-
Diese
Erfindung betrifft das Gebiet der Netze, insbesondere betrifft diese
Erfindung das Gebiet der Ermittlung des Sicherheitszustandes von
Netzen.
-
Informationssysteme
und Computernetz-Infrastrukturen, die momentan entwickelt werden,
werden nun unter Berücksichtigung
der Faktoren aufgebaut, die ein akzeptables Risiko (oder einen geeigneten Schutz)
darstellen. Systemeinrichtungen, beispielsweise die Hardware, Software
und Systemknoten eines Computernetzes müssen in einem Maße geschützt werden,
die mit ihrem Wert im Verhältnis
steht. Ferner müssen
diese Einrichtungen nur so lange geschützt werden, bis die Einrichtungen
ihren Wert verlieren. Jegliche Sicherheitsfunktionen und die Systemarchitektur
sollten ausreichend Schutz für
die Lebensdauer der verarbeitenden Daten vorsehen. Um zu ermitteln,
ob ein gewisses oder kein mit dem Netz verknüpften Risiko akzeptabel ist,
sammelt ein Sicherheitsingenieur typischerweise alle damit zusammenhängenden
Informationen und analysiert daraufhin das mit dem Netz verknüpfte Risiko.
-
Die
Risikoanalyse ist ein komplexer und zeitaufwendiger Prozeß, der notwendig
ist, um die Schwachstellen innerhalb eines Netzes und deren potentieller
Schaden zu erfassen. Wenn beispielsweise die Sicherheitsrisiken
in einem Computernetz analysiert werden, führt der Sicherheitsingenieur
typischerweise die folgenden Schritte durch:
- 1)
Identifizieren der Einrichtungen des gesamten Computersystems.
- 2) Identifizieren von Verwundbarkeiten der Einrichtungen. Dieser
Schritt erfordert typischerweise Vorstellungskraft, um vorherzusagen,
welche Schäden
an den Einrichtungen ausgehend von welchen Quellen auftreten könnten. Die
drei grundlegenden Ziele der Computersicherheit sind das Gewährleisten
von Geheimhaltung, Integrität
und Verfügbarkeit.
Eine Verwundbarkeit ist eine Situation, die einen Verlust in einer
dieser Kategorien verursachen würde.
- 3) Vorhersagen der Auftrittswahrscheinlichkeit (Ausnutzung),
d.h., Ermitteln, wie oft jede Schwachstelle ausgenutzt werden wird.
Die Auftrittswahrscheinlichkeit steht im Verhältnis zu der Stringenz der
bestehenden Kontrollen und der Wahrscheinlichkeit, daß jemand
oder etwas die bestehenden Kontrollen umgeht.
- 4) Berechnen der ungedeckten Kosten pro Jahr (erwarteter jährlicher
Verlust) durch Ermitteln der zu erwartenden Kosten bei jedem Vorfall.
- 5) Überwachen
anwendbarer Kontrollen und deren Kosten.
- 6) Vorhersagen jährlicher
Ersparnisse durch die Kontrolle.
-
Dieser
letzte Schritt der Analyse ist eine Kosten-Nutzenrechnung und betrifft
daher die Frage, ob es kostengünstiger
wäre, eine
Kontrolle zu implementieren, oder die zu erwartenden Kosten des
Verlustes hinzunehmen. Die Risikoanalyse führt zu einem Sicherheitsplan,
der die Verpflichtungen zu bestimmten Aktionen zum Verbessern der
Sicherheit identifiziert.
-
Heutzutage
verlangt die schnelle Entwicklung der Technologie und Verbreitung
von Computern mit erhöhter
Leistung die Verwendung von serienmäßig produzierten (off-the-shelf)
Hardware- und Softwarekomponenten für kosteneffiziente Lösungen.
Diese starke Abhängigkeit
von serienmäßig produzierten
Komponenten setzt voraus, daß Sicherheitsmechanismen
auf kommerzieller Ebene für
die meisten Anwendungen ausreichen. Dafür müssen Sicherheitsarchitekturen
derart strukturiert sein, daß sie
betriebsbereite einsatzabhängige Computersysteme
mit relativ schwachen serienmäßig produzierten
Komponenten ausbilden. Komponenten mit höherer Sicherheit können an
Netzgemeinschaftsgrenzen oder Informationsgrenzen angeordnet werden, wodurch
eine enklavenbasierte Sicherheitsarchitektur ausgebildet wird, die
für die
Informationssicherheit einen tiefgreifenden Abwehransatz (defense-in-depth
approach) implementiert.
-
Es
gibt einige Designwerkzeuge, d.h., Softwareprogramme, die dem Systemarchitekten
zur Verfügung stehen,
um beim Maximieren der bereitstehenden Schutzmechanismen zu assistieren,
und gleichzeitig innerhalb des Entwicklungsbudgets zu bleiben. Risikoanalysewerkzeuge
der neuesten Generation sind üblicherweise
Lösungen
von einzelnen Anbietern, welche (einen) bestimmte(n) Risikoaspekt
oder Risikoaspekte behandeln. Diese Werkzeuge (tools) neigen dazu,
in eine der drei folgenden Kategorien zu fallen:
- 1)
Werkzeuge, die ausgehend von einer dokumentierten Verwundbarkeitsdatenbank
arbeiten und möglicherweise
bekannte Verwundbarkeiten reparieren. Werkzeuge diesen Typs sind
hinsichtlich der Datenbankaktualisierungen anbieterabhängig, entweder über neue
Produktversion oder über
einen Abonnentendienst. Beispiele für diese Ka tegorie umfassen
den Internetscanner von ISS, CyberCop von Network Associates, Inc.
und STAT von Harns.
- 2) Einheitlich aufgebaute Werkzeuge, die zahlreiche Parameter
verwenden, um eine Risikoangabe zu berechnen. Diese Werkzeuge sind
schwierig zu handhaben, um hinsichtlich des sich schnell entwickelnden Bedrohungs-
und Technologieumfelds aktuell zu bleiben. Ein Beispiel für diese
Werkzeugkategorie ist das Los Alamos-Vulnerability Assessment (LAVA)-Tool.
- 3) Werkzeuge, die bestimmte Aspekte des Systems untersuchen,
beispielsweise das Betriebssystem oder das Datenbankmanagementsystem,
die jedoch andere Systemkomponenten ignorieren. Das Werkzeug SATAN
analysiert beispielsweise Betriebssystemverwundbarkeiten, ignoriert
allerdings Infrastrukturkomponenten, beispielsweise Router.
-
Die
Verwendung von mehreren Werkzeugen von einer Vielzahl von Anbietern
für eine
einzelne Computernetzanalyse ist eine arbeitsintensive Aufgabe.
Typischerweise muß ein
Sicherheitsingenieur eine Darstellung oder Beschreibung des Systems
(Netzes) mehrfach in verschiedenen Formaten durchführen. Der
Sicherheitsingenieur muß daraufhin
manuell die sich von diesen mehreren Werkzeugen ergebenden Ausgaben
analysieren, konsolidieren und zu einem einzelnen Bericht über den
Sicherheitszustand des Netzes (network's security posture) zusammenfügen. Danach
kann der Sicherheitsingenieur die Risikoanalyse (Berechnen des zu erwartenden
jährlichen
Verlusts, Überwachen
der Kontrollen, usw.) fertigstellen, und dann den Prozeß wiederholen,
um Alternativen hinsichtlich der Sicherheitsrisiken, Systemleistungsfähigkeit,
Einsatzfunktionalität
und Entwicklungsbudget analysieren.
-
Ferner
verwendet keines dieser Werkzeuge einen "Schnappschuß"-Ansatz hinsichtlich des Systems mittels "Herunterbrechen" oder einen in Schichten
vorgesehenen Ansatz, um das Betrachten der Risiken in den zahlreichen
Schichten des Systems (Netz, Plattform, Datenbank usw.) zu vereinfachen.
Diese Werkzeuge sehen nur eine geringe Unterstützung für Systemdesigner vor, wenn
diese Alternativen hinsichtlich der Sicherheitsrisiken, Systemleistungsfähigkeit
und Anwendungsfunktionalität
analysieren. Stattdessen wird eine "Risikolösung" vorgesehen, die verschiedene Risikoaspekte
anspricht, für
deren Berechnung ein vorgegebenes Werkzeug vorgesehen wurde. Um
eine verständliche
Risikoermittlung zu entwickeln, müßte ein Sicherheitsingenieur
in der Benutzung zahlreicher Werkzeuge erfahren sein und die resultierenden
Ausgaben manuell korrelieren.
-
Ein
Aspekt einer erfolgreichen Risikoanalyse ist eine vollständige und
korrekte Akkumulation von Daten, um Systemmodelle zu erzeugen, die
von dem Analysewerkzeug verwendet werden. Viele aktuelle Risikoanalysewerkzeuge
hängen
von Abfragen ab, die von den Benutzern, dem Personal zur Systembetreibung
und Analysten beantwortet werden, um die Daten zur Entwicklung eines
Systemmodells zu erfassen, die in der Analyse verwendet werden.
Alternativ kann ein Werkzeug ein Computernetz aktiv durchsuchen
bzw. scannen, um verschiedene Verwundbarkeiten der Systemkomponenten
zu überprüfen.
-
Ein
Konzept eines Netzverwundbarkeits-Werkzeugs ist beschrieben in "The Network Vulnerability
Tool (NVT) – A
System Vulnerability Visualization Architecture", von Hennig R.R. et al., National Information
Systems Security Conference, Band 1, 18. Oktober 1999, Seiten 97
bis 111, XP 001031568.
