Автоматизация процессов защиты информации в информационных системах виртуального предприятия
Автоматизации подлежит часть функций, которые выполняются администраторами безопасности. Определим границы возможной автоматизации, связанные со следующими аспектами данной задачи:
1) сбор первичных данных о функционировании интегрированной информационной среды виртуального предприятия;
2) анализ данных, принятие решения;
3) формирование управляющих воздействий и их реализация;
4) планирование требуемого уровня защиты.
Сбор первичных данных подразумевает сбор информации о событиях в информационной системе. Эти события могут быть контролируемыми и внешними. Внешние события обнаруживаются только косвенно по тем или иным изменениям, которые происходят в автоматизированной системе обработки данных под влиянием внешних событий.
Автоматизация анализа собранных данных возможна на основе алгоритмов поиска сигнатур атак в зарегистрированных событиях. Основной недостаток – невозможность обнаружения атаки в случае, если информация об атаке отсутствует в базе данных сигнатур и правил анализа событий безопасности возлагается на администратора.
Принятие решения по полученным прогнозам тоже может быть автоматизировано на основе алгоритмов многокритериальной оптимизации. При этом основным критерием должна выступать величина ожидаемого ущерба от воздействия угрозы. В случае неоднозначности ситуации решение должно возлагаться на администратора безопасности.
Автоматизация формирования управляющих воздействий может быть основана на выборе на основании полученного прогноза одной из задание сформированных конфигураций системы защиты, либо на основании алгоритмов динамического формирования конфигураций средств защиты в зависимости от типа угрозы. При этом подобные алгоритмы должны включать в себя проверку на отсутствие противоречий в конфигурации средств защиты.
Таким образом для автоматизации системы защиты информации необходимо решить следующие задачи:
1) разработать концепцию построения автоматизированной системы защиты информации виртуального предприятия;
2) разработать структуру и архитектуру системы защиты информации виртуального предприятия;
3) разработать методы анализа рисков и формирования соответствующей конфигурации системы защиты информации на основе данных о планах обработки информации виртуального предприятия;
4) разработать алгоритм анализа событий, связанных с защитой информации;
5) разработать алгоритм принятия решения по защите информации.
Использование автоматизированной системы защиты информации приводит к повышению эффективности ее функционирования, т.е. к снижению рисков повреждения и потери информации и оптимизации затрат на мероприятия по защите информации. В случае если величина снижения риска убытков превышает убытки, связанные со снижением эффективности функционирования, автоматизацию системы защиты информации можно считать оправданной.
Для решения задачи автоматизации системы предлагается использовать подход к построению автоматизированной системы обеспечения информационной безопасности. Подход предполагает создание трехуровневой иерархической автоматизированной системы защиты информации.
Уровень планирования должен выполнять следующие функции:
1) Планирование рисков нанесения ущерба информационным активам виртуального предприятия на основе планов обработки информации;
2) Обработка событий по безопасности всей интегрированной информационной среды виртуального предприятия с целью поиска не выявленных атак, аномалий в поведении пользователей и контроля работы средств защиты;
3) Организация распространения вычислительных рисков по агентам-координаторам безопасности отдельных предприятий и организации из взаимодействия;
4) Представление отчетов по безопасности, поддержки интерфейса администратора безопасности;
5) Реализация задания по безопасности для информационной системы;
Обладая данными о состоянии информационной системы, уровень планирования способен выявлять атаки, распределенные в пространстве и во времени и направленные на всю среду в целом.
Уровень координации системы защиты информацией предназначен для:
1) Вычисление требуемых показателей защищенности и выбора конфигурации системы защиты информации;
2) Распространение конфигурации системы зашиты информации для последующе1 настройки защиты информации;
3) Координация действий механизмов исполнительного уровня.
На уровне координаций осуществляется обработка полученных данных о планируемых рисках и выбор конфигурации системы защиты информации, которая позволит проконтролировать выявленные риски.
Исполнительный уровень построен на основе программных агентов. Агент – это программно или аппаратно реализованная система, обладающая следующими свойствами:
1) автономность – способность функционировать без прямого вмешательства людей или компьютерных средств, при этом осуществлять самоконтроль над своими действиями;
2) общественное поведение, т.е. способность взаимодействовать с другими агентами;
3) реактивность – способность воспринимать состояние среды;
4) целенаправленная активность – способность осуществлять целенаправленное поведение, проявлять инициативу.
Программный агент является исполнительным механизмом автоматизированной системы защиты информации в интегрированной информационной среде. Агенты выполняют функции контроля состояния элементов среды виртуального предприятия, регистрации событий, связанных с безопасностью. Так же агенты проводят первичную обработку данных о событиях, осуществляют краткосрочные прогнозирование состояния элемента среды, управление подчиненными средствами защиты и функциями интегрированной информационной среды. Программные агенты уникальны в плане, что они могут выступать как часть системы управления и как средство защиты.
Способность к коммуникации между собой позволяет агентам отражать распределенные атаки, согласованно вносить изменения в настройки системы безопасности. В рамках автоматизированной системы защиты информации предполагается наличие вертикальных связей между агентами различных уровней иерархии систем защиты информацию
Использование многоагентной технологии в качестве основы автоматизированной системы защиты информации виртуального предприятия позволит ей наилучшим образом соответствовать изменчивости программно-аппаратного состава интегрированной информационной среды виртуального предприятия.
Работа системы
Исполнительный уровень представляют собой программные агенты – автономные программные модули, способные функционировать без прямого участия человека. Агенты размещаются на всех узлах информационной системы.
Основными задачами агентов являются анализ состояния защищаемого объекта, и обнаружение атак и осуществление мер по защите информационных ресурсов от деструктивного воздействия выявленных атак.
Последовательное и постоянное решение данных задач образует цикл управления информационной защитой узла.
Так как стандартные методы и традиционные подходы мало эффективны, то автоматизированное программные модули, с интерфейсом позволяющим быстро перенастроить агента и легко распространить в новых сегментах интегрированной информационной систем, будут оптимальным решением задачи.
Агенты способны действовать самостоятельно, что позволит из распространить в средах, не имеющих постоянного подключения к основной сети Интегрированной информационной среды виртуального предприятия и к центру безопасности уровня координации. Одна оставлена возможность ручного «обучения агента» администратором безопасности.
Разработка функциональной и информационной модели системой защиты информации виртуального предприятия на основе многоагентных технологий, позволит осуществить комплексную эффективную защиту интегрированной информационной среды.
Рис.1 Внешний вид агента