RU2742179C1 - Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления - Google Patents

Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления Download PDF

Info

Publication number
RU2742179C1
RU2742179C1 RU2020109494A RU2020109494A RU2742179C1 RU 2742179 C1 RU2742179 C1 RU 2742179C1 RU 2020109494 A RU2020109494 A RU 2020109494A RU 2020109494 A RU2020109494 A RU 2020109494A RU 2742179 C1 RU2742179 C1 RU 2742179C1
Authority
RU
Russia
Prior art keywords
building
options
information security
constructing
stage
Prior art date
Application number
RU2020109494A
Other languages
English (en)
Inventor
Владислав Васильевич Погорелов
Евгений Борисович Дроботун
Денис Викторович Козлов
Михаил Александрович Аксенов
Original Assignee
Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации filed Critical Федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации
Priority to RU2020109494A priority Critical patent/RU2742179C1/ru
Application granted granted Critical
Publication of RU2742179C1 publication Critical patent/RU2742179C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к защите информации. Технический результат заключается в сокращении времени обнаружения инцидента информационной безопасности. Способ построения системы обнаружения инцидентов информационной безопасности (ИБ) для автоматизированных систем управления, включающий в себя этапы построения и формирования подсистем обнаружения инцидентов ИБ, в ходе которого, используя метод морфологического анализа, формируют подсистемы планирования уровня, координации, управления средствами защиты информации и сбора данных о состоянии объекта, этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения. 1 ил.

Description

Изобретение относится к области систем защиты автоматизированных систем управления различного назначения от инцидентов информационной безопасности.
Для обеспечения защищенности АСУ от инцидентов информационной безопасности применяются разнообразные меры программно- технического характера, которые выполняются в виде систем обнаружения вторжений.
Известен способ построения системы защиты от компьютерных атак для автоматизированных систем [см. Россия, патент №2642374 G06F 21/57 (2017.08); G06F 21/577 (2017.08) Опубликовано: 24.01.2018.], заключающиеся в формировании всех возможных вариантов построения подсистем защиты от компьютерных атак и выбора наиболее рационального варианта. Недостатком данного способа построения системы защиты является отсутствие этапа оценки времени на обнаружение инцидентов информационной безопасности и рассмотрение понятия «компьютерная атака» в узком направлении.
Из уровня техники известна система для сбора инцидентов безопасности, которая осуществляет сбор информации в несколько этапов - первичный сбор и дополнительный, описанная в заявке US 20040260947 А1. После того как собрана вся необходимая информация о сети и ее компонентах, производится анализ и определяется инцидент. Недостатком известной системы является то, что она не позволяет определить причины и источник заражения, вследствие чего требуются дополнительные технические решения в автоматизированной системе, которые позволили бы описывать, накапливать и в последующем решать эти проблемы, что в свою очередь приведет к увеличению времени реагирования на инциденты безопасности.
Под инцидентом информационной безопасности (ИБ) понимается одно или серия нежелательных событий ИБ, которые имеют значительную вероятность компрометации обрабатываемой информации и угрожают информационной безопасности. Последствиями инцидентов ИБ могут быть прерывания работы АСУ, нарушение конфиденциальности, целостности или доступности информации системы, что в свою очередь приводит к потере производительности, или краху системы. В качестве примеров инцидентов угроз безопасности АСУ можно привести следующие угрозы: [Электронный ресурс] // ФАУ «ГНИИИ ПТЗИ ФСТЭК России». - URL: http://www.bdu.fstec.ru/threat (дата обращения 25.12.2019).]
Цель изобретения - сформировать исходя из данных требований такую систему обнаружения инцидентов информационной безопасности, которая бы позволила учитывать время обработки и минимизировать время обнаружения инцидента информационной безопасности и соответствовала требованиям по стоимости.
Указанная цель достигается тем, что в способе построения системы обнаружения для автоматизированных систем управления, за счет выбора оптимальной структуры и требований параметров системы обнаружения инцидентов информационной безопасности.
Исходя из этого, в качестве подсистем, обеспечивающих обнаружение инцидентов информационной безопасности АСУ, можно выделить:
• Подсистема планирования уровня защищенности;
• Подсистема координации действий участников;
• Подсистема управления средствами защиты информации;
• Подсистема сбора данных о состоянии объекта.
1. Этап формирования множества всех возможных вариантов построения системы обнаружения атак на АСУ от инцидентов информационной безопасности.
Figure 00000001
где Vпу3 - множество всех возможных вариантов построения подсистемы планирования уровня защищенности;
Vпк - множество всех возможных вариантов построения подсистемы координации действий участников;
Vпусз - множество всех возможных вариантов построения подсистемы управления средствами защиты информации;
Vпсд - множество всех возможных вариантов построения подсистемы сбора данных о состоянии объекта.
n,m,k,p - количество всех возможных вариантов построения подсистемы планирования уровня защищенности, подсистемы координации действий участников, подсистемы управления средствами защиты информации, подсистемы сбора данных о состоянии объекта.
2. Формирование множества V всех возможных вариантов А построения системы обнаружения инцидентов на основе множеств Vпуз, Vпк, Vпусз, Vпсд
Figure 00000002
где S - количество всех возможных вариантов построения системы защиты
3. Оценка сформированного множества V вариантов построения системы обнаружения инцидентов и выделение из него подмножества V* альтернативных вариантов построения системы обнаружения вторжений, реализующие заданные функциональные требования:
Figure 00000003
где
Figure 00000004
- реализуемые вариантом
Figure 00000005
функциональные требования системы, Fзад - заданные функциональные требования, N* - число альтернативных вариантов построения системы обнаружения.
4. Оценка сформированного множества V* альтернативных вариантов построения системы обнаружения воздействий и выделение из него подмножества V** допустимых по стоимости вариантов построения системы обнаружения:
Figure 00000006
где
Figure 00000007
- реализуемые вариантом
Figure 00000008
функциональные требования, Fзад - заданные функциональные требования,
Figure 00000009
- стоимость варианта
Figure 00000010
, Cдоп - максимально допустимая стоимость создания СОА,
N** - число допустимых по стоимости вариантов построения СОА;
5. Оценка сформированного множества V** допустимых по стоимости вариантов построения системы обнаружения, и выбор оптимального варианта построения системы обнаружения инцидентов информационной безопасности АСУ:
Figure 00000011
где
Figure 00000012
- показатель, характеризующий время обнаружения инцидента информационной безопасности АСУ i-го варианта построения системы обнаружение инцидентов информационной безопасности АСУ.
Общая схема процесса выбора оптимального варианта построения системы защиты показана на фигуре 1.
Исходными данными для разработки и построения системы обнаружения воздействий:
• Требуемая эффективность системы обнаружения Q описываемая совокупностью показателей, характеризующих способность системы обнаружения за минимальное время обнаружить инцидент информационной безопасности;
• Максимально допустимая стоимость создания системы обнаружения вторжений;
На этапе формирования возможных вариантов построения подсистемы планирования уровня защищенности, подсистемы координации действий участников, подсистемы управления средствами защиты информации, подсистемы сбора данных о состоянии объекта об инцидентах информационной безопасности.
Для формирования этих множеств использован метод морфологического анализа [4], преимуществом которого является возможность простой алгоритмизации и компьютерной реализации.
Вариант каждой подсистемы формируется на основе структуры подсистемы, которая представляет собой совокупность элементов L подсистемы, реализующих способы решения задач подсистемы и совокупности параметров F подсистемы, а множество этих вариантов формируется путем перебора всех возможных комбинаций сочетаний элементов подсистемы и их параметров.
Для подсистемы планирования уровня защищенности все возможные варианты формируются исходя из совокупности множеств {Lпуз, Fпуз}, где Lпуз - множество всех существующих средств планирования уровня защищенности, a Fобн- множество совокупностей параметров для каждого средства планирования уровня защищенности. Для подсистемы координации действий участников все возможные варианты формируются исходя из совокупности множеств {Lпк, Fпк}, где Lпк - множество всех существующих средств координации действий участников, a Fпк - множество совокупностей параметров для каждого средства координации действий участников подсистемы. Для подсистемы управления средствами защиты информации все возможные варианты формируются исходя из совокупности множеств {Lпусз, Fпусз}, где Lпусз - множество всех существующих средств управления средствами защиты информации, a Fпусз - множество совокупностей параметров для каждого средства управления средствами защиты информации. Для подсистемы сбора данных о состоянии объекта все возможные варианты формируются исходя из совокупности множеств {Lпсд, Fпсд}, где Lпсд - множество всех существующих средств сбора данных о состоянии объекта, a Fпсд - множество совокупностей параметров для каждого средства сбора данных о состоянии объекта.
Для снижения количества всех возможных вариантов построения каждой подсистемы (для уменьшения временных затрат), для параметров с плавно изменяющимися значениями принимаются три возможных значения: минимальное значение параметра, среднее значение параметра и максимальное значение параметра.
Далее, на этапе формирования множества всех возможных вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, исходя из множеств Vпуз, Vпк, Vпусз, Vпсд, полученных на предыдущем этапе, с помощью метода морфологического анализа формируется множество V всех возможных вариантов построения системы защиты путем перебора всех возможных комбинаций сочетаний вариантов построения подсистем.
Далее, на этапе оценки стоимости вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, производится оценка стоимости каждого варианта построения системы обнаружение инцидентов информационной безопасности АСУ, входящего во множество альтернативных вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, сформированного на предыдущем этапе. Стоимость
Figure 00000013
i-го варианта построения определяется суммой стоимостей каждой подсистемы, входящего в i-й вариант построения:
Figure 00000014
где sji - j-й элемент i-го варианта построения, C(sji) - стоимость j-го элемента i-го варианта построения, ni - число элементов в i-ом варианте построения системы обнаружение инцидентов информационной безопасности АСУ.
Из вариантов построения системы обнаружение инцидентов информационной безопасности АСУ, стоимость которых меньше или равна максимально допустимой стоимости, формируется множество допустимых по стоимости вариантов построения системы обнаружение инцидентов информационной безопасности АСУ.
На этапе оценки эффективности вариантов построения системы защиты из множества V* отбираются варианты построения системы защиты, удовлетворяющие требуемому уровню защищенности, обеспечиваемому системой защиты, и из отобранных вариантов формируется множество V**:
Figure 00000015
где Q - совокупность показателей, характеризующих уровень защищенности АСУ, реализуемой системой обнаружения инцидентов информационной безопасности;
Qтреб - требуемый уровень защищенности АСУ.
В качестве показателей, характеризующих уровень защищенности АСУ от компьютерных атак, используются коэффициент защищенности АСУ Z [5] и время восстановления работоспособности АСУ после обнаружения инцидента информационной безопасности АСУ Твосст:
Figure 00000016
Методика определения коэффициента защищенности АСУ Z изложена в [5]. Сущность методики заключается в проведении тестирования АСУ по двум направлениям: локального тестирования и сетевого. Локальное тестирование заключается в проверке состояния защищенности отдельных элементов АСУ от внутреннего нарушителя. Сетевое тестирование заключается в моделировании действий внешнего нарушителя и направлено на проверку защищенности АСУ в целом.
По итогам локального тестирования определяется локальный коэффициент уязвимости L, который определяется следующим образом:
Figure 00000017
где Pi - количество открытых портов на i-м элементе АСУ;
Yi - количество портов i-x элементов АСУ, на которых были найдены уязвимости.
По итогам сетевого тестирования определяется коэффициент уязвимости S вычислительной сети, объединяющей составные элементы АСУ:
Figure 00000018
где Ri - количество реализованных сценариев инцидентов информационной безопасности на i-м элементе АСУ;
Еo - количество основных сценариев моделирования инцидентов информационной безопасности;
Аo - количество дополнительных сценариев моделирования инцидентов информационной безопасности.
Далее находится коэффициент общей уязвимости системы W, который определяется следующим образом:
W=L⋅S.
Исходя из того, что уровень защиты АСУ и уровень общей уязвимости АСУ дополняют друг друга до единицы, коэффициент защищенности системы Z можно определить, как:
Z=1-W.
Время восстановления работоспособности АСУ после инцидента информационной безопасности Твосст определяется как сумма общего времени восстановления данных из резервных копий Твосстдан и времени восстановления операционной системы из точек восстановления Твосст. ос:
Твосст = Твосст. дан + Твосст. ос.,
На заключительном этапе выбора оптимального варианта построения системы обнаружения инцидентов информационной безопасности АСУ из множества V**, полученного на предыдущем этапе, выбирается оптимальный вариант А' построения системы обнаружения инцидентов информационной безопасности АСУ, который обеспечивает минимальное время обнаружения инцидентов информационной безопасности АСУ:
Figure 00000019
Таким образом, предлагаемый способ позволит построить систему обнаружения инцидентов информационной безопасности АСУ, удовлетворяющую требованиям по стоимости, эффективности защиты и обеспечивающая минимальное время обнаружения инцидентов информационной безопасности.
Предлагаемые технические решения являются новыми, поскольку из общедоступных сведений не известен предлагаемый способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (1)

  1. Способ построения системы обнаружения инцидентов информационной безопасности для автоматизированных систем управления, включающий в себя этап формирования множества всех возможных вариантов построения подсистем обнаружения инцидентов информационной безопасности, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, формируют множество возможных вариантов построения подсистемы планирования уровня, множество возможных вариантов построения подсистемы координации, множество возможных вариантов построения подсистемы управления средствами защиты информации и множество вариантов построения подсистемы сбора данных о состоянии объекта, при этом для уменьшения количества возможных вариантов построения подсистем для параметров элементов подсистем с плавно изменяющимися значениями принимают минимальное, среднее и максимальное значения; этап формирования множества всех возможных вариантов построения системы обнаружения инцидентов информационной безопасности, в ходе которого, используя реализуемый с помощью компьютера метод морфологического анализа, на основе множеств возможных вариантов построения подсистем, полученных на предыдущем этапе, формируют множество всех возможных вариантов построения системы обнаружения инцидентов информационной безопасности, которое записывают в память компьютера; этап оценки реализации функций в вариантах построения системы обнаружения инцидентов информационной безопасности АСУ, в ходе которого производят оценку соответствия реализованных функций в каждом варианте построения системы из множества вариантов, сформированного на предыдущем этапе, заданным функциональным требованиям и производят формирование множества альтернативных вариантов построения; этап оценки стоимости и вариантов построения системы защиты от компьютерных атак, в ходе которого с помощью компьютера определяют стоимость и требуемые для функционирования ресурсы всех вариантов построения системы из множества вариантов, сформированного на предыдущем этапе, с помощью компьютера, выбирают варианты, стоимость которых не превышают заданных, и далее из этих отобранных вариантов формируют множество вариантов построения системы обнаружения инцидентов информационной безопасности АСУ, удовлетворяющих требованиям по стоимости, которое записывают в память компьютера; этап оценки оптимального варианта построения системы обнаружения инцидентов информационной безопасности с минимальным временем обнаружения.
RU2020109494A 2020-03-03 2020-03-03 Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления RU2742179C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020109494A RU2742179C1 (ru) 2020-03-03 2020-03-03 Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020109494A RU2742179C1 (ru) 2020-03-03 2020-03-03 Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления

Publications (1)

Publication Number Publication Date
RU2742179C1 true RU2742179C1 (ru) 2021-02-03

Family

ID=74554794

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020109494A RU2742179C1 (ru) 2020-03-03 2020-03-03 Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления

Country Status (1)

Country Link
RU (1) RU2742179C1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
RU148692U1 (ru) * 2014-07-22 2014-12-10 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Система мониторинга событий компьютерной безопасности
RU2642374C1 (ru) * 2017-04-17 2018-01-24 Евгений Борисович Дроботун Способ построения системы защиты от компьютерных атак для автоматизированных систем управления
RU178282U1 (ru) * 2016-12-19 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Устройство контроля состояния защищенности автоматизированных систем управления военного назначения
RU180789U1 (ru) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Устройство аудита информационной безопасности в автоматизированных системах

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
RU148692U1 (ru) * 2014-07-22 2014-12-10 Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "ВОЕННАЯ АКАДЕМИЯ СВЯЗИ имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Система мониторинга событий компьютерной безопасности
RU178282U1 (ru) * 2016-12-19 2018-03-28 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Устройство контроля состояния защищенности автоматизированных систем управления военного назначения
RU2642374C1 (ru) * 2017-04-17 2018-01-24 Евгений Борисович Дроботун Способ построения системы защиты от компьютерных атак для автоматизированных систем управления
RU180789U1 (ru) * 2017-10-31 2018-06-22 Федеральное государственное бюджетное учреждение "4 Центральный научно-исследовательский институт" Министерства обороны Российской Федерации Устройство аудита информационной безопасности в автоматизированных системах

Similar Documents

Publication Publication Date Title
US10440048B1 (en) Anti-attacking modelling for CMD systems based on GSPN and Martingale theory
Musman et al. Computing the impact of cyber attacks on complex missions
US11347867B2 (en) Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful
Ahmed et al. Detecting Computer Intrusions Using Behavioral Biometrics.
kamal Kaur et al. Dependability analysis of safety critical systems: Issues and challenges
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
CN109977680A (zh) 一种业务数据安全风险识别方法及系统
Wang et al. Unified parametrizable attack tree
RU2610395C1 (ru) Способ расследования распределенных событий компьютерной безопасности
CN111756687B (zh) 一种应对网络攻击的防御措施配置方法及系统
RU2642374C1 (ru) Способ построения системы защиты от компьютерных атак для автоматизированных систем управления
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN109344042A (zh) 异常操作行为的识别方法、装置、设备及介质
Rakhimberdiev et al. Prospects for the use of neural network models in the prevention of possible network attacks on modern banking information systems based on blockchain technology in the context of the digital economy
CN114357459A (zh) 一种面向区块链系统的信息安全检测方法
CN112688971B (zh) 功能损害型网络安全威胁识别装置及信息系统
Liu et al. Vmras: A novel virtual machine risk assessment scheme in the cloud environment
Vache Vulnerability analysis for a quantitative security evaluation
RU2742179C1 (ru) Способ построения системы обнаружения инцидентов информационной безопасности в автоматизированных системах управления
Catta et al. A game theoretic approach to attack graphs
Park et al. Security requirements prioritization based on threat modeling and valuation graph
Czekster et al. BDMPathfinder: A tool for exploring attack paths in models defined by Boolean Logic Driven Markov Processes
Lauta et al. Increasing the reliability of computer network protection system by analyzing its controllability models
Fleming et al. Evaluating the impact of cybersecurity information sharing on cyber incidents and their consequences
Chernov et al. Method of identifying and assessing of automated process control systems vulnerable elements