-
Jedoch
haben diese Verfahren Nachteile. Textbasierte oder abfragebasierte
Wissenserfassungstechniken sind arbeitsintensiv und für Analysten
potentiell uninteressant. Viele der bestehenden Werkzeuge verwenden
wiederholt die gleiche Information, um verschiedene Aspekte der
Systemsicherheit zu analysieren. Es wäre vorteilhaft, einen zentralisierten
Speicher mit Modelldaten zu verwenden, der eine Basis für gemeinsame Eingaben
für bestehende
Werkzeuge vorsehen würde.
Dieser Speicher könnte
verwendet werden, um Datensätze
zu erzeugen, die von Risikoanalysewerkzeugen verwendet werden, wodurch
mehrere Werkzeuge hinsichtlich des gleichen Systems ohne getrennte
Eingabeaktivitäten
angewendet werden können,
wodurch sich die Möglichkeit
eines Bedienerfehlers reduziert. Die Verwendung von mehreren Risikoanalyse-Zusammenführungsengines
(risk analysis reasoning engines), oder "Backbends" würde
es ermöglichen,
daß verschiedene Aspekte
des Systems analysiert werden, ohne den Aufwand, der durch das Entwickeln
eines neuen Werkzeugs entsteht, um alle Analysetypen auszuführen. Integration
der Information und der sich ergebenden Informationsermittlungen,
die durch das Verwenden mehrerer Werkzeuge zur Verfügung stehen,
würde ein
robusteres und genaueres Bild eines Sicherheitszustands eines Netzes
bieten. Diese Ergebnisse können
mit mehr Information ausgestattete Systemdesignentscheidungen vereinfachen,
wodurch ein Rahmen für
alternative Aussetzungen und Vergleiche vorgesehen wird.
-
Die
Druckschrift WO 9956195 offenbart ein System, das automatisch Verbesserungen
mit aktualisierter Information hinsichtlich Sicherheitsverwundbarkeitsstellen
vorsieht. Diese Verbesserungen können
dann in eine Computersicherheitssoftware integriert werden, und
es kann eine Computerüberprüfung ausgeführt werden,
um die Integrität
und Authentizität
der Verbesserung zu ermitteln.
-
Die
Druckschrift
US 5 684 957 offenbart
ein Netzmanagementsystem einschließlich einer Datenbank mit Sicherheitsverwundbarkeitsstellen,
das ein Sicherheitsloch in einem Netz ermitteln kann und die notwendigen
Maßnahmen
gegen dieses Sicherheitsloch unternehmen kann. Ferner wird das Sicherheitsloch
in einer Darstellung der Netzkonfiguration angezeigt, wenn es erfaßt wird.
-
Die
Druckschrift
US 5 812 763 offenbart
ein Sicherheitssystem, das eine Vielzahl von Inspektoren umfaßt, welche
jeweils einen Sicherheitsüberprüfungsprozeß in Verbindung
mit einer bestimmten Klasse möglicher
Sicherheitsverletzungsbedingungen durchführt. Wenn während einem Sicherheitsüberprüfungsschritt
ein Inspektor ermittelt, daß eine
Sicherheitsverletzungsbedingung besteht, zeichnet dieser diesen
Zustand in einem gemeinsamen Arbeitsspeicher zur weiteren Benachrichtigung
oder Analyse auf.
-
Es
ist daher ein Ziel der vorliegenden Erfindung, ein Datenverarbeitungssystem
und ein Verfahren zum Ermitteln des Sicherheitszustandes eines Netzes
vorzusehen, ohne das Netz mehrfach zu analysieren.
-
Die
vorliegende Erfindung umfaßt
ein Verfahren zum Ermitteln des Sicherheitszustands eines Netzes, mit
den Schritten: Erzeugen einer Systemobjektmodell-Datenbank, die
das zu analysierende Netz wiedergibt; Analysieren des Netzes mit
verschiedenartigen Netzverwundbarkeits-Analyseprogrammen, um für jedes
Programm Datenergebnisse zu erzeugen; Speichern der Datenergebnisse
der Netzverwundbarkeits-Analyseprogramme und der Systemobjekt-Modelldatenbank in
einer Fakten-Datenbank; Anwenden von Fuzzylogik-Verarbeitungen auf
die Fakten-Datenbank, um eine zusammenhängende Verwundbarkeitsbewertung
zu bilden, wobei die Systemobjektmodell-Datenbank das Netz in einer
Objekt-/Klassenhierarchie wiedergibt, so daß die Systemobjektmodell-Datenbank
die Informationsdatenerfordernisse der verschiedenartigen Netzverwundbarkeits-Analyseprogramme
erfüllt;
und Exportieren nur der benötigten
Daten aus der Systemobjektmodell-Datenbank in jedes der jeweiligen
Netzver wundbarkeits-Analyseprogramme, gekennzeichnet durch: Korrelieren
der Systemobjekt-Modelldatenbanken
mit den Datenergebnissen, die sich aus den verschiedenartigen Netzverwundbarkeits-Analyseprogrammen
ergeben, indem zielorientierte Fuzzylogik-Entscheidungsregeln verwendet werden,
die mittels Fuzzylogik-Inferenznetz-Regeln und Fuzzylogik-Evidential-Reasoning-Regeln
arbeiten; und Bilden eines Inferenznetzes als Hierarchie heuristischer
Regeln, das ausgehend von a-priori-Wahrscheinlichkeiten mittels
Expertenwissen Wahrscheinlichkeiten fortbilden kann, so daß diskrete
Wahrscheinlichkeiten einer unteren Ebene in auf die Netzverwundbarkeit
bezogenen Schlußfolgerungen
einer hohen Ebene berücksichtigt
werden.
-
Gemäß eines
weiteren Aspekts der vorliegenden Erfindung umfaßt ein Datenverarbeitungssystem zum
Ermitteln des Sicherheitszustands eines Netzes: eine Vielzahl verschiedenartiger
Netzverwundbarkeits-Analyseprogramme, die zum Analysieren eines
Netzes verwendet werden; eine Systemobjektmodell-Datenbank, die
das zu analysierende Netz wiedergibt; eine Anwendungs-Programmierungsschnittstelle
zum Importieren der Systemobjektmodell-Datenbank des Netzes in die Netzverwundbarkeits-Analyseprogramme; eine
Fakten-Datenbank
zum Speichern der Ergebnisse, die sich aus jeweiligen Netzverwundbarkeits-Analyseprogrammen
ergeben, nachdem das Netz und die gemeinsame Systemmodell-Datenbank analysiert
wurden; und einen Fuzzylogik-Prozessor zum Korrelieren der Systemobjektmodell-Datenbank
mit Datenergebnissen, die sich aus den verschiedenartigen Netzverwundbarkeits-Analyseprogrammen
ergeben, wobei die Systemobjekt-Modelldatenbank als eine Netzsystembeschreibung
erzeugt wird, die eine Objekt-/Klassenhierarchie darstellt, so daß die Systemobjekt-Modelldatenbank
die Informationsdaten-Erfordernisse der verschiedenartigen Netzverwundbarkeits-Analyseprogramme
erfüllt;
und ein Filter, das der Anwendungs-Programmierungsschnittstelle und einem
der jeweiligen Netzverwundbarkeits-Analyseprogramme zugeordnet ist,
um von der Systemobjekt-Modelldatenbank stammende Daten zu filtern
und nur die erforderlichen Daten zu importieren, dadurch gekennzeichnet,
daß der
Fuzzylogik-Prozessor zielorientierte Fuzzylogik-Entscheidungsregeln
verwendet, die mit Fuzzylogik-Inferenznetz-Regeln und und Fuzzylogik-Evidential-Resonsing-Regeln
arbeiten, wobei der Fuzzylogik-Prozessor ferner eingerichtet ist,
ein Inferenznetz als eine Hierarchie heuristischer Regeln zu bilden,
die ausgehend von a-priori-Wahrscheinlichkeiten mittels Expertenwissen
Wahrscheinlichkeiten fortbilden können, so daß diskrete Wahrscheinlichkeiten
einer unteren Ebene in auf die Netzverwundbarkeit bezogenen Schlußfolgerungen
einer hohen Ebene berücksichtigt
werden.
-
Die
vorliegende Erfindung ist beispielhaft unter Bezugnahme auf die
beigefügten
Zeichnungen beschrieben. Die Zeichnungen zeigen im einzelnen:
-
1 ist
ein schematisches Blockdiagramm eines Netzes, das Stellen darstellt,
an denen häufig
Probleme bezüglich
Netzen gefunden werden.
-
2 ist
ein weiteres schematisches Blockdiagramm eines Netzes, das eine
identifizierte Verwundbarkeitsstelle darstellt, die von dem erfindungsgemäßen System
und Verfahren lokalisiert wurde.
-
3 ist
ein weiteres Blockdiagramm, das die gesamte Architektur des Systems
und des Verfahrens der vorliegenden Erfindung darstellt und Filter
zeigt, die zusammen mit der Netzmodelldatenbank verwendet werden.
-
4 ist
ein weiteres schematisches Blockdiagramm der vorliegenden Erfindung,
die die Fuzzylogik-Analyse darstellt.
-
5 ist
ein weiteres schematisches Blockdiagramm, das die Architekturkomponenten
des Datenverarbeitungssystems und Verfahrens der vorliegenden Erfindung
in der Übersicht
darstellt.
-
6 ist
ein weiteres schematisches Blockdiagramm des erfindungsgemäßen Datenverarbeitungssystems
in der Übersicht.
-
7 ist
ein Beispiel einer graphischen Benutzerschnittstelle, die das Netz
als eine Karte modelliert.
-
8A und 8B zeigen
geöffnete
Fenster, die eine Datenauflösung
vorsehen, die sich beim Erstellen der Systemobjekt-Modelldatenbank
ergibt.
