Верификация правил фильтрации межсетевых экранов на основе применения метода "проверка на модели"
- Автор:
Полубелова, Ольга Витальевна
- Шифр специальности:
05.13.19
- Научная степень:
Кандидатская
- Год защиты:
2013
- Место защиты:
Санкт-Петербург
- Количество страниц:
132 с. : ил.
Стоимость:
700 р.499 руб.
до окончания действия скидки
00
00
00
00
+
Наш сайт выгодно отличается тем что при покупке, кроме PDF версии Вы в подарок получаете работу преобразованную в WORD - документ и это предоставляет качественно другие возможности при работе с документом
Страницы оглавления работы
Содержание
Введение
Глава 1 Системный анализ задачи верификации правил фильтрации межсетевых экранов для защищенных систем, основанных на политиках безопасности, методом “проверки на модели”
1.1 Роль и место верификации правил фильтрации в задаче управления сложными системами на основе политики безопасности
1.2 Анализ аномалий фильтрации и способов их разрешения
1.3 Анализ методов и средств верификации политики безопасности
1.4 Требования к системам верификации правил фильтрации методом «проверки на модели»
1.5 Постановка задачи исследования
Выводы по 1 главе
Глава 2 Модели и алгоритмы верификации правил фильтрации на основе метода “проверки на модели”
2.1 Модель аномалий фильтрации
2.2 Алгоритмы выявления и разрешения аномалий методом “проверки на модели”
2.3 Модель компьютерной сети, защищенной межсетевыми экранами
Выводы по 2 главе
Глава 3 Методика верификации правил фильтрации межсетевых экранов методом “проверки на модели” и оценка ее эффективности
3.1 Архитектура системы верификации правил фильтрации
3.2 Методика верификации правил фильтрации межсетевых экранов методом “проверки на модели”
3.3 Реализация системы верификации правил фильтрации и оценка эффективности методики
3.4 Предложения по практическому использованию полученной методики для анализа защищенности компьютерной сети
3.4.1 Верификация таблицы доступа межсетевого экрана
3.4.2 Разрешение аномалий
Выводы по главе
Заключение
Список литературы и электронных ресурсов
Приложение 1. Глоссарий
Приложение 2. Копии документов, подтверждающих внедрение
Приложение 3. Пример политики фильтрации с включенными аномалиями фильтрации различного типа, используемый при проведении
экспериментов
Приложение 4. Пример описания верифицируемой системы, а также
политики фильтрации на внутреннем языке
Network lsdl. xml
Filteringspl.xml
Введение
Системы защиты информации (СЗИ) в компьютерных сетях, основанные на политиках безопасности, не теряют своей популярности благодаря гибкости в управлении и удобству администрирования. Под политикой безопасности понимается совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. Выделяются следующие категории политик безопасности: авторизация, аутентификация, фильтрация сетевого трафика, IPSec и операционные правила.
Политика фильтрации позволяет администратору сети централизованно применять сетевую политику безопасности в выделенном сегменте IP-сети. К программно-аппаратным средствам, обеспечивающим решение этой задачи, относятся межсетевые экраны (МЭ). Настройка МЭ дает возможность разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. МЭ работают на основе политик фильтрации, представленных в виде множества правил фильтрации. Политика фильтрации формируется специалистами, знающими особенности защищаемой сети и используемых МЭ, на основе общей политики безопасности компании, закрепленной в регламентирующих документах. Однако эта задача является сложной и подверженной ошибкам из-за важности учета различных зависимостей правил, а также необходимости проверки согласованности новых правил со всей политикой. Эта сложность увеличивается по мере роста размера сети. Например, согласно статистическим исследованиям международной ассоциации компьютерной безопасности (International
► Функция
Ысот'ШепсуЫбех^ =
к_ (9)
показывает уровень противоречивости политики фильтрации МЭ, где к - количество аномалий в политике фильтрации, п - число правил в политике фильтрации, а т.к. согласно определению аномалия это противоречие между парой правил, то С2 - это число возможных аномалий в наборе правил политики фильтрации. Эта функция полагается в качестве целевой функции методики.
Целью разработки методики является минимизация целевой функции (формула 2), при соблюдении требований к остальным показателям эффективности верификации правил фильтрации: своевременности,
ресурсопотреблению и обоснованности [1, 3, 9, 11, 12]: к своевременности:
Рсв (/ < Тлоп) > Рсд (10)
Где Рсв — вероятность своевременного получения результатов процесса
верификации; t — время реализации этапов предлагаемой методики; Тдоп — допустимое время реализации, определяется исходя из текущего опыта использования подобных систем верификации; Рд°п — допустимое значение вероятности.
к ресурсопотреблению:
]Г> < рдоп (П)
где Яте‘ - ресурсопотребление реализации методики, Рдои -
допустимое значение ресурсопотребления.
к обоснованности, которая характеризуются показателями количества типов выявляемых аномалий, количеством возможных стратегий разрешения, количеством используемых параметров. Множество используемых параметров состоит из следующих элементов: (а)
Рекомендуемые диссертации данного раздела
| Название работы | Автор | Дата защиты |
|---|---|---|
| Имитационное моделирование механизмов защиты компьютерных сетей от инфраструктурных атак на основе подхода "нервная система сети" | Шоров, Андрей Владимирович | 2012 |
| Высокопараллельная система выявления сетевых уязвимостей на основе генетических алгоритмов | Печенкин, Александр Игоревич | 2013 |
| Разработка методического обеспечения радиотехнического контроля эффективности защиты информации на объекте | Смолин, Андрей Владимирович | 2002 |