Анализ трафика для повышения надежности компьютерной сети

На рисунке 21 приведен журнал аудита состояния безопасности операционной системы.Рисунок - Журнал аудита состояния безопасности операционной системыСтатус событий в журнале отмечается как "Успех", "Отказ", "Предупреждение", "Ошибка" и др., указываются коды ошибок, их расшифровка. Возможно формирование сводной отчетности по событиям, связанным с безопасностью операционной системы.Все процессы, запускаемые из системной области, могут контролироваться системой защиты SecretNet, нераспознанные процессы отсутствуют.Для моделирования системы при задании эталонного состояния необходимо использовать соответствующий режим, настраиваемый в ПО SecretNet. Рисунок - Генерация задачи средствами ПО SecretNetВ таблице 13 приведен пример расчета параметров надежности системы защиты информации на предмет соответствия стандартам.Информация, приведенная в таблице, получена путем анализа протоколов, сформированных в системе SecretNet.Таблица - Пример расчета параметров защищенности системы защиты информации на предмет соответствия стандартам№ воп.Источник (п. 2.1)Вопросы к критерию М1Обязательность (да/нет)Коэф. значимостиСоответствие критерию (1-да, 0-нет)М1.118028-4-2006Хранение виртуальных образов рабочих станций на защищенных серверах да0.251М1.218028-4-2006Отсутствие у пользователей виртуальных рабочих мест административных прав да0.250М1.318028-4-2006Установка программного обеспечения на виртуальные рабочие места централизованно с уровня администраторада0.21М1.418028-4-2006Мониторинг состояния сетевого оборудованиянет0.150М1.518028-4-2006 Использование бездисковых рабочих станций на рабочих местах конечных пользователейнет0.150М2.113335-5-2001Использование систем шифрования трафикада0.251М2.213335-5-2001Использование спам-фильтров и защиты почтовых ящиковда0.151М2.313335-5-2001Использование прокси-серверов для регламентирования доступа к сети Интернетда0.251М2.413335-5-2001Использование средств мониторинга сетевой активностинет0.151М2.513335-5-2001Разделение трафика на 2 потока с разделением степени защищенностинет0.21М3.113335-5-2001Назначение приказом уровня доступа специалиста к ресурсам сетида0.251М3.213335-5-2001Ведение матриц разграничения доступада0.21М3.313335-5-2001Использование ЭП при отправке заявок на предоставление доступада0.151М3.413335-5-2001Соответствие требований к конфиденциальности, периодичности смены и сложности паролейДа0.151М3.513335-5-2001Блокировка учетной записи пользователя в период его отсутствиянет0.250М4.113335-5-2001Определение перечня защищаемых помещенийда0.21М4.213335-5-2001Определение списка специалистов, допущенных в защищаемые помещенияда0.21М4.313335-5-2001Использование touch-ключей или электронных замков в защищаемых помещенияхда0.21М4.413335-5-2001Наличие системы охранной и пожарной сигнализацииДа0.151М4.513335-5-2001Наличие систем видеонаблюденияДа0.151М5.113335-5-2001Определение приказом ответственных за резервное копирование и хранение резервных копийда0.31М5.213335-5-2001Хранение резервных копий отдельно от объектов копирования да0.150М5.313335-5-2001Наличие утвержденного регламента резервного копирования (объектов копирования, периодичности)да0.151М5.413335-5-2001Мониторинг пропускной способности кабельной системыДа0.150М5.513335-5-2001Мониторинг состояния электропитанияДа0.251Результат расчета рейтинга защищенности, полученный на основании использования метода весовых коэффициентов, приведен в таблице 14.Таблица - Результат расчета рейтинга защищенности, полученный на основании использования метода весовых коэффициентовРейтинг:0.76М10.45М21М30.75М40.9М50.7Протоколы, сформированные в системе SecretNet, также могут использоваться для оценки системы методом экспертных оценок.В рамках комплексного подхода по обеспечению безопасности информации в ИС можно выделить следующие показатели качества используемого ПО: анализ сетевого трафика (с1), протоколирование (с2), управление системами (с3), анализ уязвимостей (с4), анализ криптосредств (с5). Анализ сетевого трафика осуществляют разнообразные снифферы, которые позволяют просматривать всевозможные передаваемые пакеты по каналам связи. Протоколирование включает в себя регистрацию внешних событий и запись сведений о происходящих в системе событиях. Управление системами подразумевает централизованное управление IT-активами компании. Назначим веса каждому из показателей, воспользовавшись методом экспертного оценивания.Абсолютные значения весов Aiбудем измерять по 100-балльной шкале так, что наиболее важному показателю качества назначается максимально возможный вес, т.е. 100. Относительное значение веса ai веса определяется по формуле: ai=Ai/i, где N–число участвовавших в опросе экспертов.Итак, было опрошено N=5 экспертов, которые дали следующие показания (табл. 15):Таблица - Абсолютные значения весов№ экспертаоценки в баллах (0 – 100)с1с2с3с4с515060907010025050100401003406070708047070807080510020708060Нормируя значения, представленные в табл. 6, получим табл. 17 (āi – среднее значение веса показателяci):Таблица - Относительные значения весов№ экспертанормированные оценки весовс1с2с3с4с510.1350.1620.2430.1890.27120.1470.1470.2940.1180.29430.1250.1880.2180.2180.25140.1890.1890.4320.1890.43250.3030.0610.2120.2920.182āi0.180.1490.280.2010.286В табл. 7 приведены отклонения каждого веса аi от его среднего значения āi (ai=ai-āi):Таблица - Отклонения весов от среднего значения№ экспертаа1а2а3а4а5аi1-0.0450.013-0.037-0.012-0.0150.1222-0.033-0.0020.014-0.0830.0080.143-0.0550.039-0.0620.017-0.0350.20840.0090.040.152-0.0120.1460.35950.123-0.088-0.0680.091-0.1040.474vi0.4060.3530.3250.3120.321В нижней строке этой таблицы приведены значения вариаций vi = /āi, где d=(ai)2/(N-1) –оценка дисперсии (при неизвестном математическом ожидании.В табл. 8 представлены значения ранговRi (1,2,3,4,5) для весов, назначенных экспертами (если один эксперт назначил одинаковый вес нескольким показателям, то в качестве ранга принимается их среднее арифметическое):Таблица - Ранги решений экспертов№ экспертаc1c2c3c4c515423123.53.51.551.53542.52.514441.541.5515324сумма рангов, Si18.520.510.516.59Находим среднее суммарное значение рангов: Si/5=15. ВычисляемотклоненияSi (i=1,…,5): S1=3.5, S2=5.5, S3= -4.5, S4=1.5, S5= -6 и(Si)2=101.Оценим степень согласованности мнений экспертов, вычислив коэффициент конкордации (согласия) Wи соответствующий уровень значимости (m=5 – количество показателей качества):W=12(Si)2/[N2(m3-m)-NTj]; определяется по таблице 2-распределения с N-1 степенями свободы, где 2=12(Si)2/[Nm(m+1)-(1/(m-1))Tj];Tj=((tjl)3-tjl), где Lj–число групп решений с совпавшими рангами в совокупности решений j-го эксперта, l – номер группы (с совпавшими рангами), tjl–число совпавших решений j-го эксперта в группе номера l.Чем выше параметр W и чем ниже , тем надежнее оценка. Обычно согласованность полагают удовлетворительной, если W0.5 и 0.01, и хорошей, если W0.7 и 0.001.Результаты вычислений: T1=0, T2=12, T3=6, T4=30, T5=0, W=12*101/[52(53-5)-5(0+12+6+30+0)]=0.439, 2=12*101/[5*5*6-(1/4)*48]=8.783. Следовательно, 0.075.Можно сделать следующие выводы:средние значения весов ā1, ā2, ā3, ā4, ā5, указанные в табл. 2.2, равны соответственно 0.18; 0.149; 0.28; 0.201; 0.286;коэффициенты вариаций vi>0.3 (i=1,…,5), поэтому результаты оценок считаются неудовлетворительными (обычно результаты оценки считают хорошими, если vi0.2);W=0.439, =0.075, т.е. с вероятностью 1->0.925 согласованность мнений экспертов, характеризуемая коэффициентом W, неслучайна.Попытаемся улучшить полученные результаты, исключив из рассмотрения того эксперта, для которого ai максимальна. Из табл. 16 видно, что это эксперт под номером 5. Кроме того, из табл. 16 следует, что этот эксперт дал заметно отличающиеся от других экспертов показания, поэтому возможность исключения мнения данного эксперта является целесообразной.Результаты новых расчетов приведены в табл. 19 – 21.Таблица - Новые относительные значения весов№ экспертанормированные оценки весовс1с2с3с4с510.1350.1620.2430.1890.27120.1470.1470.2940.1180.29430.1250.1880.2180.2180.25140.1890.1890.4320.1890.432āi0.150.170.240.180.26Таблица - Новые отклонения весов от среднего значения№ экспертаа1а2а3а4а5аi1-0.015-0.0080.0030.0090.0110.0462-0.003-0.0230.054-0.0620.0340.1763-0.0250.018-0.0220.038-0.0090.11240.0390.0190.1920.0090.1720.431vi0.1880.1210.4830.2370.391Таблица - Исправленная таблица рангов решений экспертов№ экспертаc1c2c3c4c515423123.53.51.551.53542.52.514441.541.5сумма рангов, Si17.515.57.514.55W=12*118/[42(53-5)-4*48]=0.819, 2=12*118/[4*5*6-(1/4)*48]=13.1⇒=0.01.Полученные результаты указывают на повышение степени надежности оценки до удовлетворительной. Поэтому в качестве искомых весовых коэффициентов примем соответствующие āi (i=1,…,5) из табл. 2.4.Далее был проведен отбор следующих средств автоматизации аудита системы ИБ:Kaspersky, КУБ,SearchInform. Результаты экспертных оценок приведены в таблице 22 (Здесь используется 10-балльная шкала назначения числовых значений самих показателей.)Таблица - Результаты экспертного оценивания№,п/ппараметрвесKasperskyКУБSearchInform1анализ сетевого трафика0.15101092протоколирование0.1778103управление системами0.2461084анализ уязвимостей0.188685анализ криптосредств0.268108Интегральные количественные показатели: KKaspersky=0.15*10+0.17*7+0.24*6+0.18*8+0.26*8=7.65;KКУБ=0.15*10+0.17*8+0.24*10+0.18*6+0.26*10=8.94;KSearchInform=0.15*9+0.17*10+0.24*8+0.18*8+0.26*8=8.49.Таким образом, показано, что оптимальным программным продуктом для комплексного обеспечения ИБ в ИС является КУБ.Таким образом, использование протоколов, сформированных в системе SecretNet, позволяет провести выбор оптимального программного решения для совершенствования защиты информации от наиболее опасных уязвимостей, характерных для изучаемой системы.Совершенствование антивирусной защиты организации предполагается в направлениях:- внедрение нескольких решений от различных производителей;- настройка корпоративной версии АВЗ, позволяющей централизованно управлять системой антивирусной защиты на предприятии, получать отчеты и в режиме реального времени отслеживать активность пользователей;- упорядочить использование ресурсов Интернета (использовать прокси - серверы), ограничивать перечень сетевых ресурсов, которые доступны пользователям;- ограничить права пользователей на удаление, отключение защиты.В качестве программных продуктов антивирусной защиты предлагаются: KasperskyEndPointSecurity. В качестве дополнительного решения - облачные сервисы от DrWeb.ЗАКЛЮЧЕНИЕВ рамках данной работы проведен анализ факторов обеспечения надёжности локальной вычислительной сети на примере филиала Сбербанка.В теоретической части работы проведен обзор общих требований к обеспечению защиты информации, определены основные факторы, влияющие на надежность функционирование сети, проведена постановка задач, связанных с обеспечением надежности работы сетевых ресурсов, проведен анализ прикладных задач, использующих ресурсы локальной сети, оценены объёмы передаваемого трафика.Показано, что безопасность функционирования информационной системы компании является необходимым условием их нормального функционирования.Далее был проведён анализ основных аспектов обеспечения надежности сетевых ресурсов. В рамках разрабатываемой политики по обеспечению надёжности локальной вычислительной сети было предложено:- использование системы мониторинга состояния систем электропитания, сетевого оборудования и сетевого ПО;- использование сетевых сканеров уязвимостей;- использование системыSecretNetдля мониторинга состояния локальной вычислительной сети;- проведение централизованной настройки защиты от вредоносного ПО.СПИСОК ИСПОЛЬЗОВАННЫХИСТОЧНИКОВ1. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 25.11.2017) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.01.2018)2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) "О персональных данных"БоттЭд,ЗихертКарл. Обеспечение сетевой безопасности в ОС WindowsServer2008. – М.: Эком,2010.-944c.БройдоВ.Л.,ИльинаО.П.Вычислительныесистемы,сетиителекоммуникации. – М.: Радио и связь, 2011.-560c.Ги,К.Введениевлокальныевычислительныесети;М.:Радиоисвязь-Москва,2011.-176c.Гольдштейн Б. С. Протоколы сетевого доступа. Том 2; СПб.: БХВ-Петербург,2009.-288c.Горнец, Н.Н. ЭВМ и периферийные устройства. Компьютеры и вычислительные системы. М.: ДМКПресс,2015.-184c.ЕпанешниковА.М.,ЕпанешниковВ.А. Проектирование локальных вычислительных сетей; М.: Диалог-МИФИ,2013.-224c.КарповаИ.П. Сетевые базыданных.-СПб.:Питер,2013.-240c.КолбинР.В. Организация глобальных илокальных сетей. М.: Бином.Лабораториязнаний,2011.-815c.Котов Г.В. Расчет затрат на проектирование ЛВС. М.: Наука,2011.-224c.Кульгин М.В. Коммутация и маршрутизация IP - трафика.— М.: Компьютер-пресс, 2015. - 99с.Ларионов А.М.;МайоровС.А.;Новиков,Г.И. Архитектура вычислительных комплексов, систем и сетей. М.:Энергоатомиздат,2014.-288c.Малыхина,М.П. Проектирование и использование базданных.–СПб:БХВПетербург.2009.МедиаконвертерыAlliedTelesisAT-MC102XL.[Электронный ресурс]. Режим доступа: http://аllied.ru/cena/allied-telesis-mc101xl?МелехинВ.Ф.,ПавловскийЕ.Г.Вычислительныемашины,системыисети. М.: Академия,2013.-560c.ОлиферВ.Г.;ОлиферН.А.Компьютерныесети: принципы, технологии, протоколы. СПб:Питер,201.- 992 c.Поляк-БрагинскийА. Модернизация и обслуживание локальных сетей. СПб.: БХВ-Петербург,2012.-832c. Прайс-лист на монтаж локальных сетей. [Электронный ресурс]. Режим доступа: http://www.lansks.ru/montazh_setej_prajs.htmFriendlyPinger [электронный ресурс], доступ: свободный, URL: http://www.kilievich.com/rus/fpinger/preview.htm(Дата обращения 15.05.19)NetView [электронный ресурс], доступ: свободный, URL:http://www.killprog.com/netviewr.html, (Дата обращения 15.05.19)DeerfieldVisNeticFirewall [электронный ресурс], доступ: свободный, URL: http://ru.softoware.org/firewall-software/download-visnetic-firewall-for-windows.html (Датаобращения 15.05.19)