автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.06, диссертация на тему:Автоматизация принятия решений по управлению межсетевым экранированием корпоративных АСУ

На правах рукописи

САЮШКИН Андрей Александрович

АВТОМАТИЗАЦИЯ ПРИНЯТИЯ РЕШЕНИЙ ПО УПРАВЛЕНИЮ МЕЖСЕТЕВЫМ ЭКРАНИРОВАНИЕМ КОРПОРАТИВНЫХАСУ

05.13.06 - Автоматизация и управление технологическими процессами и производствами (промышленность)

Автореферат диссертации на соискание ученой степени кандидата технических наук

Оренбург 2004

Работа выполнена в ГОУ ВПО «Оренбургский государственный университет».

Научный руководитель доктор технических наук, профессор

Султанов Наиль Закиевич

Официальные оппоненты: доктор технических наук

Тарасов Александр Алексеевич;

кандидат технических наук Нестеренко Максим Юрьевич

Ведущая организация АО «Центральный НИИ радиоэлектронных систем» (г. Москва)

Защита состоится ^декабря 2004 г. в часов на заседании диссертационного совета Д 212.181.02 в ГОУ ВПО «Оренбургский государственный университет» по адресу: 460352, г. Оренбург, пр. Победы, 13, ауд. 6205.

С диссертацией можно ознакомится в библиотеке Оренбургского государственного университета.

Автореферат разослан 2004 г.

Ученый секретарь диссертационного совета

В.И. Рассоха

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Последние десятилетия характеризуются тенденцией слияния АСУП и АСУ ТП в единые системы управления интегрированным производством, технической основой которого становится корпоративная автоматизированная система управления. Опыт интегрированных производств свидетельствует о повышении роли организационного обеспечения, регламентирующей конфиденциальность, сохранность и доступность информационных ресурсов корпоративной АСУ (далее КАСУ). Основой организационного обеспечения становится система защиты информационных ресурсов. В последнее десятилетие уровень потерь корпораций от деструктивных воздействий на информационное и программное обеспечение АСУ соизмерим со стоимостью собственно автоматизированной системы. Этот факт определяется, с одной стороны, скачкообразным ростом количества объектов информатизации в КАСУ, а с другой - аналогичным ростом числа информационных атак и способов несанкционированного доступа к этим объектам.

Проблемам обеспечения защищенности распределенных компьютерных систем, к классу которых относятся КАСУ, посвящены работы таких известных российских ученых как ВА Герасименко, С.П. Расторгуева, П.Д. Зегжда, Л.М Ухлинова, A.M. Ивашко, зарубежных исследователей К. Лен-двера, Д. МакЛина, Р. Сандху и других.

Обобщая результаты исследований, можно сделать вывод, что существующие средства защиты обеспечивают существенное повышение защищенности КАСУ. Тем не менее, уровень автоматизации основного этапа защиты -выработки решений - остается низким. Из данных, приведенных в настоящем исследовании, видно, что выработка решений по большинству функций защиты производится по-прежнему человеком (администратором сети), а там, где этот процесс автоматизирован, обоснованность решений, снимаемых по машинным рекомендациям, остаётся невысокой.

Следовательно, одним из главных противоречий объекта исследований становится противоречие между существенно возросшей значимостью защиты информационного обеспечения КАСУ и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты. Эти обстоятельства определяют актуальность работы.

Истоки этого противоречия заключаются в принятой к реализации в существующих КАСУ интегрированных производств технологии выработки решений по защите информационных ресурсов, содержание которых формируется человеком - администратором безопасности. Такой подход ограничивает круг управляемых средств защиты только теми, на управление которыми у администратора хватает ресурса времени.

Целью диссертационной работы является повышение эффективности управления межсетевым экранированием КАСУ путем разработки методической базы автоматизации управления средствами защиты

Объект исследования: методы защиты информационного обеспечения

КАСУ.

¡'ОС. НАЦИОНАЛЬНАЯ БИБЛИОТЕКА

Предмет исследования: технология управления средствами защиты информационного обеспечения КАСУ на основе межсетевого экранирования.

Научная задача состоит в развитии теории и обосновании путей совершенствования методов защиты информационного обеспечения КАСУ на основе автоматизации принятия решений по управлению средствами защиты.

В рамках указанной научной задачи в диссертации решены следующие теоретические и научно-технические задачи:

1) приведены в соответствие понятийный аппарат защищенности информационного обеспечения с предметной областью исследований - корпоративной АСУ интегрированного производства;

2) разработан методический аппарат моделирования, обеспечивающий определение временного интервала на принятие решений о выборе варианта защиты в условиях информационного противоборства;

3) обоснована архитектура и методический аппарат средств управления сетевым трафиком мносегментной корпоративной сети интегрированного предприятия на основе межсетевого экранирования;

4) разработан прототип системы защиты информационного обеспечения корпоративной АСУ на основе управляемого межсетевого экрана и оценена его эффективность.

Методы исследования. В работе использованы методы теорий системных исследований, принятия решений, информации, вероятностей и математической статистики, вариационные исчисления, теория игр и статистических решений.

Основные положения, выносимые на защиту:

1. Результаты системного анализа противоречий организационного обеспечения КАСУ и исследования проблем распределенной системы защиты информационного обеспечения.

2. Методический аппарат оценки оперативности управления средствами защиты в условиях информационного противоборства.

3. Совокупность моделей и методов автоматизации управления межсетевым экранированием КАСУ.

4 Методика и результаты оценки эффективности защиты информационного обеспечения КАСУ на основе предложенной технологии принятия решений по управлению средствами защиты.

Научная новизна работы заключается в том, что в ней впервые предлагается решение ключевой проблемы защиты информационного обеспечения КАСУ интегрированных производств - автоматизации выработки решения по управлению средствами распределенной системы защиты на основе межсетевого экранирования при обнаружении вторжения и аномальной активности пользователей.

Теоретическое значение исследования заключается в развитии научных результатов теории информации и их новом практическом применении для управления механизмами защиты информационных ресурсов КАСУ; в разработке методов и моделей анализа информационных атак и принятия соответствующих решений по выработке управляющих воз-

действий на механизмы и средства защиты информационного обеспечения, представляющие собой исполнительные органы в контуре управления.

Практическое значение заключается в разработанном комплексе программных средствах автоматизации принятия решений по управлению межсетевым экранированием корпоративных АСУ. Предложенная совокупность программных модулей является развитием системного программного обеспечения корпоративных вычислительных сетей.

Программные средства внедрены в учебный процесс ГОУ ВПО «Оренбургский государственный университет» и в производственный процесс в ООО «Газпромавтоматика» (г. Оренбург).

Публикация и апробация. По теме диссертационной работы опубликовано 5 статей и получено 3 свидетельства о регистрации программ. Практические результаты работы были доложены и получили одобрение:

- на всероссийской научно-практической конференции «Современные аспекты компьютерной интеграции машиностроительного производства» (г. Оренбург, 2003 г.);

- на региональной научно-практической конференции «Современные информационные технологии в науке, образовании и практике» (г Оренбург, 2003 г);

- на региональной научно-практической конференции «Молодые ученые и специалисты Оренбургской области. Секция «Новые промышленные технологии и техника» (г. Оренбург, 2004 г.);

- на заседаниях научного семинара «Актуальные проблемы интеллектуального управления в человеко-машинных системах» (г Оренбург, 2004 г).

Основные научные разработки были применены в программном продукте «Snort Shell for Windows», зарегистрированном в:

- Российском агентстве по патентам и товарным знакам;

- Отраслевом фонде алгоритмов и программ;

- университетском фонде алгоритмов и программ ОГУ

Объем и структура диссертации. Диссертация состоит из введения, четырех разделов, заключения и приложений, изложена на 160 страницах машинописного текста, иллюстрирована 42 рисунками и 11 таблицами. Список использованной литературы содержит 125 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертационного исследования, формулируется цель и задачи исследования, научная новизна, практическая значимость, положения, выносимые на защиту, результаты внедрения.

