1 / 20

به نام خدا

به نام خدا. موضوع ارائه: سیستم خبره بازرسی امنیت ارائه دهنده: سمیرا بیاتی. مقدمه.

winola
Download Presentation

به نام خدا

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. به نام خدا

  2. موضوع ارائه:سیستم خبره بازرسی امنیتارائه دهنده:سمیرا بیاتی

  3. مقدمه • مقاله كنونى نشان مى دهد كه با ااستفاده از تكنيك سيستم خبره در روش هاى امنيتى مثل آناليز ريسك ، بازرسى امنيت و تشخيص نفوذگرمى توان به منفعت قابل توجهى دست يافت و مشكلات روش دستى را پوشش داد .هر سازمانى كه سياست هاى امنيتى كامپيوتر را پياده سازى مى كند با طيف گسترده اى از تهديد هاى بالقوه مواجه است.تشخيص برخى از انواع تهديدات ميتواند درreal time انجام شود اما تشخيص ساير تهديدات زمان زياد و ابزارهاى پرقدرتى نياز دارد . • دسترسى هاى غير مجاز به دو دسته داخلى و خارجى تقسيم ميشوند . برخورد با تخلفات غير مجاز خارجى بابررسى بايگانى ركوردهاى ورودى و برخورد با تخلفات داخلى با تجزيه و تحليل تلاش هاى انجام شده براى دسترسى به منابع انجام ميشود . • كاربرد AudEsدر اتوماتيك كردن روشهاى بازرسى امنيت ميباشد . • RACF (مجموعه كنترل بر دسترسى به منابع ) گزارشات مربوط به تخلفات را ثبت ميكند و روش هاى نقض امنيت را بدون فيلتر كردن نمايش ميدهد و بدين شكل حجم عظيمى از داده ها ى بازرسى شده را توليد ميكند . • عدم كارايى بازرسى امنيت RACFدر زمان پاسخ گو يى بالاى آن ( يك سايت با ده ها سيستم : 8ساعت براى يك تيم 2نفره )، دقت پاسخ گويى پايين، ميزان كاغذ توليد شده زياد ( پرينت گزارشات و فرمهاى مختلف )، تكرارى بودن كارها و غير مهيج بودن آن ( كه سبب تبديل آن به يك شغل سطح پايين شده است ) و انعطاف پذيرى پايين براى انتقال ميان سايت ها ميباشد

  4. 1- دامنه كاربرد اين سيستم خبره • اين سيستم كمك بزرگى است در شناسايى مواردى كه به صورت بالقوه در سيستم گنجانده ميشوند .چرخه نقض امنيت آن به شكل زير ميباشد : • 1- پيدايش • 2- تشخيص • 3- پيگيري • 4- آرشيو

  5. 2-1 تشخيص • تشخيص موارد نقض امنيت مستلزم جداسازى توالى اتفاقاتى است كه مطابق الگوهاى خاصى ميباشند .الگوهاى تخلف توسط مشخصه هايى تعيين ميشوند به عنوان مثال : • نوع تخلف : واكنشهاى اوليه و ثانويه نسبت به انواع تخلفات متفاوت است . • نوع كاربر : انواع مختلف كاربران به شكل هاى متفاوتى رفتار ميكنند به عنوان مثال ميزان نقض امنيت كاربران خارجى بسيار بيشتر از كاربران داخلى ميباشد . • مكان كاربر : اين موضوع ميتواند روى تصميمات بازرس مؤثر باشد . • تاريخ و زمان : اين كه در چه زمانى از روز ( براى مثال ساعت كارى يا ساعت بعد از كار ) و يا چه روزى ( روز كارى ، آخر هفته ، تعطيلات و ... ) نقض امنيتى ايجاد شود . • تشخيص و بررسى همه اين موارد توسط يك انسان كار مشكلى است و سيستم خبره ميتواند در اين موارد كمك كننده باشد .

  6. بيشتر سيستم هاى خبره كنونى متد سيستمهاى خبره سنتى را هدف گرفته اند . در سيستم خبره سنتى ( مثل سيستم تشخيص پزشكى يا سيستم مشاوره انتخاب نوشيدنى ) مشاوره در 2 مرحله انجام ميشود : • 1- درخواست از كاربر براى ورود داده • 2- تشخيص و يا توصيه

  7. اما تشخيص نقض امنيت در سيستم خبره متشكل از تعداد زيادى تكرار است : • 1- در حالى كه ركوردهاى بيشترى وجود دارد : • الف ) همه ركوردها براى يك كاربر را به دست بياور • ب) ركوردها ها را نسبت به هر نوع تخلفى بررسى • 2- برو به مرحله 1 • 3- محاسبه آمار گزارشات • ماهيت تكرار شونده فرايند بازرسى كه مشكل بازرسان انسانى نيز ميباشد با بسيارى از سيستم هاى خبره مطابقت ندارد . دليل آننگهدارى ليستهايى بلند از ركوردهاى پشتيبانى نمونه هاى متعدد ميباشد .اين تكرار باعث پيچيدگى مديريت حافظه ( بيشتر سيستم هاى خبره مديريت حافظه كار آمدى ندارند ) در سيستم خبرهميشود AuDESبه منظور مقابله با اين مشكل وظايف خود را خارج ار پايگاه دانش اجرا ميكند

  8. 3-1 پيگيري • پيگيرى دنباله اى از فعاليتهايى است كه به سرعت بعد از تشخيص رخ ميدهند . بر خلاف تشخيص ، پيگيرى نياز به رويكرد فعال ترى دارد . به عبارت ديگر بازرس ممكن است مجبور شود اقدامات زير را انجام دهد : • - تماس با متخلف مشكوك • - تماس با مدير متخلف • - هشدار امنيتي • - مطلع كردن صاحبان منابع و ...

  9. به طور خلاصه پيگيرى شامل كاغذ بازي( گزارش تخلفات شخصى ، پيگيرى هاى انجام شده و ... ) و ارتباطات و اتلاف وقت بيشترى نسبت به تشخيص ميباشد . در صورت استفاده از سيستم خودكار اين زمان ميتواند ذخيره شود . • اگر چه بيشتر سازمان ها رهنمودهايى براى بازرسى امنيت دارند اما اين قوانينهمه جانبه نيست و برخى از جنبه هاى تشخيص و شناسايى بر عهده بازرس گذاشته ميشود ( حتى زمانى كه نقض امنيت آشكار ميباشد ، بازرس بايد موجه بودن برخورد با آن را مشخص كند ) . به همين دليل تشخيص موارد تخلف به صورت اتوماتيك ممكن است سودمند نباشد به جاى آن روش مشاوره را ميتوان انتخاب كرد . به اين صورت كه حوادث مشكوك با نشان نقض امنيت قطعى ضبط شده و يا نمايش داده شوند اما قضاوت نهايى و اقدامات مناسب بر عهده بازرس انسانى گذاشته شود .

  10. عوامل مهم در توسعه سيستم هاى خبره • 1- سهولت استفاده • 2- User interface و امكانات زمان اجرا ى مناسب كه براى كاربران نهايى از اهميت بالايى برخوردار است و با ارائه واسط هاى غنى و گرامر آسان به دست مى آيند ( در حالى كه سرعت كاهش مى يابد ) • 3- امكانات ويرايش • 4- سرعت اجرا ى بالا كه براى برنامه نويسان اهميت زيادى دارد . • به طور كلى ميتوان گفت افزايش سرعت اجرا سبب كاهش امكانات زمان اجرا ميشود . • AUDES در تضاد با افزايش سرعت ميباشد. اما عوامل جبران كننده اى مثل سهولت استفاده، تغيير پذيرى و انعطاف پذيرى و رابط كاربر گسترده سبب افزايش اهميت ملاحظات اجرا ( حداقل براى پياده سازى هاى اوليه ) شده است .

  11. ESE: • محيط سيستم خبره ESE = Expert System Environment ) )يك ابزار در دسترس است كه براى توسعه Audesتوليد شده است .قوانين و دستورات ESE گرامر ساده انگليسى ميباشد كه حتى توسط كسانى كه برنامه نويسى نمى كنند قابل درك است . • كاربرد آن درپيش بينى ، تشخيص ، برنامه ريزى و تصميم گيرى در حوزه هاى مختلف و فراهم كردن يك رابط گسترده به عملكرد هاى خارجى ( انجام كارهاى معمولى AUDES در خارج از پايگاه دانش )ميباشد .بررسى اتوماتيك خطا و تدوين در زمان ويرايش انجام ميشود .مهمترين ويژگى زمان اجراى آن سهولت پاسخ گويى و دادن اجازه به كاربر براى پرسش در مورد عملكرد سيستم است

  12.  اكتساب دانش • در اكثر سازمانها روشهاى بازرسى امنيت به صورت دقيق و وسواس گونه اى مستند شده است كه هرنوع تلاش براى نقض امنيت را تحت پوشش قرار ميدهد . بنابراين كمترين ميزان ممكن قضاوت بر عهده بازرسان انسانى قرار داده شده است .همه اين موارد پروسه اكتساب دانش را پيچيده تر ميكند .اين اسناد توسط متخصصان امنيتى ماهر( و نه برنامه نويسان ماهر ) نوشته شده است .اين مورد سبب شده است تا بعضى موارد نقض امنيت كه توسط يك برنامه ميتواند پوشش داده شود به خوبى شناخته نشود .

  13. نسخه فعلى • در حال حاضر سيستم Audesتمامى توابع مربوط به تشخيص تخلف را ثبت ميكند . • قوانين بازرسى RACF و روش هاى انجام آن در پايگاه دانش بيان مى شود . • 25 نوع رويداد وجود دارد كه توسط RACF قابل شناسايى و ثبت ميباشند كه محدوده آنها از ركوردهاى ورودى تا تغييرات وارده به خود RACF ميباشد .هر رويداد داراى 3 تا 8 شناسه ( كد بازگشتى ) است

  14. در كل 89 حالت مجزا وجود دارد كه AUDES آن ها را به 4 دسته تقسيم مى كند : • 1- ورودى : تلاشهاى ناموفق براى ورود مثل رمز وارد شده نامعتبر • 2- منبع : تلاشهاى ناموفق براى تغييرامنابع : دسترسى ، تغغيير نام ، حذف • 3- فرماندهى : تلاش هايى براى انتخاب و يا محدود كردن اجراى دستورات به عنوان مثال دستورات مختلف RACF • 4-تركيبى از موارد بالا : زمانى رخ ميدهد هيچ يك از نقض هاى فوق شناسايى نشوند.پس اين نقض جديد ميتواند تركيبى از چند مورد باشد

  15. تقسيم بندى كاربران توسط RACF: • 1- معمولى : اكثريت كاربران را تشكيل ميدهد. • 2- ويژه : كسانى هستند كه بالاترين درجه امنيت را دارا هستند.مثل مديران امنيتى سايت و به آنها يك كارت سفيد ( به معناى داشتن اختيار تام ) مجازى داده شده است . • 3- كاركنان : برنامه نويسان سيستم هستند با توانايى محدود براى ايجاد تغيير در RACF • 4- بازرسان : با مجوز دسترسى به گزارش فعاليت ها و استفاده از گزارشاتRACF

  16. تقسيم بندى كاربران توسط AUDES: • پشتيبانى از تقسيم بندى RACF و تقسيم كاربران به 2 قسمت • 1- داخلى ( كارمندان IBM) • 2-خارجى ( مشتريان ، فروشندگان ،پيمانكاران و انواع ديگر كاربران خارجى ) • براى هر دسته ، انواع تخلفات مجزايى در نظر گرفته ميشود

  17. يك نمونه از قوانين ESE كه Audesاز آن براى تشخيص نقض امنيت استفاده ميكند : • ( ميزان نقض امنيتى منابع < آستانه قابل پذيرش منابع ) IF • )نوع كاربر مشترى باشد ) AND • ) نوع منبع داخلى باشد ) AND • THEN • (عمل توصيه شده = ارتباط با صاحب منبع و گزارش موضوع به مراقب مشتريان )

  18.  انعطاف پذيري • AUDES ميتواند به راحتى با احتياجات سايت هاى شخصى منطبق شود .اين كار به كمك چندين (PROFILE ) مشاوره و اطلاع رسانى در مورد عملكرد Audesامكان پذير است. اين پروفايل ها توسط مديران امنيت سايت و به كمك پايگاه دانش تفكيك شده AudINIT) )ساخته شده اند. • AudINITها كاربران را مرحله به مرحله در فرآيند پردازش همراهى ميكنند و به اين شكل ميتوانند پارامترهاى پردازشه مختلف را از لحاظ داشتن نقض امنيتى چك كنند . • محتويات پروفايل سايت ممكن است شامل اطلاعات مخصوص سايت باشد مثل : • سيستم هاى تحت كنترل سايت • كاربران مجاز به استفاده از AUDES : بازرسان • كاربران ممتاز : كارمندان و كاربران ويژه • اخبار متناوب RACF از سايت

  19. تعيين چگونگى تشخيص تخلفات توسط Audesدر اين پروفايل ها : • هر نوع تخلفى ميتواند روشن يا خاموش باشد ( نظارت شود يا ناديده گرفته شود ) • هم سايت و هم پروفايلهاى انتخاب رويداد به ندرت تغيير داده ميشوند ( اصلاح ميشوند ) .در نهايت پروفايل زمان اجرا پارامترهاى اجرايى مختلف AUDES را تنظيم ميكند .تعيين حالت اجرا ( تعاملى بودن يا نبودن ) ، چاپ شدن و يا چاپ نشدن تخلفات مشكوك و مجزا كردن ليست گزارشات بازرسى هاى انجام شده در اين بخش انجام ميشود . اين پروفايل ميتواند در هر زمان لازم توسط بازرسان براى انعطاف پذيرى لازم تغيير كند .

  20. منابع : • [1] R. C. Summers and S. A. KurzbanPotential Application of Knowledge-based Methods to Computer • Security, Computers & Security Journal, vol. 7, August 1988 • [2] IBM CorporationExpert System Environment, General Information Manual, GH20-9597 • [3] IBM CorporationResource Access Control Facility, General Information Manual, GC28-0722 • [4] J. P. AndersonComputer Security Threat Monitoring and Surveillance, James P. Anderson Co • Fort Washington, Pa., April 1980

More Related