К.т.н. Чунарьова А.В., Сластенко К.П., Чунарьов А.В.

Національний авіаційний університет (НАУ), Україна

СУЧАСНІ ЗАСОБИ МОНІТОРИНГУ ІНФОРМАЦІЙНИХ

ПОТОКІВ ІКСМ

Вступ. На сьогоднішній день організацій, мають розгалужені інформаційно-комунікаційні системи та мережі (ІКСМ) і тому на перше місце виходить завдання управління, як і інформаційними потоками та безліччю різноманітних захисних механізмів у таких корпоративних мережах. Складність мережної інфраструктури, різноманіття даних та програм призводять до того, що при реалізації системи інформаційної безпеки необхідне здійснення регулярного аудиту та постійного моніторингу безпеки інформаційних потоків та структури ІКСМ. Моніторинг є невід’ємною частиною забезпечення інформаційної безпеки корпоративної мережі з точки зору забезпечення цілісності, конфіденційності та доступності.

Метою роботи є класифікація та аналіз існуючих методів аудиту та моніторингу інформаційних потоків ІКСМ; формування критеріїв оцінки якості систем аудити та контролю інформаційних потоків; формування вимог для створення методів аудиту та контролю окремих функціональних елементів ІКСМ.

Далі розглянемо найбільш поширені методи проведення моніторингу цілісності інформаційних потоків. До основних методів відносяться: активний моніторинг, пасивний моніторинг, моніторинг мережі базований на маршрутизації, моніторинг за аномальною поведінкою.

Активний моніторинг. Суть активного моніторингу полягає у передачі у мережу пакетів з метою вимірювання параметрів між двома кінцевими точками мережі. Вимірюються такі параметри: доступність, маршрут, затримка пакетів, зміна порядку пакетів, втрата пакетів, пропускна здатність каналу. Базовими інструментами, що здатні допомогти у вимірюванні вищезгаданих параметрів є ping, що вимірює затримки та втрату пакетів, traceroute – допомагає побудувати топологію мережі. Обидва вони використовують ICMP пакети [6]. Недоліком активного моніторингу є те, що згенерований трафік може давати значне навантаження на мережу під час її експлуатації. Як результат, даний метод рідко використовується самостійно.

Пасивний моніторинг. На відміну від активного моніторингу, пасивний не генерує надлишкового трафіку, та вимірює параметри продуктивності лише в одній точці мережі. Даний метод знайшов власне застосування у пакетних сніферах. Результати пасивного моніторингу можуть бути досліджені лише постфактум, при цьому ніякого навантаження на мережу під час використання додатків – сніферів не відбувається.

Моніторинг мережі базований на маршрутизації. Такі методи зазвичай реалізуються програмно-апаратними засобами мережевих пристроїв.

Simple Network Management Protocol. Даний протокол є протоколом прикладного рівня стеку TCP/IP. Його використання надає адміністратору мережі можливості з керування та контролю над пристроями(комутаторами, маршрутизаторами, серверами, модемами, робочими станціями) та додатками у мережі шляхом обміну інформацією між агентами, що встановлені у мережевих пристроях та менеджерами, що встановлені на станціях керування (Network Management Systems) [4]. Агенти є програмним забезпеченням, здатним перетворювати дані протоколу SNMP у команди керування пристроями, та навпаки. Станції керування є програмним забезпеченням, що здійснюють моніторинг та контроль за керованими пристроями. Обробка всіх даних, отриманих з агентів, виконується на станціях. Недоліком використання SNMP у мережі, є те що даний протокол є вразливим, оскільки жодних процедур з аутентифікації користувачів не виконується. Хоча SNMPv3 є безпечним з цієї точки зору.

Remote Monitoring (RMON). RMON включає в собі різні мережеві монітори та системи для обміну інформацією мережевого моніторингу. Даний метод моніторингу є розширенням Management Information Database (MIB). На відміну на SNMP, коли NMS повинна власноруч надсилати запити на отримання інформації, RMON дозволяє налаштовувати обробники подій, що будуть спрацьовувати за певних критеріїв. Іншою відміною від SNMP є те, що агенти RMON збирають та зберігають інформацію самостійно[6].

Моніторинг за аномальною поведінкою. Суть даного методу полягає у спостеріганні стану мережі та виявлення значних відхилень параметрів у порівнянні зі значеннями цих параметрів при стабільному функціонуванні. Наприклад, для виявлення аномальної динаміки мережевого  трафіку використовується штучний інтелект та статистичні показники.  Для ефективного застосування даного методу, спочатку необхідно зафіксувати контрольні значення важливих параметрів функціонування мережі [2].

Далі на основі проведеного аналізу сформуємо вимог до засобів аудиту та моніторингу ІКСМ. Базовими вимогами, що ставляться до систем моніторингу є:

¾     масштабованість та розподіленість – дані властивості є взаємопов’язаними, оскільки високий рівень здатності до масштабування досягається за рахунок розподіленості системи управління;

¾     відкритість, що дозволяє використовувати систему з різнотипним обладнанням від різних виробників [5];

¾     кількість вузлів, що може аналізуватися та контролюватися системою;

¾     можливість встановлення клієнтів та серверів на робочі станції з різними операційними системами;

¾     отримання інформації про динаміку трафіку у режимі реального часу;

¾     здатність системи до конфігурації контролю окремих програмних додатків;

¾     наявність централізованого місця накопичення службової інформації, з можливістю індексування для прискорення витягу потрібних даних;

¾     можливість створення реєстру наявних у мережі програмних та апаратних ресурсів.

Виділення вимог дозволило сформувати критерії оцінки якості системи аудиту та моніторингу інформаційних потоків:  підтримка різних операційних систем; можливість аудиту та контролю різних за призначенням серверів; можливість аудиту та контролю СУБД; виявлення відхилень функціонування мережі від норми (поява незареєстрованих вузлів, втрата зв’язку з окремими вузлами, втрата пакетів, перенавантаження комунікаційних пристроїв); підтримка графічних інтерфейсів для перегляду звітів, можливості конфігурування параметрів налаштувань. При побудові КСЗІ з функціональним компонентом з аудиту та контролю інформаційних потоків необхідно урахувати вимоги та критерії якості, що пред’являються компонентів з аудиту та контролю.

Висновки. В даній роботі проведено класифікацію існуючих методів аудиту та моніторингу, засобів моніторингу та аналізу; сформовано критеріїв оцінки якості систем аудити та контролю інформаційних потоків; сформовано вимог для створення методів аудиту та контролю окремих функціональних елементів ІКСМ.

Виконавши аналіз основних характеристик, за якими порівнюються системи аудиту та моніторингу та значення даних характеристик для найбільш підготовлених корпоративних рішень зроблені наступні висновки:

¾у випадку необхідності проведення аудиту необхідною є така функція системи, як можливість побудови топології мережі із занесенням до реєстру всіх можливих ресурсів мережі;

¾підтримка популярних та ефективних СУБД є перевагою над тими системами, що використовують для зберігання даних бінарні файли, що значно впливає на продуктивність системи;

¾підтримка протоколу SNMP є значною перевагою, що підвищує ефективність моніторингу та контролю об’єктів мережі;

¾в залежності від місця застосування систем моніторингу та контролю, варіюються і операційні системи, що встановлені на об’єктах мережі. Наприклад, на серверах більш промислового призначення зазвичай можуть бути встановлені такі ОС, як HPUX, IBM, коли в інших випадках переважають UNIX – подібні ОС, та ОС Microsoft Windows.

Література

1.  Леденко С.А.,  Чикалев И.А.  Международный стандарт COBIT  как средство управления бизнесом// Information Security/ Информационная безопасность. – 2007. – № 6. – С. 12-14.

2.  Internetworking Technology Handbook : User manual / Jackson C. – Massachusets : Cisco Systems, 2011. – P. 56 -67.

3.   Cecil A. A Summary of Network Traffic Monitoring and Analysis Techniques / A. Cecil // Computer Systems Analysis. – 2006. – P.4 – 7.

4.  Lowekamp B. Using passive traces of application traffic in a network monitoring systems. / B.B. Lowekamp, M. Zangrilli. – IEEE Computer Society, 2004. – P. 73 – 75.

5.  Fry C. Security Monitoring / C. Fry, M. Nystrom – Sebastopol : O’Reily Media, 2009. – P.40 – 56, 163 – 170.