-
9 ist
ein Beispiel einer graphischen Benutzerschnittstelle, die das Netzmodell
zeigt.
-
10 ist
eine graphische Benutzerschnittstelle, die zahlreiche Benachrichtigungsoptionen
für den
Sicherheitszustand des Netzes darstellt.
-
11 ist
ein Blockdiagramm, das die grundlegenden Verarbeitungskomponenten
der zielorientierten Fuzzylogik-Verarbeitung darstellt, die in dem
erfindungsgemäßen Datenverarbeitungssystem
und -verfahren verwendet werden.
-
12 ist
ein schematisches Blockdiagramm der Datenzusammenführung, die
in dem erfindungsgemäßen Datenverarbeitungssystem
und Verfahren verwendet wird.
-
13 ist
ein weiteres schematisches Blockdiagramm, das ein Beispiel der "Gold"-basierten Zusammenführungsregeln zeigt, die in
dem erfindungsgemäßen Datenverarbeitungssystem
und -verfahren verwendet werden.
-
14 ist
ein weiteres Blockdiagramm, das die Grundverarbeitungsschritte und
-komponenten zeigt, die bei der Fuzzylogik-Verarbeitung des Datenverarbeitungssystems
und -verfahrens der vorliegenden Erfindung verwendet werden.
-
15 ist
ein Blockdiagramm, das Grundkomponenten zeigt, welche in der Fehlerbaum-Analyse (fault tree
analysis, DPLf) zur Evidenz-Akkumulation und für Fuzzylogik-Evidential-Reasoning-Regeln
verwendet werden.
-
16 ist
ein Blockdiagramm, das eine Objekt-/Klassenhierarchie darstellt.
-
17 ist
ein Blockdiagramm, das das Systemklassendiagramm der vorliegenden
Erfindung zeigt.
-
Die 1 zeigt
ein Beispiel für
ein konventionelles Netz 100 mit internen Servern 102,
die mit einem externen Router 104, einem Kommunikationsnetz 105 und
einer Firewall 106 verbunden sind. Ein interner Router 108 ist
mit der Firewall 106 und der "Branch Office" 107 verbunden, sowie mit internen
LAN-Netzkomponenten 110 und einem Fernzugriffs-Server 112 sowie
einem Fernbenutzer 114.
-
Gemäß des Beispiels
von 1 betreffen häufige
Probleme, die in Netzen erkannt wurden, Hosts, beispielsweise den
internen Server 102, der unnötige Dienste ablaufen läßt, beispielsweise
einen Denial-of-Service, und einen anonymen FTP oder fehlerhaft
konfigurierte Webserver, die ein interner Server sein könnten, beispielsweise
CGI-Scripts, anonymous FTP und SMTP. Die internen LANs 110 könnten nicht
aktualisierte (unpatched), veraltete, verwundbare oder standardkonfigurierte
Software und Firmware umfassen, sowie sicherheitsschwache Paßwörter. Die
LANs könnten
ferner nicht korrekt exportierte Filesharing-Dienste sein, beispielsweise
Netware-Dateidienste und NetBIOS. Der interne LAN 110 könnte ferner
fehlerhaft konfigurierte oder nicht aktualisierte NT-Server umfassen,
sowie Probleme, die durch Fehlen verständlicher Regeln, Prozeduren,
Standards und Leitlinien (guide lines) verursacht werden. Ein Fernzugriffs-Server 112 könnte ungesicherte
Fernzugriffspunkte aufweisen, und der externe Router 104 könnte ein
Informationsleck durch Dienste aufweisen, beispielsweise durch SNMP,
SMIP, Finger, Roosers, SYSTAT, NETSTAT, TELNET-Banners, Windows
NT TCP 139 SMB (Servernachrichtenblock) und durch Zonentransfers
zu namenlosen Serverhosts. Er könnte
ferner unpassende Log-In-, Überwachungs-
und Erfassungsfähigkeiten
aufweisen. Die "Branch
Office" 107 könnte eine
ungeeignete Vertrauens-Beziehung (trust relationship), beispeelsweise
RLOGIN, RSH oder REXEC aufweisen. Die Firewall 106 könn te fehlerhaft
konfiguriert sein oder könnte
eine fehlerhaft konfigurierte Routerzugriffs-Kontrolliste aufweisen.
-
Obwohl
diese Netzprobleme nur beispielhaft für allgemeine Probleme sind,
die sich in Netzwerken 100 antreffen lassen, bestehen viele
weitere Probleme, die auftreten könnten und die dem Fachmann
bekannt sind.
-
Das
erfindungsgemäße System
und Verfahren erlaubt die Identifikation von Verwundbarkeitsstellen
eines Netzsystems. Die Software des Datenverarbeitungssystems und
-verfahrens kann auf einem Benutzerterminals 120 lokalisiert
sein, wie es beispielsweise in 2 dargestellt
ist, die eine identifizierte Verwundbarkeit eines Knotens 112 zeigt,
der innerhalb des LANs 110 angeschlossen ist. Zum Zwecke
dieser Beschreibung können
das Datenverarbeitungssystem und -verfahren der vorliegenden Erfindung
als Verwundbarkeits-Werkzeug (Network Vulnerability Tool, NVT) bezeichnet
werden, d.h., ein Werkzeug bzw. Tool, das ein Benutzer verwendet,
um Netzverwundbarkeitsstellen und Risiken zu ermitteln.
-
Das
Datenverarbeitungssystem, das das NVT bildet, kann auf eine Pentium-PC-Plattform
geladen werden, unter der Windows-NT abläuft. Dieser Plattformtyp kann
eine Lösung
mit geringen Kosten vorsehen und kann eine große Anzahl von Ermittlungswerkzeugen
unterstützen,
die in dieser Erfindung ebenfalls im allgemeinen als Netzverwundbarkeits-Erfassungsprogramme
oder Risikoanalyseprogramme bezeichnet werden. Diese Netzverwundbarkeits-Analyseprogramme
sind typischerweise die Standard COTS/GOTS-Programme, die Sicherheitsingenieuren
bekannt sind, und umfassen HP Open View, welches ferner eine automatische
Netzerfassung (network automatic discovery) oder manuelles Netzmodellieren
ermöglicht;
ANSSR (Analyse von Netzsystemsicherheitsrisiken, Analysis of Network
System Security Risks), wie sie von der Mitre Corporation bereitgestellt
werden, ein GOTS-Netzsystemanalysewerkzeug, welches eine passive
Datenerfassung und eine "Single
Occurance of Loss" ermöglicht.
Ferner kann die Risikoermittlungsmethologie von NSA, die als RAM
(Risikoermittlungsmodell, risk assessment model) bekannt ist, verwendet
werden, und ist in der Entscheidungsunterstützungs-Programmiersprache DPL-f
implementiert. Ein RAM ermöglicht
ferner passive Datenerfassung für
Ereignisbaum-Logik, priorisiert die Taskliste und ermöglicht ein
mathematisches Modell mit mehreren Risiken/Diensten. RAM ist über die
Zeit betrachtet ereignisgestützt.
-
Die
DPL (decision programming language, Entscheidungsprogrammiersprache)
ist ein entscheidungsgestütztes
Softwarepaket, das das Modulieren komplexer Entscheidungen vereinfacht.
Einem Nutzer wird dadurch ermöglicht,
Unsicherheiten und Flexibilität
in einen Entscheidungsprozeß einzubeziehen.
Die DPL sieht eine graphische Schnittstelle zum Aufbauen eines Modells
vor und führt
die Analyse des Modells durch. DPL-f enthält die Funktionalität, welche
in DPL ausgebildet ist, und sieht eine graphische Schnittstelle zur
Fehlerbaum-Erstellung
vor. Diese Funktion ermöglicht
es der modellierenden Person, Fehlerbäume zu erstellen und diese
in die DPL-Modelle aufzunehmen. DPL-f enthält ferner eindeutige Analysewerkzeuge.
Diese Werkzeuge umfassen die Fähigkeit,
explizit die Wahrscheinlichkeit jedes Ereignisses in dem Baum zu
berechnen und fehlerbaumspezifische Typen einer Empfindlichkeitsanalyse
durchzuführen.
DPL-f sieht ferner eine Schnittstelle zum Einfügen einer Zeitfolge in einem
Modell vor. Dadurch kann eine modellierende Person den Wertverlust,
Kapitalwachstum oder andere zeitabhängige Größen berücksichtigen, ohne die Struktur
des Modells zu ändern.
DPL-f sieht ein RAM mit weiteren Fähigkeiten zur schnellen Fehlerbaumerstellung,
Bibliotheken eingebetteter Fehlerbäume, ein Experten-Optionserzeugungssystem,
Aufzählung
und Ordnen von gekürzten
Sätzen
sowie eine graphische Darstellung des Risikos über die Zeit vor.
-
Der
ISS-Internetscanner, der von der Internet Security Systems Corporation
(ISS) entwickelt wurde, ermöglicht
aktive Datenerfassung und scannt ein Netz hinsichtlich Host, Server,
Firewalls, und Routern und ermittelt die Sicherheits- und Richtlinienentsprechung
von Netzen, Betriebssystemen und Softwareanwendungen. Ferner ermöglicht diese
einen zeitlichen Schnappschuß und
einen Bericht über
die Computernetzentsprechung (computer network compliance report).
Diese Programme sind verteilte Netzverwundbarkeits-Analyseprogramme,
die mittels des NVTs der vorliegenden Erfindung integriert werden
können.
-
Das
NVT basiert auf einem wissensvereinigenden Rahmen (knowledge solicitation
framework), der eine graphische Beschreibung einer Netzwerktopologie
umfaßt.
