Модель сбора информации о корпоративной вычислительной сети

Как показывает практика, размер корпоративных вычислительных сетей (КВС) постоянно растет, увеличивается количество технологий, используемых при обработке информации, увеличивается число рабочих станций и пользователей. В связи с этим усложняется процесс анализа защищенности КВС.

Все множество компонентов, входящих в КИС, можно разделить на четыре класса: аппаратный, программный, организационный и правовой.

К аппаратному уровню относится физическая инфраструктура КВС, которая обеспечивает функционирование верхних уровней КВС. Она включает узлы КВС и сетевое оборудование, связывающее узлы между собой в единую структуру.

К программному уровню относится программное обеспечение (ПО), установленное на узлах КВС. Можно выделить следующие уровни ПО: операционной системы, драйвера, пользовательские приложения, а также программные средства защиты КВС.

На организационном уровне представлены бизнес-процессы и информационные потоки, которые основываются на некоторых взаимосвязанных элементах КВС программного и аппаратного уровней.

На правовом уровне представлены нормативно-правовые документы, связанные с КВС.

Для анализа защищенности такую классификацию необходимо дополнить элементами, которые в нее не входят, а именно: показатели защищенности КВС, активы КВС, уязвимости.

Структура КВС приведена на рисунке 1.

Формально КВС рассматривается следующим образом:

S = { E ^S , LS },              (1)

где     E ^S – множество элементов КВС;

LS – множество связей между элементами КВС, L^S A с E S х E S .

Каждый элемент КВС E^S представляет собой описание с помощью некоторых свойств этого элемента:

E j = { P jk } .              (2)

где     P _jk – свойство элемента.

При этом следует учитывать, что свойством одного объекта также может быть объект, обладающий другими свойствами. Отсюда:

PS=!?;:, fk'j.(3)

где     TvSk – тип свойства объекта, может при- v нимать значения Tvk = Pjk v E,

S – обязательность наличия у fjk объекта EkS свойства Pjk.

Правовой уровень

- Нормативно-правовые документы

Организационный уровень:

Показатели защищенности

- Информационные потоки

- Бизнес-процессы

Узел КВС

Программный уровень:

• -    системное ПО

• -    драйвера

• -    пользовательские приложения

• -    средства защиты КВС

  Активы

  
  

  Уязвимости

  
  

Аппаратный уровень

- Компоненты узлов КВС

- Сетевое оборудование

Рис. 1. Структура КВС

Связи между элементами КВС L^S представляются следующим образом:

LS = LS и LS„ „ is—a      part—of

LS  ПLS„ , = 0, is—a         part —of

где    LS - a - отношение категоризации меж ду объектами КВС;

L Sart _— of - отношение принадлежности между объектами КВС.

Множество элементов КВС E^S включает подмножества элементов особых типов:

-множество активов КВС E A , E^S_A с E S ,

• -    множество уязвимостей элементов КВС

E V,^?      E S’                _{s s}

• -    множество узлов КВС E H , E H с E S ;

• -    множество компонентов КВС E_P^S ,

E^S P C E S,

• -    множество средств защиты КВС E _S ^S _C ,

ESc C ES

Информационный актив КВС представляет собой информацию, подлежащую защите, и описывается следующим образом:

A ={Anam, А^е}, A e ESS, k k k kA

где A _k ^name – наименование информационного актива КВС;

A_k ^value – условная ценность информационного актива КВС.

Пусть средство защиты КВС SС – программная система, которая позволяет с некоторой вероятностью закрыть уязвимости других компонентов и защитить активы КВС с использованием информации о других элементах КВС и вычислительных ресурсов узлов КВС. В связи с разнообразием принципов и методов работы компонентов КВС довольно сложно учитывать особенности каждого из них. Поэтому предлагается учитывать общие характеристики SC: тип компонента и уязвимости, на который это средство направлено, объем используемых ресурсов узлов КВС, вероятность устранения уязвимости.

Для работы средств защиты требуются следующие ресурсы: процессорное время, память ОЗУ, канал обмена информацией.

Таким образом, SC можно описать в следующем виде:

,       (6)

где E^S – множество элементов КВС, на которые направлено средство защиты;

E _V ^S _E – множество уязвимостей эле- ^P мента КВС;

R _SC – ресурсы, необходимые для ра- ⁱ боты средства защиты;

– вероятность успешного закрытия уязвимостей в элементе КВС E_P^S .

В итоге эффективностью средства защиты является вероятность устранения множества уязвимостей E _V ^S _E для компонентов E_P^S при использовании ресурсов R _SC .

Вычислительные ресурсы R _SC , требуемые для работы средства защиты, определяются следующим образом:

где         – процессорная нагрузка, вызыва-

^TSCi – пропускная способность сетевого соединения узла КВС, необходимая для работы СЗ.

В соответствии с представленной моделью КВС, структура для хранения знаний может выглядеть следующим образом (рис. 2).

Для наполнения этой информационной структуры предлагается следующая схема сбора информации (рис. 3).

Сервер хранения информации содержит централизованную базу для хранения информации. На каждом компоненте КВС размещается агент сбора информации, который получает необходимые сведения и передает их на сервер хранения.

>

S

<множество узлов КВС – E_H >

< ресурсы узла – R H_i >

S

• < множество компонентов КВС – E_P >

S

• <    множество уязвимостей – E VE_P >

S

• <    множество активов КВС – E_A >

A name k >

A value k >

S

• <    множество средств защиты КВС – E SC >

S

• <    множество элементов – E VE_P >

• <    необходимые ресурсы – R SCi >

• <    вероятность успеха – p SC >

Рис. 2. Структура представления информации о КВС

Рис. 3. Схема сбора информации о КВС

А.А. Бешта. Модель сбора информации о корпоративной вычислительной сети

Данная модель представления знаний имеет свои плюсы. Во-первых, это возможность представления разнородной информации о характеристиках элементов КВС: технические характеристики, программные компоненты, активы, связи с другими элемента- ми КВС. Возможно отображение информационных потоков в КВС. Помимо этого, модель позволяет учитывать такие характеристики, как стоимость активов, уязвимости компонентов, а отсюда учет возможного ущерба и риска.

THE MODEL OF GATHERING INFORMATION ABOUT CORPORATE COMPUTER NETWORK