На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Анализ эффективности централизованно-распределенной системы защиты

Параметры и характеристики эффективности. Информационная сигнатура
С точки зрения анализа эффективности централизованно-распределен­ной архитектуры системы защиты будем оценивать влияние, оказывае­мое на опорную сеть передачи данных (на пропускную способность) наложенной сетью системы защиты. Цель такого анализа — выработка рекомендаций по централизации задач, решаемых системой защиты в рамках сетевой реализации системы.
При этом выделим три основных функции системы защиты, характери­зующих ее функционирование в штатном режиме (не рассматривается
начальный этап функционирования системы, связанный с заданием на­строек ее параметров). Эти три функции таковы:
» контроль изменений состояния защищаемых объектов, выработка
реакции на изменение состояния; » контроль пользователя, работающего на защищаемом объекте; » регистрация (аудит) событий на защищаемом объекте.
Введем следующие обозначения:
параметр определяется, как интенсивность изменения состоя-
ний защищаемого узла ЛВС, которые должны быть зафиксированы системой защиты (именно на них должно быть выработано управля­ющее воздействие);
параметр определяется, как интенсивность проведения конт-
роля действий пользователя на защищаемом объекте; параметр определяется, как интенсивность получения запро-
сов администратором безопасности на серверную часть регистраци­онной информации (данных аудита) с защищаемого объекта;
Примечание
Будем считать, что все входные потоки пуассоновские (простейшие), что позволяет осуществлять суммирование их интенсивностей, при определении интенсивности входного потока в канале связи.
» параметр Р — мера централизации системы защиты, определяется как вероятность того, что событие изменения состояния защищаемого объекта — узла ЛВС, будет обрабатываться системой защиты распре­делен но (клиентской частью - - без участия сервера безопасности). Соответственно, с вероятностью (\~Р) событие будет обрабатываться централизованно — серверной частью системы защиты (сервером бе­зопасности).
Далее будем использовать понятие информационной сигнатуры, генериру­емой в канале связи системой защиты в единицу времени. Под информа­ционной сигнатурой будем понимать общий объем информации, измеряе­мый в килобайтах секунду и передаваемый системой защиты по каналу связи.
Определим объемы информационных взаимодействий клиентской и сер­верной компонент системы защиты:
..........объем информации, идентифицирующей изменение состоя­ния защищаемого объекта (дата, время, идентифицирующие параметры события события, текущий пользователь и т.д.);
Vy.........объем информации, идентифицирующей управляющее воздей­ствие системы защиты на факт изменения состояния защища­емого объекта;
Уж.......объем информации, передаваемый в запросе на проведение
контроля действий пользователя;
105
Часть II. Архитектурные принципы построения системы защиты информации
Уза.........объем информации, передаваемый в запросе на получение реги­страционной информации (аудита) с защищаемого объекта;
Vk..........объем информации контроля действий пользователя на защи­щаемом объекте (например, экранная копия);
Уа..........объем регистрационной информации (аудита).
Так как в ЛВС может одновременно находиться несколько десятков и сотен защищаемых объектов, взаимодействующих с одним сервером бе­зопасности, через N обозначим число защищаемых узлов в ЛВС.
С учетом введенных обозначений информационная сигнатура S, генери­руемая в канале связи системой защиты в единицу времени, может быть определена следующим образом:
5 = N-[P-Xexodl -(Vu + Vy) + Хвход2-{Узк + Vk) + ХвходЗ • Va\.
Так как объем с сервера регистрационной информации
зависит от параметра Р (на сервер следует запрашивать только регистра­ционную информацию, обрабатываемую в системе распределенно; инфор­мация, обрабатываемая централизованно, поступает на сервер в реаль­ном масштабе времени с вероятностью 1~Р), то объем информации регистрации определяется следующим образом:
Va = (1 - Р)   • Vu-Xexodl/ХвходЗ.
Естественно, что если пропускную способность связного ресурса обозна­чить через С, то доля пропускной способности связного ресурса, зани­маемая системой защиты К составит:
К = S/C.
этом под пропускной способностью связного ресурса будем понимать
не физическую скорость передачи данных в канале связи, а скорость пере­дачи собственно информации, без учета передачи заголовков, подтвержде­ний, затрат времени на арбитраж требований связного ресурса в ЛВС и т.д.
Заметим также, что обработка заявок на обслуживание системой защиты по сравнению с обработкой заявок от прикладных задач, должна осуществляться в приоритетном режиме.
Проанализируем полученное выражение. Если в него подставить выра­жение, задающее параметр Уа, то получим следующее приближение ха­рактеристики S:
S = N-[Xexod\ -(Vi + Уу) + Xexodl- {Vsh + Ук)\. Откуда можно сделать важный вывод, что осуществление регистрации
(аудита) событий в реальном времени на сервере безопасности, по су­ществу, приводит к выполнению условия Р = 1. Это означает получение характеристик, практически полностью совпадающих с характеристика­ми централизованной архитектуры системы защиты.