Diese Topologie wird verwendet, um die Netzattribute festzuhalten,
die daraufhin hinsichtlich Sicherheitsverwundbarkeiten analysiert
werden. Ferner wird eine graphische Benutzerschnittstelle verwendet,
um die Genauigkeit des Netzmodells zu verbessern.
-
Gemäß der vorliegenden
Erfindung bildet das System und das Verfahren des NVTs automatisch
ein bestehendes Netz ab und kann das bestehende Netz als Modell
auf einer graphischen Benutzerschnittstelle anzeigen, wie in 7 dargestellt
ist. Beispielsweise könnte
HP Open View eine Netztopologie graphisch darstellen. Sobald der
Software die IP-Adresse eines Standard-Routers (default router)
für das
Netzwerk gegeben wurde, kann das NVT der vorliegenden Erfindung
Open View verwenden und nach Computern und anderen mit dem Netz
verbundenen Einrichtungen suchen. Das NVT führt eine aktive Suche durch,
wobei mögliche IP-Adressen
in dem Netz per Ping angesprochen werden und fügt jedwede empfangene Information
zu seiner Netzkarte hinzu. Das NVT sieht ein manuelles Verfahren
vor, um ein vorgeschlagenes Netz mit der graphischen Benutzerschnittstelle,
wie dargestellt, zu zeichnen, um "Drag-and-Drop-Bearbeitung" zu unterstützen. Es
kann eine Systemarchitektur definiert werden, einschließlich sicherheitskritischer
Information hinsichtlich alternativer Designs oder Knotenbearbeitung,
um zusätzliche
Details, wie erforderlich, vorzusehen, um eine vollständige logische
Netzplanung durchzuführen.
Ein Benutzer kann ferner ein gesamtes Netz auf einer Karte wiedergeben,
indem ein Unternetz-Icon verwendet wird.
-
Wenn
eine Netzsystembeschreibung fertiggestellt wurde, gibt das NVT die
Beschreibung einer Objekt/Klassenhierarchie wieder und speichert
diese, wie beispielhaft in den 16 und 17 dargestellt
ist, und wie im weiteren beschrieben ist. Ein einzelnes Topologiesystem-Objektmodell unterstützt die
Informationsdatenanforderungen der verschiedenen Netzverwundbarkeits-Analyseprogramme
(-Werkzeuge bzw. -Tools). Fuzzylogik-Verarbeitung der Ergebnisse
erlaubt die Korrelation der von den Programmen erhaltenen Ergebnisse
zu einer kohäsiven
Verwundbarkeits-/Risikoermittlung, um so einen Verwundbarkeitsbericht
des Netzes zu erhalten, wie es in der graphischen Benutzerschnittstelle
von 10 dargestellt ist. Die einzelne Darstellung des
Systems vereinfacht die Verwendung mehrerer Werkzeuge und eliminiert
redundante Dateneinträge. Dadurch
wird ferner eine Grundlage zur Behandlung des Problems unvollständiger Daten
für ein
bestimmtes Verwundbarkeitsermittlungswerkzeug vorgesehen, sowie
die Grundlage für
zukünftige
Wissensabgleichmöglichkeiten.
-
Die 3 zeigt
mit dem Bezugszeichen 130 ein Beispiel eines Gesamtnetz-Visualisierungswerkzeugs (network
visualization tool, NVT) und des Datenverarbeitungssystems der vorliegenden
Erfindung, wobei drei Netzverwundbarkeits-Analyseprogramme (Werkzeuge)
als ANSSR 132, ISS Internetscanner 134 und RAM 136 dargestellt
sind. Das System und das Verfahren der vorliegenden Erfindung erzeugt
eine Systemobjekt- Modelldatenbank
(Network Model DB) 138, die ein Netz darstellt und unterstützt die
Informationsdatenerfordernisse der Netzverwundbarkeits-Analyseprogramme.
Die Systemmodellobjekt-Datenbank 138 stellt eine einzige
Darstellung der ermittelten Systems oder Designs dar, und befriedigt
das Erfordernis an einer einzelnen internen Wiedergabe eines Netzes,
um Daten für
die Netzverwundbarkeits-Analyseprogramme vorzusehen.
-
Dieses
Modell 138 verwendet eine objektorientierte (OO) Methodik,
um einen erweiterbaren Satz von Komponenten in einer Klassenhierarchie
vorzusehen, welche kombiniert werden können, um ein Netz wiederzugeben.
Die Klassenhierarchie sieht Mittel zum Definieren von Komponenten
mit gemeinsam genutzten Fähigkeiten
(traits) vor, während
spezifische Informationen beibehalten werden, die Unterschiede zu
anderen Komponenten ausbilden. Zusätzlich zu einer impliziten
hierarchischen Beziehung sehen objektorientierte Techniken einen
Inhaltsmechanismus vor, in dem ein Objekt eine Referenz auf ein
beliebiges Objekt enthalten kann, einschließlich auf sich selbst. Dadurch
wird ein flexibler Mechanismus zum Wiedergeben jeder physikalischen
oder logischen Entity vorgesehen. Ferner kann eine objektorientierte
Darstellung selbst leicht modifiziert und verändert werden, und ist ideal
für einen
Informationsgewährleistungsbereich,
in dem täglich Änderungen
und neue Techniken aufkommen.
-
Wie
in der 3 dargestellt ist, sind mit jedem Netzverwundbarkeits-Analyseprogramm 132, 134, 136 Filter 140 verknüpft und
gestatten den Export lediglich der Daten, die von einem jeweiligen
Netzwerkverwundbarkeits-Programm angefordert werden, in dieses Werkzeug
(Programm). Die Filter sind eine C++-Basisklasse, die einen Satz
virtueller Methoden vorsehen, um eine Datenbewegung zwischen dem
NVT-System und einem Programm zu ermöglichen. Das Filter sieht ferner
ein Mittel für
das NVT vor, um die Ausführung
des Werkzeugs zu kontrollieren und um die für ein Werkzeug erforderlichen
Daten zu vervollständigen.
Das NVT sieht jedes Werkzeug als ein Filter an, ruft die entsprechende
Methode innerhalb des Filters auf, um eine bestimmte Aufgabe auszuführen, einschließlich Initialisieren,
Ablaufenlassen und Importieren von Daten, sowie Exportieren von
Daten. Jedes Werkzeug kann eine bestimmte Filterunterklasse aufweisen
und Mittel vorsehen, um jede Methode spezifisch für das Werkzeug
zu definieren, wobei die ursprünglichen
und genau definierten Programmschnittstellen (API) für das NVT
beibehalten werden. Dadurch können
alle Werkzeuge innerhalb des NVT gleich behandelt werden, wodurch
das Hinzufügen
und Entfernen von Werkzeugen ermöglicht
wird, ohne eine der bestehenden NVT-Codes ändern zu müssen.
-
Das
Aufbauen von Kommunikation zwischen dem DPL-f und dem NVT unter
Verwendung der Filtertechnik gestaltet sich einfach. Ein DPL-f-Filter
ist mit Aufgaben beauftragt, die sich auf das spezifische Ausbauen
und Vermehren von Fehlerbäumen
beziehen. Als Analysewerkzeug kann ein Ausgangs-(default)-Baum als
Knoten in einem entwickelten Netz wiedergegeben werden und kann
einen Wahrscheinlichkeitswert für
Ereignisse vorsehen, wie beispielsweise Denial of Service, Datenverlust
und korrupten Daten. Tatsächlich
kann das DPL-f als Endergebnis-Werkzeug verwendet werden.
-
Das
Netz wird daraufhin mit jedem Netzverwundbarkeits-Analyseprogramm
analysiert, so daß jedes Programm
Datenergebnisse erzeugt. Die Datenergebnisse werden korreliert,
um einen Sicherheitsbericht des Netzes zu ermitteln. Die Netzwerkvalidierung
kann durch erfindungsgemäße Fuzzylogik-Verarbeitung
vorgesehen werden, die im weiteren beschrieben ist, und die graphische
Benutzerschnittstelle des Systems kann eine Eingabe für eine Benutzeranzeige
vorsehen.
-
Es
wird ein Überblick
des Netzes als Modell 142 mittels automatischer Netzdurchsuchung
(automatic network discovery) oder manueller Eingabe 144 erzeugt,
beispielsweise über
HP Open View, und ein geeigneter Filter 146 ermöglicht es
der graphischen Benutzerschnittstelle des Systems 148,
das Netzmodell, wie in 7 dargestellt, über eine
geeignete Dateneingabe 150 auf einer Benutzeranzeige 152 darzustellen.
Es ist ferner möglich,
eine graphische Risiko-Benutzerschnittstelle 154, die visuell
die Risikoverwundbarkeit, einen Kurzbericht (log) 156 des
Risiko-Verwundbarkeitsberichts und eine Risikoermittlung 158 als
Teil der graphischen Nutzerschnittstelle 148 über die
Netzvalidierung 160 vorsieht, wobei ein Plug-In oder ein
Fuzzylogik-Regelsatz verwendet wird, wie im weiteren detaillierter
beschrieben ist. Ferner kann jede unvollständige Datenauflösung 161 behandelt
werden.
-
Die 4 zeigt
ein Übersichtsblockdiagramm,
das der 3 ähnelt, und das die Systemobjektmodelldatenbank 138 darstellt,
die erstellt werden kann und zusammen mit einer integrierten Anwendungsprogrammierungsschnittstelle 162 arbeitet,
so daß Daten
in zahlreiche Werkzeuge 164 importiert werden können, die als
Modellwerkzeug, Durchsuchungswerkzeug (discovery tool) und Informationsanalysewerkzeuge
dargestellt sind, aus denen sich die Gesamtsystem-Ergebnisdatenbank 166 ergibt.