В первом разделе проведен системный анализ структуры и функций КАСУ интегрированных производств, выявлена возрастающая роль организационного обеспечения, основу которого составляет система защиты информационного обеспечения (СЗИО). Анализ деструктивных воздействий,

методов и средств защиты информационных ресурсов КАСУ позволил выявить ряд противоречий организационного обеспечения интегрированных производств (рис. 1).

Для преодоления указанных противоречий уточнено понятие защищенности КАСУ как свойство СЗИО достигать целевого эффекта при взаимодействии с системой информационного нападения (СИН).

При внешних информационных воздействиях противника технология управления СЗИО в значительной степени определяет защищенность информационного обеспечения и эффективность решения целевых задач КАСУ

Контур управления защитой, реализуемый СЗИО, в концептуальном виде представлен на рис. 2. Данный контур имеет иерархическую структуру и включает два взаимосвязанных управляющих контура: контур верхнего уровня - управление принятием решений на использование определенных средств защиты и контур нижнего уровня - реализация управленческих функций конкретными средствами защиты.

Опираясь на сформулированные противоречие и перечень задач научного характера, решение которых определяет достижение целей исследования, определена научная задача исследования.

Во втором разделе разработан методический аппарат оценки оперативности управления средствами защиты в условиях информационного противоборства.

Выбор решения в сложных ситуациях информационного противоборства производится в условиях риска и неопределенности. Еще более сложно дело обстоит в задачах управления активной информационной борьбой. Эти особенности принятия решений по управлению СЗИО в полной мере соответствуют формализации защищенности как функции выигрыша на основе построения формальных моделей байесовского риска в теории статистических решений. Пусть М- множество возможныхрешений, ау 6 М- его элементы. Решениеу формируется с использованием имеющейся информации лс о противнике, являясь результатом её обработки. При этом информация х в идеальном конфликте представляет собой номер 1 варианта нападения, который выбрал противник из имеющегося множества альтернатив N и который был однозначно идентифицирован средствами контроля СЗИО. Если заданы

функции распределения случайных моментов времени

реализации т вариантов защиты и функции распределения Р? У = \п

случайных моментов времени г реализации п вариантов нападения, тогда, в условиях информационного конфликта г-го и у-го вариантов действий противоборствующих сторон на интервале [0,Т], выигрыш защиты заключается в реализации своего варианта действий раньше, чем будет реализован соответствующий вариант нападения

Интеграция производств, рост числа объектов автоматизированного управления

Рост типов угроз безопасности информационного обеспечения, расширение способов их применения

Увеличение числа и разнообразия средств защиты, появление новых средств и методов их применения

Необходимость применения гибких технологий защиты и адаптивного принятия решений в условиях неопределенности угроз безопасности

Отсутствие методов решения задач управления средствами защиты с учетом динамики информационного противоборства

Новизна постановки задачи принятия решений по управлению системой защиты распределенной АСУ

Рис. 1 - Основные противоречия процессов организационного обеспечения корпоративных АСУ

Рис. 2 - Контур управления защитой КАСУ

Пусть также задано распределение вероятностей Q.fz{<^t>^••>qJ обнаружения действий СИН средствами СЗИО и условные распределения Рц(И) = {р¡у——>Р„^ вероятности выбора варианта защиты при условии обнаружения таких действий.

Тогда усреднение вероятности (1) своевременной реализации варианта защиты по всем возможным альтернативам представляет собой обобщенный показатель эффективности применения СЗИО вариантов защиты

(2)

М 1=1 о

При этом на данный показатель влияет информационная связь между случайным номером варианта действий стороны защиты и случайным номером варианта действий стороны нападения. Эта связь по существу является количеством информации по Шеннону, которой обладает СЗИО в отношении действий СИН вида

(3)

Отсюда следует постановка вариационной задачи максимизации показателя защищенности при ограничениях на информационное обеспечение принятия решений в СЗИО, где варьируемыми являются вероятности условного распределения

(4)

Предложен алгоритм на основе неопределенных множителей Лагран-жа, позволяющий найти аналитическое решение вариационной задачи (4). Данный методический аппарат оценки защищенности адекватен реальным процессам информационного противоборства только при условии стационарности воздействий СИН. Для построения модели оценки требуемой оперативности принятия решений, описывающей динамику изменения условий информационного противоборства и соответствующие реакции участвующих в нем сторон, использован математический аппарат многошаговых динамический игр. Формально задача оценки оперативности принятия решений по управлению защитой информационных ресурсов КАСУ поставлена следующим образом

где = Д1син(1), 1сзи(1% Мг(Т,РЩ, Мг(Т,ОЩ)) - функция суммарного выигрыша СЗИО между очередными воздействиями противников

Предложен алгоритм решения этой задачи.

Ш1. Используя характеристики средств получения информации, сформировать базовые узлы и выполнить экстраполяцию функции накопления количества информации о действиях СИН на / -ом цикле развития игровой ситуации -

Ш2 Сформировать зависимость выигрыша СЗИ на основе полученного количества информации -

ШЗ На основе характеристик ущерба от воздействий противника сформировать прогноз ущерба в виде функции выигрыша СЗИО с момента реализации своего решения противником на /-/-ом цикле развития игровой ситуации -

Ш4. Найти оптимальный временной интервал принятия решений 1:ор1, являющийся корнем дифференциального уравнения вида

Результат реализации предложенного алгоритма для прототипа корпоративной АСУ представлен на рис. 3.

2600 2400 2 200 2 ООО 1 800 1 600 1 400

лму(т, р^+му. ¡(Т,й4 Л

= 0.

(5)

1 ООО

1 200

600

800

200

400

Рис 3 - Оценка оперативности принятия решений при атаке типа подбор пароля авторизованного доступа с помощью программного генератора

паролей

Анализ результатов моделирования свидетельствует, что администратору безопасности для принятия решений на изменение правил защиты, например, от подбора пароля авторизованного доступа с помощью программного генератора паролей, будет выделено времени от 60 до 80 с. Следовательно, администратор безопасности работает в условиях острого дефицита времени на принятие решений по защите информационных ресурсов КАСУ.

Третий раздел посвящен разработке моделей и методов автоматизации управления межсетевым экранированием. Возможность контроля сетевого трафика на границах нескольких сетей обуславливает использование межсетевого экрана (МЭ) в качестве основного средства защиты как внешнего периметра сети, так и различных внутренних сетевых сегментов.

Для обеспечения требуемой оперативности работы администратора безопасности, особенно в критических ситуациях, необходимо пересмотреть технологию управления средствами разграничения доступа. Новая технология должна предусматривать автоматическое принятие решений на уровне МЭ в случае обнаружения вторжения и аномальной активности объектов сети. На рис. 4 предложена такая технология управления средствами разграничения доступа, в качестве которого используется МЭ.

Рис. 4 - Технология управления МЭ с автоматическим принятием решения на изменение прав доступа к сетевым ресурсам

Контур адаптивного управления реализации новой технологии управления защитой информационных ресурсов КАСУ на основе МЭ ¥агв№га11Л представлен на рис. 5.

Предложенный контур адаптивного управления МЭ является развитием архитектуры межсетевого экрана с поддержкой функции управления при обнаружении вторжения и аномальной активности.

Базовым процессом в контуре управления принятием решений является моделирование трафика информационного обмена. В интересах настоящего исследования модель трафика представлена временным рядом суммы трех компонентов: У({) - составляющей, описывающей нормальное среднесуточное изменения трафика; 0(() - составляющей, учитывающей изменение трафика сети за счет проявления сетевых угроз безопасности; е(0 - случайной последовательности, учитывающей ошибки процесса моделирования.

Рис. 5 - Контур адаптивного управления МЭ

С учетом сказанного модель сетевого трафика представляется в виде

Г(1) = У(0 + С(0 + е(0. (6)

Отсюда, определение составляющей С(1) является целевой функцией контура управления принятием решений на изменение базы правил МЭ, которая характеризует превышение уровня сетевого трафика в случае проявления сетевых угроз и аномальной активности объектов сети.

В работе предложена методика регистрации сетевого трафика с помощью счетчика накопительного типа и его преобразование в классическую случайную последовательность, для которой применимо статистическое оценивание. В связи с изменением уровня сетевого трафика во времени введен индекс изменения математического ожидания

(7)

Для описания динамики изменения индекса математического ожидания во времени и определения критичности события для анализа сегмента сети введем функцию вида

/(0 = |>,<х(Г,а,),

(8)

где

<г(!,а) =

ГО,/< а [иъа

Отсюда модель сетевого трафика контура управления принятием решений примет вид

Г(0 = £/>/,<т((,я,).

(9)

Проявлением информационной атаки является повышение уровня информационного обмена, который регистрируется в журнале событий МЭ. В работе соответствующему уровню сетевого трафика присвоен соответствующий код опасности.

Для прогнозирования угроз безопасности сегментов сети введены в закон управления принятием решений на изменение базы правил МЭ две составляющие: первая - для прогнозирования текущего состояния сети, вторая - для выявления скрытых закономерностей сетевой безопасности. Для решение задачи прогноза первой составляющей используем метод кусочно - полиномиальной экстраполяции сплайнами 2-го порядка. Для выявления скрытых угроз безопасности применим спектральный анализ временного ряда.

Экстраполяция сплайном 2-го порядка определяется зависимостью

у,=Ьа+Ь,1+Ь/+е,.

(10)

Коэффициенты полинома (10) определяются методом наименьших квадратов. С целью определения уровня опасности введен индекс:

Ус+1)

(И)

где определяется по зависимости (10).

Для комплексной оценки опасности сегмента корпоративной сети определены уровни опасности и действия сетевой системы защиты информационного обеспечения, представленной в таблице 1.

Таблица 1 - Порядок действий сетевой системы защиты

Код уровня Уровень опасности сети Действия

1 Отсутствие или низкий Информировать текущее состояние

2 Средний Информировать администратора

3 Высокий Применять систему противодействия на межсетевом экране

В работе определены условия перехода на соответствующий уровень.

Таким образом, использование на этапе прогнозирования сплайна 2-го порядка позволяет предсказать угрозы безопасности корпоративной АСУ на два шага вперед. Для решения задачи принятия решений по управлению защитой информационного обеспечения КАСУ введены индексы опасности, позволяющие корректировать контур управления МЭ.

При спектральном анализе сетевого трафика для выявления скрытых закономерностей исходят из предположения, что временной ряд является суммой или спектром многих волнообразных изменений, которые можно

описать с помощью тригонометрических функций. Целью спектрального анализа является отыскание скрытых периодично стей и оценка их интенсивности. Для описания волнообразных колебаний динамического временного ряда использована периодическая функция Фурье вида:

(12)

где а0 — средний уровень ряда; - длина волны; к — номер гармоники; / — порядковый номер временного периода; п — длина ряда, т. е. число уровней в нем. Для нахождения параметров (12) использованы зависимости вида:

. 2 ^

■ —а,=~ЬУ<-п п

360/ / :

, 2 -г-» • 360? п " I

Для определения наличия циклов и первоначальной длины периода использована автокорреляционная функция вида

(13)

где изменяется от до

В таблице 2 показаны типы зависимости величины Я и соответствующие им уровни опасности. Для высокой степени зависимости используется функция на основании рядов Фурье.

Таблица 2 - Тип зависимости от значения автокорреляционной функции

Таким образом, на этапе прогнозирования с целью выявления внутренних циклов и закономерностей использован спектральный анализ временного ряда Фурье, позволяющий находить периодические закономерности опасности корпоративной АСУ

В четвертом разделе исследована эффективность защиты информационного обеспечения прототипа корпоративной АСУ на основе новой технологии принятия решений по управлению межсетевым экранированием. В основу исследования положен метод имитационно-аналитического модели-

рования Схема модели исследования представлена на рис 4

Центральным звеном оценки эффективности управления является выбор критерия (показателя эффективности), который позволит оценить, насколько один способ управления лучше или хуже другого В настоящее время сложилась система критериев и показателей эффективности, разработаны общеметодологические принципы их использования, позволяющие решать широкий спектр задач управления Во многих из них критерий эффективности определяется как наиболее важный для данной задачи показатель С позиций системного подхода, критерий эффективности это не число, а признак (условие), по которому принимается решение при оценке эффективности системы Для сравнительной оценки в качестве показателя эффективности управления используется следующая зависимость

Эр

Эуа , (11)

где Эу1 , - значение показателя эффективности защиты при I -ом предлагаемом варианте управления,

Эуа - значение показателя эффективности СЗИ, принятие решений в которой возлагается на администратора безопасности

Схема, представленная на рис 6, носит комплексный характер и включает в себя два варианта, различающиеся составляющими модуля принятия решений, видом информационных атак и средствами защиты информацион-

ного обеспечения, перечень которых определяется режимом исследования.

В качестве экспериментального принят участок сети УНПК ГОУ ВПО ОГУ Для имитации действий СИН использовалось два типа атак:

- нарушение конфиденциальности прав доступа с помощью специализированных утилит;

- подбор пароля авторизованного доступа с помощью программного генератора паролей.

Расчеты показали, что как инструмент исследования предложенные модели работоспособны. Достоверность результатов моделирования лежит в пределах 0,9. Установлено, что нет оснований отвергать гипотезу об адекватности предложенного моделирующего аппарата. Этот вывод сделан на базе сравнения полученных результатов с данными, полученными на апробированных моделях, а также тестирования моделей в процессе внедрения.

Результаты моделирования свидетельствуют, что с применением новой технологии принятия решений следует ожидать повышения эффективности средств защиты информационного обеспечения на 50...70%, причем положительный эффект новой технологии принятия решений усиливается по мере увеличения сложности КАСУ. Этот факт подтверждает достижение цели исследования и целесообразность выбранного направления совершенствования методов защиты информационного обеспечения КАСУ.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ И ВЫВОДЫ

1. В результате анализа структуры и функций современного интегрированного производства выявлена основополагающая тенденция слияния АСУП и АСУ ТП в единые интегрированные системы управления производством, технической основой которой становится корпоративная АСУ. Выявлено повышение роли организационного обеспечения корпоративной АСУ, регламентирующей конфиденциальность, сохранность и доступность информационных ресурсов. Основой организационного обеспечения становится система защиты информационных ресурсов.

2. Установлено, что главным противоречием объекта исследований является противоречие между существенно возросшей значимостью защиты информационного обеспечения КАСУ и неадекватным уровнем автоматизации принятия решений по управлению средствами зашиты.

3. Разработана модель определения оптимального времени принятия решений в зависимости от количества информации и выигрыша системы защиты информационного обеспечения при условии воздействия системы информационного нападения. Результат моделирования свидетельствует, что администратору безопасности для принятия решений на изменение правил защиты необходимо от 50 до 160 с в зависимости от сложности КАСУ и вида информационных атак.

4. Предложен контур управления, позволяющий а втоматизировать технологию принятия решений на изменение базы правил политики безопасности МЭ, что является развитием архитектуры межсетевого экрана с под-

держкой функции управления при обнаружении вторжения и аномальной активности.

5. Разработан методический аппарат моделирования сетевого трафика в контуре управления принятием решений с целью обнаружении вторжения и аномальной активности.

6. Проведено экспериментальное исследование эффективности автоматизации управления межсетевым экранированием корпоративной АСУ. Результаты эксперимента свидетельствуют, что оперативность принятия решений при использовании предложенной технологии управления межсетевым экранированием увеличивается на 50 - 70 %.

ПУБЛИКАЦИИ ПО ТЕМЕДИССЕРТАЦИИ

1. Саюшкин A.A. IDS как основной компонент защиты ИТКС // Современные информационные технологии в науке, образовании и практике: Материалы региональной НПК. - Оренбург: РЖ ГОУ ОГУ, 2003. - С 77-82.

2. Саюшкин А. А. Необходимость построения системы разграничения доступа в ИТКС предприятия с учетом аудита // Современные информационные технологии в науке, образовании и практике: Материалы региональной НПК. - Оренбург: РИК ГОУ ОГУ 2003. - С 70-74.

3. Саюшкин А.А. Роль аудита в вычислительных системах при организации доступа пользователей ИТКС к обрабатываемым данным. // Современные аспекты компьютерной интеграции машиностроительного производства: Материалы всероссийской НПК. - Оренбург: ИПК ОГУ, 2003. -С 199-203.

4. Саюшкин А. А. Ушаков Ю. А. Система управления вычислительными сетями на базе программного комплекса «Snort shell for Windows version 0.3» // Материалы региональной НПК молодых ученых и специалистов. -Оренбург: РИК ГОУ ОГУ, 2004. - С 95-96.

5. Саюшкин А.А. Ушаков ЮА Snort Shell for Windows version 0.4. Свидетельство об официальной регистрации программы для ЭВМ № 2004611272. - М: Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, 2004.

6. Саюшкин А.А. Ушаков ЮА Snort Shell for Windows version 1.0 (681Кбайт). Свидетельство о регистрации программного средства № 32. -Оренбург: ГОУ ПВО ОГУ, 2004.

7. Саюшкин А.А. Ушаков Ю.А. Snort Shell for Windows version 3.0. Свидетельство об отраслевой регистрации разработки № 3284. - М: МО РФ ГКЦИТ Отраслевой фонд алгоритмов и программ, 2004.

8. Саюшкин А.А. Султанов Н.З. Развитие методов защиты информационного обеспечения корпоративных АСУ // Актуальные проблемы интеллектуального управления в человеко-машинных системах: Сб. трудов НПС. - Оренбург: ФВУ ВПВО, 2004. - С 8-12.

Лицензия № ЛР020716 от 02.11.98.

Подписано в печать 27.10.2004 г.

Формат 60x84 ^^ . Бумага писчая. Усл.печ.листов 1,0. Тираж 100. Заказ 675.

ИПК ГОУ ОГУ 460352 г. Оренбург ГСП пр. Победы, 13 Государственное образовательное учреждение «Оренбургский государственный университет»

ВВЕДЕНИЕ.

1. СИСТЕМНЫЙ АНАЛИЗ ПРОТИВОРЕЧИЙ В КОРПОРАТИВНЫХ АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ.

1.1 Роль и место защиты информационного обеспечения в корпоративных автоматизированных системах управления.

1.1.1 Анализ сущности и содержания процессов управления корпоративных производств

1Л.2 Концептуальный анализ управления защитой информационного обеспечения КАСУ.

1.2 Анализ угроз информационного обеспечения КАСУ

1.3 Анализ методов и средств защиты информационных каналов

1.3.1 Анализ методов защиты информационных каналов связи.

1.3.2 Анализ средств разграничения доступа к информационному обеспечению КАСУ.

1.3.3 Характеристика процесса управления средствами защиты

1.4 Цель исследования и решаемая задача.

1.4.1 Формулировка основного противоречия и цели исследования

1.4.2 Постановка научной задачи и её формализация.

Выводы.

2 РАЗВИТИЕ МЕТОДИЧЕСКОГО АППАРАТА ОЦЕНКИ ОПЕРАТИВНОСТИ УПРАВЛЕНИЯ СРЕДСТВАМИ ЗАЩИТЫ В УСЛОВИЯХ ИНФОРМАЦИОННОГО ПРОТИВОБОРСТВА

2.1 Методика оценки защищенности информационных ресурсов

КАСУ в игровых моделях принятия решений

2.2.1 Постановка задачи оценки защищенности для игровых моделей принятия решений

2.1.2 Методика оценки защищенности корпоративных АСУ в условиях информационного противоборства

2.2 Разработка модели принятия решений при стационарных воздействиях

2.2.1 Методика оценки количества информации в модели принятия решений

2.2.2 Модель оптимизации стационарных решений по управлению защитой информационных ресурсов КАСУ

2.3 Разработка модели оценки оперативности принятия решений

2.3.1 Динамика информационного противоборства в игровой модели принятия решений

2.3.2 Постановка задачи и методика расчета оптимального времени принятия решений по управлению средствами защиты

2.3.3 Выбор способа аппроксимации законов распределения показателей информационного противоборства

2.3.4 Оценка оперативности принятия решений в системе защиты гипотетической корпоративной сети

Выводы

3 РАЗРАБОТКА МОДЕЛЕЙ И МЕТОДОВ АВТОМАТИЗАЦИИ УПРАВЛЕНИЯ МЕЖСЕТЕВЫМ ЭКРАНИРОВАНИЕМ

3.1.Развитие архитектуры межсетевых экранов с целью поддержки функций управления в составе многоуровневой распределенной системы защиты

3.1.1 Базовая архитектура межсетевого экрана

3.1.2 Архитектура межсетевого экрана с поддержкой функции управления при обнаружении вторжений и аномальной активности

3.2 Методы анализа информационных потоков КАСУ.

3.2.1 Технология получения статистической информации об информационных потоках в корпоративной АСУ.

3.2.2 Методика преобразования регистрируемой информации в классическую случайную последовательность.

3.3 Разработка моделей и методов автоматизированного управления межсетевым экранированием распределенной системы защиты информационного обеспечения КАСУ.

3.3.1 Выбор и обоснование метода моделирования информационных потоков корпоративной АСУ

3.3.2 Разработка методического аппарата моделирования сетевого трафика в контуре управления принятием решений с целью выявления сетевых угроз безопасности

3.3.3 Разработка методического аппарата прогнозирования угроз безопасности корпоративной АСУ.

3.4 Разработка программных модулей контура управления принятием решений по защите информационного обеспечения.

Выводы.

4 ОЦЕНКА ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ КАСУ НА ОСНОВЕ НОВОЙ ТЕХНОЛОГИИ ПРИНЯТИЯ РЕШЕНИЙ

4.1 Развитие методического аппарата оценки эффективности управления защитой информационного обеспечения КАСУ

4.1.1 Построение модели эксперимента

4.1.2 Методика расчета критерия эффективности защиты корпоративной АСУ

4.2 Экспериментальное исследование эффективности автоматизации управления средствами защиты

4.2.1 Планирование эксперимента

4.2.2 Анализ и интерпретация результатов эксперимента .146 Выводы

Последние десятилетия характеризуются тенденцией слияния автоматизированных систем управления предприятием (АСУП) и автоматизированных систем управления технологическими процессами (АСУТП) в единые интегрированные системы управления производством, технической основой которого становится корпоративная АСУ (КАСУ) [47,67].

На протяжении всего пути развития теории и практики автоматизированного управления проблема защиты информационного обеспечения решалась с различной степенью успеха. В результате был сформулирован нынешний облик системы защиты информационного обеспечения, определена, научно обоснована и официально закреплена система взглядов на организацию и осуществление защиты.

Однако в настоящее время сложилось ряд противоречий, существенно обостряющих проблемы управления. Доказательством этому положению служит резкое увеличение уровня потерь от нарушения информационного обеспечения КАСУ. Уровень потерь от нарушений информационного обеспечения приближается к стоимости программного обеспечения собственно КАСУ [52,84]. Острота информационного противоборства особенно ярко проявляется в оборонной сфере. Так, войскам НАТО удалось вывести из строя систему противовоздушной обороны Ирака с помощью информационного оружия. Эксперты полагают, что войска альянса использовали программную закладку, внедренную заблаговременно в программное обеспечение цифровой АТС, закупленные Ираком у французской фирмы, и использовались в АСУ ПВО [32]. Приведенные данные лишь косвенно свидетельствуют о низкой эффективности методов защиты информационного обеспечения корпоративных АСУ, однако они весьма красноречиво говорят о практической целесообразности исследований в данной области.

Проблема защиты информационного обеспечения АСУ исследовалась в трудах ведущих российских ученых В.А. Герасименко, С.П. Расторгуева, JI.M. Ухлинова, П.Д. Зегжда, A.M. Ивашко и зарубежных исследователей К. Лендвера, Д. МакЛина , Р. Сандху и других.

Обобщая результаты исследований, можно сделать вывод, что существующие средства защиты обеспечивают существенное повышение защищенности корпоративных АСУ. Тем не менее, уровень автоматизации основного этапа защиты - выработки решений - остается низким. Из данных, приведенных в настоящем исследовании, видно, что выработка решений по большинству функций защиты производится по-прежнему человеком (администратором сети), а там, где этот процесс автоматизирован, обоснованность решений, снимаемых по машинным рекомендациям, остаётся невысокой.

Следовательно, одним из главных противоречий объекта исследований становится противоречие между существенно возросшей значимостью защиты информационного обеспечения КАСУ и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты.

Истоки этого противоречия заключаются в принятой к реализации в существующих КАСУ интегрированных производств технологии выработки решений по защите информационных ресурсов, содержание которых формируется человеком - администратором сети. Такой подход ограничивает круг управляемых средств защиты только теми, на управление которыми у администратора хватает ресурса времени.

Эти обстоятельства определяют актуальность работы, целью которой является развитие методов защиты информационного обеспечения корпоративных АСУ путем разработки методической базы автоматизации управления средствами защиты.

В свою очередь, новые подходы к технологии принятия решений по управлению защитой информационного обеспечения КАСУ во многом определят облик технических средств, содержание решаемых задач защиты, последовательность и способы их решения.

Для достижения сформулированной цели исследования необходимо решить ряд задач научного характера, вызванных противоречиями между состоянием теории и требованиями практики.

Во-первых, необходимо привести в соответствие понятийный аппарат защищенности информационного обеспечения с предметной областью исследований - корпоративной АСУ интегрированного производства.

Во-вторых, разработать методический аппарат моделирования, обеспечивающий определение временного интервала на принятие решений о выборе варианта защиты в условиях информационного противоборства.

В-третьих, обосновать архитектуру и методический аппарат средств управления сетевым трафиком многосегментной корпоративной сети интегрированного предприятия на основе межсетевого экранирования.

В-четвертых, разработать прототип системы защиты информационного обеспечения корпоративной АСУ на основе управляемого межсетевого экрана и оценить его эффективность.

Следовательно, требуется решить основные методологические задачи, к которым относятся: характеристика предмета исследований и определение границ исследования, разработки совокупности исследовательских средств, определение последовательности движения исследователя в процессе решения поставленной цели.

Опираясь на сформулированные противоречие и перечень задач научного характера, решение которых определяют достижение целей исследования, определим научную задачу исследования.

Научная задача состоит в развитии теории и обоснование путей совершенствования методов защиты информационного обеспечения корпоративных АСУ на основе автоматизации принятия решений по управлению средствами защиты

Научной основой для решения поставленной задачи являются: теория системных исследований; теория АСУ; теория принятия решений; теория информации; теория вероятностей и математическая статистика, вариационное исчисление, теория игр и статистических решений. Основные задачи исследования: системный анализ противоречий защиты информационного обеспечения корпоративных АСУ, выявление наиболее значимой проблемы и исследование путей её разрешения; развитие методического аппарата оценки оперативности управления средствами защиты в условиях информационного противоборства; разработка моделей и методов автоматизированного управления межсетевым экранированием распределенной системы защиты информационного обеспечения КАСУ; выбор методического аппарата оценки эффективности защиты информационного обеспечения корпоративных АСУ с учетом предложенной технологии принятия решений по управлению средствами защиты; оценка степени решения проблемы исследования. Объект исследования: методы защиты информационного обеспечения корпоративных АСУ.

Предмет исследования: технология управления защитой информационного обеспечения корпоративных АСУ.

Границы исследований: исследования проводились для методов защиты информационного обеспечения КАСУ на основе межсетевого экранирования при обнаружении вторжения и аномальной активности пользователей.

На защиту выносятся:

1. Результаты системного анализа противоречий организационного обеспечения корпоративных АСУ интегрированных производств и исследование проблем распределенной системы защиты информационного обеспечения.

2. Методический аппарат оценки оперативности управления средствами защиты в условиях информационного противоборства.

3. Совокупность моделей и методов автоматизации управления межсетевым экранированием корпоративных АСУ.

4 Методика оценки эффективности защиты информационного обеспечения корпоративной АСУ на основе предложенной технологии принятия решений по управлению средствами защиты.

Научная новизна работы заключается в том, что в ней впервые предлагается решение ключевой проблемы защиты информационного обеспечения корпоративных АСУ интегрированных производств - автоматизации выработки решения по управлению средствами распределенной системы защиты на основе межсетевого экранирования при обнаружении вторжения и аномальной активности пользователей.

Теоретическое значение исследования заключается: в развитии научных результатов теории информации и их новое практическое применени при управлении механизмами защиты информационных ресурсов КАСУ; в разработке методов и моделей анализа информационных атак и принятия соответствующих решений по выработке управляющих воздействий на механизмы и средства защиты информационного обеспечения, представляющие собой исполнительные органы в контуре управления.

Практическое значение заключается в разработанном комплексе программных средствах автоматизации принятия решений по управлению межсетевым экранированием корпоративных АСУ. Предложенная совокупность программных модулей является развитием системного программного обеспечения КАСУ.

Полученные в ходе исследований результаты реализованы в операционной системе «FreeBSD 4.x» со средствами обнаружения вторжений принята IDS «Snort»,а также в учебном процессе ГОУ ВПО «Оренбургский государственный университет», что подтверждается актами ООО «Газпромавтоматика» (г. Оренбург) и ГОУ ВПО ОГУ (г. Оренбург).

Научные и практические результаты работы прошли апробацию на всероссийской научно-практической конференции «Современные аспекты компьютерной интеграции машиностроительного производства» (г. Оренбург, 2003 г.), на региональной научно-практической конференции «Современные информационные технологии в науке, образовании и практике» (г. Оренбург 2003 г.), на региональной научно—практической конференции «Молодые ученые и специалисты Оренбургской области. Секция «Новые промышленные технологии и техника»» (г. Оренбург 2004 г.), на заседаниях научного семинара «Актуальные вопросы интеллектуального управления в организационно-технических системах» (г. Оренбург 2004 г.). Основные научные разработки были применены в программном продукте «Snort Shell for Windows», зарегистрированный в Университетском фонде алгоритмов и программ ОГУ, Отраслевом фонде алгоритмов и программ и Российском агентстве по патентам и товарным знакам.

Работа состоит из введения, четырех разделов, заключения и приложений.

В первом разделе проведен системный анализ основных противоречий организационного обеспечения корпоративных АСУ, определены объект и предмет исследования, сформулированы цель, научная проблема и определены основные направления их решения.

Второй раздел посвящен развитию научных результатов теории информации и их новое практическое применение при оценке защищенности и оперативности управления механизмами защиты информационных ресурсов КАСУ

В третьем разделе излагается методическая база управления защитой информационного обеспечения КАСУ на основе межсетевого экранирования.

В четвертом разделе выбран методический аппарат оценки эффективности управления, включающие в себя систему показателей и критериев эффективности системы принятия решений по управлению средствами защиты. Логическим завершением работы является оценка эффективности управления с точки зрения уровня решения поставленной задачи. На основе полученных результатов определены направления дальнейших исследований по тематике диссертации.

В заключении подведены итоги работы и обобщены ее основные результаты.

Диссертация изложена на 160 страницах машинописного текста, иллюстрирована 46 рисунками и 14 таблицами.

Список литературы содержит 124 наименования.

Основные результаты диссертации опубликованы в 8 работах общим объемом 8,4 печ.л.

Автор считает своим долгом выразить искреннюю благодарность доктору технических наук, профессору Султанову Н.З., оказавшему существенную помощь в организации исследований, доктору технических наук, профессору Абдрашитаву Р.Т., доктору технических наук, профессору Соловьеву H.A., за постоянное внимание к работе и полезное её обсуждение.

Выводы

1. Разработана имитационно-аналитическая модель, выбран критерий эффективности управления и методика его оценки, позволяющие ответить на вопрос о целесообразности выбранного направления развития методов защиты информационных ресурсов КАСУ.

2. Расчет показал, что как инструмент исследования предложенная модель работоспособна: достоверность результатов моделирования лежит в пределах 0,95 при оперативности их получения близких к реальному масштабу времени.

3. Установлено, что нет оснований отвергать гипотезу об адекватности предложенного моделирующего аппарата. Этот вывод сделан на основании сравнения полученных результатов с данными, полученными на апробированных моделях (различие менее 8%).

4. Эксперимент показал, что при использовании предложенной системы управления защитой прирост оперативности принятия решений составляет 50-70%, тем самым подтверждая успешное решение одной из самых острых проблем управления защищенностью корпоративных АСУ.

Этот факт подтверждает достижение цели исследования и целесообразность выбранного направления развития систем управления защитой КАСУ.

151

ЗАКЛЮЧЕНИЕ

1. В результате анализа структуры и функций современного интегрированного производства выявлена основополагающая тенденция слияния АСУП и АСУ ТП в единые интегрированные системы управления производством, технической основой которой становится корпоративная АСУ.

2. Опыт применения интегрированных производств свидетельствует о повышении роли организационного обеспечения корпоративной АСУ, регламентирующей конфиденциальность, сохранность и доступность информационных ресурсов сети. Основой организационного обеспечения становится система защиты информационных ресурсов, которая представляет собой распределенный в корпоративной АСУ комплекс программно-аппаратных средств.

3. Установлено, что уровень потерь корпораций от деструктивных воздействий на информационные ресурсы корпоративной АСУ приближается к стоимости собственно программного обеспечения автоматизированной системы.

4. Предложена классификация сетевых угроз информационного обеспечения, основанная на обобщенном понятии угрозы, что позволило выявить свойства угроз как предмета научного исследования и получить описания всех их возможных типов.

5. В результате системного анализа сетевых угроз информационным ресурсам, методов и средств защиты информационного обеспечения корпоративных АСУ сформулирован ряд противоречий, основными из них являются: противоречие между располагаемым и требуемым временем для принятия решений по управлению средствами защиты (проблема оперативности принятия решений); противоречие между существующим и требуемым уровнем обоснованности решений, принимаемых в процессе управления (проблема обоснованности решений); противоречие между существующими методами управления средствами защиты и возможностями технических средств автоматизированного решения этой задачи (проблема развития методической и технической базы управления).

6. Анализ системы защиты информационного обеспечения КАСУ свидетельствует, что существующие средств защиты обеспечивают существенное повышение защищенности корпоративных АСУ. Тем не менее, уровень автоматизации основного этапа управления - выработки решений - остается низким. Следовательно, одним из главных противоречий объекта исследований является противоречие между существенно возросшей значимостью защиты информационного обеспечения КАСУ и неадекватным уровнем автоматизации принятия решений по управлению средствами защиты.

7. Сформулирована постановка задачи принятия решений по управлению средствами защиты информационного обеспечения, позволяющая формализовать понятие защищенности корпоративной АСУ в многоальтернативных ситуациях информационного противоборства через введение соответствующих показателей и функций, характеризующих эффективность принятия решения и методов их реализации.

8. Обоснован метод оптимизации стационарных решений по управлению защитой информационных ресурсов КАСУ. Предложенный подход демонстрирует дальнейшее развитие научных результатов теории информации, их новое практическое применение и может быть использован при управлении механизмами защиты.

9. Разработан алгоритм определения оптимального времени принятия решений в зависимости от количества информации и выигрыша системы защиты информационного обеспечения при условии воздействия системы информационного нападения.

10. Для адекватного математического описания модели принятия решений выбран метод, основанный на использовании дельтообразных последовательностей при аппроксимации плотностей распределения времен нарушения защищенности.

11. Анализ результатов моделирования свидетельствует, что администратору безопасности для принятия решений на изменение правил защиты от подбора пароля авторизованного доступа с помощью программного генератора паролей будет выделено времени от 60 до 80 с. при наличии пакетных фильтров или программных посредников не более 55 - 60 е., если КАСУ имеет в своем составе МЭ.

12. В результате анализа архитектуры, функций и методов применения межсетевого экранирования при существующей технологии управления установлено, что принятие решений осуществляется администратором безопасности в условиях крайнего дефицита времени. Следовательно, качество управления зависит от профессионализма администратора.

13. На основе шенноновского подхода разработана методика оценки количества информации модели принятия решений в условиях информационного противоборства. Полученная оценка количества информации, которым обладает сторона защиты в отношении действий стороны нападения, определены правила принятия решения по выбору варианта защиты.

14. В результате проведенного исследования установлена базовая архитектура межсетевого экрана, включающая следующие основные компоненты: базу правил защиты информационных ресурсов, модули управления, фильтрации, аутентификации и авторизации, шифрования и инкапсуляции, прикладных посредников и журнал событий.

15. Анализ методов защиты информационного обеспечения КАСУ, заложенных в МЭ, свидетельствует о том, что это самое высокоэффективное средство защиты из всех известных.

16. Установлено противоречие между эффективностью защиты информационного обеспечения КАСУ на основе МЭ и неадекватной способности управления правилами обеспечения защищенности, заложенной в МЭ, в зависимости от обстановки. Данное противоречие основано на существующей технологии принятия решений по изменению базы правил МЭ, изменение которой возложено на человека - администратора безопасности.

17. Предложен контур управления, позволяющий автоматизировать технологию принятия решений на изменение базы правил МЭ. Модульная структура обеспечивает расширение функциональных возможностей имеющихся программных компонент МЭ за счет добавления модуля принятия решений, который при обнаружении вторжений или аномальной активности пользователей автоматически изменяет базу правил МЭ. Предложенный контур адаптивного управления МЭ является развитием архитектуры межсетевого экрана с поддержкой функции управления при обнаружении вторжения и аномальной активности.

18. Предложен способ получения информации об интенсивности сетевого трафика на основе программного счетчика накопительного типа и методика его преобразования в классическую случайную последовательность, удобную для дальнейшего исследования статистическими методами.

19. Обоснован метод моделирования информационных потоков корпоративной АСУ в виде временного ряда.

20. Разработан методический аппарат моделирования сетевого трафика в контуре управления принятием решений с целью обнаружении вторжения и аномальной активности.

21. Разработана имитационно-аналитическая модель оценки эффективности защиты информационного обеспечения корпоративной АСУ на основе предложенной технологии принятия решений по управлению межсетевым экранированием.

22. Проведено экспериментальное исследование эффективности автоматизации управления межсетевым экранированием корпоративной АСУ. Результаты эксперимента свидетельствуют, что оперативность принятия решений при использовании предложенной технологии управления межсетевым экранированием увеличивается на 50 - 70 %.

Полученная оценка эффективности управления подтверждает достижение цели исследования и жизнеспособность предложенных в работе решений.

1. Александровская JI.H. Афанасьев А.П., Лисов A.A. Современные методы обеспечения безотказности сложных технических систем. -М: ЛОРИ, 2001. -410 с.

2. Анализ защищенности компьютерных сетей организаций. http://www.ptsecuritv.ru/analisisO 1 .asp 2003.

3. Анфилатов B.C., Емельянов A.A., Кукушкин A.A. Системный анализ в управлении. М.: Финансы и статистика, 2003. - 367с.

4. Аткинсон Л. MySQL: библиотека профессионала. СПб.: «Вильяме» 2002 г.-375 с.

5. Барлоу Р., Прошан Ф. Математическая теория надежности. М.: Советское радио, 1969. 488с.

6. Безруков H.H. Компьютерная вирусология. Киев: Укр. Сов.энцикл., 1991. - 416с.

7. Беллман Р. Динамическое программирование. Пер. с англ. М.: ИЛ,1960. - 480 с.

8. Блекуэл Д., Гиршик М. Теория игр и статистических решений. Пер. с англ. М.: ИЛ, 1958. 370 с.

9. Бокс Дж., Дженкинс Г. Анализ временных рядов: Прогноз и управление. М.: Мир, 1974. - Вып. 1. - 460 е.; Вып. 2. - 224 с.

10. ЮБрединский А. Люди-источники конфиденциальной информации. // Конфидент, январь-февраль, 2004.

11. Брентон К. Разработка и диагностика многопротокольных сетей. М. : ЛОРИ, 1999. - 408 с.

12. Бусленко Н.П. Моделирование сложных систем. М.: Наука, 1978. - 399 с.

13. Вальд А. Статистические решающие функции. В кн.: Позиционные игры. Пер. с англ. М.: Наука, 1988. - 480с.

14. Васильков Ю.В, Василькова H.H. Компьютерные технологии вычислений в математическом моделировании. М.: Финансы и статистика, 2002. - 253с.

15. Вентцель Е.С., Овчаров JI.A. Теория вероятностей и ее инженерные приложения. М.: Наука, 1988. 480с.

16. Винер Н. Кибернетика. М.: Наука, 1983. 340с.

17. Гаскаров Д.В., Шаповалов В.И. Малая выборка. М.: Статистика, 1978. - 248с.18Гаценко О.Ю. Защита информации. СПб.: «Сентябрь», 2001.-225с.

18. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн. М.: Энергоатомиздат, 1994.Кн.1. - 400с. Кн.2. - 175с.

19. Гермейер Ю.Б. Введение в теорию исследования операций. -М.: Наука,1971. 384с.

20. Глазов Б.И. Методологические основы информационно- кибернетической системотехники. М.: РВСН, 1992. - 171 с.

21. Городецкий А. Я., Заболоцкий В. С. Фрактальные процессы в компьютерных сетях. СПб. : СПб ГТУ, 2000. - 101 с.

22. Горский Ю.М. Системно информационный анализ процессов управления. - М.: Наука, 1988. - 328 с.

23. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. М.: Военное издательство, 1992. - 22 с.

24. Гмурман В.Е. Руководство к решению задач по теории вероятностей и математической статистике. М.: Высшая школа, 2003. -404 с.

25. Гук М. Аппаратные средства локальных сетей. СПб: «Питер», 2000г. - 208 с.

26. Дегтярев Ю.И. Системный анализ и исследование операций.- М.: Высшая школа, 1996. 331 с.

27. Дружинин Г.В., Сергеева И.Н. Качество информации. М.: Радио и связь,1990. - 172 с.

28. Елисеева И. И., B.C. Князеве кий, JI .И. Ниворожкина, 3. А. Морозова. Теория статистики с основами теории вероятностей. М.: ЮНИТИ, 2001.- 427 с.

29. Енюков И.С., И.В. Ретинская, А.К. Скуратов. Статистический анализ и мониторинг научно образовательных интернет - сетей. - М.: Финансы и статистика, 2004. - 313 с.

30. Емельянов A.A., Власов Е.А., Дума Р.В. Имитационное моделирование экономических процессов. М.: Финансы и статистика, 2004. - 368 с.

31. Завгородний В.И. Комплексная защита информации в компьютерных системах. М.: «Логос», 2001.- 262с.

32. Зегжда П.Д., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000. - 420 с.

33. Закляков П. Обнаружение телекоммуникационных атак: теория и практика Snort. // Системный администратор, октябрь, 2003.

34. Закляков П. Удобнее, эффективнее, лучше: Snort+MySQL. // Системный администратор, ноябрь 2003.

35. Запорожец Г.И. Руководство к решению задач по математическому анализу. М: Высшая школа, 1964 г. -480 с.

36. Игнатьев В. Безопасность беспроводных сетей. // Системный администратор, январь, 2004.

37. Каллан Р. Основные концепции нейронных сетей. СПб.: «Вильяме», 2001 г. -284 с.

38. Касперский К. Жизненный цикл червей. // Системный администратор, февраль, 2004.

39. Кендалл М. Дж. , Стюарт А. Многомерный статистическийанализ и временные ряды: Пер. с англ. М.: Наука, 1976. - 736с.

40. Клейнен Дж. Статистические методы в имитационном моделировании. М.: Статистика, 1978. -228с.

41. Колмогоров А.Н. Теория информации и теория алгоритмов. -М.: Наука,1987.303с.

42. Костин H.A. Общая математическая модель защиты информации. //Вестник Рос. Об-ва инф-ки и ВТ, №6, 2001.

43. Костров Д.В. Рынок систем обнаружения компьютерных атак» // Конфидент, №6, 2002.

44. Костышин М. Аудит учетных записей пользователей в Active Directory. //Системный администратор, ноябрь, 2003.

45. Кукушкин A.A. Теоретические основы автоматизированного управления. 4.1: Основы анализа и оценки сложных систем. Орел: Изд. ВИПС, 1998.-254с.

46. Кукушкин A.A. Теоретические основы автоматизированного управления. 4.2: Основы управления и построения автоматизированных систем. Орел: Изд. ВИПС, 1999.- 209с.

47. Кульгин М. Практика построения компьютерных сетей. СПб.: «Питер», 2001г. 412 с.

48. Кульгин М.В. Коммутация и маршрутизация IP/ IPX трафика. М.: КомпьютерПресс, 1998. - 320 с.

49. Лагоша Б.А., Емельянов A.A. Основы системного анализа. -М.: Изд-во МЭСИ, 1998. 191 с.

50. Лебедь C.B. Межсетевое экранирование. Теория и практика защиты внешнего периметра. М.: Изд-во МГТУ им. Н.Э. Баумана, 2002. 301с.

51. Ловцов Д.А. Контроль и защита информации в АСУ. В 2-х кн. Кн.1. Вопросы теории и применения. M.: ВА им.Ф.Э.Дзержинского, 1991.- 172с.

52. Ловцов Д.А., Семеряко И.И. Имитационное моделирование выработки решений в АСУ. М.: ВА им. Ф.Э. Дзержинского, 1989. 235 с.

53. Малин A.C. , Мухин В.И. Исследование систем управления. М.: Изд. дом ГУ ВШЭ, 2004. 397с.

54. Мамиконов А.Г., Кульба В.В., Шелков А.Б. Достоверность, защита и резервирование информации в АСУ.М.: Энергоиздат, 1986.- 304с.

55. Мамиконов А.Г. Основы построения АСУ. М.: Высшая школа, 1951. - 248с

56. Маркелов А. Простая установка MRTG для Red Hat Linux. // Системный администратор, февраль, 2004.

57. Марпл С. JI. Цифровой спектральный анализ и его приложения : Пер. с англ. М. : Мир, 1990. - 480 с.

58. Мельников В.В. Защита информации в компьютерных системах. М.: ЛОРИ, 1997. -302 с.

59. Мельников Д.А. Информационные процессы в компьютерных сетях М.: Филинъ, 2001. - 277 с.

60. Месарович М., Такахара Я. Общая теория систем: Математические основы. М.: Мир, 1978. - 31 1с.

61. Можайский С. Frenzy: FreeBSD в кармане сисадмина. // Системный администратор, февраль, 2004.

62. Мур А., Хиарнден К. Руководство по безопасности бизнеса.- М.: Филинъ, 1998. -328с.

63. Нейман фон Дж., Моргенштерн О. Теория игр и экономическое поведение. М.: Наука, 1970. 470 с.

64. Никифоров С.Г. Исследование устойчивости автоматизированных систем охраны предприятия к несанкционированным действиям. Дисс.канд.техн.наук. СПб: СПГЭУ «ЛЭТИ», 2001 г.

65. Нестеренко М.Ю. Защита информационного и программного обеспечения АСУП. Дисс.канд.техн.наук. Оренбург: ГОУ ВПО ОГУ, 2003г.

66. Норенков И.П., Трудоношин В.А. Телекоммуникационные технологии и сети. М.: Изд. МГТУ им. Н.Э. Баумана, 2000. -246с.

67. Овчинников В.А. Алгоритмизация комбинаторно-оптимизационных задач при проектировании ЭВМ и систем М.: Изд. МГТУ им. Н.Э. Баумана, Москва 2001. - 360 с.

68. Отавин А.Д. Интеграционный подход к построению защищенных распределенных вычислительных систем. Дисс.канд.техн.наук. СПб: СПГТУ, 2002 г.

69. Петухов Г.Б. Основы теории эффективности целенаправленных процессов. 4.1. Методология, методы, модели. J1.: МО СССР, 1989, - 660с.

70. Просихин В.П. Методология построения архитектуры безопасности распределенных компьютерных систем. Дисс.докт.техн.наук. СПб: СПГУТ им. Бонч-Бруевича, 2001 г.

71. Резников Б.А. Системный анализ и методы системотехни-ки.Ч. 1 .Методология системных исследований. Моделирование сложных систем. Л.: МО СССР, 1990. 522с.

72. Ростовцев Ю.Г. Теоретические основы защиты информации. Вып.2.С-Пб.: ВИККА им. А.Ф.Можайского, 1999. 109с.

73. Робачевский A.M. Операционная система UNIX. СПб.: «BHV-Санкт-Петербург», 1997г. - 510 с.

74. Савлуков Н.В. Проектирование автоматизированной системы управления телекоммуникационной сетью. Дисс.канд.техн.наук. СПб: ГУП СЦПГ «Спектр», 2001 г.

75. Сёмыкин С.Н., Сёмыкин А.Н. Основы информационной безопасности объектов обработки информации. М.: Дельта, 2000.340 с.

76. Саюшкин A.A. IDS как основной компонент защиты ИТКС. // Материалы региональной НПК «Современные информационные технологии в науке, образовании и практике», Оренбург, 2003, с. 77 83.

77. Саюшкин A.A. Необходимость построения системы разграничения доступа в ИТКС предприятия с учетом аудита. // Материалы региональной НПК «Современные информационные технологии в науке, образовании и практике», Оренбург, 2003, с. 70 74.

78. Саюшкин A.A. Ушаков Ю.А. Snort Shell for Windows version 0.4. Свидетельство об официальной регистрации программ № 2004611272. М: Федеральная служба по интеллектуальной собственности, патентам и товарным знакам, 2004

79. Саюшкин A.A. Ушаков Ю.А. Snort Shell for Windows version 1.0 (681Кбайт). Свидетельство о регистрации программного средства. рег.№ 32, Гоу ПВО ОГУ, 2004 г.

80. Саюшкин A.A. Ушаков Ю.А. Snort Shell for Windows version 3.0 Свидетельство о регистрации в Отраслевом фонде алгоритмов и программ № 3284, М: МО РФ, 2004.

81. Саюшкин A.A. «Развитие методов защиты информационного обеспечения корпоративных АСУ // Сб. трудов НПС «Актуальные проблемы интеллектуального управления человеко-машинных систем» Оренбург: ФВУ ВПВО, 2004 г., с 8-12.

82. Саюшкин A.A. и др. Отчет о НИР «Разработка специальныхалгоритмов и программ защиты информационного и программного обеспечения корпоративных АСУ», 2004 г. 156 с.

83. Советов Б.Я., Яковлев С.А. Моделирование систем. М: Высшая школа, 2001. - 342 с.

84. Сошников Л.А. и др. Многомерный статистический анализ. -Минск: БГТУ, 2004, 162 с.

85. Стратонович P.JI. Теория информации. М.: Наука, 1967. -432 с.

86. Супрунов С. Сам себе антихакер. Защита от хакерских атак с помощью ipfw.// Системный администратор, январь, 2004

87. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ. М.: Мир, 1982.263с.

88. Таназ М. «Анализ сигнатур или анализ протоколов, что лучше?» http://www.securitylab.ru 2003.

89. Титтел Э., Хадсон К., Стюарт Дж. «TCP/IP сертификационный экзамен экстерном (экзамен 70-059) MCSE»

90. Ухлинов JI.M. Анализ безопасности протоколов управления ключами в сетях ЭВМ. //АВТ 1990, №1, с.11-16.

91. Ухлинов JI.M. Принципы построения системы управления безопасностью данных в информационно- вычислительных сетях. ЭВМ. //АВТ 1990, №4, с.11-17.

92. Финни Д. Введение в теорию планирования эксперимента. -М.: Наука.1970. 480 с.

93. Хоффман JI. Дж. Современные методы защиты информации. М.: Сов. Радио,1980. 246с.

94. Хэвиленд К., Грэй Д., Салама Б. Системное программирование в UNIX. М.: 2000 г. - 640 с.

95. Чирилло Д. Обнаружение хакерских атак. Спбю: «Питер», 2002г. - 540 с.

96. Чмора A.Jl. Современная прикладная криптография. М.: 2001. - 390 с.

97. Шеннон К. Работы по теории информации и кибернетике. -М.: Изд. ИЛ, 1963. 830с.

98. Яремчук С. Маленький Linux в качестве FireWall. // Системный администратор, сентябрь, 2003

99. Яремчук С. Три составных части защиты. //Системный администратор, июль, 2003.

100. Check Point Fire Wall 1. http://w ww.inseсure.ornmap .

101. Cisco IOS 12.0 Network Security. Cisco Press, 1999.

102. Information Technology Security Evaluation Criteria. Harmonized Criteria of France- Germany Netherlands- United Kingdom. -Department of Trade and Industry, London,1991.

103. Federal Criteria for Technology Security. National Institute of Standards and Technology & National Security Agency. Version 1.0, December 1992.

104. Qiong Li, David L. Mills. On the long- range dependence of packet round trip delays in Internet // Processing of IEEE ICC'98, v.2, 1998.1 15 RFC 1508. Linn, J. Generic Security Service API.

105. RFC 1509. Wray, J. Generic Security Service API: C- bindings.

106. RFC 1579. Firewall Friendly FTP.1 18 RFC 1597. Address Allocation for Private Internets.

107. RFC 1928. Socks Protocol Version 5.

108. RFC 2196. Site Security Hand book.

109. RFC 2341. Cisco Layer Two Forwarding (Protocol) "L2F".

110. RFC 2406. IP Encapsulating Security Payload.

111. RFC 2409. Internet Key Exchange (IKE).

112. RFC 2894. Router Renumbering for Ipv6.

113. U.S. Department of Defense Traffic- Filter Firewall Protection Profile For Medium Robustness Environments. Version 1.4, May 2000.