Моделирование системы обнаружения инцидентов информационной безопасности на основе сетей Петри

  • Вид работы:
    Дипломная (ВКР)
  • Предмет:
    Информационное обеспечение, программирование
  • Язык:
    Русский
    ,
    Формат файла:
    MS Word
    47,99 Кб
  • Опубликовано:
    2016-07-17
Вы можете узнать стоимость помощи в написании студенческой работы.
Помощь в написании работы, которую точно примут!

Моделирование системы обнаружения инцидентов информационной безопасности на основе сетей Петри

Содержание

Введение

. Инциденты информационной безопасности

.1 Классификация инцидентов

.2 Статистика инцидентов

Выводы по разделу 1

. Разработка информационной модели системы обнаружения инцидентов на основе анализа состояний системы

.1 Определение системы обнаружения вторжений

.1.1 Обнаружение атакующих воздействий на систему

.1.2 Структура и классификация

.1.3 Современные методы обнаружения вторжений

.2 Разработка и описание сетей Петри, моделирующих систему обнаружения вторжений

.3 Исследование свойств разработанных сетей Петри

.3.1 Статистические свойства разработанных сетей

.3.2 Динамические свойства разработанной модели

.3.3 Динамика функционирования разработанной модели

Выводы по разделу 2

. Анализ времени реагирования разработанной системы

.1 Определение времени работы и вероятности срабатывания переходов

.2 Результаты моделирования обнаружения атак на построенных сетевых динамических моделях

.3 Верификация разработанной модели обнаружения атак

Выводы по разделу 3

. Экономический расчет

.1 Расчет трудоёмкости разработки программного обеспечения

.2 Расчет себестоимости разработанного программного обеспечения

.3 Обоснование затрат на разработку и внедрение системы обнаружения вторжений в ТОГБУЗ «ГКБ №3 г.Тамбова»

Выводы по разделу 4

. Безопасность жизнедеятельности

.1 Анализа условий труда на рабочем месте

.2 Расчет естественного и искусственного освещения

.3 Расчет общеобменной вентиляции

.4 Расчет защитного заземления

.5 Расчет молниезащиты

.6 Пожарная безопасность

.7 Опасность поражения электрическим током

.8 Правила работы за компьютером

Выводы по разделу 5

Заключение

Список используемых источников

Введение

Сложно представить крупное современное предприятие или учреждение без собственной информационной системы. Большие объемы информации, множество компонентов и потоков данных является причиной создания той самой взаимосвязанной совокупности средств, методов и персонала, используемых для сбора, хранения, обработки и выдачи информации в интересах достижения поставленной цели.

C увеличением объемов информации, циркулирующих в локальных вычислительных сетях (ЛВС) и расширением спектра задач, решаемых с помощью ИС, возникает проблема, связанная с ростом числа угроз и повышением уязвимости информационных ресурсов. Это обусловлено действием таких факторов, как: расширение спектра задач, решаемых ИС; повышение сложности алгоритмов обработки информации; увеличение объемов обрабатываемой информации; усложнение программных и аппаратных компонентов ЛВС, и соответственно - повышение вероятности наличия ошибок и уязвимостей; повышение агрессивности внешних источников данных (глобальных сетей); появление новых видов угроз [1].

Необходимо учитывать, что конкурентоспособность предприятий, размер получаемого ими дохода, их положение на рынке существенно зависят от корректности функционирования их информационной инфраструктуры, целостности основных информационных ресурсов, защищенности конфиденциальной информации от несанкционированного доступа. Исходя из этого, возрастают требования к системам защиты, которые должны обеспечивать не только пассивное блокирование несанкционированного доступа к внутренним ресурсам сети предприятия из внешних сетей, но и осуществлять обнаружение успешных атак, анализировать причины возникновения угроз информационной безопасности и, по мере возможности, устранять их в автоматическом режиме.

Одним из основных качеств системы обнаружения вторжений предприятия, удовлетворяющей перечисленным требованиям, является ее адаптивность, т.е. способность анализировать информацию, генерировать на ее основе знания и автоматически изменять конфигурацию системы для блокирования обнаруженных угроз информационной безопасности.

Анализ работ, ведущихся в данной области, показывает, что указанная проблема требует дальнейшего изучения как с точки зрения построения адекватных математических моделей предметной области, так и реализации эффективных алгоритмов обнаружения атак и принятия решений, что подтверждает актуальность исследований в данной предметной области.

Объектом исследования в данной работе является информационная система городского учреждения здравоохранения, предметом исследования - системы обнаружения вторжений на основе анализа состояний. Исходя из этого, цель работы определена как снижение времени реакции на атаки против информационной системы на основе разработки системы обнаружения инцидентов информационной безопасности, использующей метод анализа состояний. Для достижения поставленной цели необходимо выполнить следующие задачи:

- произведение аналитического обзора существующих систем обнаружения вторжений;

- построение описательной информационной модели системы обнаружения вторжений, использующей метод анализа состояний системы;

построение динамической модели для выбранных атак на основе полученной информационной модели;

исследование и верификация разработанных динамических моделей, создание системы обнаружения вторжений, использующей метод анализа состояний ИС.

1. Инциденты информационной безопасности

.1 Классификация инцидентов

Сперва необходимо дать определение терминам «событие» и «инцидент». Согласно ГОСТ Р 18044-2007:

-  событием информационной безопасности (information security event) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности;

-       инцидентом информационной безопасности (information security incident) считается появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Если подозревается, что событие ИБ развивается или уже свершилось, особенно событие, которое может привести к существенным потерям, ущербу собственности или репутации организации, то необходимо немедленно заполнить и передать форму отчета о событии ИБ в соответствии с процедурами, описанными в системе менеджмента инцидентов ИБ организации [2].

Если событие определено как инцидент ИБ, то в обязательном порядке должен быть составлен отчет, подробно описывающий произошедший инцидент. В соответствии с ГОСТ Р ИСО/МЭК ТО 18044-2007 инциденты классифицируют определенным образом.

Всего общая классификация представляет три типа инцидентов - действительный инцидент, попытка и предполагаемый инцидент.

Угрозы же более обширны и их разделяют на четыре типа - намеренные, случайные, ошибки и другие угрозы.

Среди намеренных угроз выделяют:

хищение;

мошенничество;

саботаж/физический ущерб;

вредоносная программа;

хакерство/логическое проникновение;

неправильное использование ресурсов;

другой ущерб.

Перечень случайных угроз содержит:

отказ аппаратуры;

отказ ПО;

отказ системы связи;

пожар;

наводнение;

другие природные события.

В данном случае в отчете должны быть пометки, имели ли место потери значимых сервисов и недостаточное кадровое обеспечение.

Среди ошибок определяют:

операционные ошибки;

ошибки в эксплуатации аппаратных средств;

ошибки в эксплуатации программных средств;

ошибки пользователя;

ошибки проектирования;

другие случаи (включая ненамеренные ошибки).

В случае, если инцидент не подходит ни под один тип угроз, в отчете отмечается, что имел место инцидент с категорией угрозы «неизвестно» [3, с. 103]. Если еще не установлен тип инцидента ИБ (намеренный, случайный, ошибка), то следует сделать отметку «неизвестно» и, по возможности, указать тип угрозы, используя определения, приведенные выше.

1.2 Статистика инцидентов

Опрос проводился в декабре 2014 года среди руководителей 58 крупнейших организаций. В анкетировании участвовали представители банковской (42%), телекоммуникационной (17%) топливо-энергетической (13%), СМИ (12%), транспортной (4%) и других отраслей, а также государственных организаций и ведомств (12%).

Рисунок 1 - Респонденты по отраслям

Главной особенностью инцидентов в области информационной безопасности является то, что они не всегда заметны (не всегда мешают в работе пользователей), однако возможный ущерб от таких инцидентов сложно недооценить. Следовательно, необходима четкая процедура регистрации и расследования инцидентов безопасности, а также информирование пользователей о правилах определения инцидентов.

В 2014 году инциденты информационной безопасности были зарегистрированы в каждой из опрошенных компаний. Большинство тамбовских системообразующих компаний, промышленных предприятий и организаций сталкивались с хакерскими атаками и заражением вредоносным ПО [4, с. 35]. При этом свыше половины опрошенных компаний (58%) испытывали из-за ИБ инцидентов существенные проблемы - несмотря на выстроенные процессы обеспечения безопасности. К финансовым потерям инциденты привели в 15% компаний, к репутационным издержкам в 12%, к нарушению функционирования IТ-инфраструктуры - в 31%.

Рисунок 2 - Инциденты ИБ в 2014 году

Наиболее распространенным инцидентами оказались DoS-атаки - им были подвержены 23% опрошенных компаний, а также хакерские атаки на внешние веб-приложения (21%).

Достаточно высоким оказался процент инцидентов, связанных с внутренними причинами. 16% компаний сообщили об инцидентах, связанных с нарушением правил эксплуатации ИС. Злоупотребления со стороны сотрудников привели к заметным инцидентам в 14% компаний. Таким образом, внутренние угрозы оказались вдвое более опасными, чем заражение вредоносным ПО (14%).

Рисунок 3 - Типы инцидентов (доля компаний)

Основной причиной, препятствующей эффективному обеспечению защиты IT-систем системообразующих компаний России, участники опроса назвали нехватку профессионалов, знакомых одновременно с вопросами информационной безопасности, и с производственными процессами отрасли или компании, которую они защищают (37%).

На втором месте в списке проблем - несовершенство нормативно-законодательной базы (26%). Кроме того, 13% компаний отметили отсутствие релевантных средств защиты.

Рисунок 4 - Приоритетные проблемы обеспечения ИБ

При обеспечении информационной безопасности крупные компании в России руководствуются обязательными к исполнению нормативными документами государственных органов (ФСБ, ФСТЭК) - так ответили 88% опрошенных компаний. Международными стандартами и рекомендациями пользуется лишь треть компаний [5, с. 221].

Стоит отметить, что банки, телекоммуникационные и транспортные компании ориентируются как минимум на три типа стандартов, в том числе и зарубежные отраслевые стандарты.

В то же время более половины компаний (55%) ответили, что полагаются на экспертное мнение своих специалистов по безопасности. Наибольший вес экспертиза собственных специалистов имеет в телекоммуникационной отрасли и в медиакомпаниях.

Многие участники исследования сообщили, что для обеспечения ИБ имеет значение не только своевременное реагирование на инциденты типа CERT (33%) и получение своевременной информации об уязвимостях (42%). Большинство тех, кто еще не наладил подобного сотрудничества, сообщили, что планируют сделать это в будущем.

Рисунок 5 - Ориентиры компании при обеспечении ИБ (респонденты могли выбрать несколько вариантов)

Выводы по разделу 1

В данном разделе проведен анализ представленной статистики инцидентов информационной безопасности за 2014 год среди 58 крупнейших организаций из различных отраслей. Выяснилось, что более 50% организаций ежегодно сталкиваются с инцидентами ИБ и при этом испытывают существенные проблемы - несмотря на выстроенные процессы обеспечения безопасности. Также были определены наиболее часто встречающиеся типы инцидентов (DoS-атаки и хакерские атаки на внешние приложения) и выявлены приоритетные проблемы обеспечения ИБ.

Таким образом, результаты опроса дают понять, что проблема своевременного и адекватного реагирования на инциденты ИБ стоит достаточно остро, и многие организации нуждаются в гибком решении, которое позволит точно и своевременно реагировать на возникающие инциденты ИБ.

2. Разработка информационной модели системы обнаружения инцидентов информационной безопасности на основе анализа состояний системы

2.1 Определение системы обнаружения вторжений

Э.з2.1.1 Обнаружение атакующих воздействий на информационную систему

С развитием информационных технологий, основная цель которых - обработка, хранение и передача информации, ко всем ранее известным угрозам добавились новые, связанные с применением передовых технологий. Существенный вклад в список добавившихся угроз привносят угрозы, производимые с использованием локальных и глобальных вычислительных сетей [7, с. 190].

Процесс осуществления угроз получил название «атака» или «вторжение».

Атака - любое действие нарушителя, направленное на нарушение заданной функциональности вычислительной системы или получение несанкционированного доступа к информационным, вычислительным или сетевым ресурсам системы.

Обнаружение атак - важнейшая задача информационной безопасности (ИБ), так как обнаружение позволяет блокировать атаку для уменьшения последствий вторжения и предотвратить утерю, порчу, искажение, несанкционированное разглашение и компрометацию охраняемой информации, а также проинформировать о производящейся атаке и ее результатах.

Атака может производиться на вычислительную и на информационную системы.

Информационная система (ИС) - множество средств обработки информации, объединенных в единую систему, например, посредством создания локальной вычислительной сети.

Вычислительная система (ВС) - в данном случае подразумевается единица информационной системы, например, отдельная ЭВМ [10, с. 114].

Атака на ИС или ВС, как и любое действие, имеет свой жизненный цикл, разделяющий ее на несколько этапов (рис. 1). Каждый этап кратко можно описать следующим образом:

 

Рисунок 6 - Этапы атаки на информационную систему

1) подготовка - нарушитель старается получить как можно больше информации об объекте атаки, чтобы на ее основе спланировать дальнейшие этапы вторжения. Этим целям может служить, например, информация о типе и версии ОС, установленной на ЭВМ ИС; список пользователей, зарегистрированных в системе; сведения об используемом прикладном ПО и т.д. [11].

) вторжение - нарушитель получает несанкционированный доступ к ресурсам тех вычислительных систем, на которые совершается атака.

) атакующее воздействие - реализуются те цели, ради которых и предпринималась атака, например, нарушение работоспособности ИС, кража конфиденциальной информации из системы, удаление или модификация данных и т. д. При этом атакующий часто выполняет операции, направленные на удаление следов его присутствия в ИС.

) развитие атаки - злоумышленник стремится расширить объекты атаки, чтобы продолжить несанкционированные действия на других составляющих информационных систем [12].

Некоторые этапы в некоторых атаках могут не присутствовать, например, атаки типа DDoS не содержат в себе этап «Вторжение в систему».

2.1.2 Структура и классификация систем обнаружения вторжений

Система обнаружения вторжений (СОВ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин - Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем [13].

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;

хранилище, обеспечивающее накопление первичных событий и результатов анализа;

консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты [15].

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства [16].

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ [17].

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

Основанная на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты ещё до процедуры их шифрования и отправки в сеть.

Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) - это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

Узловая СОВ (Host-based IDS, HIDS) - система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

.1.3 Современные методы обнаружения вторжений

Современные методы обнаружения вторжений базируются на нескольких основных принципах [9, 11].

Сигнатурный: описывают каждую атаку особой моделью или сигнатурой, в качестве которой могут применяться строка символов, семантическое выражение на специальном языке, формальная математическая модель и т. д. Суть сигнатурного метода заключается в следующем: в исходных данных, собранных сетевыми и узловыми (host) датчиками СОА, с использованием специализированной базы данных сигнатур атак выполняется процедура проверки и поиска сигнатуры атаки [23].

Поведенческий (обнаружение аномалий): базируются не на моделях информационных атак, а на моделях штатного функционирования ИС. Принцип работы любого из таких методов состоит в обнаружении несоответствия между текущим режимом работы ИС и режимом работы, отвечающим штатной модели данного метода. Любое несоответствие рассматривается как информационная атака. Преимущество методов данного типа - возможность обнаружения новых атак без модификации или обновления параметров модели. К сожалению, создать точную модель штатного режима функционирования ИС очень сложно.

Сигнатурные методы (методы контекстного поиска) заключаются в обнаружении в исходной информации определенного множества символов. Так, например, для выявления атаки на Web-сервер под управлением операционной системы семейства Unix, направленной на получение несанкционированного доступа к файлу паролей, проводится поиск последовательности символов «GET */etc/passwd» в заголовке HTTP-запроса. Для расширения функциональных возможностей контекстного поиска в некоторых случаях используются специализированные языки, описывающие сигнатуру атаки; методы анализа состояний основаны на формировании сигнатуры атак в виде последовательности переходов ИС из одного состояния в другое. По сути, каждый такой переход определяется по наступлению в ИС определенного события, а набор этих событий задается параметрами сигнатуры атаки. Как правило, сигнатуры атак, созданные на основе анализа состояний, описываются математическими моделями, базирующимися на теории конечных автоматов или сетей Петри.

Поведенческие методы (методы обнаружения аномалий) на основе статистических моделей определяют статистические показатели, характеризующие параметры штатного поведения системы. Если с течением времени наблюдается определенное отклонение данных параметров от заданных значений, то фиксируется факт обнаружения атаки. Как правило, в качестве таких параметров могут выступать уровень загрузки процессора, нагрузка на каналы связи, штатное время работы пользователей системы, количество обращений к сетевым ресурсам и т. д. Примерами подобных статистических моделей могут служить пороговая модель, модель среднего значения и среднеквадратичного отклонения или ее «расширение» - многовариационная модель. В группу статистических методов входят и корреляционные методы, позволяющие обнаружить взаимосвязь между различными событиями [26].

Комбинированные методы - методы продукционных правил, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертные системы, использующие данные методы, состоят из двух баз данных: фактов и правил. Факты представляют собой исходные данные о работе ИС, а правила - алгоритмы логических решений о факте атаки на основе поступившего набора фактов. Все правила экспертной системы записываются в формате «если <...>, то <...>». Результирующая база правил должна описывать характерные признаки атак, которые обязана обнаруживать СОА.

База правил экспертной системы может описывать и штатное поведение ИС. В этом случае при помощи экспертной системы можно точно специфицировать взаимодействие между узлами ИС, которое всегда осуществляется по определенным протоколам в соответствии с действующими стандартами. Если же в процессе обмена информацией между узлами будет выявлена неизвестная команда или нестандартное значение одного из параметров, это может считаться признаком атаки; методы имитации поведения биологических систем - используют алгоритмы моделей, основанных на биологических объектах, например, генетические алгоритмы или искусственные нейронные сети (ИНС). Возможно объединение моделей, например, нейронная сеть на основе конкуренции. Методы на основе биологических моделей представляются самыми перспективными, в первую очередь, благодаря их адаптации и саморазвитию [30, с. 117].

На стадии вторжения обнаружить атаку можно при помощи как сигнатурных, так и поведенческих методов. Любое вторжение характеризуется определенными признаками, которые, с одной стороны, можно представить в виде сигнатуры, а с другой - описать как некое отклонение от штатного поведения ИС. Наиболее эффективно сочетание обоих методов, при этом для получения необходимых исходных данных применимы любые (узловые или сетевые) датчики (табл. 1).

Таблица 1 - Применимость методов обнаружения (С - в сетевых датчиках, У - в узловых датчиках)

Стадия вторжения

Сигнатурный метод

Поведенческий метод

Рекогносцировка

Применим: С, У

-

Вторжение в ИС

Применим: С, У

Применим: С, У

Атакующее воздействие

-

Применим: У

Развитие атаки

-

Применим: У


Эффективное выявление атак на этапах атакующего воздействия и развития атаки возможно только при помощи поведенческих методов, поскольку действия нарушителей зависят от целей проводимой атаки и фиксированным множеством сигнатур атак однозначно не определяются. Учитывая тот факт, что на двух последних стадиях жизненного цикла информационной атаки самые характерные объекты - это узлы, в данном случае наиболее целесообразно применение узловых датчиков.

Таблица 2 - Анализ методов обнаружения атак

Методы

Достоинства

Недостатки

Контекстного поиска

Возможность наиболее точно задать параметры сигнатуры

Невозможность выявления атак, не описанных в экспертной системе



Невозможность выявить атаки, отличающиеся от сигнатурного описания, либо без описания

Анализа состояний

Высокая чувствительность к изменениям состояний ИС

Чувствительность зависит от точности модели ИС



Невозможность выявления атак, не описанных в экспертной системе



Невозможность выявить атаки, отличающиеся от сигнатурного описания, либо без описания

На основе статистических моделей

Возможность определять распределенные атаки, в том числе и во времени

Чувствительность зависит от заданной величины отклонений и точности модели ИС


Определение взаимосвязи между различными событиями



Корреляция событий позволяет определить значимые события


Продукционных правил

Описание моделей атак на высоком уровне абстракции на естественном языке

Невозможность выявления атак, не описанных в экспертной системе

Имитации поведения биологических систем

Возможность определять распределенные атаки, в том числе и во времени

Сложность создания адекватной обучающей выборки


Высокий уровень адаптации

Зависимость точности обнаружения от качества обучения


Возможность определения неизвестных атак



Обработка зашумленных данных

Невозможность извлечения знаний, накопленных ИНС


Сохранение работоспособности при неполных или искаженных данных



Массированная параллельность обработки информации



Для представления систем обнаружения вторжений будем использовать информационную модель, так как подобная модель описывает существенные для данного рассмотрения объекты, связи между ними, входы и выходы объектов и позволяющая путём подачи на модель информации об изменениях входных величин моделировать возможные состояния объекта и может обеспечить многостороннюю, стабильную и организованную структуру требований к информации или знаниям об описываемом домене, которые могут использоваться всеми специалистами, работающими с этим доменом, независимо от их конкретных задач. Информационная модель, описывающая структуру системы обнаружения вторжений на основе состояний системы, представлена на рисунке 7.

Рисунок 7 - Структура системы обнаружения вторжений

.2 Разработка и описание сетей Петри, моделирующих систему обнаружения вторжений

Организация системы защиты локальной компьютерной сети является сложной задачей, в которой приходится учитывать большое количество параметров. Влияние этих параметров нередко взаимно противоположно, а часто неопределенно и плохо предсказуемо. Такое положение объясняется тем, что нужно организовать защиту не сети как таковой, а сети со всеми функционирующими внутри нее информационными системами, которые содержат огромное множество компонентов. Обычная ситуация, когда на различных сетевых узлах установлены разные операционные системы (иногда две или несколько ОС одновременно), жесткие диски имеют разные файловые системы, состав категорий пользователей и их права на использование ресурсов компьютера различны и, наконец, программное обеспечение в высшей степени разнообразно. А поскольку все эти факторы влияют на возможность реализации конкретных атак, построение системы защиты, учитывающей их в полной мере, является весьма трудоемкой задачей.

В такой ситуации может быть полезна система, способная моделировать процесс обнаружения атакующих воздействий в зависимости от наличия или отсутствия всех перечисленных (а также неперечисленных) факторов. В связи с этим разработаем такую систему на основе использования сетей Петри.

Сети Петри - это аппарат для моделирования динамических дискретных систем (преимущественно асинхронных параллельных процессов). Сеть Петри определяется как четверка <Р, Т, I, О>, где Р и Т - конечные множества позиций и переходов, I и О - множества входных и выходных функций [36, с. 58]. Входная и выходная функции связаны с переходами и позициями. Входная функция Iотображает переход tj в множество позиций I(tj), называемых входными позициями перехода. Выходная функция O отображает переход tj в множество позиций O(tj), называемых выходными позициями перехода.

Теоретико-графовым представлением сети Петри является двудольный ориентированный мультиграф, в котором позициям соответствуют вершины, изображаемые кружками, а переходам - вершины, изображаемые утолщенными черточками; функциям I соответствуют дуги, направленные от позиций к переходам, а функциям О - дуги, направленные от переходов к позициям [28].

Распределение меток по позициям называют маркировкой. Метки - это примитивное понятие сетей Петри, они присваиваются позициям и могут перемещаться в сети.

Сеть Петри выполняется посредством запусков переходов. Переход запускается удалением меток из его входных позиций и образованием новых меток, помещаемых в его выходные позиции. Переход может запускаться только в том случае, когда он разрешен. Переход называется разрешенным, если каждая из его входных позиций имеет число меток, по крайней мере, равное числу дуг из позиций в переход. Формально работа сети Петри описывается множеством последовательностей запусков и множеством реализуемых разметок.

Цель представления системы в виде сети Петри и последующего анализа этой сети состоит в получении важной информации о структуре и динамическом поведении моделируемой системы. Эта информация может использоваться для оценки моделируемой системы и выработки предложений по ее усовершенствованию.

Системе обнаружения вторжений соответствует конкретная сеть Петри, которая моделирует процесс ее работы. В данном случае цель состоит в том, чтобы показать совокупность условий, необходимых для успешного детектирования атаки. Если эти условия существуют, то можно говорить о том, что атака точно обнаружена. Но если их нет, или они присутствуют частично, то можно говорить о том, что атака отсутствует, либо присутствует с некоторой долей вероятности соответственно [19, с. 257].

Смоделируем систему, представленную описательной информационной моделью с помощью сетей Петри. Обозначения элементов этих сетей приведены в таблицах 3, 4, 5, 6 где Pi - позиции, Tj - переходы.

Таблица 3 - Описание позиций и переходов СОВ

Позиция/ Переход

Описание

P0

Возникновение события

P1

Событие считано

P2

Событие обнаружено датчиком 1

P3

Событие обнаружено датчиком 2

P4

Событие обнаружено датчиком 3

P5

Событие обнаружено датчиком 4

P6

Событие обнаружено датчиком 5

P7

Событие распознано датчиком 1

P8

Событие распознано датчиком 2

P9

Событие распознано датчиком 3

P10

Событие распознано датчиком 4

P11

Событие распознано датчиком 5

P12

Событие помещено в систему хранения данных

P13

Событие помещено в базу данных событий

P14

Событие получено анализатором

P15

Распознано событие с анализатора

P16

Распознано событие с датчика признаков

P17

Распознано событие контролера целостности файлов

P18

Создано сообщение события «анализатор»

P19

Создано сообщение события «датчик признаков»

P20

Создано сообщение события «контролер целостности файлов»

P21

Получен результат анализа

P22

Сформирован отчет результатах анализа

P23

Отчет получен системой уведомлений

P24

Сформировано уведомление

P25

Уведомление обработано при помощи оснастки

P26

Уведомление получено в консоли

P27

Выполнен запрос на обращение к базе сигнатур

P28

Выполнено обращение

P29

Сформирован результат обращения

P30

Сформирован запрос на обращение к базе контрмер

P31

Выполнен запрос на обращение к базе контрмер

P32

Выполнено обращение к базе контрмер

P33

Выбрана мера противодействия

P34

Выбрана последовательность действий

P35

Сформирован выходной поток данных

P36

Сформирован отчет об отсутствии соответствующей контрмеры

P37

Определено реакционное действие

P38

Действие обработано при помощи оснастки

T0

Чтение события

T1

Обнаружние события подсистемой сенсоров

T2

Распознавание события датчиком 1

T3

Распознавание события датчиком 2

T4

Распознавание события датчиком 3

T5

Распознавание события датчиком 4

T6

Распознавание события датчиком 5

T7

Отправка события в систему хранения данных

T8

Фиксация события в базе данных событий

T9

Отправка события в анализатор

T11

Распознавание события

T12

Создание сообщения события «анализатор»

T13

Создание сообщения события «датчик признаков»

T14

Создание сообщения события «контролер целостности файлов»

T15

Вывод результата анализа «анализатор»

T16

Вывод результата анализа «датчик признаков»

T17

Вывод результата анализа «контролер целостности файлов»

T18

Формирование отчета о несоответствии сигнатурам

T19

Отправка отчета в систему уведомлений

T20

Формирование уведомления

T21

Обработка уведомления при помощи оснастки

T22

Отправка уведомления в консоль

T23

Выполнение обращения

T24

Формирование отчета с результатами обращения

T25

Отправка отчета или запроса на обращение к базе контрмер

T26

Выполнение запроса на обращение к базе контрмер

T27

Выполнение обращения к базе контрмер

T28

Выбор меры противодействия

T29

Выбор последовательности действий

T30

Формирование выходного потока данных

T31

Определение реакционного действия

T32

Отправка отчета

Обработка действия при помощи оснастки

T34

Запрос на обращение к базе сигнатур или базе контрмер


Таблица 4 - Описание позиций и переходов анализатора журнала

Позиция/ Переход

Описание

P3

Событие обнаружено датчиком 2 (анализатор журнала)

P3.1

Обнаружено появление новой записи в файле журнала

P3.2

Сформирован сигнал

P3.3

Выполнена запись метки события

P7

Событие распознано датчиком 2 (анализатор журнала)

T2.1

Проверка появления новой записи в файле журнала

T2.2

Формирование сигнала

T2.3

Выполнение записи метки события

T2.4

Формирование сообщения о распознании события


Таблица 5 - Описание позиций и переходов анализатора системных вызовов

Позиция/ Переход

Описание

P4

Событие обнаружено датчиком 4 (анализатор системных вызовов)

P4.1

Обнаружено появление новой системного вызова

P4.2

Сформирован сигнал

P4.3

Выполнена запись метки события

P9

Событие распознано датчиком 4 (анализатор системных вызовов)

T2.5

Проверка появления нового системного вызова

T2.6

Формирование сигнала

T2.7

Выполнение записи метки события

T2.8

Формирование сообщения о распознании события


Таблица 6 - Описание позиций и переходов для системы программной обработки данных

Позиция/ Переход

Описание

P12

Событие помещено в систему хранения данных

P12.1

Появление события зарегистрировано

P12.2

Событию присвоены метаданные

P12.3

Событие получено классификатором

P12.4

Событие классифицировано

P12.5

Событие не классифицировано

P12.6

Добавлена метка классификации

P12.7

Добавлена пустая метка

P12.8

Добавлена запись метаданных

P12.9

Событие списано в журнал

P13

Запись события в базу данных событий

T8.1

Регистрация появления события

T8.2

Присвоение событию метаданных

T8.3

Отправка события в классификатор

T8.4

Классификация события

T8.5

Добавление метки классификации

T8.6

Добавление пустой метки

T8.7

Добавление записи метаданных

T8.8

Добавление записи метаданных

T8.9

Запись события в журнал

T8.10

Запись события в базу данных событий


На рисунке 8 изображена сетей Петри, описывающая процесс обнаружения системой инцидентов ИБ. В сети осуществляются нетривиальные переходы которые отображены на рисунках 9, 10 и 11. Они отображают работу анализаторов журнала и системных вызовов, а также систему обработки данных.

Для исследования различных вариантов возможного развития вычислительного процесса на сетевой модели вводятся понятия некоторых свойств сетей Петри. Они подразделяются на статические и динамические. Рассмотрим их по порядку.

Рисунок 8 - Система обнаружения вторжений

Рисунок 9 - Анализатор журнала

Рисунок 10 - Анализатор системных вызовов

Рисунок 11 - Система обработки данных

.3 Исследование свойств разработанных сетей Петри

.3.1 Статические свойства разработанных сетей

К статическим свойствам сети относятся: конечное множество позиций, конечное множество состояний, множество входных позиций переходов, множество выходных позиций переходов, начальная маркировка, дерево достижимости [20, 21]. Проанализируем эти свойства для разработанных сетей. Рассмотрим статические свойства для сети, моделирующей систему обнаружения вторжений:

1) конечное множество позиций:

= {p0, p1, p2, p3, p4, p5, p6, p7, p8, p9, p10, p11, p12, p13, p14, p15, p17, p18, p19, p23, p24, p25, p26, p27, p28, p29, p30, p31, p32, p33, p34, p35, p36, p37, p38}.

)   конечное множество переходов:

T = {t0, t1, t2, t3, t4, t5, t6, t7, t8, t9, t10, t11, t12, t13, t14, t15, t16, t17, t18, t19, t20, t21, t22, t23, t24, t25, t26, t27, t28, t29, t31, t32, t33, t34}.

)   множество входных позиций перехода:

I = {I(t0), I(t1), I(t2), I(t3), I(t4), I(t5), I(t6), I(t7), I(t8), I(t9), I(t10), I(t11), I(t12), I(t13), I(t14), I(t15), I(t16), I(t17), I(t18), I(t19), I(t20), I(t21), I(t22), I(t23), I(t24), I(t25), I(t26), I(t27),I(t28), I(t29), I(t31), I(t32), I(t33), I(t34), I(t35), I(t36), I(t37), I(t38).(t0)={p0}, I(t1)={p1}, I(t2)={p2}, I(t3)={p3}, I(t4)={p4}, I(t5)={p5}, I(t6)={p6}, I(t7)={p7}, I(t7)={p8}, I(t7)={p9}, I(t7)={p10}, I(t8)={p12}, I(t9)={p13}, I(t11)={p14}, I(t12)={p15}, I(t13)={p16}, I(t14)={p17}, I(t15)={p18}, I(t16)={p19}, I(t17)={p20}, I(t18)={p21}, I(t19)={p22}, I(t20)={p23}, I(t21)={p24}, I(t22)={p25}, I(t23)={p27}, I(t24)={p28}, I(t25)={p29}, I(t26)={p30}, I(t27)={p31}, I(t28)={p32}, I(t29)={p33}, I(t30)={p34}, I(t31)={p26}, I(t32)={p36}, I(t33)={p37}, I(t34)={p38}.

)   множество выходных позиций перехода:

O = {O(t1), O(t2), O(t3), O(t4), O(t5), O(t6), O(t7), O(t8), O(t9), O(t10), O(t11), O(t12), O(t13), O(t14), O(t15), O(t16), O(t17), O(t18), O(t19), O(t20), O(t21), O(t22), O(t23), O(t24), O(t25), O(t26), O(t27), O(t28), O(t29), O(t31), O(t32), O(t33), O(t34), O(t35), O(t36), O(t37), O(t38), O(t42), O(t43), O(t44)}.

O(t0)={p1}, O(t1)={p2}, O(t1)={p3}, O(t1)={p4}, O(t1)={p5}, O(t1)={p6}, O(t2)={p7}, O(t3)={p8}, O(t4)={p9}, O(t5)={p10}, O(t6)={p11}, O(t7)={p12}, O(t7)={p27}, O(t8)={p13}, O(t9)={p14}, O(t11)={p15}, O(t11)={p16}, O(t11)={p17}, O(t12)={p18}, O(t13)={p19}, O(t14)={p20}, O(t15)={p24}, O(t16)={p24}, O(t17)={p24}, O(t18)={p22}, O(t19)={p23}, O(t20)={p24}, O(t21)={p25}, O(t22)={p26}, O(t23)={p28}, O(t24)={p29}, O(t25)={p23}, O(t25)={p30}, O(t26)={p31}, O(t27)={p32}, O(t28)={p33}, O(t28)={p36}, O(t29)={p34}, O(t30)={p35}, O(t31)={p37}, O(t32)={p23}, O(t33)={p38}, O(t34)={p27}.

) начальная маркировка:

μ0 = {1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0}

Статические свойства для сети, моделирующей датчик 2 (анализатор журнала):

1) конечное множество позиций:

= {p3, p3.1, p3.2, p3.3, p7}.

)   конечное множество переходов:

T = {t2.1, t2.2, t2.3, t2.4}.

)   множество входных позиций перехода:

I = {I(t2.1), I(t2.2), I(t2.3), I(t3), I(t2.4)}.(t2.1)={p3}, I(t2.2)={p3.1}, I(t2.3)={p3.2}, I(t3.3)={p2.4}.

4) множество выходных позиций перехода:

O = {O(t2.1), O(t2.2), O(t2.3), O(t2.4)}.(t2.1)={p3.1}, O(t2.2)={p3.2}, O(t2.3)={p3.3}, O(t2.4)={p7}.

5) начальная маркировка:

μ0 = {1, 0, 0, 0, 0, 0}

Статические свойства для сети моделирующей поведение удаленных сетевых атак:

1) конечное множество позиций:

= {p4, p4.1, p4.2, p4.3, p4.4}.

)   конечное множество переходов:

T = {t2.5, t2.6, t2.7, t2.8}.

)   множество входных позиций перехода:

I = {I(t2.5), I(t2.6), I(t2.7), I(t2.8)}.(t2.5)={p4}, I(t2.6)={p4.1}, I(t2.7)={p4.3}, I(t2.8)={p4.3}.

)   множество выходных позиций перехода:

O = {O(t2.5), O(t2.6), O(t2.7), O(t2.8)}.(t2.5)={p4.1}, O(t2.6)={p4.2}, O(t2.7)={p4.3}, O(t2.8)={p9}.

5) начальная маркировка:

μ0 = {1, 0, 0, 0, 0, 0}

Статические свойства для сети, моделирующей систему обнаружения инцидентов:

5) конечное множество позиций:

= {p12, p12.1, p12.2, p12.3, p12.4, p12.5, p12.6, p12.7, p12.8, p12.9, p13}.

)   конечное множество переходов:

T = {t8.1, t8.2, t8.3, t8.4, t8.5, t8.6, t8.7, t8.8, t8.9, t8.10}.

)   множество входных позиций перехода:

I = {I(t8.1), I(t8.2), I(t8.3), I(t8.4), I(t8.5), I(t8.6), I(t8.7), I(t8.8), I(t8.9), I(t8.10).(t8.1)={p12}, I(t8.2)={p12.1}, I(t8.3)={p12.2}, I(t8.4)={p12.3}, I(t8.5)={p12.4}, I(t8.6)={p12.5}, I(t8.7)={p12.6}, I(t8.8)={p12.7}, I(t8.9)={p12.8}, I(t8.10)={p12.9}.

)   множество выходных позиций перехода:

O = {O(t8.1), O(t8.2), O(t8.3), O(t8.4), O(t8.5), O(t8.6), O(t8.7), O(t8.8), O(t8.9), O(t8.10)}.

O(t8.1)={p12.1}, O(t8.2)={p12.2}, O(t8.3)={p12.3}, O(t8.4)={p12.4}, O(t8.4)={p12.5}, O(t8.5)={p12.6}, O(t8.6)={p12.7}, O(t8.7)={p12.8}, O(t8.8)={p12.8}, O(t8.9)={p12.9}, O(t8.10)={p13}.

5) начальная маркировка:

μ0 = {1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0}

Дерево достижимости представляет все достижимые маркировки сети Петри, а также все возможные последовательности запусков её переходов.

Шаг построения дерева достижимости состоит в добавлении к каждой граничной вершине - маркировке веера, образованного множеством всех маркировок, непосредственно достижимых из данной граничной маркировки. На первом шаге граничной является вершина, соответствующая начальной маркировке. Каждая дуга помечена запускаемым переходом, при переходе из одной маркировки в другую. Всякий путь в дереве, начинающийся в корне, соответствует допустимой последовательности переходов [20].

.3.2 Динамические свойства разработанной модели СОВ

Полный анализ сети Петри можно провести с помощью изучения и анализа ее динамических свойств: достижимость, ограниченность, активность, обратимость и достижимость тупиковой разметки [37, с. 201]:

1)      достижимость: маркировка μn достижима из маркировки μ0, если существует последовательность запусков, приводящих от μ0 к μn. Множество всех маркировок, достижимых в сети (N, μ0) от μ0, обозначаются как R(N, μ0), или R(μ0). Таким образом, проблема достижимости в сетях Петри заключается в том, чтобы при заданной маркировки μn в сети (N, μ0) установить принадлежность μ0 к множеству R(μ0);

)        ограниченность: сеть Петри называется K - ограниченной, или просто ограниченной, если для любой маркировки, достижимой от маркировки μ0, количество фишек в любой позиции не превышает некоторого числа K, то есть μ(p) ≤ K для любого р и любой маркировки μ, принадлежащей R(μ0). Сеть Петри (N, μ0) называется безопасной, если она l-ограниченна;

)        активность: сеть Петри активна (или маркировка μ0 сети Петри активна), если независимо от достигнутой μ0 маркировки, для любого перехода существует последовательность дальнейших запусков, приводящая к его запуску;

)        обратимость и базовое состояние: сеть Петри обратима, если для любой маркировки μ из R(μ0) маркировка μ0 достижима от μ. Маркировка μ называется базовым состоянием, если она достижима от любой маркировки μ из R(μ0);

)        достижимость тупиковой разметки: делает дальнейшее срабатывание любого перехода в данной сети невозможным [21].

Проанализировав поведенческие свойства моделей, а именно достижимость, ограниченность, активность, обратимость и достижимость тупиковой разметки, можно сделать следующие выводы. Модель для сетевых червей является:

1)   достижимой (заданная маркировка в сети принадлежит к множеству маркировок, достижимых в сети и существует последовательность запусков);

2)   2-ограниченной (количество меток в любой позиции является ограниченным, в рассматриваемой модели в любой позиции имеетсяне более двух меток);

3)   активной (последовательность запусков существует для любого перехода, приводящая его к запуску);

4)      обратимой и не имеет достижимости тупиковой разметки.

Модели для троянских программ и удаленных сетевых атак являются:

) достижимыми;

2)   1-ограниченными;

3)   активными;

4)      обратимыми и не имеют достижимости тупиковой разметки.

Из проанализированных поведенческих свойств (параметров) моделей можно сделать вывод, что каждое свойство важно и должно соблюдаться.

2.3.3 Динамика функционирования разработанной модели СОВ

Процесс функционирования сети Петри может быть наглядно представлен графом достижимых маркировок [26]. Множество всевозможных маркировок для сети Петри, моделирующей обнаружение почтовых червей представлено в таблице 8, для сети Петри, моделирующей обнаружение троянских программ - в таблице 9, для сети Петри, моделирующей обнаружение удаленных сетевых атак - в таблице 10.

Из анализа динамики функционирования сети, можно сделать вывод о том, что сеть является детерминированной и последовательной. Таким образом, можно сделать вывод, что в каждый момент времени сеть находится в одном из множества состояний, и для каждого состояния можно определить наличие или отсутствие угрозы с определенной долей вероятности.

Таблица 7 - Динамика функционирования сети Петри для СОВ

Выводы по разделу 2

Вербальное описание, полученное из источников, не позволяет формально описать их сигнатуры, вследствие слабой структурированности их описания.

Информационная описательная модель в силу своей схожести с динамическими моделями на основе сетей Петри позволяет легко перейти от первичного формального описания к вторичному формальному описанию в виде сетей Петри, которое позволит осуществить всестороннее моделирование процесса обнаружения атакующих воздействий.

Исследование свойств построенной информационной модели показало, что она является детерминированными и последовательными и в процессе функционирования каждая сеть может находиться только в одном из множества состояний, для которого с определенной долей вероятности можно определить наличие или отсутствие угрозы.

Таким образом, в данном разделе разработана формальная модель системы обнаружения вторжений на основе аппарата сетей Петри, которая позволит осуществить всестороннее моделирование процесса обнаружения атакующих воздействий.

3. Анализ времени реагирования разработанной СОВ

.1 Определение времени работы и вероятностей срабатывания переходов

Без использования разработанной СОВ, время реакции на атакующие воздействия зависит от промежутка времени между анализом журналов аудита. Данное время зависит от должностной инструкции администратора по безопасности и чаще всего составляет неделю. В связи с этим среднее время реакции на атакующее воздействие может быть рассчитано по формуле:

, (3.1)

где Tmin - минимальное время до анализа журнала аудита;

Tmax - максимальное время до анализа журнала аудита;

Tан - время анализа.

Произведя соответствующие подсчеты по формуле (3.1) можно получить, что среднее время реакции на атакующее воздействие администратором по безопасности будет равняться 84 часам. Полученное время слишком велико и не позволяет оперативно среагировать на атаку, а тем более предотвратить ее. Для анализа времени реакции разработанной СОВ проведем моделирование процесса обнаружения вторжения на разработанных сетевых моделях. Время работы и вероятности переходов были взяты из доверенных источников, оценок специалистов и статистических данных [39-41], и для каждой сетевой модели сведены в таблице 8

Таблица 8 - Время и вероятность срабатывания переходов разработанной СОВ

Tj

P

t, c

Tj

P

t, c

Tj

P

t, c

T0

0,25

0,69

T14

0,07

0,83

T28

0,46

0,53

T1

0,25

0,69

T15

0,79

0,83

T29

0,27

0,83

T2

0,25

0,69

T16

0,12

0,75

T30

0,27

0,83

T3

0,25

0,69

T17

0,12

0,79

T31

0,31

1,35

T4

0,82

0,74

T18

0,76

0,79

T32

0,38

1,35

T5

0,18

0,74

T19

0,5

0,75

T33

1

3,32

T6

0,21

1,35

T20

0,5

0,75

T34

1

3,32

T7

0,58

1,35

T21

0,29

1,35

T35

0,31

1,35

T8

1

0,17

T22

0,42

1,35

T36

0,29

1,35

T9

1

1,48

T23

0,08

0,53

T37

0,21

1,35

T10

1

0,79

T24

0,08

0,53

T38

1

0,72

T11

1

0,41

T25

0,08

0,53

T39

0,26

0,62

T12

0,07

0,83

T26

0,68

0,53

T40

0,74

0,62

T13

0,07

0,83

T27

0,08

0,53





.2 Результаты моделирования обнаружения атак на построенных сетевых динамических моделях

Для моделирования будем использовать специальное программное обеспечение - PIPE 3.0, которое позволяет упростить осуществление построения сетей Петри благодаря обширному инструментарию, а также быстро и эффективно производить их анализ с помощью готовых функций. Для этого в данной программе были построены соответствующие сети Петри, которые приведены в подразделе 2.3, а переходам этих сетей были присвоены времена и вероятности из таблиц 13, 14 и 15. В качестве результатов моделирования возьмем первые 100 временных интервалов, за которые был обнаружен инцидент ИБ. Полученные в результате моделирования данные были оформлены в виде гистограмм частот и для разработанной СОВ представлены на рисунке 12.

Рисунок 12 - Гистограмма частот времени реакции на обнаруженные инциденты ИБ

Для полученных результатов были определены основные статистические показатели, такие как математическое ожидание, дисперсия, среднее квадратическое отклонение, коэффициенты асимметрии и эксцесса [42, с. 105] и сведены в таблицу 9.

Таблица 9 - Статистические показатели результатов моделирования для удаленных сетевых атак

Статистический показатель

Значение

М(X)

7,5

D(X)

1,5

s

1,23

Аs

-0,15

Еx

0,19


Незначительные значения асимметрии и эксцесса, близкие к нулю, дают возможность выдвинуть гипотезу о нормальности распределения времени реакции на атаки. Для проверки гипотезы о нормальности распределения воспользуемся наиболее часто употребляемым критерием согласия Пирсона.

3.3 Верификация разработанной модели обнаружения атак

Для проверки гипотезы о нормальности распределения было выполнено сравнение частот фактического распределения с частотами нормального распределения с применением критерия c2 при 5% уровне значимости [43, с119]. Табличное значения критерия c2табл для распределения составило 11,1. Результаты вычислений представлены в таблице 10.

Таблица 10 - Проверка нормальности распределения

Критерий

Удаленные сетевые атаки

c2

8,99

c2табл.

11,1


Так как фактическое значения критерия c2 для всех совокупностей не превышают табличного, распределения могут быть признаны нормальными с уровнем значимости α ≤ 0,05. Графики плотности вероятности времени реакции на инциденты ИБ представлены на рисунке 13.

Рисунок 13 - Плотность вероятности времени реакции на инциденты ИБ

Детектирование угрозы невозможно пока она себя никак не проявит, следовательно, необходимо некоторое время, в течение которого она выполнит свои деструктивные функции. После этого атаку необходимо блокировать, чтобы она не достигла своего логического завершения. Учитывая, что СОВ должна иметь как можно меньше ложных срабатываний можно предположить, что время реакции на атаки должно иметь распределение близкое к нормальному. Проведенное моделирование на разработанных динамических моделях позволило подтвердить данное предположение. Анализ графика, представленного на рисунке 13 позволяет заключить, что среднее время реакции для рассматриваемых атак будет находиться в диапазоне от 7 до 15 секунд.

Таким образом, использование разработанной системы обнаружения вторжений позволит значительно снизить время реакции на атакующие воздействия.

Выводы по разделу 3

Произведено описание подсистемы хранения сигнатур атак, описания атак и рекомендаций по их парированию, на основе которого создан прототип этой подсистемы, который будет использоваться в системе обнаружения вторжений.

Без использования разработанной СОВ время реакции на атакующее воздействия зависит от должностной инструкции администратора по безопасности и чаще всего составляет неделю. Такой подход не позволяет оперативно реагировать на атаку и тем более предотвратить ее.

Для анализа времени реакции разработанной СОВ было произведено моделирование процесса обнаружения вторжения на разработанных сетевых динамических моделях для удаленных сетевых атак, троянских программ и почтовых червей.

Полученные результаты моделирования были представлены в виде гистограммы частот, и для них были вычислены основные статистические показатели такие, как математическое ожидание, дисперсия, среднее квадратическое отклонение, коэффициенты асимметрии и эксцесса.

Таким образом, можно сделать вывод о том, что использование разработанной системы обнаружения вторжений позволит значительно снизить время реакции на атакующие воздействия.

4. Экономический расчет

4.1 Расчет трудоемкости разработки программного обеспечения

В разработку программного обеспечения входит следующий перечень работ к выполнению [45]:

)        постановка проблемы;

)        описание предметной области;

)        программная реализация системы обнаружения вторжений;

)        отладка программы;

)        документирование.

Результаты расчета трудоемкости разработки программного обеспечения приведены в таблице 11.

Таблица 11 - Расчет трудоемкости разработки программного обеспечения

Наименование работы

Вероятностные оценки, дни


tmin

tmax

tож

Постановка проблемы

1

3

2

Описание предметной области

4

6

5

Программная реализация системы обнаружения вторжений

90

120

105

Отладка программы

15

5

10

Оформление документов

5

10

7,5

Внедрение системы обнаружения вторжений

1

2

1,5

Общая продолжительность работы составляет:

116

146

131


Ожидаемое время продолжительности работ рассчитаем по формуле:

,(4.1)

где tож - ожидаемое время продолжительности работ;min - оценка при наиболее благоприятных условиях;max - оценка при наиболее неблагоприятных условиях.

Таким образом, общая продолжительность работы составляет:

 дн.

4.2 Расчет себестоимости разработки программного обеспечения

Расчет заработной платы программиста производится в соответствии с трудоемкостью разработки программного обеспечения.

Данные для расчета:

)        оклад - 15000 р.;

)        плановый фонд рабочего времени за месяц - 176 часов (22 дня);

)        тарифная ставка.

Часовая тарифная ставка (Сч) определяется по формуле:

,(4.2)

гдеСч - часовая тарифная ставка, р/ч;

Фрв - плановый фонд рабочего времени за месяц, из расчета 22 рабочих дня по 8 часов.

Часовая тарифная ставка составляет:

р/ч.

Основную заработную плату программиста за разработку программы рассчитаем по формуле:

,(4.3)

ЗПосн = 85,2·(131·8) = 89289,6 р.

Стоимость материалов на эксплуатационные нужды рассчитываются по формуле:

 ,(4.4)

Где Мi - стоимость i-го материала, р;i - количество i-го материала, р;= 2 - количество материалов.

Стоимость материалов на эксплуатационные нужды представлены в таблице 12.

Таблица 12 - Стоимость материалов на эксплуатационные нужды

Наименование

Кол-во

Ед. измерения

Цена за шт., р.

Сумма, р.

Бумага

1

пачка

150

150

USB-флешка 16 Гб

3

шт.

550

1650

Итого




1800


Таким образом, стоимость материалов на эксплуатационные нужды будет равняться:

Мэ = 1·150 + 3·550 = 1800 р.

Затраты на электроэнергию представлены в таблице 13.

Таблица 13 - Затраты на электроэнергию

Вид оборудования

Мощность, кВт

Стоимость, 1 кВт/ч

Время работы оборудования, Тож

Сумма затрат, р.

ПК

0,6

2,57

1048

1073,1


Затраты ресурсов на электроэнергию [43, с. 281] рассчитаем по формуле:

S = (M·C)·T ,   (4.5)

где S - общая сумма затрат, р;

М - мощность, кВт;

С - стоимость , 1 кВт/ч;

Т - время работы оборудования, ч.

Таким образом, затраты на электроэнергию составят:

S = 0,6·2,57·1048 = 1616 р.

Итого затраты на разработку программного продукта составят 92705,6 рублей.

.3 Обоснование затрат на разработку и внедрение системы обнаружения вторжений в ТОГБУЗ «ГКБ №3 г. Тамбова»

Основным предназначением систем обнаружения атак в информационной системе учреждения является страхование от потенциального ущерба, который может быть нанесен за счет нарушения работоспособности элементов информационно-телекоммуникационной системы (как аппаратной, так и программной ее составляющей). Использование данного класса программных средств в явном виде не приносит прибыли организации.

Оценить количественно ущерб от успешной реализации сетевой атаки достаточно сложно, так как кроме явных потерь (потери из-за срывов заключенных контрактов, выплата неустойки за несвоевременно сданный заказ и т.п.), потери от которых измеримы, присутствуют еще и неявные потери (прекращение сотрудничества, негативные отзывы потребителей и т.п.), которые можно оценить только после реализации большого количества атак.

Для того чтобы обосновать целесообразность применения отдельно выделенного программного продукта, наделенного функциями системы обнаружения сетевых атак, сравним стоимость данного программного продукта и тот минимальный ущерб, который будет нанесен ТОГБУЗ «ГКБ №3 г. Тамбова» в случае успешной реализации атаки, на примере НСД к серверам баз данных с целью копирования, модификации или удаления содержащейся там информации.

Оплата медицинских услуг, оказанных пациентам, застрахованным в системе ОМС (обязательно медицинского страхования), производится раз в месяц на основе выставленных медицинской организацией счетов-фактур и реестров счетов. Ежемесячно ТОГБУЗ «ГКБ №3 г. Тамбова» выставляет подобных счетов на сумму более 40 млн. рублей. Утрата базы данных программы WinМедицина приведет к тому, что учреждение не сможет своевременно получить данные денежные средства и, соответственно, не сможет своевременно выплатить заработную плату сотрудникам и произвести оплату поставщикам по заключенным договорам (медикаменты, изделия медицинского назначения, продукты питания, коммунальные услуги и прочее).

Разглашение персональной информации к результате НСД может повлечь для ТОГБУЗ «ГКБ №3 г. Тамбова» административную ответственность, а также иски о возмещении морального вреда со стороны приписанного населения. В соответствии со статьей 13.11 Кодекса об административных правонарушениях [44, с. 117], предусматривающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах, может быть наложено административное взыскание. Нарушение данной нормы влечет за собой предупреждение или наложение штрафа в размере для юридических лиц от 5 до 10 тысяч рублей. Однако в ближайшее время в соответствии с новыми положениями КоАП компании за нарушения в обработке персональных данных будут обязаны уплатить штраф от 200 до 500 тыс. р., а за повторные нарушения - до 1 млн. рублей.

Количество приписного населения к ТОГБУЗ «ГКБ №3 г. Тамбова» составляет порядка 100000 человек. Рассмотрение судебной практики о распространении персональных данных показывает, что размер морального вреда составляет в среднем 20000 рублей [45]. Обращение даже 1% населения с исками о компенсации морального вреда приведет к тому, что больница будет обязана выплатить порядка 2000000 рублей. Таким образом, ущерб, принесенный ТГБУЗ «ГКБ №3 г. Тамбова» при НСД к серверам баз данных, приблизительно составит 42 010 000 рублей.

Кроме услуг, оплачиваемых за счет фонда ОМС, учреждение также оказывает платные услуги (по договорам с гражданами и организациями),что позволяет рассчитать время, за которое окупятся средства, потраченные на разработку системы обнаружения вторжений. Платный прием врача в среднем составляет около 500 рублей. Учитывая, что в году около 250 рабочих дней, а больница осуществляет как минимум один платный прием в день, то затраты на разработку окупятся уже за первый год после внедрения.

Выводы по разделу 4

В разделе произведен расчет трудоемкости разработки программного продукта и его себестоимости, а также обоснование затрат на разработку и внедрение системы обнаружения вторжений в ТОГБУЗ «ГКБ №3 г.Тамбова». В результате подсчета получилось, что затраты на разработку и внедрение системы обнаружения вторжений окупятся уже за первый год после внедрения.

информационный безопасность атака сеть

5. Безопасность жизнедеятельности

.1 Анализ условий труда на рабочем месте

Работа по написанию программного продукта связана с постоянной работой на компьютере. Помещение для построения и реализации программного продукта представляет собой комнату размерами 3,5 м × 3 м × 2,8 м, приспособленную для расположения вычислительной техники. Стены и потолок помещения покрашены. Окно 2 м × 1,8 м выходит на северо-восток. Габариты рабочей поверхности 1,2 м × 0,6 м. Высота стола составляет 0,75 м.

В помещении имеется искусственное освещение, состоящее из четырех светильников, в каждом из которых установлены люминесцентные лампы, мощностью 18 Вт каждая. Светильники расположены в два ряда по два в каждом и равномерно распределены по площади потолка. От распределительного щита проложена внешняя электропроводка, заключенная в прорезиненный кабель.

Помещение можно отнести к помещениям без повышенной опасности, так как оно беспыльное, сухое, с нормальной температурой и изолирующими полами, не имеющее заземленных металлоконструкций. Персональный компьютер относится к первому классу электротехнических изделий по способу защиты человека от поражения электрическим током, так как корпус сделан из токонепроводящей пластмассы и имеет заземляющую жилу и вилку с заземляющим контактом. В соответствии с правилами устройства электроустановок компьютер можно отнести к электроустановкам с рабочим напряжением до 1000 В.

С точки зрения обеспечения условий труда и требований техники безопасности для работы оператора необходимо следующее: достаточное освещение экрана дисплея и рабочего места; полная техническая исправность оборудования, его электробезопасность; оптимальный микроклимат, способствующий продуктивной работе; молниезащита.

К опасным и вредным факторам, воздействию которых подвергается оператор, можно отнести: возможность поражения электрическим током, при электронеисправности оборудования, нарушении заземления или техники безопасности; работа в микроклимате с недопустимыми параметрами; работа при недостаточной освещенности экрана дисплея и рабочего места.

.2 Расчет естественного и искусственного освещения

Требования к освещению помещений определяются СНиП 23-05-95 [46]. Целью расчёта естественного освещения является определение площади световых проёмов, обеспечивающих нормированное значение коэффициента естественной освещённости (КЕО), которое определяется по формуле:

 ,(5.1)

гдеN = 2 - номер группы административно-территориального района (Тамбовская область) по обеспеченности естественным светом;

- значение КЕО для работы средней точности;

коэффициент светового климата для световых проёмов в наружных стенах зданий, ориентированных на северо-восток.

Суммарная площадь световых проёмов определяется по формуле:

(5.2)

где - площадь пола помещения;

световая характеристика окна (отношение длины помещения к его глубине ; отношение глубины помещения к высоте от уровня рабочей поверхности до верха окна );

коэффициент запаса, учитывающий загрязнение светопропускающего материала светового проёма, для помещения с воздушной средой, содержащей в рабочей зоне менее 1 мг/м3 пыли, с углом наклона светопропускающего материала к горизонту 760 - 900, две чистки остекления в год;

коэффициент, учитывающий затенение окон противостоящими зданиями (противостоящие здания отсутствуют);

коэффициент светопропускания материала для стеклопакета;

коэффициент, учитывающий потери света в одинарных металлических переплётах окна;

коэффициент, учитывающий потери света в несущих конструкциях (железобетонные арки);

коэффициент, учитывающий потери света в солнцезащитных устройствах (внутренние убирающиеся регулируемые жалюзи и шторы);

коэффициент, учитывающий отражённый свет при боковом освещении (отношение расстояния расчётной точки от наружной стены к глубине помещения ; средневзвешенный коэффициент отражения потолка, стен и пола pср = 0,4).

Количество световых проёмов определяется по формуле:

,(5.3)

где- площадь одного светового проёма.

Таким образом, установлено, что окно, установленное в помещении, обеспечивает нормированное значение КЕО.

Для искусственного освещения рабочего места применяется система общего освещения, обеспечивающая равномерное распределение световой энергии, так как выполняемая работа соответствует зрительному разряду средней точности и не требует наличия местного освещения.

В комнате используются подвесные (накладные) люминесцентные светильники ЛПО-50 Классика рассчитанные на 1 лампу. Расстояние между светильниками  определяется из условия обеспечения равномерного распределения освещенности:

(5.4)

Где h - расстояние от оси лампы до рабочей освещаемой поверхности;

= 0,6 - коэффициент распределения света данным типом светильника.

Эскизы плана и разреза помещения приведены на рисунке 14.

Нормированная освещённость на рабочем месте для зрительной работы средней точности при системе общего освещения в помещении со средним фоном составляет EH=200 лк.

Световой поток одного светильника определяется по формуле:

,(5.5)

где S = 3 3,5 = 10,5 м2 - площадь освещаемой поверхности;

Z = 1,1 - коэффициент минимальной освещённости люминесцентной лампы;

К = 1,4 - коэффициент запаса для светильников в помещениях с воздушной средой, содержащей в рабочей зоне менее 1 мг/м3 пыли;

N = 4 - количество светильников на плане помещения;

коэффициент использования светового потока, если коэффициент отражения от потолка равен 0,7; коэффициент отражения от стен равен 0,5; индекс помещения ).

Светильники допускают установку люминесцентной лампы типа L18 c световым потоком 950 лм и мощностью 18 Вт.

Рисунок 14 - Эскизы плана и разреза помещения

Фактическая освещённость определяется по формуле:

.(5.6)

Электрическая мощность осветительной установки определяется согласно формуле:

.(5.7)

Отклонение фактической освещённости от расчётного значения составляет  и является допустимым.

.3 Расчет общеобменной вентиляции

Требования к вентиляции воздуха в помещении определяются СНиП 41-01-2003 [47]. Вытяжная или приточно-вытяжная общеобменная вентиляция позволяет удалять загрязнённый и перегретый воздух из всего объёма помещения. Количество воздуха, необходимого для обеспечения требуемых параметров среды в рабочей зоне, определяется по количеству избыточных влаговыделений и тепловыделений. Выделяющееся избыточное тепло определяется как сумма тепла, поступающее в помещение от работающих , электрооборудования  (в нашем случае - 2 ПК), нагретых поверхностей , осветительных приборов , солнечной радиации через остекленные проемы . Для холодного периода года учитываются также потери тепла через стены и оконные проемы  Расчет избыточной теплоты определяется отдельно для теплого и холодного периодов года по формуле:

.(5.7)

Количество тепла, поступающего от двух человека, выполняющих лёгкую категорию работ при температуре помещения 22 0С вычисляются по формуле:

(5.8)

Где q=151Вт - выделение тепла от человека, выполняющего лёгкую категорию работ при температуре помещения 22 0С.

Количество тепла, поступающего от четырех люминесцентных ламп мощность 18 Вт каждая, вычисляется по формуле:

 Вт,(5.9)

Где - коэффициент полезного действия для люминесцентных ламп;

Количество тепла, поступающего от двух компьютеров мощностью 400 Вт, рассчитывается по формуле:

Вт,(5.10)

Где - коэффициент полезного для компьютера.

Количество тепла, поступающее от батареи, рассчитывается по формуле:

(5.11)

Где  15 Вт/м2*К - коэффициент теплоты;

,1 м2 - площадь батареи;

°С- температура воды в батарее;

°С - температура воздуха в помещении.

Количество тепла, теряющееся от наружной стены, рассчитывается по формуле:

(5.12)

Где  0,41 Вт/(м ×°С) - коэффициент теплопроводности материала стены (пенобетон);= 0,3 м - толщина стены;= 6,2 м2 - площадь стен, через которые происходит потеря;

tн = -15 °С - температура наружного воздуха.

количество тепла, теряющееся от окна, рассчитывается по формуле:

(5.13)

Где  3,52 Вт/(м ×°С) - коэффициент тепловодности материала, из которого изготовлены световые проемы;= 3,6 м2 - площадь окна.

Количество тепла, поступающего от солнечной радиации через окно площадью 3.6 м2 в теплое время года, рассчитывается по формуле:

(5.14)

Где 0,68 - коэффициент теплопропускания заполнения световых проемов;

190,4 Дж/(м2с) - суммарная поверхностная плотность теплового потока для теплого времени года (июль).

Количество тепла, поступающего от солнечной радиации через окно площадью 3,6 м2 в холодное время года, рассчитывается по формуле:

(5.15)

где 160 Дж/(м2с) - суммарная поверхностная плотность теплового потока для холодного времени года(январь);

Для теплого периода года:


Для холодного периода года:


Количество воздуха, которое надо подать в помещение для поглощения избыточной теплоты, определяется по формулам:

(5.16)

(5.17)

Где удельная теплоёмкость воздуха;

плотность поступающего (наружного) воздуха в теплое время года;

плотность поступающего (наружного) воздуха в холодное время года;

температура наружного воздуха в холодное время года;

температура наружного воздуха в теплое время года.

Температура удаляемого воздуха определяется по формуле:

°С,(5.18)

Где  температура рабочей зоны для легкой работы;

температурный градиент по высоте помещения;

Н = 2,6 м - расстояние от пола до центра вытяжных проёмов;

= 1,5 м - высота рабочей зоны.

Количество воздуха, которое надо подать в помещение для компенсации избыточной влажности, определяется по формулам:

м3/с,(5.19)

м3/с,(5.20)

Где  количество избыточной влаги, выделяемой двумя рабочими, выполняющие лёгкую категорию работ в помещении с температурой 220С;

влагосодержание удаляемого воздуха при температуре 23,40С и относительной влажности в помещении 60%;

влагосодержание поступающего воздуха при температуре 200С и относительной влажности 68%;

влагосодержание поступающего воздуха при температуре - 16 0С и относительной влажности 83%.

Поперечное сечение воздуховода рассчитывается по формуле:

,(5.21)

Где  скорость движения воздуха в воздуховоде.

Воздуховод состоит из стальных труб и имеет в своем составе 3 перехода по 90 градусов, а также вход в трубу с закругленными краями. Воздуховод оснащен задвижкой.

Потери напора на создание скорости потока рассчитываются по формуле:

(5.22)

Потери напора на прямых участках труб, учитывая шероховатость материала воздуховодов, рассчитываются по формуле:

(5.23)

где = 0,002 - коэффициент потерь на трение по длине воздуховода;

l = 10 м - длина воздуховода.

Местные потери напора в фасонных частях воздуховода (переходы, колена, жалюзи) рассчитываются по формуле:

(5.24)

Где ξвх = 0,2 - коэффициент местного сопротивления для входа в трубу;

ξвых = 1 - коэффициент местного сопротивления для выхода из трубы;

ξп = 2,2 - коэффициент местного сопротивления для перехода в 900;

ξзадв = 0,5 - коэффициент местного сопротивления для задвижки.

Полное гидравлическое сопротивление сети (Па) рассчитывается по формуле:

(5.25)

Мощность электродвигателя вентилятора N (кВт) рассчитывается по формуле:

(5.26)

Где V - наибольший из расходов воздуха, м3/с;

η = 0,6 - КПД вентиляционной установки;

β = 1,1 - коэффициент запаса мощности.

.4 Расчет защитного заземления

Технические способы и средства обеспечения электробезопасности определены в СНиП 12-03-2001 [48]. Целью расчёта защитного заземления является определение количества электродов заземлителя и заземляющих проводников и их размеров, при которых сопротивление заземляющего устройства растеканию тока или напряжение прикосновения при замыкании фазы на заземлённые части электроустановок не превышают допустимых значений.

Исходные данные:

1)      напряжение электроустановок - U 1000 В;

)        суммарная мощность оборудования -

= Pкомп + Росв + Pвен = 140 + 800 + + 72 = 1,012 КВт:

где Pкомп - мощность компьютеров;

Росв - мощность люминесцентных ламп;

Pвен - мощность электродвигателя вентилятора;

)        удельное сопротивление грунта - r = 50 Ом×м;

)        длина вертикальных электродов - l = 2 м;

)        диаметр горизонтальных электродов - dг = 0,03 м;

6)      эквивалентный диаметр вертикальных электродов - dв = 0,95dг = 0,950,03 = = 0,0285 м;

)        расстояние от поверхности земли до заземлителей - t0 = 0 м;

)        климатическая зона - вторая;

)        расстояние между вертикальными электродами - с = 6 м;

)        земля - однородная;

)        расположение вертикальных электродов - в ряд.

Вычисляем нормируемое сопротивление заземления, исходя из суммарной мощности подключенного оборудования: rн = 10 Ом, так как значение мощности P = 1,012 кВт.

Находим коэффициенты сезонности для вертикальных и горизонтальных элементов для второй климатической зоны:  = 1,5;  = 3,5.

Вычисляем сопротивление растеканию тока одиночного вертикального заземлителя:

(5.27)

Вычисляем минимальное количество вертикальных электродов:

(5.28)

Вычисляем конечное количество вертикальных электродов:

,(5.29)

где hВ - коэффициент использования вертикальных электродов группового заземлителя, принимаем отношение расстояния между электродами к их длине равным 3.

Тогда при hВ = 0,89 количество вертикальных электродов будет равно:

(5.30)

Вычисляем длину горизонтальной полосы, соединяющей вертикальные электроды (для электродов, расположенных в ряд):

(5.31)

Схема расположения электродов представлена на рисунке 19.

Рисунок 15 - Схема расположения электродов

Вычисляем сопротивление растеканию тока горизонтального электрода:

(5.32)

Рассчитываем сопротивление заземляющего устройства:

,(5.33)

где hг - коэффициент использования горизонтальных электродов, соединяющих вертикальные электроды, принимаем отношение расстояния между электродами к их длине равным 3, число вертикальных электродов , тогда hг = 0,92, hВ = 0,89:

(5.34)

Сравнив полученную величину сопротивления заземляющего устройства с нормируемой величиной . Так как Ом, то условие выполняется и, следовательно, расчет произведен, верно.

.5 Расчет молниезащиты

Молниезащита включает комплекс мероприятий и устройств, предназначенных для обеспечения безопасности людей, предохранения зданий, сооружений, оборудования и материалов от взрывов, загораний и разрушений, возможных при воздействии молнии [49].

Для здания, в котором расположено помещение, определим параметры зоны защиты. Здание имеет следующие размеры: Lзд (длина) = 30 м; Bзд (ширина) = 15 м; hзд (высота) = 16 м.

Ожидаемое количество поражений молнией в год для здания прямоугольной формы определяется по формуле (5.27):

,(5.35)

(5.36)

где n = 5,5 - среднегодовое число ударов молнии в 1 км2 земной поверхности в районе расположения здания.

Рассчитанное значение позволяет нам отнести здание ко второй категории молниезащиты, тип зоны защиты - зона Б.

Здание оснащено тросовым молниеотдводом, который имеет следующие параметры:

высота опор hоп = 30 м;

длина пролета а = 50 м.

Рассчитаем параметры зоны защиты. Для одиночного тросового молниеотвода высота троса будет определяться по формуле:

(5.37)

Для зоны защиты Б имеют место следующие габариты:

(5.38)

(5.39)

(5.40)

Схема молниеотвода и границ зоны защиты представлена на рис. 16.

Исходя из произведенных расчетов зоны защиты и приведенной схемы молниеотвода, можно сделать вывод о том, что габариты здания не выходят за пределы требуемой зоны, следовательно, используемое устройство молниезащиты эффективно от прямых ударов молнии.

Рисунок 16 - Схема молниеотвода здания

5.6 Пожарная безопасность

Пожарная безопасность обеспечивается выполнением требований Технического регламента о требованиях пожарной безопасности [50, с. 77]. Эти требования определяются характеристиками веществ и материалов, используемых в производстве.Технические и организационные решения по обеспечению пожарной безопасности должны приниматься с учётом категорий помещений и зданий по взрывопожарной и пожарной опасности [51, с. 25]. Применяемое электрооборудование должно иметь исполнение, соответствующее классу помещения.

Помещение предназначено для размещения ЭВМ и вычислительной техники. Проведедем категорирование помещения согласно НПБ 105-03 «Определение категорий помещений, зданий и наружных установок по взрывопожарной и пожарной опасности».

Существует следующие категории пожарной опасности помещений: А, Б, В1 - В4, Г, Д [51, с. 19]. Отнесение помещения к одной из них производится по данным таблицы 14.

Таблица 14 - Принадлежность помещений к категориям пожарной опасности

Категория помещения

Характеристика веществ и материалов, находящихся в помещении

А

Горючие газы, легковоспламеняющиеся жидкости с температурой вспышки не более 28 0С в количестве способном образовывать взрывоопасные парогазовоздушные смеси, при воспламенении которых развивается расчетное избыточное давление > 5 кПа.

Б

Горючие пыли или волокна, легковоспламеняющиеся жидкости с температурой вспышки свыше 28 0С, горючие жидкости в таком количестве, что могут образовываться паровоздушные или пылевоздушные смеси, при воспламенении которых расчетное давление взрыва > 5 кПа.

В1 - В4

Горючие и трудногорючие жидкости, твердые горючие и трудногорючие вещества и материалы, способные гореть при взаимодействии с водой, кислородом воздуха или друг с другом только гореть, если помещение не относится к категориям А или Б.

Г

Негорючие вещества и материалы в горячем, раскаленном или расплавленном состоянии, процесс обработки которых сопровождается выделением лучистого тепла, искр и пламени; горючие газы, жидкости и твердые вещества, которые сжигаются в качестве топлива.

Д

Негорючие вещества и материалы в холодном состоянии.


Согласно таблице 14 помещение стоит отнести к категории В, поскольку в нем присутствуют горючие и трудногорючие вещества, но помещение не относится к категориям А или Б.

Классификацию взрывоопасных зон допустимо проводить по правилам устройства электроустановок (ПУЭ) [52, с. 5]. В соответствии с этой классификация помещение стоит отнести к классу П-IIа.

.7 Опасность поражения электрическим током

Электротравма - это поражение электрическим током, а также патологические изменения в тканях (внешних покровах, внутренних органах, нервной системе) и психике, которые вызываются в организме под влиянием электрического тока.

Наиболее опасным считается ток частотой в 50 Гц, силой начиная от 0,1 А и напряжением свыше 250 В.

Анализ электотравматизма показал, что наиболее частыми непосредственными причинами являлись следующие:

-       неудовлетворительное ограждение токоведущих частей, отсутствие надежных запирающих устройств шкафов, вводных ящиков и т.д.;

-       пользование электрифицированными устройствами без соблюдения необходимых мер безопасности - заземления, зануления и т.д.;

-       выполнение работ без защитных средств в условиях обязательного их применения;

-       выполнение работ под напряжением 65 В и выше без принятия необходимых мер безопасности;

-       работа машин вблизи проводов воздушных линий электропередачи при несоблюдении мер безопасности;

-       несоотвествие машин, аппаратов, кабелей, проводов и других элементов электроустановок условиям эксплуатации или их неисправность;

-       пользование неисправным, непроверенным электроинструментом и другими электифицированными устройствами;

-       применение переносного электроинструмента при напряжении 120 В и более в условиях повышенной опасности;

-       неправильное использование рабочих не по специальности, отсутствие должного контроля за обучением и инструктажем рабочих (известно, что коэффициент тяжести электотравматизма выше среднего в тех организациях и областях, где меньше рабочих охвачено обучением).

5.8 Правила работы за компьютером

Правила организации работы за компьютером регламентированы СанПиН 2.2.2/2.4.1340-03 [53].

Общие требования к организации рабочих мест пользователей ПЭВМ:

-       при размещении рабочих мест с ПЭВМ расстояние между рабочими столами с видеомониторами (в направлении тыла поверхности одного видеомонитора и экрана другого видеомонитора), должно быть не менее 2,0 м, а расстояние между боковыми поверхностями видеомониторов - не менее 1,2 м;

-       рабочие места с ПЭВМ в помещениях с источниками вредных производственных факторов должны размещаться в изолированных кабинах с организованным воздухообменом;

-       рабочие места с ПЭВМ при выполнении творческой работы, требующей значительного умственного напряжения или высокой концентрации внимания, рекомендуется изолировать друг от друга перегородками высотой 1,5-2,0 м;

-       экран видеомонитора должен находиться от глаз пользователя на расстоянии 600-700 мм, но не ближе 500 мм с учетом размеров алфавитно-цифровых знаков и символов;

-       конструкция рабочего стола должна обеспечивать оптимальное размещение на рабочей поверхности используемого оборудования с учетом его количества и конструктивных особенностей, характера выполняемой работы. При этом допускается использование рабочих столов различных конструкций, отвечающих современным требованиям эргономики. Поверхность рабочего стола должна иметь коэффициент отражения 0,5-0,7;

-       конструкция рабочего стула (кресла) должна обеспечивать поддержание рациональной рабочей позы при работе на ПЭВМ, позволять изменять позу с целью снижения статического напряжения мышц шейно-плечевой области и спины для предупреждения развития утомления. Тип рабочего стула (кресла) следует выбирать с учетом роста пользователя, характера и продолжительности работы с ПЭВМ;

-       рабочий стул (кресло) должен быть подъемно-поворотным, регулируемым по высоте и углам наклона сиденья и спинки, а также расстоянию спинки от переднего края сиденья, при этом регулировка каждого параметра должна быть независимой, легко осуществляемой и иметь надежную фиксацию;

-       поверхность сиденья, спинки и других элементов стула (кресла) должна быть полумягкой, с нескользящим, слабо электризующимся и воздухопроницаемым покрытием, обеспечивающим легкую очистку от загрязнений.

-       в производственных помещениях при выполнении основных или вспомогательных работ с использованием ПЭВМ уровни шума на рабочих местах не должны превышать предельно допустимых значений, установленных для данных видов работ в соответствии с действующими санитарно-эпидемиологическими нормативами;

-       в помещениях всех образовательных и культурно-развлекательных учреждений для детей и подростков, где расположены ПЭВМ, уровни шума не должны превышать допустимых значений, установленных для жилых и общественных зданий;

-       при выполнении работ с использованием ПЭВМ в производственных помещениях уровень вибрации не должен превышать допустимых значений вибрации для рабочих мест (категория 3, тип «в») в соответствии с действующими санитарно-эпидемиологическими нормативами;

-       в помещениях всех типов образовательных и культурно-развлекательных учреждений, в которых эксплуатируются ПЭВМ, уровень вибрации не должен превышать допустимых значений для жилых и общественных зданий в соответствии с действующими санитарно-эпидемиологическими нормативами;

-       шумящее оборудование (печатающие устройства, серверы и т.п.), уровни шума которого превышают нормативные, должно размещаться вне помещений с ПЭВМ.

Требования к освещению на рабочих местах, оборудованных ПЭВМ:

-       рабочие столы следует размещать таким образом, чтобы видеодисплейные терминалы были ориентированы боковой стороной к световым проемам, а естественный свет падал преимущественно слева;

-       искусственное освещение в помещениях для эксплуатации ПЭВМ должно осуществляться системой общего равномерного освещения. В производственных и административно-общественных помещениях, в случаях преимущественной работы с документами, следует применять системы комбинированного освещения (к общему освещению дополнительно устанавливаются светильники местного освещения, предназначенные для освещения зоны расположения документов);

-       освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300-500 лк. Освещение не должно создавать бликов на поверхности экрана. Освещенность поверхности экрана не должна быть более 300 лк;

-       следует ограничивать прямую блесткость от источников освещения, при этом яркость светящихся поверхностей (окна, светильники и др.), находящихся в поле зрения, должна быть не более 200 кд/м2;

-       следует ограничивать отраженную блесткость на рабочих поверхностях (экран, стол, клавиатура и др.) за счет правильного выбора типов светильников и расположения рабочих мест по отношению к источникам естественного и искусственного освещения, при этом яркость бликов на экране ПЭВМ не должна превышать 40 кд/м2 и яркость потолка не должна превышать 200 кд/м2;

-       показатель ослепленности для источников общего искусственного освещения в производственных помещениях должен быть не более 20. Показатель дискомфорта в административно-общественных помещениях не более 40, в дошкольных и учебных помещениях не более 15;

-       яркость светильников общего освещения в зоне углов излучения от 50 до 90° с вертикалью в продольной и поперечной плоскостях должна составлять не более 200 кд/м2, защитный угол светильников должен быть не менее 40°;

-       светильники местного освещения должны иметь непросвечивающий отражатель с защитным углом не менее 40°;

-       следует ограничивать неравномерность распределения яркости в поле зрения пользователя ПЭВМ, при этом соотношение яркости между рабочими поверхностями не должно превышать 3 : 1-5 : 1, а между рабочими поверхностями и поверхностями стен и оборудования 10 : 1;

-       в качестве источников света при искусственном освещении следует применять преимущественно люминесцентные лампы типа ЛБ и компактные люминесцентные лампы (КЛЛ). При устройстве отраженного освещения в производственных и административно-общественных помещениях допускается применение металлогалогенных ламп. В светильниках местного освещения допускается применение ламп накаливания, в т.ч. галогенных;

-       для освещения помещений с ПЭВМ следует применять светильники с зеркальными параболическими решетками, укомплектованными электронными пуско-регулирующими аппаратами (ЭПРА). Допускается использование многоламповых светильников с ЭПРА, состоящими из равного числа опережающих и отстающих ветвей;

-       применение светильников без рассеивателей и экранирующих решеток не допускается;

-       при отсутствии светильников с ЭПРА лампы многоламповых светильников или рядом расположенные светильники общего освещения следует включать на разные фазы трехфазной сети;

-       общее освещение при использовании люминесцентных светильников следует выполнять в виде сплошных или прерывистых линий светильников, расположенных сбоку от рабочих мест, параллельно линии зрения пользователя при рядном расположении видеодисплейных терминалов. При периметральном расположении компьютеров линии светильников должны располагаться локализовано над рабочим столом ближе к его переднему краю, обращенному к оператору;

-       коэффициент запаса для осветительных установок общего освещения должен приниматься равным 1,4;

-       коэффициент пульсации не должен превышать 5 %;

-       для обеспечения нормируемых значений освещенности в помещениях для использования ПЭВМ следует проводить чистку стекол оконных рам и светильников не реже двух раз в год и проводить своевременную замену перегоревших ламп.

Выводы по разделу 5

В результате проделанной работы, были проанализированы условия труда оператора; осуществлена проверка на выполнение требований, предъявляемых условиям зрительной работы, эргономическим характеристикам в соответствии с нормативными документами; сделаны выводы о соответствии всех рассматриваемых условий труда; перечислены проведенные мероприятия, по обеспечению этих требований. Осуществлен подробный расчет освещения, заземления, молниезащиты, теплового режима и требуемого воздухообмена, в результате которого были получены значения, соответствующие нормативным.

Заключение

В ходе выполнения дипломной работы были решены следующие задачи:

-       рассмотрены функциональные возможности и основные свойства систем обнаружения вторжений, определена их структура, указано назначение основных блоков их архитектуры, произведена их классификация по ряду классификационных признаков, а также рассмотрены основные методы обнаружения атак, реализованные в различных системах, что позволило сформировать теоретическую базу по технологиям обнаружения сетевых атак, применяемым в современных информационных системах;

-       произведено вербальное описание объекта защиты конфиденциальной информации (ТОГБУЗ «ГКБ №3 г. Тамбова»), определены его исходное состояние, рассмотрены уже использующиеся в вычислительной системе организации средства защиты от сетевых атак, а так же статистика атак на информационную систему учреждения, что позволило указать на недостаточный уровень обеспечения защиты конфиденциальной информации ТОГБУЗ «ГКБ №3 г. Тамбова»), обосновать необходимость модернизации используемого комплекса средств защиты от сетевых атак и поставить задачу построения подсистем анализа и реагирования системы обнаружения вторжений на основе сетевых динамические моделей, с входными данными в виде сигнатур и выходными данными в виде сигнала тревоги;

-       произведено вербальное описание атак, которое позволило выделить их сигнатуры, произведен сравнительный анализ представлений информации в слабоструктурированной информации, который позволил выявить в качестве наиболее предпочтительного семантические сети и реализовать их на практике для атак различного вида, выполнен переход от первичного формального описания в виде семантических сетей к вторичному формальному описанию в виде сетей Петри, который позволил осуществить всестороннее моделирование процесса обнаружения атакующих воздействий, исследованы свойств построенных сетевых моделей показало, что они являются детерминированными и последовательными и в процессе функционирования каждая сеть может находиться только в одном из множества состояний, для которого с определенной долей вероятности можно определить наличие или отсутствие угрозы;

-       описана подсистема хранения сигнатур атак, их описания и рекомендаций по парированию и создан прототип этой подсистемы, который будет использоваться в системе обнаружения вторжений;

-       рассчитано время реакции на атакующее воздействия без разработанной СОВ, которое зависит от должностной инструкции администратора по безопасности и составляет 84 часа, что не позволяет оперативно реагировать на атаку и тем более предотвратить ее;

-       произведено моделирование процесса обнаружения вторжения, для анализа времени реакции разработанной СОВ, на построенных сетевых динамических моделях, по результатам которого было установлено, что время реакции на атаку распределено по нормальному закону и для рассмотренных атак находится в диапазоне от 7 до 13 секунд;

-       показана и экономически обоснована целесообразность приобретения системы обнаружения вторжений для защиты информационной системы ТОГБУЗ «ГКБ №3 г. Тамбова» от сетевых атак, а также проанализированы условия труда, проведены расчеты естественного и искусственного освещения, общеобменной вентиляции, защитного заземления, молниезащиты и показано, что помещение, в котором осуществляет свою деятельность ТОГБУЗ «ГКБ №3 г. Тамбова» соответствует требованиям СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы» в области обеспечения безопасности труда и жизнедеятельности.

Таким образом, поставленную цель можно считать достигнутой, так как использование разработанной системы обнаружения вторжений позволит значительно снизить время реакции на атакующее воздействие.

Список используемых источников

1.      Учебная лекция: «Системы обнаружения атак»

.        Эксперты дискутируют о настоящем и будущем систем обнаружения атак.

.        Мельников В.П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Академия, 2006. - 320 с.

4.      Лукацкий А.В. Обнаружение атак / А.В. Лукацкий. - СПб: Питер, 2006. - 680 с.

5.      Куприянов А.И. Основы защиты информации / А.И. Куприянов, А.В. Сахаров, В.А. Щевцов. - М.: Академия, 2006. - 180 с.

.        Хорошко В.А. Методы и средства защиты информации / В.А. Хорошко, А.А. Чекатков. - Казань: Юниор, 2003. - 504 с.

.        Белов Е.Б. Основы информационной безопасности / Е.Б. Белов, В.П. Лось. - М.: Горячая линия - Телеком, 2006. - 544 с.

.        Касперски К. Техника сетевых атак / К. Касперски. - М.: Клио, 2007. - 300с.

.        Лукацкий А.В. Выявление уязвимостей компьютерных сетей

.        Кевин М. Защита от вторжений. Расследование компьютерных преступлений / М. Кевин, К. Просис. - СПб.: Лори, 2005. - 476 с.

11.    IDS/IPS - Системы обнаружения и предотвращения вторжений

12.    Предотвращение сетевых атак: технологии и решения

.        Системы и методы обнаружения вторжений: современное состояние и направления совершенствования

.        Расторгуев С.П. Основы информационной безопасности / С.П. Расторгуев. - М.: Академия, 2007. - 160 с.

.        Варианты реагирования

.        Системы обнаружения вторжений

.        Системы обнаружения вторжений

.        Классификация систем обнаружения вторжений

.        Милославская Н.Г. Интрасети: обнаружение вторжений / Н.Г. Милославская, А.И. Толстой. - М.: ЮНИТИ-ДАНА, 2001. - 587 с.

20.    Intrusion Detection Systems (IDS)

.        Системы обнаружения аномалий: новые идеи в защите информации

.        Системы и методы обнаружения вторжений: современное состояние и направления совершенствования

.        Обнаружение аномалий

.        Сигнатуры систем обнаружения вторжений, часть первая

.        Вирусы и черви

.        Описания детектируемых объектов. Securelist

.        Троянские программы. Securelist

.        Сетевые атаки. Securelist

.        Коул Э. Руководство по защите от хакеров / Э. Коул. - М.: Издательский дом «Вильямс», 2002. - 634 с.

.        Медведовский И.Д. Атака через INTERNET. Под научной редакцией проф. Зегжды П.Д. / И.Д. Медведовский, П.В. Семьянов, В.В. Платонов. - СПб.: «Мир и семья-95», 1997. - 296 c.

.        DoS-атаки. Фильтрация на входе сети: Отражение атак DoS, которые используют подмену IP-адреса отправителя

.        Сетевые атаки и кое-что еще

.        Удар издалека

.        Представление и использование знаний: пер. с япон. / Х. Уэно [и др.]. - М.: Мир, 1989. - 220 с.

.        Липатова С.В. Сборник задач по курсу «Интеллектуальные информационные системы»: учебное пособие / С.В. Липатова. - Ульяновск: УлГУ, 2010. - 64 с.

.        Котов В.Е. Сети Петри. / В.Е. Котов - М.: Наука, 1984. - 160 с.

.        Питерсон Дж. Теория сетей Петри и моделирование систем. / Дж. Питерсон. - М.: Мир, 1984. - 264 с.

.        Уязвимости. SecurityLab

.        Аналитика. Securelist

40.    Common Attack Pattern Enumeration and Classification

41.    Вирусная статистика. Eset

.        Гмурман В.Е. Руководство к решению задач по теории вероятностей и математической статистике: учеб. пособие для студентов втузов. - 3-е изд., перераб. и доп. / В.Е. Гмурман - М.: Высш. школа, 1979. - 400 с.

.        Слагода В.Г. Экономическая теория: Макроэкономика / В.Г. Слагода. - М.: ГИНФО, 2001. - 168 с.

.        Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ (ред. от 19.05.2013). - Введ. от 30.12.2001. - М.: Кнорус, 2013. - 448 с.

.        Судебная практика о распространении персональных данных

.        СНиП 23-05-95. Естественное и искусственное освещение. - Введ. 01.01.1995. - М.: Гос. предпр.-Центр проектной продукции массового применения, 2008. - 53 с.

.        СНиП 41-01-2003. Отопление, вентиляция и кондиционирование. - Введ.01.01.2004. - М.: Изд-во стандартов, 2004. - 54 с.

.        СНиП 12-03-2001 «Строительные нормы и правила Российской Федерации. - Введ. 2001-09-01. - М.: ГУП ЦПП Госстрой России, 2001. - 70 с.

.        Современные решения задач безопасности в квалификационных инженерных работах / В.М. Дмитриев [и др.]. - Тамбов: Издательство ТГТУ, 2010. - 75 с.

.        Технический регламент о требованиях пожарной безопасности: [федер. закон: принят Гос. Думой 4 июля 2008г: по состоянию на 10 июля 2012 г.]. - М.: «РГ» Федеральный выпуск №4720. - 103 с.

.        СП 12.13130 - 2009. Определение категорий помещений, зданий и наружных установок по взрывопожарной и пожарной опасности. - М.: ФГУ ВНИИПО МЧС России, 2009. - 34 с.

.        Правила устройства электроустановок. Изд. 7. - М.: Издательство НЦ ЭНАС, 2002. - 9 с.

.        СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы. - Введ. 30.06.2003. - М.: Рид Групп, 2012. - 32 с.

.        СТП ТГТУ 07-97 «Стандарт предприятия. Проекты (работы) дипломные и курсовые. Правила оформления». - Введ. 1997-12-08. - Тамбов: ИПЦ ТГТУ, 2005. - 43 с.

Похожие работы на - Моделирование системы обнаружения инцидентов информационной безопасности на основе сетей Петри

 

Не нашел материал для своей работы?
Поможем написать качественную работу
Без плагиата!