Eine Anwendungsprogrammierungsschnittstelle 168 und eine
graphische Benutzerschnittstelle 170 arbeiten zusammen
mit der Modelldatenbank 138. Ein Auswertungs/Ermittlungsmanager 172 (manager)
arbeitet zusammen mit einer An wendungsprogrammierungsschnittstelle
(application programming interface, API) 174 und einer
graphischen Benutzerschnittstelle (graphical user interface, GUI) 176,
um Datenergebnisse mittels Fuzzylogik-Verarbeitung zu korrelieren,
wie es die gestrichelten Linien 178 darstellen, einschließlich Experten-Korrelation 180 und
Fuzzylogik-Inferenzbildung sowie mittels Evidential-Reasoning 182,
um Verwundbarkeitsergebnisse 184 und eine graphische Benutzerschnittstelle
GUI 186 für
die korrelierten Ergebnisse zu erzeugen. Obwohl die 4 ein Übersichtsmodell wiedergibt,
das ein Beispiel verschiedener Komponenten zeigt, ist es lediglich
beispielhaft für
einen Typ von in der Übersicht
dargestellten Komponenten, die mit dem NVT-System und dem Verfahren
der vorliegenden Erfindung verwendet werden können.
-
Die 5 und 6 zeigen
weitere Beispiele von Übersichtsmodellen,
die Grundkomponenten und Verarbeitungsschritte der Datenquellen 200 (5)
darstellen, zusammen mit der Systemabbildung 202, einer mittels
Werkzeug durchgeführten
Analyse 204, einer mittels mehrerer Werkzeuge durchgeführten Analyse 206,
der Werkzeug/Experten-Analyse (tool-to-expert analysis) 208 und
Benachrichtigungs(report)medien 210. Die Werkzeug/Experten-Analyse 208 könnte die
DPL-f 208a als Teil der Fuzzylogik-Verarbeitung in einer
Fakten-Datenbank (data fact base) umfassen und diese mit CERT-Mitteilungen 208b und
einem Expertensystem 208c zur Expertenkorrelation verwenden.
Es können
Benachrichtigungen (reports) erzeugt werden, einschließlich einer
Ausgabe als Icons auf einer graphischen Benutzerschnittstelle, als
Text, als Excel®-Tabelle, als
Zugriff und Konfiguration (Access and Configuration) wie dem Fachmann
bekannt ist. 6 zeigt ferner ein weiteres Übersichtsmodell,
das der 5 gleicht, wobei die Werkzeuge,
welche zum Ausbilden eines vollständigen Systemobjektmodells
und eines Fuzzylogik-Prozesses auszubilden, die Verarbeitung durch
das einzelne Werkzeug und die Korrelation der mehreren Werkzeuge
umfassen kann.
-
Die 7 bis 10 zeigen
eine graphische Benutzerschnittstelle 220 in größerem Detail,
die auf einem Computerbildschirm vorgesehen werden kann und zur
Interaktion mit dem NVT verwendet werden kann, sowie zum Ermitteln
der Verwundbarkeitsbericht eines Netzes. Wie dargestellt, ist die
graphische Benutzerschnittstelle 220 eine Standard-Windows®-Schnittstelle. Ein
Systemdesignfenster 222 ermöglicht die Anzeige von Netz-Icons 224,
die eine Netzkarte ausbilden, die die Beziehung zwischen verschiedenen
in einem Netz enthaltenen Elementen und Knoten wiedergibt. Einige
Netz-Icons 224 sind zusammen in einer Anordnung verbunden,
die der Verknüpfung
der Netzelementknoten innerhalb des Netzes untereinander entspricht.
Wie in der 7 dargestellt ist, können die
Netzelemente über
Verbin dungsleitungen 226 miteinander verbunden werden,
wodurch die Verbindung dargestellt wird, die zwischen den tatsächlichen
Netzelementen und -knoten besteht. Das Systemdesignfenster 222 zeigt
auf der linken Seite eine netzverknüpfungsbezogene Darstellung 230 mit
zwei Knoten, sowie eine Netzansicht 232 auf der rechten
Seite des Fensters, um eine Karte des Netzmodells darzustellen.
Ferner ist ein Managerfenster 234 geöffnet und zeigt die Eigenschaften
von Netzelementen an.
-
Der
Benutzer kann ein zur Auswahl der Datenempfindlichkeit bzw. Datensensitivität vorgesehenes Pop-Up-Fenster
(box) 240 über
die Menüoptionen
für ausgewählte Netzelemente
auswählen
(8A) und weist durch den Benutzer auszuwählende Elemente
auf, um die Empfindlichkeit (Sensitivität) von Netzelementen auszuwählen. Die
Empfindlichkeit (Sensitivität)
für Daten
in jedem Knoten (Knoten 1 in dem Beispiel von 8A)
kann ausgewählt
werden als: freizugänglich
(unclassified), sensitive Daten (sensitive), vertraulich (confidential),
geheim (secret), geheim mit beschränktem Zugriff (restricted secret)
oder streng geheim (top secret) mit jeweiligen Bestätigen- (ok),
Zufallsauswahl- (RANDOM) und Standard- (default) Schaltfeldern.
-
In
der 8 ist ein Pop-Up-Fenster (box)
zur Auswahl der Knotenkonfigurationsbearbeitung 250 dargestellt
und kann auswählbare
Verwundbarkeitsprofile aufweisen, um ein Verwundbarkeitsprofil für ein Netzelement
oder für
einen Knoten auszuwählen.
Die 9 zeigt zudem ein Netzmodelldiagramm mit einem
zentralen Hub und dem miteinander verknüpften Knoten. Es ist möglich, daß ein Benutzer
die Einträge
des Managerfensters 234 bearbeitet, wodurch ferner die
Netzdurchsuchung mittels geeigneter Auswahl von Schaltfeldern vorgesehen
werden kann. Natürlich
können
die Netz-Icons gewählt
und bewegt werden, wie es zur Bearbeitung und Designalternativen
notwendig ist.
-
Nachdem
der Sicherheitsbericht durch das System erstellt wurde, können Icons,
die Netzelemente mit hohem Risiko darstellen, eingefärbt werden,
beispielsweise rot, vergleiche Hub 252. Weitere ausgewählte Icons
können
die Farbe Gelb annehmen, wodurch ein Knoten mit geringerem Risiko
angegeben wird, beispielsweise der HP4-Knoten 152, der
in den 7 und 9 dargestellt ist. Es ist möglich, daß die gestrichelten
Bereiche um den Knoten herum oder Bereiche des Netzes rot oder gelb
eingefärbt
werden können,
um ein höheres
Verwundbarkeitsrisiko darzustellen. Es ist ferner möglich, daß die Verbindungslinie
rot oder gelb eingefärbt
werden kann, um eine schlechte Verbindung zwischen den Elementen
anzugeben.
-
Die 10 zeigt
ein Verwundbarkeitsbericht-Fenster 270 zum Anzeigen von
Icons, die für
den Benutzer lesbar sind und verwundbare Netzelemente und Icons
angibt. Das Gesamtsystemmodell ist als Teil eines geöffneten
System-Designfensters gezeigt. Ferner ist eine Tabelle 272 dargestellt,
sowie eine NVT-Risikoermittlungs-Aufstellung 274, die Schieber
aufweist, welche zur Risikoerfassung dienen. Ferner ist ein Risikoanalysefenster 276 dargestellt,
welches die fünf
obersten Risikoanalyseelemente zeigt.
-
Die 16 zeigt
eine Klassenhierarchie mit Klassennamen 280 als öffentliche
(public) Attribute und versteckte (private) Attribute in größerem Detail,
sowie die Zusammenstellung 282 und Verknüpfung 284 von Quelle 286 und
Ziel (target) 288 mit Verallgemeinerungen 290.
Die 17 zeigt ein Beispiel eines Systemklassendiagramms
mit verschiedenen Komponenten, die in den Blöcken angegeben sind. Natürlich ist
die 17 nur ein Systemklassendiagramm, wie es dem Fachmann
bekannt ist, und ist ein Beispiel dafür, inwiefern das erfindungsgemäße System
und Verfahren umgesetzt werden kann.
-
Im
weiteren ist bezugnehmend auf 11 und 15 die
zielorientierte Fuzzylogik-Entscheidungsfindung
im größerem Detail
dargestellt. Wie in der 11 gezeigt
ist, sind die Systemmodelldatenbank 138 und die Ergebnisse 300,
die von den jeweiligen Netzverwundbarkeitsanalyseprogrammen stammen,
zusammen kombiniert, wobei eine Anwendungsprogrammierungsschnittstelle
und Expertenkorrelation verwendet wird, um eine Fakten-Datenbank 302 mittels
Fuzzylogik-Vorverarbeitung von Daten (data fuzzification) auszubilden.
Zielorientierte Fuzzylogik-Entscheidungsregeln arbeiten über Fuzzylogik-Inferenznetzregeln 304 sowie mittels
Fuzzylogik-Evidential-Reasoning-Regeln 306, um den Sicherheitsbericht
eines Netzes, basierend auf vorbestimmten Zielen 308, zu
ermitteln.
-
Die
Fuzzylogik-Verarbeitung verwendet Datenzusammenführung (data fusion), beispielsweise
Evidential-Reasoning und Inferenznetz-Techniken. Gemäß dem Wissen
des Fachmanns ist Evidential-Reasoning eine Technik, in der Fakten
gesammelt werden, die eine vorgegebene Hypothese bestätigen oder
widerlegen. Das Ergebnis ist der Beweis oder der Widerspruch der
Hypothese mit einem bestimmten Zuverlässigkeitsgrad. Die Fuzzylogik-Verarbeitung
der vorliegenden Erfindung verwendet Evidential-Reasoning, um Tatsachen über das
System und von dem Werkzeug gefundene Daten für jedes Kriterium zu akkumulieren,
wodurch die Systemermittlungsdaten zu einem bestimmten Referenzpunkt
und die Systemkonformität
zu einem bestimmten Kriterium zusammengefaßt werden. Durch Vorsehen eines
Kriteriensatzes, der zusammengeführt
werden soll, beschränkt
das System das Zusammenführungsproblem
und verkleinert die Suchdatenbank. Evidential-Reasoning wurde bislang
verwendet, um Datenzusammenführung
mehrerer Sensoren in erster Ebene auszuführen, und ist eine allgemeine
globale Reasoning-Technik in Fuzzylogik-Expertensystemen, wie beispielsweise der
Systemtyp, die dem Fachmann als fuzzyCLIPS bekannt sind, der von
der NASA entwickelt wurde. Das Ergebnis ist ein Satz von Fuzzylogik-Evidential-Regeln,
deren Zweck es ist, Tatsachen für
einen bestimmten Satz an Anforderungen zu akkumulieren. Dadurch
werden potentiell in Konflikt liegende, uneindeutige und redundante
Daten, die von Expertenkorrelationen stammen, aufgelöst, und
mit den zur Verfügung
stehenden Daten werden Schlüsse
gezogen, auch für
den Fall, daß diese
unvollständig
sind.
-
Die
Genauigkeit des Ergebnisses hängt
von der Quantität
und Qualität
der zur Verfügung
stehenden Daten ab, wobei es notwendig sein kann, die zur Verfügung stehenden
Daten weiter zu verfeinern, bevor die Fuzzylogik-Verarbeitung angewendet
wird, während
gleichzeitig das wahrscheinlichkeitstheoretische Wesen der Daten
beibehalten bleibt. Diese Verfeinerung verwendet Inferenznetze und
sieht ein Verfahren zum Anwenden von Regeln (reasoning) hinsichtlich
Wahrscheinlichkeiten unter Verwendung von Heuristika, wodurch die
Notwendigkeit detaillierten a-priori-Wissens entfällt. Die
Beziehung zwischen den Zielen und den potentiellen Sicherheitsmaßen ist
zur gegenseitigen Verbesserung (cross fertilization) hilfreich.
Dem Fachmann ist bekannt, daß fuzzyCLIPS
Fuzzylogik-Fakten verwendet, die jeden Wert zwischen 0 und 1 annehmen
können. Die
Ergebnisse können
in einem zweidimensionalen Diagramm einer kontinuierlichen Funktion
betrachtet werden, die sich vertikal zwischen 0 und 1 bewegt.
-
Das
Zusammenführen
von Daten (data fusion) wird hinsichtlich der Systemobjektdatenbank
angewandt, wodurch sich Daten aus der Fakten-Datenbank ergeben.
Die intelligente Zusammenführung
von Daten ist ein vielschichtiger multidisziplinärer Informationsverarbeitungsprozeß, um die
Integration von Daten aus mehreren intelligenten Quellen (und möglicherweise
mehreren intelligenten Ausrichtungen) zu erhalten, um spezifische
und verständliche
vereinheitlichte Daten hinsichtlich einer Entity (deren Zustand,
Fähigkeiten
und die von dieser ausgehende Gefahr) zu erzeugen. Das Zusammenführen von
Daten sieht Information basierend auf zur Verfügung stehenden Eingaben vor.
Der intelligente Datenzusammenführungs prozeß (intelligence
data fusion process) ist typischerweise in vier Ebenen eingeteilt,
wie in Tabelle 1 dargestellt ist.
-
TABELLE
1. DIE EBENEN UND ZWECKE DES INTELLIGENTEN DATENZUSAMMENFÜHRUNGSPROZESSES
-
Wie
oben bemerkt, kombiniert das NVT verschiedene Datentypen, die von
mehreren Quellen stammen, mit weiterer kontextbezogener Information,
um einen einheitlichen Blick eines Sicherheitsberichts eines als
Netz verknüpften
Systems auszubilden. Das NVT stellt einem Benutzer einen einfachen
Ausdruck des Verwundbarkeitsberichts eines vorgegebenen Systems
oder eines Systemdesigns zur Verfügung und ermöglicht es
diesem, eine "Was-Wäre-Wenn"- Analyse hinsichtlich der Funktionalität, Leistungsfähigkeit
und Gegenmaßnahmen
auszuführen,
um das System oder das Systemdesign zu verfeinern oder zu verbessern.
-
Auf
dem Gebiet der Computersicherheit bestehen die Sensoren in den zahlreichen
Verwundbarkeitsermittlungen und Risikoanalysewerkzeugen, zusammen
mit der graphischen Benutzerschnittstelle (GUI), um erforderliche
Information zu sammeln, die ein Benutzer benötigt. Die sich aus diesen Werkzeugen
ergebenen Ausgaben sind in der Form von qualitativen als auch quantitativen
Daten, die in einer Vielzahl von Formaten verschiedener Anbieter
vorgesehen sind. Auf dem Gebiet der Computersicherheit sind die
Knoten in einem Netz (Computersystem), d.h., die Einrichtungen einschließlich Hardware,
Software und Daten die Objekte von Interesse. Der interessierende
Zustand ist eine Ermittlung der Schwächen in einem Sicherheitssystem
eines Computernetzsegmentes, die ausgenutzt werden könnten, und
so zu Schaden oder Verlust an Geheimhaltung, Integrität oder Verfügbarkeit
führen
würde.
-
Das
Ermitteln des Risikos für
ein Computersystem umfaßt
das Ermitteln der bestehenden Bedrohungen, deren Auftrittswahrscheinlichkeit
(Wahrscheinlichkeit der Ausnutzung bzw. Exploitation) und die zu
erwartenden Kosten des Verlusts (oder Schaden). Schließlich kann
das Netz (Computersystem) basierend auf den Ergebnissen der Kosten-Nutzen-Rechnung
verfeinert werden. Dazu ist Information bezüglich Schutzmaßnahmen
(Kontrollen oder Gegenmaßnahmen)
erforderlich, die für
die einzelnen Verwundbarkeiten und deren Kosten geeignet sind. Die
Kosten-Nutzen-Rechnung hat zum Ziel, zu ermitteln, ob es weniger
kostet, eine Kontrolle bzw. Gegenmaßnahme zu verwenden, oder die
zu erwartenden Kosten des Verlusts zu akzeptieren. Dies führt zu der
Entwicklung eines Sicherheitsplans zur Verbesserung der Sicherheit
eines Computernetzsystems.
-
Die
Tabelle 2 enthält
ein Beispiel einer ersten Unterteilung dieses Datenzusammenführungsprozesses der
der Computersicherheit dient und der mit der vorliegenden Erfindung
verwendet werden könnte,
wobei dieser vier Verarbeitungsebenen umfaßt, die den vier Ebenen von
Tabelle 1 entsprechen. Wie in der 12 dargestellt
ist, würden
die Eingaben für
diesen Prozeß aus
der Objektmodelldatenbank 138, Ergebnissen von den einzelnen
Werkzeugen 132, 134, 136 und anderen
kontextabhängigen
Informationen bestehen. Die verschiedenen Datenzusammenführungsebenen
1 bis 4 sind allgemein mit den Bezugszeichen 320, 322, 324 und 326 angegeben.
-
TABELLE
2. ANFÄNGLICHE
VERARBEITUNGSEBENEN DER DATENZUSAMMENFÜHRUNG ZUR COMPUTERSICHERHEITSRISIKOANALYSE
-
-
Zur
in der vorliegenden Erfindung verwendeten Datenzusammenführung wird
ein Konzeptrahmen vorgesehen, um das Problem des Zusammenführens von
Ergebnissen aus mehreren Verwundsbarkeitsermittlungen und Risikoanalyse-Werkzeugen
zu betrachten, und es werden Risikoanalyse-Werkzeuge, Expertensysteme,
Inferenznetze und Evidential Reasoning verwendet, um die Zusammenführungskonzepte
(fusion concepts) zu implementieren und die Ergebnisse von Werkzeugen
zu verschmelzen (merge). Die Flexibilität der Fuzzylogik-Entscheidungstechnik,
insbesondere die Fuzzylogik-Expertensysteme, erlaubt es, diese Probleme zu
behandeln. Ein primärer
Vorteil eines Fuzzylogik-Expertensystems ist dessen Fähigkeit,
Wissen von mehreren Quellen zu verwenden und aufzunehmen.
-
Fuzzylogik
sieht eine Technik zum Darstellen und Ableiten bzw. Inferenzbilden
vor, ausgehend von. Wissen, das nicht präzise, unsicher oder unzuverlässig ist.
Wie bei üblichen
Expertensystemen kann ein Fuzzylogik-Expertensystem Wissen in Form
eines Systems von WENN/DANN-Regeln darstellen, in denen die Ausgangsdaten,
die Folgerung oder beide, eher weich bzw. fuzzy sind, d.h. ungenau
und nicht scharf. Fuzzylogik wird verwendet, um zu ermitteln, wie
gut die Fuzzylogik-Fakten auf die Regeln passen und in welchem Grad
diese Übereinstimmung
die Folgerung der Regel beeinflußt. Gemäß der vorliegenden Erfindung
ist ein Inferenznetzwerk eine Hierarchie heuristischer Regeln, die
Wahrscheinlichkeiten fortbilden können, ohne daß ein weitreichendes
Wissen von a-priori-Wahrscheinlichkeiten erforderlich sind (wie
beispielsweise bei Bayes-Netzwerken). Die heuristischen Regeln können entwickelt
werden, indem Expertenwissen über
die Fortbildung der Wahrscheinlichkeiten verwendet wird, wodurch,
ausgehend von beschränktem
Wissen, aus a-priori-Wahrscheinlichkeiten
Schlußfolgerungen
gezogen werden können.
Dadurch ergeben sich diskrete Wahrscheinlichkeiten unterer Ebene,
die akkurat in Folgerungen höherer
Ebene wiedergegeben werden. Wahrscheinlichkeiten der Ereignisse
unter Ebene (beispielsweise die Wahrscheinlichkeit der Kompromittierung
von Paßwörtern, bezogen
auf Lebensdauer) müssen
Teil jeder Schlußfolgerung
sein, die aus Ereignissen höherer
Ebene gezogen wird (Verwundbarkeit von Paßwörtern).
-
Die
anfänglichen
Studien bzw. Eingangs-Studien des Netzverwundbarkeits-Ermittlungswerkzeugs (NVT)
verwendet die Anhäufung
von Beweisen (evidence), um eine Fuzzylogik-Tatsache (fuzzi-fact)
zu modifizieren und die Änderung
des Zustands wiederzugeben, die für das aktuelle System erforderlich
ist. Diese Zustandsänderung
der Fuzzylogik-Tatsache wird daraufhin verwendet, um das System
zu modifizieren, und der neue Zustand wird zu der Änderung
der Zustandsregeln in einem endlosen Zyklus zurückgeführt, wobei globale Beiträge (global
contribution) verwendet werden. FuzzyCLIPS erlaubt die Definition
von Fuzzylogik-Tatsachentypen, wobei stets für jeden Typ nur eine Tatsache
besteht. Daher verändert
jede Regel, die diesen Tatsachentyp manipuliert, eine einzelne Tatsache
(fact), wodurch sich Beweise (evidence) ansammeln.
-
Der
globale Beitrag und das Ansammeln von Beweisen haben zu einer FuzzyCLIPS-Methodologie geführt, die
Fuzzylogik-Fakten definiert, welche verschiedene Verwundbarkeitszustände wiedergeben.
Diese Fakten verwenden den globalen Beitrag und Ansammlung von Beweisen,
um endgültige
Werte zu erhalten, welche die Verwundbarkeit des zu überprüfenden Systems
berücksichtigen,
d.h. Evidential Reasoning. Diese Methode reflektiert die genau definierte
Verwendung von Fuzzylogik-Steuersystemen, die die Ausführung auf eine
endliche Anzahl von Zyklen beschränken, anstatt es zu ermöglichen,
daß diese
ununterbrochen ablaufen. FuzzyFusion® wurde
von der Harns Corporation, Melbourne, Florida, USA, entwickelt und
verwendet diese Methodologie, um von Regeln stammende Beweise zu
akkumulieren bzw. anzusammeln, basierend auf dem Wissen von Netzsicherheitsexperten.
Insbesondere verwendet FuzzyFusion® Evidential-Reasoning
als Technik, in der Tatsachen bzw. Fakten zusammengetragen werden,
die eine vorgegebene Hypothese stützen oder widerlegen. Das Ergebnis
ist der Beweis oder die Widerlegung der Hypothese mit einem bestimmten
Verläßlichkeitsgrad.
-
Die
anfängliche
Wissensextraktion führt
zu der Verwendung von Sicherheitserfordernissen, um Beweise zu sammeln,
d.h., inwieweit ein System diese Erfordernisse erfüllt. Dadurch
wird eine starke Korrelation zwischen dem Verfahren des Verifizierens
einer Datenbank (beispielsweise AFCERTS) und Verifizieren von Sicherheitserfordernissen
dargelegt, wobei dies zum Verwenden der Datenbank und der Erfordernisse
als Tatsachen des globalen Beitrags führt, um Beweise anzusammeln,
wie in 13 dargestellt ist. Dadurch
wird ferner dargestellt, wie die Granularität der Ziele die Granularität der Ermittlungen
direkt beeinflußt,
d.h., daß die Ermittlung
nur so detailliert wie die Ziele sein kann. Diese Ansammlung von
Beweisen (evidence) wird als zielorientierter Ansatz angesehen,
der zu Ergebnissen führt,
während die
Verwendung einer vorwärtsgerichteten Inferenztechnik
beibehalten wird, die als "zielbasierte
Zusammenführung" ("Goal-based Fusion") bezeichnet wird.
-
Ein
Beispiel dafür,
wie Fuzzylogik in einem Zusammenführungswerkzeug verwendet werden
kann, wodurch sich Computersicherheit ergibt, verbindet die Kombination
der Ergebnisse der ANSSR- und ISS-Internetscanner, wobei dies zwei
der Werkzeuge sind, die momentan innerhalb eines Aspekts des Netzverwundbarkeitsermittlungswerkzeugs
(NVT) verwendet werden kann. Die Ausgaben der Werkzeuge sind sowohl quantitativ
(ANSSR) als auch qualitativ (Internetscanner). Die Fuzzylogik ermöglicht es
dem System, daß beide
Datentypen innerhalb des gleichen Systems wiedergegeben werden können. Daraufhin
wird eine anfängliche
Hypothese formuliert, und es wird Fuzzylogik zum Erfassen von Beweisen
verwendet, welche die Hypothese unterstützen oder verwerfen.
-
In
diesem Beispiel könnte
eine anfängliche
Hypothese sein, daß die
Auditierung bzw. Buchprüfung
in einem bestehenden Netzsystem ungültig ist. Der Systembenutzer
führt daraufhin
die ANSSR- und ISS-Internetscanner-Werkzeuge aus. Wenn ANSSR eine
Zahl von 90 (von 100) ausgibt, ist die Auditierung ausreichend.
Die Fuzzylogik erlaubt es dem Netzverwundbarkeits-Ermittlungswerkzeug,
dies als starken widerlegenden Beweis für die anfängliche Hypothese zu berücksichtigen,
daß die
Auditierung ungültig
ist. Wenn der Internetscanner die qualitativen Daten vorsieht, daß der Benutzerzugang
nicht auditiert ist, berücksichtigt
dies die Fuzzylogik als unterstützenden
Beweis, der mit dem Beweis verbunden wird, der von dem ASSR stammt. Wenn
die Werkzeuge beendet sind, wird der beitragende Beweis für das Auditing
als einzelne Fuzzylogik-Tatsache wiedergegeben, welches ein Maß dafür vorsieht,
wie gut Auditing implementiert ist.
-
FuzzyFusion®,
das von der Harns Corporation, Melbourne, Florida, USA, entwickelt
wurde, ist ein Mittel zum Konsolidieren und Zusammenführen (bzw.
Fusionieren) der Ergebnisse von Verwundbarkeitsermittlungs- und
Risikoanalyse-Werkzeugen, die innerhalb des Netzverwundbarkeits-Ermittlungswerkzeugs
in einem einheitlichen Bericht verwendet werden. Insbesondere wurde
FuzzyFusion® entwickelt,
um Zusammenführungen
in den Ebenen 1 und 2 zu implementieren. FuzzyFusion® wird
mittels der Verwendung eines Fuzzylogik-Expertensystems (zielorientierte Fuzzylogik-Entscheidungsregeln)
mittels FuzzyCLIPS vorgesehen, welches die Ausgaben der verschiedenen
Werkzeuge, Benutzerbelange hinsichtlich der Systemrisiken und Verwundbarkeiten
sowie Expertenwissen der Ergebnisse jedes Werk zeugs und dem Maß dafür kombiniert, wie
diese in ein größeres Bild
der Sicherheit des Informationssystems passen. Somit erhalten Benutzer
des Netzverwundbarkeits-Ermittlungswerkzeugs
(Network Vulnerability Assessment Tool, NVT) einen einfachen Eindruck
hinsichtlich des Sicherheitszustandes eines vorgegebenen Rechennetzes
oder Systemdesigns und können
hinsichtlich der Funktionalität,
Leistungsfähigkeit
und Gegenmaßnahmen-Kompromissen
eine " Was-Wäre-Wenn"-Analyse ausführen.
-
Die 14 zeigt
die NVT-FuzzyFusion®-Komponentenarchitektur
zum Implementieren der ersten zwei Ebenen der Datenzusammenführung für Computersicherheitsausführungen.
Wie die Figur darstellt, ist die Aufgabe des Modellierens einer
Sicherheitsexpertise in diskrete Aufgabenstellungen unterteilt.
Die Trennung der Expertenkorrelation (Datenrahmen-Verschmelzungsregeln),
Fuzzylogik-Inferenznetzregeln und Fuzzylogik-Evidential-Reasoning-Regeln
berücksichtigen
die Probleme von unflexiblen Expertensystemen und der Explosion
der Rechenleistung. Ferner wird die Datenkorrelation und Zusammenführen (fusion)
auf unterer Ebene von der Auflösung
von mehrdeutigen/widersprüchlichen
Daten und dem Verschmelzen (merging) der Ergebnisse zu einem Bild
getrennt. Dies sollte zu Fuzzylogik-Expertensystemen führen, die
einfacher zu handhaben sind als ein großes verständnisbasiertes System. Die
Elemente dieser Architektur sind im weiteren beschrieben.
-
Die
Vorbereitung der Daten zur Fuzzyverarbeitung (data fuzzification) 310 wandelt
die Ergebnisse von einzelnen Verwundbarkeitsermittlungen- und Risikoanalyse-Werkzeugen 132, 134, 136 in
Fuzzylogik-Fakten um und speichert diese zusammen mit dem gemeinsamen
Systemmodell (Common System Model, CSM), d.h., der Systemobjekt-Modelldatenbank 138,
in die (FuzzyCLIPS) Faktenbasis 302. Die Ergebnisse einzelner Werkzeuge
(nach „Fuzzifikation") und das CSM 138 werden
zur Expertenkorrelations-Verarbeitung 330 (Datenrahmen-Verschmelzungsregeln)
exportiert, um Systeminformation aufzulösen und die Ausgaben der Werkzeuge
basierend auf Sicherheitsexpertise zu integrieren. Es kann Expertenwissen
verwendet werden, um die einzelnen Fuzzylogik-Werte zu ermitteln,
die den Ereignissen der unteren Ebene zugeordnet sind.
-
Die
Expertenkorrelation (Datenrahmen-Verschmelzungsregeln) 330 ist
eine Sammlung von Fuzzylogik-Expertenregeln, um eine Datenverfeinerung
auf Knotenebene (Ebene-1) oder eine Verfeinerung auf Netzsegmentebene
(Ebene-2) auszuführen.
Diese Regeln korrelieren und konsolidieren die zur Fuzzyverarbeitung vorbereiteten
(fuzzified) Ausgaben der Verwundbar keitsermittlungs- und Risikoanalyse-Werkzeuge,
wobei Expertise von Sicherheitsingenieuren verwendet wird. Diese
Regeln beziehen die extensive Erfahrung bei der Sicherheitsermittlung
ein, um Systemdaten und Werkzeugergebnisse unterer Ebene aufzulösen. Diese
Regeln lösen
die Systeminformations- und Integrationswerkzeug-Ausgaben auf. Die
Verarbeitung der Expertenkorrelationsregeln 330 kann ferner
Daten der unteren Ebene, die von dem CSM stammen, sowie Werkzeugergebnisse
in Schlußfolgerungen
höherer
Ebene transformieren.
-
Beispielsweise
in:
WENN Auditing mit diesen Markern durchgeführt wird,
UND die Auditierungsdaten kein Backup aufweisen, DANN ist die Auditierung
unzuverlässig.
-
Bei
Bearbeitung in der Faktenbank 302 ausgehend von Fuzzylogik-Fakten
kann ein Satz Zusammenführungsregeln
der Ebene-1 die Verwundbarkeiten für jeden Knoten konsolidieren,
wodurch sich eine Verwundbarkeitsbewertung für jeden Knoten in dem Netz
ergibt. Diese Wertung kann zurück
zum NVT zur Anzeige importiert werden. In gleicher Weise kann ein
Satz von Zusammenführungsregeln
der Ebene-2 die Verwundbarkeiten für jedes Netzsegment konsolidieren,
wodurch sich eine Verwundbarkeitsbewertung für jedes Netzsegment ergibt.
Diese kann wiederum zurückimportiert
werden, um angezeigt zu werden.
-
Die
Daten werden daraufhin der Fuzzylogik-Inferenznetzregel-Verarbeitung 304 unterworfen.
Es kann notwendig sein, weitere Verfeinerungen bezüglich der
zur Verfügung
stehenden Daten vor der Anwendung der Fuzzylogik-Evidential-Reasoning-Regel 304 auszuführen, wobei
die wahrscheinlichkeitstheoretische Natur der Daten beibehalten
wird. Diese Verfeinerung verwendet Inferenznetze, wie sie dem Fachmann
bekannt sind, welche ein Verfahren zum Zusammenführen hinsichtlich der Wahrscheinlichkeiten
mittels Heuristika vorsieht, wodurch das Erfordernis eines detaillierten
a-priori-Wissens entfällt.
-
Fuzzylogik-Evidential-Reasoning-Regeln 306 sind
eine Sammlung von Fuzzylogik-Expertenregeln, um
einzelne Werkzeugergebnisse zu einer Ermittlung auf höherer Ebene
aus dem Blickwinkel der Systemebene eines Netzsicherheitszustands
zu verschmelzen. Diese Regeln sehen Mechanismen zum Verschmelzen des
CSM, der Werkzeugergebnisse und den Ergebnissen aus der Expertenkorrelation
(Datenrahmen-Verschmelzungsregeln) 330 zu einem einheitlichen
Bericht vor. Dadurch entfällt
ferner die Notwendigkeit, mit unvollständigen und sich widersprechenden
Daten zu arbeiten, die von dem vorwärtsverkettenden Expertensystem
stammen, welche in der Expertenkorrelation verwendet werden.
-
Evidential-Reasoning
verwendet eine Technik, in der Fakten zusammengetragen werden, um
eine vorgegebene Hypothese zu beweisen oder zu widerlegen. Das Ergebnis
ist der Beweis oder die Widerlegung der Hypothese mit einem bestimmten
Verläßlichkeitsgrad.
FuzzyFusion® verwendet
Evidential-Reasoning, um Beweise von dem gemeinsamen Systemmodell
und Werkzeugergebnissen für
jedes Kriterium zu sammeln; wobei die ermittelten Daten des Computernetzsystems
zu einem einzelnen Referenzpunkt und die Konformität des Systems
hinsichtlich eines bestimmten Kriterium, verschmolzen werden. Durch
Unterstützen
eines Kriteriensatzes zur Verschmelzung schränkt das NVT das Zusammenführungsproblem
ein und verringert den Suchraum, wobei dies oben als zielbasierte
Zusammenführung
bezeichnet wurde. Das Ergebnis ist ein Satz von Fuzzylogik-Evidential-Regeln,
deren einziger Zweck es ist, Beweis für einen bestimmten Anforderungssatz zu
akkumulieren. Dadurch werden potentiell widersprechende, uneindeutige
und redundante Daten aufgelöst, die
von der Expertenkorrelation (Datenrahmenverschmelzungsregeln) 330 stammen,
und aufgrund der zur Verfügung
stehenden Daten werden Schlußfolgerungen
gezogen, auch wenn diese unvollständig sind. Offensichtlich ist
die Genauigkeit des Ergebnisses bedingt durch die Quantität und Qualität der zur
Verfügung
stehenden Daten.
-
Wie
oben bemerkt, ist die Fuzzylogik-Verarbeitung zielorientiert. Ziel
zur Beweisakkumulations-Verarbeitung 350 können von
einer Sicherheitserfordernis-Datenbank 352, einer Computersicherheits-Maßnahmendatenbank 354 oder
einer Verwundbarkeitsdatenbank 356, beispielsweise einer
Datenbank, die aus AFCERTs zusammengesetzt ist, abgeleitet werden.
Das Binden der Zusammenführung
auf vordefinierte Ziele beschränkt
die Rechenzeit. FuzzyFusion®-Ziele sehen Mechanismen
vor, um IA-Maße
zu erhalten.
-
Der
FuzzyFusion®-Prozeß hat eine
Anzahl von Vorteilen gegenüber üblichen
Ansätzen.
Scharfe Expertensysteme würden
extrem große
Wissensbasen erfordern, um die notwendigen Daten zu umfassen, und würden trotzdem
ein Problem mit unvollständigen
Daten und widersprechenden Ergebnissen aufweisen. Bayes-Netzwerke
und Wahrscheinlichkeitsnetzwerke erfordern extensives und oft nicht
bereitstehendes a-priori-Wissen von Wahrscheinlichkeiten.
-
Algorithmische
Lösungen
passen nicht zu der wahrscheinlichkeitstheoretischen und heuristischen
Natur der Sicherheitsprobleme.
-
Expertensysteme,
die auf dem RETE-Algorithmus basieren, beispielsweise FuzzyCLIPS,
weisen den Nachteil eines geometrischen Anstiegs der Rechenzeit
auf, bezogen auf die Anzahl der Regeln und Fakten, die in dem System
vorliegen. Dies führt
zum Aufbrechen der Analyse in Unternetze. FuzzyFusion® ermöglicht das
Hinzufügen
von Unternetzen und das Skalieren. Die Knoten für jedes Unternetz werden als
Gruppe ausgewertet, woraufhin die Gruppe der Unternetze ausgebildet
wird. Die Gruppierung der Regeln für jeden Analysetyp in verschiedene
Module verringert die Größe der RETE-Netzwerke.
Zusätzlich
zur Verringerung der Ausführungszeit
wird ferner ein skalierbares Verfahren zur Analysieren von Netzen
vorgesehen, welches das Netzmodell abbildet, das von dem NVT verwendet
wird.
-
Wie
in der 15 dargestellt ist, könnten andere
mögliche
Datenräume
eine Gefährdungs-Wissensdatenbank 360,
Kostendatenbank 362 als Teil einer Zusammenführung auf
Ebene 3, sowie eine Gegenmaßnahme-Wissensdatenbank,
eine Komponentendatenbank und eine Kostendatenbank als Teil der
Zusammenführung
auf Ebene 4 umfassen.
-
Ein
Verfahren und Datenverarbeitungssystem ermittelt die Sicherheitsverwundbarkeit
eines Netzes. Eine Systemobjekt-Modelldatenbank wird erzeugt und
erfüllt
die Informationsdatenanforderungen unterschiedlicher Netzverwundbarkeits-Analyseprogramme.
Lediglich die erforderlichen Daten aus der Systemobjekt-Modelldatenbank,
die das Netz wiedergeben, werden in das Programm importiert, welches
daraufhin das Netz analysiert, um für jedes Programm Datenergebnisse
zu erzeugen. Diese Datenergebnisse werden in einer gemeinsamen Systemmodelldatenbank
und innerhalb der Datenfaktenbank gespeichert. Es werden zielorientierte
Fuzzylogik-Entscheidungsregeln angewandt, um den Verwundbarkeitszustand
des Netzes zu ermitteln.