Таким образом, при построении системы защиты должно решаться сле­дующее противоречие. С одной стороны, регистрировать события на сер­вере безопасности целесообразно в реальном масштабе времени (в про­тивном случае, администратор безопасности не будет обладать необходимой текущей информацией о защищаемом объекте). С другой
стороны, реализация данного условия приводит к нивелированию пре­имуществ централизованно-распределенной архитектуры с точки зрения эффективности использования связного ресурса в защищаемой сети (не
с точки зрения оперативности реакций на регистрируемые события).
Ранее было отмечено, что исходя из соображений оперативности реак­ции на возможные факты НСД, а также исходя из обеспечения высокой надежности системы защиты, все механизмы защиты должны быть реа­лизованы распределенно (должно выполняется условие: Р = 0). То есть они должны исполняться клиентской частью системы защиты, устанав­ливаемой на защищаемые объекты. Характеристика S в этом случае за­дается следующим выражением:
S = S\ + S2 = N-[Aexod •      + Авход2 • (Уж + Ук)\.
Здесь характеристика 51 — N-[Aexod\ • Vu] определяет влияние на про­пускную способность опорной сети подсистемы регистрации событий (аудита), а характеристика SI = N• [Авход2 • (Узк + Ук)] — влияние под­системы контроля действий пользователя на защищаемом объекте.
Количественная оценка характеристик эффективности централизованно-распределенных
систем защиты
Приведем грубую количественную оценку рассматриваемых характерис­тик. Рассмотрим влияние подсистемы аудита (характеристика S1) на про­пускную способность связного ресурса. При этом зададим следующие значения параметров.
Пусть в сети находится 250 защищаемых объектов: N = 250 (это ЛВС сред­них масштабов). Параметр Vu определяется объемом регистрационной инфор­мации, характеризующим изменение состояние защищаемого объекта (тип события, текущий пользователь, время, дата и т.д.); примем: Vu = 100 байт. Параметр ХвходХ обоснованно задать наиболее сложно, т.к. события, харак­теризуемые состояние станции, имеющие различный физический смысл, могут
генерироваться с частотой, различающейся на порядки.
Примем = 10 (например, за 1 секунду запускается 10 различ­ных процессов, осуществляется 10 обращений к файловым объектам и т.д.), понимая, что реальное значение данного параметра при осуществ­лении атаки может быть значительно больше.
При заданных значениях параметров получаем, что 51 = 0.25 Мбайт/с. Оценим значение искомой характеристики С. Физическая скорость в ка­нале для ЛВС Ethernet составляет 10 Мбит/с (соответственно, Fast Ethernet — 100 Мбит/с). Скорость передачи данных грубо можно принять на порядок меньше физической скорости в канале связи (затраты време­ни на передачу служебных частей заголовков, подтверждений передачи, раз­решения коллизий и т.д.), откуда для сети Ethernet получаем порядка: С = 0.1 Мбайт/с, а для Fast Ethernet получаем порядка: С = 1 Мбайт/с.
Таким образом, для введенных предположений получаем, что для сети Ethernet трафик системы защиты в рамках реализации подсистемы ауди­та превышает исходную пропускную способность сети Ethernet и снижа­ет пропускную способность сети Fast Ethernet на 25% (К= S\/C= 0.25).
Поиск оптимального решения
Возможные подходы
Из полученных результатов можем сделать вывод о невозможности в
системе защиты реализовать передачу регистрационной информации в
полном объеме на сервер безопасности в реальном времени. Мы показа­ли, что это обусловлено слишком большими потерями производительно­сти связного ресурса, то есть доли полосы пропускания канала связи ЛВС,
занимаемой системой защиты информации.
С целью поиска оптимального решения проанализируем две составляю­щие — S1 и S2. Из выражения S\ = N- [Xexodl • Vu\ можем сделать вывод, что уменьшение характеристики S1 возможно только за счет уменьшения значения параметра Xexodl (т.к. уменьшить параметр Vu практически не­возможно). Собственно параметр Xexodl уменьшить невозможно, он оп­ределяется пользователем, а также работой ОС и приложений. Однако можно значительно снизить долю регистрационной информации, которую
следует выдавать на сервер в реальном времени. При этом всю остальную информацию можно получать на сервер по запросу администратора безо­пасности в моменты наименьшей загрузки канала связи (например, после
завершения рабочего дня, во время обеденного перерыва и т.д.).
Резонно предположить, что в реальном времени на сервер безопасности следует выдавать только информацию, связанную с НСД, то есть информа­цию о преднамеренных действиях пользователя, противоречащих разграни­чительной политики доступа к ресурсам. Это позволит снизить значение параметра Xexodl на несколько порядков, обеспечивая долю потерь произ­водительности связного ресурса в пределах единиц (долей) процентов.
Однако здесь появляется угроза генерирования злоумышленником собы­тий НСД (ошибок) с целью перегрузки канала связи ЛВС и временного вывода из строя ЛВС как опорной сети связи предприятия. Поскольку
заявки системы защиты в канале связи обрабатываются с более высоким приоритетом, чем заявки на занятие связного ресурса, поступающие от приложений, то у злоумышленника такая возможность имеется.
Для противодействия этому необходимо выделять и обрабатывать в ре­альном времени (передавать на сервер безопасности) только те зарегис­трированные события НСД, которые каким-либо образом преодолевают механизмы защиты, реализуемые клиентской частью системы защиты, и потому требуют немедленного вмешательства в процесс обработки ин­формации администратора безопасности.
Характеристика S2 = N-\Xexod'. • (I';/. + Vk) отражает влияние на пропуск­ную способность опорной сети подсистемы контроля действий пользова­теля на защищаемом объекте. Проанализируем данную зависимость. Во-первых, очевидно, что Узк « УК, т.е. далее параметр УК в выражении для S2 можем опустить. Во-вторых, контроль действий пользователя осуществ­ляется подсистемой оперативной обработки, реакцию которой задает че­ловеческий фактор. Реальный интервал времени, с которым администра­тор безопасности может просматривать контролируемую информацию (например, изображение на мониторе защищаемого объекта) - это 5... 15 се­кунд, причем вне зависимости от числа подключенных к ЛВС защищае­мых объектов. Поэтому здесь примем: N-Xexodl = 0.1 с"1.
Объем контролируемой информации может быть достаточно велик, од­нако для передачи по каналу связи контролируемая информация может сжиматься. Поэтому примем УК = 10 Кбайт.
С учетом сказанного получаем: S2 = 1 Кбайт/с, соответственно, для сети Ethernet получаем: К = S2/C= 0.01, для сети Fast Ethernet получаем: К = 0.001, т.е. контроль действий пользователя на защищаемом объекте снижает пропускную способность сети, соответственно, на 1% и на 0.1%.
Таким образом, несмотря на большие объемы контролируемой информа­ции, ввиду низкого уровня оперативности подсистемы контроля, обуслов­ливаемой человеческим фактором, реализация данной подсистемы в сис­теме защиты не оказывает сколько-нибудь заметного влияния на производительность связного ресурса ЛВС. Причем это верно вне зависи­мости от числа подключаемых к сети контролируемых объектов защиты.
Сводные рекомендации по построению централизованно-распределенных сетевых систем защиты, исходя из анализа эффективности
Система должна содержать три основных компоненты:
•  собственно компоненту защиты, реализующая разграничительную политику доступа пользователей к ресурсам;
• компоненту регистрации (аудита) изменений событий на защи­щаемом объекте;
• компоненту контроля действий пользователя на защищаемом объекте.
На основании проведенного анализа эффективности централизованно-распределенной архитектуры системы защиты могут быть даны следую­щие рекомендации по ее построению.
1. Компонента защиты должна быть реализована практически полностью распределенно. При этом все ее механизмы защиты должны быть
реализованы клиентской частью системы, устанавливаемой на защи­щаемом объекте. Централизация для этой компоненты состоит только лишь в возможности удаленного администрирования механизмов за­щиты с сервера безопасности, причем с дублированием данной функ­ции с консоли защищаемого объекта (т.е. распределенно).
2. Компонента регистрации (аудита) должна быть реализована по центра­лизованно-распределенной схеме с двумя уровнями обработки регис­трационной информации. Распределенность компоненты состоит в том, что все события аудита должны регистрироваться клиентской частью. При этом на сервер должны поступать только те данные, которые зарегистрированы клиентской частью системы защиты.
Уровни обработки определяют механизмы построения централизо­ванной компоненты аудита и задают способы передачи регистраци­онной информации на сервер безопасности. Первый уровень -
обработка в реальном времени - - предполагает немедленную от­правку регистрационной информации клиентской частью на сервер
безопасности, второй уровень — уровень оперативной обработки -
предполагает выдачу регистрационной информации по удаленному
запросу администратором безопасности с сервера в моменты мини­мальной загрузки канала связи.
С целью минимизации влияния системы защиты на производитель­ность связного ресурса на первом уровне должны обрабатываться минимальные объемы регистрационной информации - факты НСД (в пределе — факты преодоления злоумышленником распределенно реализуемых в системе механизмов защиты информации).
3. Компонента контроля пользователей на защищаемом объекте представляет
собою реализацию централизованной схемы сбора и обработки инфор­мации. При этом контролируемая информация генерируется и выдает­ся на сервер безопасности по команде с сервера. Несмотря на большие объемы передаваемой информации, реализация данной компоненты не
оказывает сколько-нибудь заметного влияния на производительность связного ресурса (занимает доли процента полосы пропускания канала связи). Причем это независимо от числа контролируемых системой защиты объектов (рабочих станций и серверов ЛВС).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика