Введение 4
Глава 1 Исследование ИС, в основе которой лежат облачные технологии, как объекта защиты 9
1.1. Анализ типов облачных услуг и моделей облачного размещения, которые
имеются на данный момент 9
1.2 Анализ источников из литературы, в которых рассматриваются проблемы
облачных вычислений 13
1.3 Исследование имеющихся стандартов и нормативных правовых
документов в сфере ИБ облачных сред 14
1.4 Анализ вопросов предоставления ИБ в облачных средах 19
1.5 Выводы по первой главе 23
Глава 2 Исследование вопроса выполнения аудита ис, в основе которой лежат процессы облачных вычислений 25
2.1. Анализ источников литературы, которые посвящены аудиту ИБ 25
2.2 Исследование нормативно-правовых документов, которые существуют на
сегодняшний день, в области проверок ИБ 28
2.3 Изучение способов, популярных на сегодняшний день, для автоматизации
проверок ИБ 34
2.3.1ПО, которое предусматривает базовый уровень ИБ 35
2.3.2 Программное обеспечение, которое предусматривает полный
анализ вероятности возникновения угроз 36
2.4 Исследование угроз нарушения ИБ типичных для облаков 38
2.4.1 Угрозы ИБ для потребителей облачных услуг 38
2.4.2 Угрозы ИБ для поставщика облачных услуг 39
2.5 Формализованное описание системы защиты информации системы
облачных вычислений на основе абстрактно-алгебраического подхода 43
2.6 Выводы по второй главе 47
Глава 3 Разработка метода частной политики иб в облаке 48
3.1 Моделирование политики ИБ предприятия в системе облачных
вычислений 48
3.1.1 Применение технологии при создании политики ИБ в облаке 49
3.2 Применение нечетких когнитивных карт при реализации модели угроз в
облаке, с учетом инфраструктуры объекта защиты 63
3.3 Реализация схем и методов для проведения проверок ИБ в облаке 65
3.4 Анализ и решение проблемы, связанной сформированием обучающего
множества 70
3.6 Выводы по третьей главе 76
Глава 4 Разработка и внедрение результатов исследования 77
4.1 Реализация проверок ИБ системы облачных вычислений при помощи
нейросети с применением модели IDEF0 77
4.2 Обучение искусственной нейронной сети. Поиск эффективности
выбранного алгоритма обучения нейронной сети 80
4.3 Реализация блоксхемы и модели программы для проверок
информационной безопасности в облаке 87
4.4 Демонстрация работы с программой «Product validation» 91
4.5 Демонстрация итогов исследований, при использовании программы
«Product validation» для проверки системы облачных вычислений 95
4.6 Выводы по четвертой главе 98
Заключение 100
Список используемой литературы 101
Приложение
Многие организации, работающие с конфиденциальной информацией, рассматривают возможность использования облачных вычислений, поскольку они предоставляют ресурсы, которые можно легко масштабировать, наряду со значительными экономическими выгодами в виде снижения эксплуатационных расходов. Тем не менее, сложно правильно обрабатывать конфиденциальные данные в облачных вычислительных средах из-за ряда существующих законов и положений о конфиденциальности. Примером такого законодательства является Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" [28], который требует сохранения конфиденциальности для обработки персонально идентифицируемой информации. В данной диссертации будут рассмотрены проблемы, с которыми сталкиваются организации при хранении персональных данных. Также будет описываться, как облачные вычисления могут использоваться для предоставления инновационных решений, обеспечивающих безопасность конфиденциальной информации.
Основное внимание в этой диссертации уделяется вопросам безопасности и конфиденциальности данных, хранимых или получаемых на предприятии, что требует особенно строгих решений, обеспечивающих конфиденциальность [17]. Например, для высокоточного прогнозирования чего-либо, основываясь на гигантской статистике и не вникая в глубинные причины явлений, используя аналитику больших данных и технологии облачных вычислений. Однако при использовании данных в облаке необходимо учитывать этические и нормативные аспекты, связанные с владением данными. Такие данные должны обрабатываться прозрачно, чтобы личности лиц, «владеющих» данными, не были раскрыты.
Следовательно, облачные решения должны надлежащим образом
защищать конфиденциальность данных. Облачные вычисления подняли
несколько проблем безопасности, включая многопользовательский режим,
потерю контроля и доверия. Следовательно, большинство облачных
4
провайдеров - в том числе Google, Яндекс и другие, не гарантируют определенные уровни безопасности и конфиденциальности в своих соглашениях об уровне обслуживания (SLA) в рамках договорных условий и положений. между облачными провайдерами и потребителями. Поставщики облачных вычислений виртуализируют и контейнеризируют свои вычислительные платформы, чтобы иметь возможность обмениваться ими между различными пользователями. Под многопользовательским режимом подразумевается совместное использование физических устройств и виртуализированных ресурсов между несколькими независимыми пользователями или организациями. [16]
Потеря контроля — это еще одно потенциальное нарушение безопасности, которое может возникнуть, когда данные, приложения и ресурсы потребителей размещаются в принадлежащем облачному провайдеру помещении. Если пользователи не имеют явного контроля над своими данными, это позволяет облачным провайдерам выполнять интеллектуальный анализ данных пользователей, что может привести к проблемам безопасности. Кроме того, когда облачные провайдеры выполняют резервное копирование данных в различных центрах обработки данных, потребители не могут быть уверены, что их данные будут полностью удалены везде, когда они удаляют свои данные. Это может привести к неправильному использованию стертых данных. В таких ситуациях, когда потребители теряют контроль над своими данными, они видят в облачном провайдере черный ящик, в котором они не могут напрямую осуществлять прозрачный мониторинг ресурсов. Доверие играет важную роль в привлечении большего количества потребителей, обеспечивая поставщиков облачных услуг. Проблемы безопасности в облачных вычислениях приводят к ряду проблем с конфиденциальностью, потому что конфиденциальность - это сложная тема, которая имеет различные толкования в зависимости от контекста, культуры и сообщества. Кроме того, конфиденциальность и безопасность являются двумя различными темами, хотя безопасность, как правило, необходима для обеспечения конфиденциальности [11]. Юристы, философы, исследователи, психологи и социологи предприняли несколько попыток осмыслить конфиденциальность, чтобы дать нам лучшее понимание конфиденциальности - например, исследование Алана Вестина в 1960 году считается первой значительной работой по проблеме конфиденциальность данных потребителей и защита данных. Вестин [21] определил конфиденциальность следующим образом. "Конфиденциальность - это требование отдельных лиц, групп или учреждений самим определять, каким образом и каким образом информация о них сообщается другим лицам. "
Исходя из этого тема защиты данных в облаке является актуальной.
Объект исследования: ИС облачных вычислений, где взаимодействуют клиент и поставщик облачных сервисов.
Предмет исследования: модели и методы проверок информационной безопасности в ИС облачных вычислений.
Цель исследования: нахождение способа оценить степень угрозы похищения данных в ИС облачных вычислений.
Задачи исследования:
1. Выяснить какие виды нарушений могут быть в системе облачной безопасности, также понять, что может являться источником угроз. Реализовать модель угрозы ИБ, принимая во внимание отличительные черты системы облачных вычислений.
2. Изучить нормативные документы о защите информации в облаке, выполнить разработку метода частной политики безопасности системы облачных вычислений.
3. Применяя численную оценку вероятности возникновения угрозы нарушения информационной безопасности, в которую внедрена искусственная нейросеть, реализовать метод проверки ИБ в облаке.
4. Реализовать программу целью которой будет автоматизация проведения проверок информационной безопасности системы облачных вычислений. Выполнить тестирование данной программы, применяя вычислительные исследования.
В данной работе будут применены следующие методы исследования: теория искусственный нейросетей, моделирование IDEF0, теория нечетких когнитивных карт.
Научная новизна:
1. Благодаря, применению нечетких когнитивных карт, появляется возможность увидеть, как происходит увеличение угроз и их источников в облаке.
2. Предложенный в данной работе способ разграничения доступов для ролей, что приводит к исключению роли пользователя с максимальными доступами, и убирает его вероятность прямого использования потоков данных клиента и устранение возможности распоряжения конфигурационными файлами облака. Стоит отметить, что способ применяется при разработке методики частной политики.
3. Следующий метод, предложенный в данной работе - проведение проверок ИБ облака, основываясь на получении численной оценки оперативного значения вероятности возникновения угрозы нарушения ИБ, применяя искусственную нейросеть. Что приведет к тому, что поставщик сможет адекватно реагировать на вероятные происшествия незамедлительно и аргументировать свои действия.
4. Реализация программы позволит определять прогнозируемое и оперативное значение вероятности возникновения угрозы нарушения ИБ. Первое значение применяется на стадии проектирования защиты информации в облаке, а второе для определения вероятности возникновения в настоящее время, учитывая возможность возникновения сложной атаки.
Публикации:
Основные публикации по теме магистерской диссертации отражены в 2 статьях, представленных на научно-практических конференциях и индексируемых РИНЦ [4, 5].
Теоретическая значимость работы:
на практике метод проверки информационной облачных вычислений, применялся при решении значения вероятности возникновения угрозы нарушения ИБ.
2. Реализованная модель ИБ частной политики в облаке, при должном соблюдении требований приведет к уменьшению нарушений, исключит роль пользователя со всеми правами и также различных лиц из доступа к системе. Следовательно, данные действия приведут к улучшению доверия клиентов.
Практической значимостью работы является: проведение
модернизации системы, установка различных средств защиты системы облачных вычислений, а также выбор варианта реагирования на угрозу.
Результатом работы является совокупность теоретической и практической деятельности по направлению «Прикладная информатика», выполненная в процессе обучения.
1. Предложен способ разграничения доступов для ролей, что приводит к исключению роли пользователя с максимальными доступами, и убирает его вероятность прямого использования потоков данных клиента и устранение возможности распоряжения конфигурационными файлами облака. Стоит отметить, что способ применяется при разработке методики частной политики.
2. Предложено 2 подхода к проведению проверок ИБ в облаке, применяя прогнозируемое и оперативное значение уровня вероятности возникновения угроз нарушения ИБ. Перове значение применяется на стадии проектирования защиты информации в облаке, а второе для определения вероятности возникновения угроз в настоящее время, учитывая возможность возникновения сложной атаки.
3. С помощью метода нечетких когнитивных карт была реализована модель преднамеренных угроз нарушения ИБ в облаке.
4. Реализована программа для автоматизации процесса проведения проверок ИБ в системе облачных вычислений, цель которых, понять и выполнить оценку оперативного значения уровня вероятности возникновения угроз нарушения. В приведенном в примере суммарная вероятность возникновения угрозы нарушения ИБ равна 2,82%. Точность согласования весовых коэффициентов нейросети, которая реализована в данной программе, равна 0,1%.
5. При помощи расчетов было доказано, что самые опасные угрозы информационной безопасности для системы облачных вычислений - внутренние нарушения ИБ, то есть угрозы, которые происходя из деятельности поставщикапотребителя облачных услуг.
1. Баранова Е., Бабаш А. - Информационная безопасность и защита. Инфра - М. 2017 - 324 с.
2. Бостром Н. - Искусственный интеллект Этапы. Угрозы. Стратегии- М.: Издательство « МИФ», 2016 - 760 с.
3. Брэгг, Роберта Безопасность сетей. Полное руководство // Р. Брэгг, М. Родс-Оусли, К. Страссберг; пер. с англ. - М.: Издательство «Эконом», 2018.
- 912 с.
4. Глеске Д.О. Понятие аудита информационной безопасности. / Вестник научных конференций. 2020. №11-4(63). Наука, образование, общество: по материалам международной научно-практической конференции 30 ноября 2020 г. Часть 4. - С. 26-27
5. Глеске Д.О. Программное обеспечение, предусматривающее полный анализ рисков. / Вестник научных конференций. 2020. №11-4(63). Наука, образование, общество: по материалам международной научно-практической конференции 30 ноября 2020 г. Часть 4. - С. 27-28
6. Гребнев Е. Облачные сервисы. Взгляд из России - М.: CNews, 2018.
- 282с.
7. Кан К.А. -Нейронные сети. Эволюция - М.: Издательство «ЛитРес» , 2018. - 380 с.
8. Клейнбер Д. - Алгоритмы. Разработка и применение - М.:
Издательство «Питер», 2016 - 800 с.
9. Маркелов А. А. - OpenStack. Практическое знакомство с облачной операционной системой - М.: Издательство «ДМК-Пресс, 2.», 2018. - 306 с.
10. Николенко С - Самообучающиеся системы - М.: Издательство «МЦНМО» , 2015. - 289 с.
11. Николенко С. - Глубокое обучение. Погружение в мир нейронных сетей // Кадурин .А., Архангельская Е - М.: Издательство «Питер СПб» , 2020. - 480 с.
12. Околов, А.Р. Использование «облачных вычислений» в автоматизированных системах обработки информации // А.Р.Околов, А.А. Трекало, А.В. Николаенок. 2017-543с.
13. Разумников С.В. Интегральная модель оценки эффективности и рисков облачных ИТ-сервисов для внедрения на предприятие // Фундаментальные исследования. - 2015. - № 2-24. - С. 5362-5366;
14. Рашид Тарик - Создаем нейронную сеть - М.: Издательство
«Вильямс», 2018 - 220 с.
15. Родичев Ю. - Нормативная база и стандарты в области
информационной безопасности - М.: Издательство « Питер», 2017 - 256 с.
16. Савельев А.О. — Введение в облачные решения Microsoft - Национальный Открытый Университет "ИНТУИТ" - 2016. -230с.
Эл ектронные ре сурс
17. Arif Mohamed. A history of cloud computing. [Электронный ресурс]: -
Режим доступа: http://www. computerweekly. com/feature/A-history-of-cloud-
computing .
18. Introduction to combinatorial mathematics Liu C.L. [Электронный ресурс]: - Режим доступа: http://en.bookfi.net/book/560269
19. Peter M. Mell, Timothy Grance The NIST Definition of Cloud
Computing [Электронный ресурс]: - Режим доступа:
https: //www.nist. gov/node/568586
20. Share [Электронный ресурс]: - Режим
доступа:https://www.cs.jhu.edu/~sdoshi/crypto/papers/shamirturing.pdf
21. Алан Вестин [Электронный ресурс]: - Режим
доступа:https://en.wikipedia.org/wiki/Alan_Westin
22. Высокопроизводительные вычисления как облачный сервис: ключевые проблемы [Электронный ресурс] / А. О. Кудрявцев [и др.]. -Режим доступа: http://omega.sp.susu.ac.ru/books/conference/PaVT2013/short/032.pdf.
23. Модели системной динамики на основе нечетких реляционных
когнитивных карт [Электронный ресурс]: - Режим доступа:
https://sccs.intelgr.com/archive/2016-01/04-Fedulov.pdf
24. Москаленко А. Облачно и мобильно: что может спасти российский
ИТ-рынок? [Электронный ресурс]. - Режим доступа:
http://www.inlinegroup.ru/events/press-releases/5635.php
25. Орлов, С. Интегрированные системы для частного облака / С. Орлов // Журнал сетевых решений [Электронный ресурс]. - Режим доступа: http://www.osp.ru/lan/2017/03/13040161/.
26. Построение нечетких когнитивных карт для анализа управления
рисками [Электронный ресурс]: - Режим доступа:
https://cyberleninka.ru/article/n/postroenie-nechetkih-kognitivnyh-kart-dlya-analiza- i-upravleniya-informatsionnymi-riskami-vuza/viewer
27. Угрозы облачной безопасности по версии Cloud Security Alliance
[Электронный ресурс]: - Режим доступа: https://iaas-blog.it-
grad.ru/bezopasnost/top-12-ugroz-oblachnoj-bezopasnosti-po-versii-cloud-security- alliance/
28. Федеральный закон "О персональных данных" от 27.07.2006 N 152-
ФЗ (последняя редакция) [Электронный ресурс]: - Режим
доступа:http://www.consultant.ru/document/cons_doc_LAW_61801/
Литература на иностранном языке
29. D. Talia, P. Trunfio, F. Marozzo. Data analysis in the cloud: models, techniques and applications, 2016. - 138 с- Amsterdam [etc.]: Elsevier.
30. John Rhoto. Cloud Computing Architected: Solution Design Handbook.
- 2013 - 423 с. - Kindle Edition
31. John Rhoton. Cloud Computing Explained: Implementation Handbook for Enterprises 2nd ed. Edition second edition Edition / Gerhard Weiss. - Cambridge:The MIT Press, 2018 - 450 с. - 2nd Edition
32. M. Hugos, D. Hulitzky. - Hoboken: John Wiley & Sons. Business in the cloud: what every business needs to know about cloud computing /, 2011. - 205 с.
33. T. Mather, S. Kumaraswamy, S. Latif. Cloud security and privacy /- Beijing [etc.]: O'Reilly, 2019. - 312 с