Аннотация. В статье рассмотрены направления защиты информации в информационной системе организации. Показана необходимость проведения регулярного контроля над состоянием элементов и событиями информационной системы. Представлена схема мониторинга событий и обнаружения инцидентов информационной безопасности в системе. Описаны цели, задачи и уровни мониторинга безопасности информационной системы. Проведен сравнительный анализ мониторинга системного и сетевого уровня.
Ключевые слова: аномалия, события, аудит, инцидент безопасности, защита информации, системный уровень, сетевой уровень, обнаружение атак.
Технические науки
УДК 004.056
Оладько Владлена Сергеевна
к.т.н., преподаватель
Финансовый университет при Правительстве РФ
г. Москва, Российская Федерация
Пушкарская Анна Игоревна
студент
Волгоградский государственный университет
г. Волгоград, Российская Федерация
Витенбург Екатерина Александровна
аспирант
Волгоградский государственный университет
г. Волгоград, Российская Федерация
Oladko V. S.
Ph.D., Lecture
Financial University under the Government of the RF, Moscow
Pushkarskaya A. I.
Student
Volgograd State University, Volgograd
Vitenburg E. A.
Graduate student
Volgograd State University, Volgograd
ЦЕЛИ И ЗАДАЧИ МОНИТОРИНГА БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
OBJECTIVES AND TASKS OF MONITORING SECURITY IN THE INFORMATION SYSTEM
Аннотация. В статье рассмотрены направления защиты информации в информационной системе организации. Показана необходимость проведения регулярного контроля над состоянием элементов и событиями информационной системы. Представлена схема мониторинга событий и обнаружения инцидентов информационной безопасности в системе. Описаны цели, задачи и уровни мониторинга безопасности информационной системы. Проведен сравнительный анализ мониторинга системного и сетевого уровня.
Ключевые слова: аномалия, события, аудит, инцидент безопасности, защита информации, системный уровень, сетевой уровень, обнаружение атак.
Summary: The article considers the directions of information protection in the information system of the organization. The need for regular monitoring of the elements state and events of the information system is shown. The scheme for monitoring events and detecting incidents of information security is presented. The goals, objectives and levels of monitoring the security of the information system are described. A comparative analysis of system and network level monitoring is carried out.
Keywords: anomaly, events, audit, security incident, information protection, system level, network layer, attack detection.
Анализ приказов и нормативно-методической документации в области защиты информации в информационной системе (ИС) организаций показывает, что при реализации системы защиты (СЗИ) необходимо использовать комплексный подход, построенный на интеграции множества подсистем и механизмов защиты. Организационные и технические меры защиты информации, реализуемые в ИС в рамках ее СЗИ, в зависимости от угроз информационной безопасности (ИБ), используемых информационных технологий, эксплуатационных и структурно-функциональных характеристик ИС должны обеспечивать [1]:
Часто функции безопасности 5, 7, 8 тесно связаны между собой и используются в едином комплексе, целью которого является регулярный мониторинг состояния безопасности ИС (часто в режиме реального времени) и проведение аудита ИБ, направленного на:
Схема процесса управления обработкой событий ИС в рамках выделенных выше мероприятий по обеспечению безопасности представлена на рисунке 1.
Рис. 1. Мониторинг и обработка событий в ИС
Целью мониторинга безопасности в ИС является наблюдение за средой с целью выявления инцидентов безопасности на базе правил аудита. Задачами мониторинга является:
Таким образом, назначение систем мониторинга — собирать данные и обнаруживать аномалии в работе ИС, а затем оперативно на них реагировать. Обнаружению подлежит подозрительная и аномальная активность компонентов системы — от пользователей (внутренних и внешних) до программных и аппаратных средств.
Существующие системы мониторинга, используют для обнаружения атак и подозрительной активности в ИС сетевой и системный подход.
При проведении мониторинга на сетевом уровне используют в качестве источника данных для анализа необработанные сетевые пакеты. Для этого используется сетевой адаптер, функционирующий в режиме "прослушивания", и трафик в реальном масштабе времени по мере его прохождения через сегмент сети.
Мониторинг системного уровня контролирует систему, события и журналы регистрации событий безопасности. Когда какой-либо из этих файлов изменяется, то происходит сравнение новых записей с сигнатурами атак, чтобы проверить, есть ли соответствие. Если такое соответствие найдено, то система посылает администратору сигнал тревоги или приводит в действие другие заданные механизмы реагирования.
Каждый уровень проведения мониторинга в ИС имеет свои особенности и охватывает определенную область действия, результаты сравнение возможностей проведения мониторинга на разных уровнях представлено в таблице 1.
Таблица 1 – Сравнение уровней проведения мониторинга в ИС
№ |
Уровень мониторинга |
Вид |
Достоинства |
Недостатки |
1 |
Системный уровень |
Система |
подтверждает успех или отказ атаки; контролирует деятельность конкретного узла; обнаруживает атаки, которые упускают системы сетевого уровня; хорошо подходит для сетей с шифрованием и коммутацией; не требуют дополнительных аппаратных средств; низкая стоимость эксплуатации. |
зависит от ОС
не обнаруживает аномалии возникающие на сетевом уровне |
События |
||||
Журнал безопасности |
||||
2 |
Сетевой уровень |
Анализ сетевых пакетов |
низкая стоимость эксплуатации; обнаруживает атаки или аномалии в поведении, которые возникают на сетевом уровне; обнаруживает и реагирует в реальном масштабе времени; обнаруживает неудавшиеся атаки или подозрительные намерения; не зависит от ОС. |
не может обнаруживать атаки системного уровня |
Таким образом, недостатки, которые имеются при использовании систем мониторинга только системного уровня, нейтрализуются достоинствами систем мониторинга сетевого уровня и наоборот. Поэтому комбинирование этих двух технологий значительно улучшает эффективность контроля и последующее сопротивление ИС к атакам и злоупотреблениям. По результатам мониторинга безопасности можно выявить потенциальных нарушителей, и закрыть уязвимые места в ИС, что позволит ужесточить политику безопасности и внести большую гибкость в процесс эксплуатации сетевых ресурсов.
Литература: