Алматы 2015 Almaty

695 

УДК 004.732.056 

 

Бекбатыров Р.С., магистрант 

Казахский национальный технический университет имени К.И. Сатпаева, 

г. Алматы, Республика Казахстан, 

xakerboyrus@mail.ru

 

 

КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ С ПРИМЕНЕНИЕМ 

ИСКУССТВЕННОГО ИНТЕЛЛЕКТА 

 

Аннотация.  Данная  статья  посвящена  концепции  информационной  безопасности,  основанной  на 

применении  межсетевого  экрана  при  защите  компьютерной  сети.  В  статье  рассматриваются  особенности 

современных  средств  обеспечения  безопасности  информации,  затрагиваются  вопросы  использования 

межсетевых  экранов,  а  также  приведен  условный  сценарий  и  ее  функциональные  особенности  по 

предотвращению взлома. Особое внимание уделено модулям межсетевых экранов и их функциональности. 

Ключевые  слова:  Межсетевой  экран,  безопасность  информации,  компьютерная  сеть,  модули,  функции, 

искусственный интеллект. 

 

Корпоративная сеть, помогающая взаимодействовать и делать документооборот в разы легче, а 

передачу  в  ту  же  секунду,  может  быть  скомпрометирована  недоброжелателем.  В  таких  случаях 

эксперты  в  области  информационной  безопасности  рассматривают  множество  различных  угроз. 

Ниже приведены угрозы, которые являются распространенными и очевидными в наши дни: 

1.  Угрозы сетевой безопасности 

Сеть  является  одной  из  основных  составляющих  элементов  информационной  системы. 

Благодаря ей все компьютеры могут централизовано общаться с корпоративным сервером. В случае 

взлома  злоумышленником  сети  высока  вероятность  того,  что  недоступная  информация  может  стать 

доступной  путем  перехвата  данных,  взлом  сервера  и  уничтожение  всех  данных  с  целью  полной 

ликвидации  функционирования  компании.  Главной  причиной  всего  вышесказанного  является 

неправильная  настройка  сети,  как  правило,  по  незнанию  правильных  сетевых  параметров.  Это 

увеличивает риск нападения в разы, и в том числе гарантирует успешность реализации атаки. 

  незащищённые  архитектуры  –  неправильно  настроенная  сеть  является  «дырявым  забором», 

охраняющей  вашу  инфраструктуру.  Такая  сеть  привлечет  к  себе  внимание  непрошеных  гостей  и 

злоумышленников. Более того, доступ этой инфраструктуры к глобальной сети Интернет равносилен 

нараспашку  открытой  двери  в  криминальном  районе.  Проникновение  в  таком  случае  является 

вопросом времени. 

  широковещательные  сети  –  системные  администраторы  часто  пренебрегают  выбором 

оборудования  при  проектировании  компьютерной  сети.  Простое  и  самое  дешевое  оборудование, 

часто используемой в корпоративной сети, вроде концентраторов или маршрутизаторов, применяют 

принцип  широковещания,  а  не  направленной  передачи  данных  (коммутации).  Когда  один  узел 

компьютерной  сети  передает  данные  другому,  концентратор  или  маршрутизатор  посылает 

широковещательные  пакеты,  то  есть  передача  происходит  каждому  узлу  и  в  случае  получения 

адресатом  «рассылка»  прекращается,  а  остальные  узлы  игнорируют  полученные  данные, 

непредназначенные им. 

Такой  способ  передачи  данных  является  максимально  уязвимым,  в  случае  простого 

подключения злоумышленника к сети локально или извне. 

  централизованные  серверы  –  другой  сетевой  уязвимостью  является  централизованная 

компьютерная система. Предприятия для того, чтобы сэкономить на издержках, покупают всего один 

мощный  сервер  и  перекладывают  на  него  всех  служб  компании.  Огромным  плюсом  является 

значительное  облегчение  управления  и  уменьшение  затраты  на  инфраструктуру.  Однако  данный 

способ  работает  по  принципу  «все  яйца  в  одной  корзине»  и  является  одиночной  уязвимой  точкой  в 

системе.  В  случае  если  сервер  скомпрометирован,  это  приведет  к  выходу  из  строя  всей  системы, 

похищению  и  удалению  данных.  В  таких  случаях  главный  сервер  становится  широко  распахнутой 

дверью, открывающей доступ ко всей сети. 

2.  Угрозы  безопасности  сервера.  Безопасность  сервера  является  немаловажным  аспектом,  если 

не  самой  важным  в  безопасной  сети.  По  причине  того,  что  на  сервере  хранится  вся  важная 

информация  компании,  проникновение  на  сервер  является  критичным  для  компании.  Если  сервер 

скомпрометирован, вся жизненно важная информация может оказаться у взломщика, который может 

ее украсть или уничтожить.  

696 

  Неиспользуемые  службы  и  открытые  порты  –  при  установке  операционной  системы  или 

какого  –  то  приложения  системный  администратор  даже  не  задумывается  о  том,  какие  утилиты 

действительно  устанавливаются  вместе  с  приложением.  В  момент,  когда  приложение  настроено  по 

умолчанию,  может  быть  так,  что  включены  ненужные  службы,  что  может  привести  к  ненужным 

проблемам.  Таким  образом,  на  сервере  без  ведома  системного  администратора  могут  запускаться 

уязвимые  службы  (Telnet,  SSH),  что  поможет  взломщикам  и  недоброжелателям  проникнуть  в 

систему. 

  Не  обновлённые  службы  –  серверные  приложения,  устанавливаемые  на  сервер  системным 

администратором,  являются  надежными  и  стабильными  программами.  Они  проработали  несколько 

лет и были проверены временем путем исправления ошибок и багов. 

Как правило, идеального  программного  обеспечения  не  бывает,  и  всегда  есть  «дыры»,  которые 

требуется залатать. Программное обеспечение новой версии не тестируется в полной мере, и является 

«сырой» до некоторого срока. 

  Невнимательные  администраторы–самая  большая  угроза,  которая  может  быть  для 

работающего  сервера  это  недостаточная  квалификация  системного  администратора,  который  не 

вовремя  исправляет  «баги»  в  системе.  Согласно  исследованиям  Института  системного,  сетевого 

администрирования и безопасности (SANS), главной причиной взлома серверных систем является то, 

что  безопасностью  занимается  «самоучка»,  а  не  квалифицированный  специалист.  К  тому  же 

основной  задачей  администратора  является  работа  всех  систем,  а  на  должные  предпринятые  меры 

безопасности не хватает времени и опыта. 

К  основным  обязанностям  администратора  относятся  также  обновление  серверов,  просмотр 

журнала  событий,  а  также  фиксирование  истории  сетевого  трафика.  Огромной  ошибкой  является 

невыполнение этих мер, в том числе, не менять пароли администратора сервисов, служб, баз данных 

и  программ,  оставленных  по  умолчанию.  Что  касается  баз  данных  разработчики  намеренно 

оставляют  пароли  администратора  по  умолчанию,  надеясь  на  то,  что  администратор  сменит  их  на 

«автомате». В случае не смены пароля даже самый неопытный взломщик сможет получить доступ к 

данным компании с правами администратора баз данных. 

  Службы,  незащищённые  по  определению–  самая  защищенная  организация  может 

подвергнуться взлому, если не будут предприняты меры по защите сетевых служб. По факту данное 

программное обеспечение не защищено ни в каких смыслах, так как предполагается, что организация 

не  будет  использовать  данные  службы  в  открытых  сетях,  и  не  будет  к  ним  доступа  из  глобальной 

сети интернет. Однако данное предположение как правило не верно. Системные администраторы по 

неопытности  не  закрывают  такого  рода  «дыры»  в  сервере,  что  может  привести  к  необратимым 

последствиям. 

  К  такого  рода  сетевых  служб  нужно  отнести  Telnet  и  FTP.  Такие  службы  проверяют 

подлинность имен и паролей без шифрования, что обеспечивает высокую степень уязвимости. В том 

случае если злоумышленник подключиться к сети и будет перехватывать пакеты в ней, он сможет без 

труда определить логин и пароль доступа к серверу. 

3.  Угроза  безопасности  рабочей  станции.  Клиентские  компьютеры  или  же  терминалы,  по  сути, 

не являются особой целью для злоумышленника, как например серверы и хранилища данных, но они 

также  хранят  у  себя  весомые  данные,  такие  как  номера  кредитных  карт.  Такими  данными  уже 

интересуются взломщики с другими мотивами. Компьютеры работников также могут быть захвачены 

злоумышленниками и в дальнейшем перепрограммированы в «компьютеры – зомби». Таким образом, 

если  набирается  значительное  количество  «зомби»,  «хозяин»  их  направляет  на  скоординированную 

атаку. В таких случаях помогает знание уязвимостей компьютера системным администратором. Это 

решит множество проблем, связанных со взломом. 

В  области  информационной  безопасности  существует  множество  продуктов,  предлагаемые 

различными компаниями. Собрав все эти продукты и проанализировав их, можно сделать вывод, что 

все  они  специализируются  на  чем  то  одном.  Есть  четыре  основных  вида  продуктов:  сканеры  сети, 

сборщики событий, антивирусы и фильтры. 

Сделав обзор рынка приложений, предоставляющих средства по информационной безопасности, 

можно  сделать  вывод,  что  не  все  продукты  компаний предлагают  универсальную  защиту.  Продукт, 

который  бы  предлагал  охватывать  все  области  уязвимостей.  Большинство  из  компаний  предлагают 

продукт  по  сканированию  корпоративной  сети  отдельно  от  продукта,  закрывающих  уязвимости. 

Более  того  рекомендуется  приобретать  третий  продукт,  специализирующийся  по  сбору  событий, 

произошедших  в  сети.  Однако  данный  продукт  может  работать  только  с  продуктами  данной 

компании. 

697 

Одним  из  ярких  таких  представителей  является  компания  GFI.  Эта  компания  предлагает  три 

продукта: 

1.  GFI LanGuard, позволяющая сканировать локальную сеть на наличие уязвимостей. 

2.  GFI EventsManager, собирающая события в локальной сети. 

3.  GFI WebMonitor, веб – фильтр с защитой от вирусов. 

Таким  образом,  в  локальной  сети  работают  сразу  три  продукта  одной  компании,  которые 

частично  выполняют  роль  антивируса.  Однако,  приобретая  здесь  еще  и  антивирус,  клиент  получает 

полный  спектр  защиты.  Остается  лишь  проводить  круглосуточный  мониторинг  сети  и  на  основе 

собранных данных делать  отчеты и выводы, что, к сожалению, эти продукты делать не  умеют. Еще 

один  минус  такой  «защищенной»  системы  является  невозможность  мгновенно  реагировать  на 

инциденты.  Ни  один  из  этих  продуктов  не  сможет  обезопасить  данные  и  локальную  сеть  в  случае 

успешного  несанкционированного  вторжения.  Злоумышленнику  остается  только  «собирать»  те 

данные,  которые  ему  требуются  или  же  интересны.  Есть  еще  один  момент,  о  котором  стоит 

упомянуть: в случае несанкционированного вторжения злоумышленник может отключить ту защиту 

(программное  обеспечение),  которая  пыталась  остановить  его  у  «порога»  локальной  сети.  В  таком 

случае,  неприятеля  уже  ничего  не  остановит,  разве  что  опытность  системного  администратора, 

который  сможет  заметить  малозначительные  признаки  в  работе  локальной  сети  и  компьютеров, 

работающих в ней. 

Для  того  чтобы  защита  важных  данных  в  локальной  сети  была  круглосуточно,  в  системе  из 

программных  продуктов  напрашивается  искусственный  интеллект  для  принятия  особо  важных 

решений  в  особо  опасных  случаях.  К  таким  случаям  относятся  те  моменты,  когда  злоумышленник 

уже смог перейти черту локальной сети, и приступает к своим основным задачам. К одним из таких 

задач  относятся  выкачивание  важных  данных,  установка  шпионского  программного  обеспечения  с 

целью  корпоративного  шпионажа.  Таким  образом,  самый  простой  искусственный  интеллект  в 

большинстве  случаев  мог  бы  распознать  аномальные  действия,  как  в  сети,  так  и  в  процессах 

компьютера.  Получив  неполный  спектр  данных  искусственный  интеллект,  мог  бы  сделать 

определенное  решение  и  предпринять  на  его  основе  действия,  приведшие  к  возможному  спасению 

ситуации. 

Однако  разработка  искусственного  интеллекта  это  прерогатива  крупных  компаний,  а  также 

имеющие  сверхсекретные  данные.  По  сути,  компания,  устанавливая  у  себя  меры  по  защите 

информации, в первую  очередь меряет  ее стоимость со стоимостью хранимой информации. Если же 

стоимость  программного  обеспечения  стоит  больше  чем  информация  в  компании,  то  компания 

позволяет себе очень много в сфере своего капитала. 

По  факту  компания  может  выбрать  компромисс  в  выборе  своей  защиты.  Не  требуется 

сверхзащита  в  виде  очень  дорогих  решений.  Компании  благоприятно  было  бы  взять  недорогой 

продукт, но обладающий всеми функциями. 

Нами была предложена концепция защиты локальной сети, на основе которой будет разработана 

приложение.  Эта  программная  система  будет  состоять  из  нескольких  частей:  агента  и  серверной 

части. В первую очередь система распределена по локальной сети с целью его точного мониторинга, 

а также применение радикальных мер в случае взлома. Как уже было подчеркнуто программа состоит 

из нескольких компонентов: серверной части и клиентской. 

1.  Наличие  «Агентов»  на  клиентских  машинах  обуславливается  тем,  что  программное 

обеспечение,  установленное  на  узлах  локальной  сети,  не  может  выполнять  тех  функций,  что 

выполняет  «агент».  Основными  задачами  «агента»  являются:  мониторинг  системы  на  возможную 

атаку  извне,  сбор  информации  о  деятельности  файлов  в  операционной  системе,  сбор  деятельности 

«хозяина» компьютера для выявления аномальных действий. 

2.  На  серверной  части  лежит  больше  ответственности,  так  как  он  является  обрабатывающим 

данные  машиной.  Основной  его  целью  является  сбор  данных,  принятых  от  Агентов,  формирование 

статистики, их архивирование, периодический анализ сети на наличие «дыр», открытых портов и т.д. 

Возможный  набор  сценариев,  которые  могут  место  быть  в  повседневной  «жизни» 

корпоративной сети: 

1.  Обычный день без возможных угроз. 

Агент  собирает  статистику  о  «хозяине»  машины  и  проверяет  на  наличие  аномалий.  В  это  же 

время  он  сканирует  список  запущенных  программ  на  их  необъяснимое  поведение.  В  случае 

появления  «неизвестного»  на  исполнение,  агент  находит  exe  –  файл  по  пути  и  отправляет  его  на 

сервер, в выделенный дистрибутив. Уже на серверной стороне с периодичностью раз в 15 минут этот 

дистрибутив  сканируется  на  наличие  вирусов  штатным  антивирусом  и  ведется  журнал.  В  случае 

698 

выявления  подозрительного  файла,  отчет  отправляется  на  почту  системного  администратора  и  на 

машину  агенту,  где  он  уже  принимает  решение  по  применению  мер  (запрет  запуска  этого  файла). 

Запрет будет до тех пор, пока СисАдмин не примет меры по устранению угрозы и не отправит файл в 

белый список. На обязанностях агента также лежит сканирование портов на уязвимость. В случае его 

ненормальной активности порт закрывается и сформированное событие отправляется в журнал. 

На  серверной  стороне  происходит  сбор  всех  данных  и  выкладывается  в  отдельный  файл  для 

удобного  чтения.  Этот  файл  постоянно  пополняется  и  с  него  читаются  данные  для  формирования 

графиков и других данных. Также здесь происходит анализ сети: обращение к каждому компьютеру 

по ip – адресу и множеству портов. В случае наличия открытого порта событие заносится в журнал, 

данные отправляются соответствующему агенту, а агент в свою очередь принимает меры (закрывает 

порт). Опять же до выяснения причин СисАдмином. 

2.  Угроза Первой и Второй степени. (Первая степень самая критичная) 

Приналичие  Второй  степени  угрозы,  а  именно  система  подвергается  атакам  и  агент  еще  в 

состоянии  ей  противостоять,  происходит  следующее.  Агент  в  силу  своих  возможностей  может 

обеспечить  полузакрытую  систему  (компьютер)  и  блокировать  всевозможные  атаки  путем 

блокирования  портов  и  файлов.  При  этом  хост  продолжает  работать  и  функционировать.  В  случае 

атаки  более  массированного  характера  (заражения  хоста  и  невозможность  агентом  что-либо  делать) 

агент  (из  последних  сил)  отправляет  на  сервер  последние  данные  и  сообщает  о  том,  что  больше  не 

имеет  возможности  противостоять  угрозе.  Далее  изменяет  системный  файл,  находящийся  в 

загрузчике  операционной  системы  (чтобы  компьютер  не  мог  загрузить  операционную  систему)  и 

выключает компьютер командой. 

С  появлением  сообщений  от  агента  об  угрозе  Второй  степени  сервер  мгновенно  закрывает 

соединения  с  хостами  до  необходимого  минимума,  чтобы  минимизировать  возможность  взлома. 

Одновременно с этим сервер начинает вести журнал – таблицу о «хостах». В случае  если в журнале 

фигурирует больше половины хостов, подвергающихся атаке, сервер принимает решение полностью 

заблокироваться  и  немедленно  сообщить  СисАдмину.  В  другом  случае  сервер  «читает»  данные  о 

«локальной» войне на одном хосте и видит, что агент выключил компьютер (по сообщению) и хранит 

в  журнале  «о  хостах»  последнее  ключевое  сообщение.  В  случае  наличия  таких  сообщений  от  30% 

компьютерного парка, сервер полностью закрывается. 

Таким  образом,  типичный  межсетевой  экран  перестал  быть  обыденным.  В  его  функции  вошло 

множество  новых  обязанностей,  которые  были  у  других  представителей  защиты  информационной 

безопасности,  таких  как  антивирусы  и  другие  комплексы  различных  производителей.  Упор  данной 

статьи  был  сделан  на  максимальную  защиту  корпоративной  сети,  дав  межсетевому  экрану  чуть 

больше обязанностей, которые он и так выполняет на службе у системного администратора. В таком 

случае отпадает потребность приобретать дорогостоящее программное обеспечение производителей. 

Еще  один  немаловажный  упор  был  сделан  на  то,  что  межсетевой  экран  должен  выполнять  те 

задачи,  которые  должен  делать  сам  системный  администратор  вручную.  Специалист  средней  руки 

может  с  этим  справиться  в  отличие  от  неопытного  администратора.  Применяя  межсетевой  экран  в 

таком  ключе,  работнику  можно  и  не  знать  деталей  работы  локальной  сети  и  ее  уязвимостей.  Зная 

только  поверхностно  данную  область  знаний,  можно  поддерживать  работоспособность  сети  в 

течении долгого времени. 

Конечно, знания специалисту необходимы. И чем больше, тем лучше. Однако применяя данный 

продукт,  руководство  компании  может  себе  позволить  нанять  менее  квалифицированного 

специалиста и дать ему время и возможности набраться опыта и знаний. По нашему мнению такого 

рода  межсетевой  экран  может  помочь  преодолеть  такие  трудности  как  нехватка  бюджета  и 

отсутствие хорошего специалиста на рынке труда. 

 

ЛИТЕРАТУРА 

1. Владимиров Д.Н. Критерии выбора межсетевого экрана // Конфидент, январь-февраль 1998, № 1. с. 29 - 33. 

2. Курило А.П., Ухлинов Л.М. Проектирование систем контроля доступа к ресурсам сетей ЭВМ. МИФИ. - 

1998. - 128 с. 

3. Лукацкий А.В. Обнаружение атак. СПб.: БХВ-Петербург, 2001 - 624 с. 

4. ХоффманЛ.Дж. Современные методы защиты информации: пер. с англ. -М.: Сов. радио, 1980. 

 

REFERENCES 

1. VladimirovD.N. “Criterias for choosing a firewall” // Konfident, 1998, № 1. 29 – 33p. 

2.  KuriloА.P.,  UhlinovL.М.  “Designing  systems  to  control access  to  resources  of  computer networks.”- 1998.  - 

128 p. 

699 

3. LukackiyА.V. “Intrusion Detection. St. Petersburg.”: BHV-Petersburg, 2001 - 624 p. 

4. HofmannL.Dj. “Modern methods of information protection”: Sov. radio, 1980. 

 

БекбатыровР.С., магистрант 

Ақпараттық қауіпсіздік тұжырымдамасы 

Түйіндеме.  Мақала  Фаерволлардың  салыстырмалы  анализын  шолу  және  талдауға  арналған,  бұл 

технологиялардың  негізгі  ұғымдары,  қолдану  кеңістіктері  және  осы  технологияларды  қолдану  тиімділігі  мен 

дамытудың өзектілігі келтірілген. 

Кілттік сөздер:файервол, ақпараттың қауіпсіздігі, компьютерлік ау, модуль,атқаратын қызметім, жасанды 

интеллект. 

 

BekbatyrovR.S., undergraduate 

The concept of information security 

Summary.The article is devoted to a review, analysis of firewalltechnologies, it providesbasic definitions of the 

given technologies, spheres of appliance and substantiation of urgency development and effectiveness of the application 

of these technologies. 

жүктеу/скачать 19,96 Mb.

Достарыңызбен бөлісу: