские электронные услуги», каждая из которых выполняет определенные функции и имеет свою подсистему обеспечения ИБ. Сведения обо всех СИБ направляются из подсистемы АС на последующий анализ в СМИИБ с целью выявления ИИБ и принятия соответствующих мер.

Основными компонентами СМИИБ являются (рис. 1): центральная консоль мониторинга (ЦКМ) для настройки, отображения информации о состоянии ИБ в АБС, вывода извещений об ИИБ и выдачи рекомендаций по их устранению; база данных инцидентов (БДИ) и событий (БДС), база знаний экспертов (БЗЭ); модуль выявления инцидентов (МВИ) – автоматизированное ядро системы, коррелирующее и анализирующее информацию, поступающую от СЗИ; модуль управления архивными журналами (МУАЖ), отвечающий за запись событий в БДС и за их извлечение по запросу с ЦКМ; сборщики событий (ССi, ), нормализующие данные, получаемые от СЗИ.

Рис. 1. Информационная модель процесса мониторинга

инцидентов информационной безопасности

На нижнем уровне СМИИБ располагаются различные программно-аппаратные СЗИ (выделены рамкой), собирающие данные о СИБ и передающие их на следующий уровень в виде сообщений. Это основные СЗИ, к которым, как правило, относят: сканеры безопасности (СБ); антивирусное программное обеспечение (АПО); средства контентного анализа (СКА); средства контроля портов ввода-вывода (СКПВВ); межсетевые экраны (МСЭ) и системы обнаружения атак (СОА), а также иные СЗИ.

Сообщений, содержащих данные о СИБ, формируется достаточно много. Например, среднесуточные показатели работы СМИИБ одного из крупных банков, АБС которого содержит более 5 тыс. рабочих станций и серверов, составили примерно 2,5 млн. СИБ и около 3 тыс. ИИБ.

Выявлены факторы, влияющие на эффективность мониторинга ИИБ, среди которых особо отмечены имеющие отношение к исправности СЗИ.

На основе проведенного анализа структуры СМИИБ, принципов работы отдельных ее компонентов и литературных данных построена процедурная модель в виде последовательности этапов обработки сообщения о произошедшем в АБС событии ИБ, приведенная на рис. 2.

Здесь блоки 1 и 6 характеризуют этапы работы СМИИБ, на которых часто возникают нарушения функционирования СЗИ, поэтому предложено ввести в модель блоки 2 и 7 (выделены серым цветом), которые собирают информацию о числе поступающих событий и длине очереди, являющуюся для администратора индикатором возникновения нарушений.

Сделан вывод о необходимости оперативного автоматизированного учета фактора надежности средств защиты информации в СМИИБ.

Рис. 2. Процедурная модель функционирования СМИИБ

В третьей главе «Методика оперативной оценки показателей на­дежности средств защиты информации, входящих в систему монито-
ринга инцидентов информационной безопасности банка» обоснована необходимость определения состояний функционирования СЗИ; проведен анализ структуры и принципов работы СЗИ; выявлены множества значимых состояний функционирования, обусловленных возникающими нарушениями в работе их компонентов и восстановлением работоспособности; разработана методика оперативной оценки надежности СЗИ.

Отмечено, что СМИИБ в случае нарушения работы ее отдельных компонентов обычно не переходит в состояние полного отказа, а продолжает функционировать в состояниях, где часть присущих ей функций не выполняется. Обосновано допущение о том, что компоненты системы мониторинга (см. рис. 1), расположенные на ее среднем уровне
(ССi, i = 1, n; МВИ; БЗЭ; МУАЖ; БДС; БДИ; ЦКМ), и администратор, располагающийся на верхнем уровне, функционируют безотказно, а СЗИ, расположенные на нижнем уровне, подвержены различным нарушениям в работе.

Описана структура, принципы работы и функции основных СЗИ, среди которых, с точки зрения решаемой в диссертации задачи, выделены две группы: средств, работающих периодически (СКА и СБ) и работающих непрерывно (АПО, СКПВВ, МСЭ и СОА). В дальнейшем необходимые рассуждения и расчеты проводятся на примере СКА и АПО.

В частности, работа средства контентного анализа, структура которого изображена на рис. 3, пояснена на примере системы аудита копируемых на съемные носители файлов, взаимодействующей с таким источником информации для контентного анализа, как другое СЗИ, а именно СКПВВ.

Рис. 3. Структурная схема средства контентного анализа

Активными программными компонентами СКА (выделены мелкой штриховкой) являются: модуль-посредник (МП), индексирующий сервер (ИнС) и модуль проверки (МПр), а хранилище (ХД) и индекс представляют собой структуры данных, необходимые для их функционирования.

Особенностью СКА является то, что его активные компоненты функцио­нируют независимо, выполняя свои функции периодически и с разной частотой: МП – функцию копирования файлов из БД СКПВВ в ХД СКА (1 раз в минуту); ИнС – функцию по обновлению индекса по расписанию (1 раз за 8 часов) и по запросу АБ (по мере необходимости); МПр – функцию проверки индекса в режиме, аналогичном работе ИнС, но с некоторым запаздыванием (на 30 минут).

Исследовано функционирование двух активных компонентов: ИнС и МП, поскольку в отношении МПр сделано допущение о его высокой надежности, обоснованное тем, что при нештатном выполнении им своей функции (периодический поиск в индексе СКА контрольных слов, выражений и текстовых фрагментов), администратор берет на себя выполнение этой функции. Показано, что компоненты ИнС и МП имеют по три состояния функционирования: одно нормальное и два, связанных с нарушениями их работы.

Нарушения упоминаются в журналах работы ИнС и МП как ошибки: 1) несанкционированная очистка индекса в СКА от данных, поступивших ранее из БД СКПВВ в ХД СКА; 2) отсутствие реакции ИнС в СКА на управляющие воздействия; 3) невозможность копирования файлов из БД СКПВВ в ХД СКА из-за недоступности сетевого диска, на котором расположено хранилище; 4) невозможность копирования файлов из БД СКПВВ в ХД СКА из-за неудачной аутентификации МП в БД.

Появление или устранение той или иной ошибки приводит к смене состояний функционирования СКА, совокупность которых представлена в виде множества , где – состояние нормального функционирования, характеризуемого штатной работой ИнС и МП; () – состояние, при которых имеет место одна из ошибок в ИнС () или МП (); – состояние, связанное с последовательным возникновением j-й и k-й ошибок, соответственно.

В результате анализа работы других основных СЗИ сформированы также множества: ; ; ; ; .

Разработана методика оперативной оценки показателей надежности СЗИ на основе данных, получаемых в процессе текущей эксплуатации. Этапами методики (применительно к одному из СЗИ) являются:

  1. Периодический анализ информации о функционировании СЗИ, получаемой из журналов его работы за выбранный промежуток времени, с целью выявления ошибок функционирования его компонентов.
  2. Периодическое нахождение значений случайных величин (времен работы и времен восстановления), характеризующих выявленные за выбранный промежуток времени нарушения в работе отдельных компонентов СЗИ и восстановление их работоспособности.
  3. Определение законов распределения упомянутых случайных величин и их параметров по данным, получаемым в ходе текущей эксплуатации СМИИБ за достаточно большой промежуток времени, обеспечивающий накопление представительных выборок, необходимых для вычисления достоверных характеристик надежности компонентов СЗИ.
  4. Формирование множества возможных состояний функционирования СЗИ, обусловленных нарушениями в работе его отдельных компонентов и восстановлением их работоспособности.
  5. Выбор математического аппарата для описания процессов, связанных со сменой состояний функционирования СЗИ, происходящих в случайные моменты времени в связи с нарушениями работы отдельных компонентов СЗИ и восстановлением их работоспособности.
  6. Вычисление искомых характеристик надежности СЗИ в виде нестационарных и стационарных вероятностей состояний функционирования, характеризующих поведение СЗИ.
  7. Выдача администратору в определенные моменты времени обновленных характеристик СЗИ в виде нестационарных и стационарных вероятностей состояний функционирования.

В четвертой главе «Определение состояний функционирования средств защиты информации в системе мониторинга инцидентов информационной безопасности» проведен анализ журналов работы одного из СЗИ – средства контентного анализа за девять месяцев эксплуатации СМИИБ в крупном банке, который позволил выявить ошибки различного вида и определить моменты времени их возникновения и устранения; рассчитаны характеристики случайных величин (времен между соседними ошибками и восстановлениями работоспособности), являющиеся показателями надежности компонентов СКА; построены аналитические модели, описывающие поведение дискретных и непрерывных СЗИ в связи с возникающими нарушениями в работе их компонентов или восстановлением работоспособности; вычислены стационарные и нестационарные вероятности состояний функционирования СКА и АПО – характерных представителей дискретных и непрерывных СЗИ.

Анализ надежности СКА как объекта с дискретным временем проведен с использованием метода переходных вероятностей. СКА, рассматриваемое на множестве состояний функционирования , q = 0, 1, 2, 3, 4, 13, 14, 23, 24, 31, 32, 41, 42, было представлено в виде ориентированного графа, изображенного на рис. 4. Вершины графа характеризуют возможные состояния СКА, дуги – направления переходов из одних состояний в другие, веса дуг – вероятности этих переходов за промежуток времени ч, характеризующий его дискретный характер работы (такт). В частности,() – вероятность перехода из состояния в состояние вычислялась как вероятность того, что за время произойдет или будет устранена некоторая ошибка, а – вероятность сохра­нения состояния определялась с использованием деревьев состояний, характеризующих возможные переходы СКА.

Рис. 4. Граф вероятностей переходов между состояниями средства

контентного анализа

На основе графа была составлена стохастическая матрица размером (13×13), по числу состояний функционирования, которая при обоснованных в работе допущениях об экспоненциальности законов распределения случайных времен работы и восстановления компонентов СЗИ является матрицей переходных вероятностей цепи Маркова.

Вероятность нахождения СКА в q-м состоянии функционирования после m последовательных тактов вычислялась по формуле

,

m = 0, 1, …, q = 0, 1, 2, 3, 4,  13, 14, 23, 24, 31, 32, 41, 42,

где – начальное распределение вероятностей состояний, определяемое вектором-строкой, элементами которой являются 0 или 1, где 1 соответствует начальному состоянию; – вектор-столбец, элементами которого являются 0 или 1, где 1 соответствует анализируемому состоянию.

Результатом вычислений для различных m является вектор-функция

.

Значения стационарных вероятностей состояний функционирования СКА при находились посредством решения следующей системы алгебраических уравнений, составленной с использованием матрицы M, с учетом уравнения нормировки, а именно:

и

,

в результате чего получен вектор

.

Для анализа надежности СЗИ с непрерывным временем работы использован метод переходных интенсивностей. На примере АПО продемонстрировано применение разработанной в диссертации методики для вычисления его нестационарных и стационарных вероятностей состояний функционирования.

В пятой главе «Разработка подсистемы обеспечения работоспособности системы мониторинга инцидентов информационной безопасности банка» описаны структура и характеристики компонентов, входящих в состав подсистемы обеспечения работоспособности СМИИБ (ПОРС); подробно рассмотрен блок оценки надежности СЗИ (БОНСЗИ), являющийся принципиально новым компонентом ПОРС; построена и реализована в рамках БОНСЗИ процедурная модель определения вероятностей состояний функционирования СЗИ по данным их текущей эксплуатации; оценены эффективность работы СМИИБ до и после внедрения ПОРС и ожидаемый экономический эффект.

Структура ПОРС, представленная на рис. 6, отличается от аналогов наличием БОНСЗИ (выделен серым цветом), предназначенным для определения вероятностей состояний СЗИ с учетом регулярно обновляемой информации о произошедших нарушениях. Этот блок автоматически анализирует журналы работы компонентов СЗИ на предмет имевших место нарушений. Проведению первого подобного анализа предшествует обучение блока, состоящее в том, что администратор вносит в модуль определения показателей надежности СЗИ следующую информацию: слова, словосочетания, последовательности записей и т.д., встречаемые в журналах работы компонентов различных СЗИ и соответствующие возникновению нарушений в работе.

Рис. 6. Структурная схема подсистемы обеспечения работоспособности

Структурная схема БОНСЗИ представлена на рис. 7. Взаимодействие администратора с БОНСЗИ происходит посредством интерфейса, с помощью которого вносятся данные о нарушениях в работе СЗИ (если они не были зафиксированы ПОРС, но обнаружены администратором) и корректируются уже сохраненные сведения.

Рис. 7. Структурная схема блока оценки надежности средств

защиты информации

Вычисление вероятностей состояний СЗИ осуществляется в модуле определения показателей надежности, являющемся ключевым в составе БОНСЗИ (выделен серым цветом), который реализует описанную в главе процедурную модель. Сведения о нарушениях, получаемые в результате анализа журналов или вносимые администратором, сохраняются в модуле накопления данных о нарушениях работы СЗИ.

Проведена оценка эффективности функционирования СМИИБ в предположении, что ПОРС следит за работоспособностью только одного из СЗИ, а именно СКА, причем остальные СЗИ работают как и прежде. Это было сделано путем сравнения количества ИИБ, выявляемых СКА в течение года до и после введения ПОРС. Благодаря более раннему обнаружению нарушений в работе СКА в СМИИБ выявлено на 475 ИИБ больше после введения ПОРС, чем до него, что составило 1,46% от их количества за год. Ранее эти ИИБ не были бы обнаружены или были бы обнаружены с большой задержкой.

Экономический эффект от внедрения ПОРС оценен в предположении, что при каждом не выявленном СКА инциденте, банк утрачивает некоторое количество записей персональных данных своих клиентов или сотрудников. Произведение числа утраченных за год записей на среднестатистическую мировую стоимость одной записи представляет собой экономический эффект, составивший около 2,5 млн. р./год.

В приложениях приведены результаты анализа фрагментов текстов, содержащихся в журналах работы основных СЗИ, использованные в диссертации, а также акты о применении полученных результатов.

ВЫВОДЫ

  1. Выявлены факторы, влияющие на эффективность мониторинга, среди которых особо выделены те, которые имеют отношение к исправности СЗИ, что позволило сделать вывод о необходимости количественной оценки такого влияния.
  2. Построена процедурная модель функционирования СМИИБ, анализ которой позволил сделать вывод о том, что администратор, принимая решения, сталкивается с высокой степенью неопределенности, обусловленной его незнанием истинного состояния функционирования СЗИ.
  3. Обоснована необходимость проведения регулярного мониторинга состояний функционирования различных СЗИ с использованием существующих категорий проверок, позволяющих выявлять нарушения работоспособности отдельных СЗИ и оповещать об этом администратора, благодаря чему значительно понижается степень его неопределенности в процессе принятия решений.
  4. Проведен анализ принципов работы основных СЗИ, позволивший выявить состояния их функционирования, связанные с нарушениями работоспособности компонентов и представленные в виде множеств.
  5. Разработана методика оперативной оценки показателей надежности СЗИ по данным их текущей эксплуатации, получаемым из электронных журналов работы СЗИ.
  6. Разработана подсистема обеспечения работоспособности СМИИБ (определены структура и характеристики компонентов), которая по данным текущей эксплуатации определяет состояния функционирования СЗИ, обусловленные нарушениями в их работе или восстановлением.
  7. Построена процедурная модель определения вероятностей состояний функционирования СЗИ по данным об их текущей эксплуатации, поступающим из журналов работы компонентов СЗИ.
  8. Разработан БОНСЗИ (определена структура и принципы работы), являющийся новым блоком в ПОРС, который реализует процедурную модель определения вероятностей состояний функционирования СЗИ.
  9. Проведена на примере СКА оценка эффективности функционирования СМИИБ по критерию эффективности, равному среднему числу ИИБ, выявляемых за год. Сравнение работы системы мониторинга до и после внед­рения ПОРС показало рост числа выявленных за год ИИБ на 1,46% с экономическим эффектом около 2,5 млн. р./год.

Содержание реферата свидетельствует о том, что в диссертации решена актуальная научная задача повышения эффективности функционирования СМИИБ на основе производимой по данным текущей эксплуатации оперативной оценки показателей надежности, характеризующих работоспособность средств защиты информации в СМИИБ.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

В изданиях по перечню ВАК РФ:

  1. Попов, С.В. Факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности в автоматизированной банковской системе / С.В. Попов, В.Н. Шамкин // Научно-технический вестник Поволжья. – Казань, 2010. – № 1. – С. 145 – 148.
  2. Попов, С.В. О влиянии состояний функционирования средств защиты информации на эффективность мониторинга инцидентов информационной безопасности банка / С.В. Попов, В.Н. Шамкин // Вестник Тамб. гос. техн. ун-та. – Тамбов, 2011. – Т. 17, № 2. – С. 297 – 303.
  3. Попов, С.В. Методика мониторинга надежностных показателей средств защиты информации в банке по данным их текущей эксплуатации / С.В. Попов, В.Н. Шамкин // Вопросы современной науки и практики. Ун-т им. В.И. Вернадского. – Тамбов, 2012. – № 1(37). – С. 54 – 65.
  4. Попов, С.В. Определение вероятностей состояний функционирования средства контентного анализа как элемента системы мониторинга инцидентов информационной безопасности / С.В. Попов, В.Н. Шамкин // Вестник Тамб. гос. техн. ун-та. – Тамбов, 2012. – Т. 18, № 1. – С. 27 – 37.

В других изданиях:

  1. Попов, С.В. О проблемах построения моделей угроз информационной безопасности автоматизированных банковских систем / С.В. Попов, В.Н. Шамкин // Наука и устойчивое развитие общества. Наследие
    В.И. Вернадского : сб. материалов 3-й науч.-практ. конф., Тамбов, 25–
    26 сент. 2008. – Тамбов : Изд-во ТАМБОВПРИНТ, 2008. – С. 245 – 247.
  2. Попов, С.В. Особенности разработки моделей угроз информационной безопасности автоматизированных банковских систем / С.В. Попов, В.Н. Шамкин // Наука на рубеже тысячелетий : сб. материалов 6-й междунар. науч.-практ. конф., Тамбов, 26–27 окт. 2009. – Тамбов : Изд-во ТАМБОВПРИНТ, 2009. – С. 95 – 97.
  3. Попов, С.В. Значение мониторинга информационной безопасности для обеспечения защиты банковской информации / С.В. Попов,
    В.Н. Шамкин // Прогрессивные технологии развития : сб. материалов
    6-й междунар. науч.-практ. конф., Тамбов, 27–28 дек. 2009. – Тамбов : Изд-во ТАМБОВПРИНТ, 2009. – С. 54 – 56.
  4. Попов, С.В. Факторы, влияющие на эффективность мониторинга инцидентов информационной безопасности в автоматизированной банковской системе / С.В. Попов, В.Н. Шамкин // Казанская наука. – Казань : Изд-во «Казан. Издат. Дом», 2010. – № 8, вып. 1. – С. 178 – 181.
  5. Попов, С.В. Оценка работоспособности средств защиты информации / С.В. Попов, В.Н. Шамкин // Прогрессивные технологии и перспективы развития : сб. материалов 2-й междунар. науч.-практ. конф., Тамбов, 5 нояб. 2010. – Тамбов : ООО ТР-Принт, 2010. – С. 50–51.
  6. Попов, С.В. Мониторинг состояний функционирования средств защиты информации в информационной системе / С.В. Попов, В.Н. Шамкин // Современные информационные технологии «Contemporary Information Technologies»  (Computer-Based Conference) : тр. Междунар. науч.-техн. конф. – Пенза : Пенз. гос. технолог. акад., 2011, вып. 13. – С. 165 – 168.
  7. Попов, С.В. Возможные состояния функционирования средств за­щиты информации в системе мониторинга инцидентов информационной безопасности / С.В. Попов, В.Н. Шамкин // Новые технологии и инновационные разработки : материалы 4-й межвуз. науч.-практ. конф., Тамбов, 13 мая 2011. – Тамбов : Изд-во ФГБОУ ВПО «ТГТУ», 2011. – С. 69 – 72.
  8. Попов, С.В. Алгоритм выявления инцидентов безопасности в информационной системе / С.В. Попов, В.Н. Шамкин // Всерос. науч. школа «Актуальные проблемы нано- и микроэлектроники». Тамбов, 7–8 июля 2011 г. – Тамбов : Изд-во Першина Р.В., 2011. – С. 223–224.
  9. Писаренко, И.В. Региональный аспект обеспечения ИБ в банковской сфере / И.В. Писаренко, С.В. Попов // Informational Security Информационная безопасность. – 2012. – № 1. – С. 42 – 45.



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.