RU2460122C1 - System and method of raising security level of computer system - Google Patents
System and method of raising security level of computer system Download PDFInfo
- Publication number
- RU2460122C1 RU2460122C1 RU2011115360/08A RU2011115360A RU2460122C1 RU 2460122 C1 RU2460122 C1 RU 2460122C1 RU 2011115360/08 A RU2011115360/08 A RU 2011115360/08A RU 2011115360 A RU2011115360 A RU 2011115360A RU 2460122 C1 RU2460122 C1 RU 2460122C1
- Authority
- RU
- Russia
- Prior art keywords
- user
- information
- knowledge
- information security
- level
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000009471 action Effects 0.000 claims description 51
- 238000012549 training Methods 0.000 claims description 31
- 238000001514 detection method Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 7
- 238000013528 artificial neural network Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 11
- 230000000694 effects Effects 0.000 abstract description 3
- 238000011156 evaluation Methods 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 230000003287 optical effect Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000035515 penetration Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000005352 clarification Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009850 completed effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
Область техникиTechnical field
Настоящее изобретение относится к компьютерным системам, более конкретно к системам обеспечения информационной безопасности.The present invention relates to computer systems, and more particularly to information security systems.
Уровень техникиState of the art
В настоящее время компьютеры перестали быть средством, которое доступно лишь весьма ограниченному кругу технических специалистов. На сегодняшний день огромное количество людей использует электронно-вычислительные машины и различные вычислительные сети для передачи данных с целью решения как текущих рабочих вопросов, так и ежедневных бытовых проблем. Плюсы от такого распространения средств вычислительной техники (СВТ) трудно переоценить, в частности, посредством вычислительных сетей удешевляется и упрощается получение различных услуг, материалов из архивов библиотек со всего мира, взаимодействие людей на больших расстояниях и так далее. Однако всеобщая компьютеризация таит в себе существенные проблемы в области обеспечения безопасности тех данных, которые обрабатываются или хранятся с использованием СВТ. При этом исследования в области информационной безопасности выявили тот факт, что 80% всех инцидентов информационной безопасности совершаются самими пользователями либо с их участием и лишь 20% из них происходят из-за сбоев и отказов техники (http://www.sans.edu/research/leadership-laboratory/article/mgt421-scott-pareto). В данном описании под термином «инцидент информационной безопасности» понимается единичное событие или же ряд нежелательных или неожиданных событий в информационной безопасности, которые подвергают большому риску бизнес-процессы или же угрожают информационной безопасности.Currently, computers have ceased to be a tool that is available only to a very limited circle of technical specialists. Today, a huge number of people use electronic computers and various computer networks to transmit data in order to solve both current working issues and everyday household problems. The advantages of such a spread of computer technology (CBT) are difficult to overestimate, in particular, through the use of computer networks, it is cheaper and easier to obtain various services, materials from archives of libraries from around the world, the interaction of people over long distances, and so on. However, universal computerization is fraught with significant problems in ensuring the security of the data that is processed or stored using the CBT. At the same time, studies in the field of information security revealed the fact that 80% of all information security incidents are committed by users themselves or with their participation, and only 20% of them occur due to equipment crashes and failures (http://www.sans.edu/ research / leadership-laboratory / article / mgt421-scott-pareto). In this description, the term "information security incident" refers to a single event or a series of undesirable or unexpected events in information security that put business processes at great risk or threaten information security.
Таким образом, для комплексного обеспечения информационной безопасности нужно обратить внимание на самое слабое звено в цепочке «математические алгоритмы - техника - человек», то есть - на человека. При этом введение жестких аппаратных и программных ограничений не всегда возможно и целесообразно.Thus, in order to comprehensively ensure information security, it is necessary to pay attention to the weakest link in the chain of "mathematical algorithms - technology - people", that is, to the person. At the same time, the introduction of hard hardware and software restrictions is not always possible and advisable.
Сейчас типичным пользователем компьютера является человек, не обладающий специальными техническими знаниями в области информационных технологий и информационной безопасности. В некоторых ситуациях он даже может не понять, почему нельзя совершать те или иные действия, например необдуманно открывать любые файлы, приходящие от неизвестных отправителей. Также стоит отметить, что информационная безопасность системы, к которой имеют доступ несколько лиц, будет определяться уровнем грамотности наименее подготовленного из них. Следовательно, для повышения уровня защиты отдельного компьютера или сети в целом в первую очередь следует развивать компетентность пользователей.Now a typical computer user is a person who does not have special technical knowledge in the field of information technology and information security. In some situations, he may not even understand why it is impossible to perform certain actions, for example, thoughtlessly opening any files coming from unknown senders. It is also worth noting that the information security of the system, to which several people have access, will be determined by the level of literacy of the least prepared of them. Therefore, to increase the level of protection of an individual computer or network as a whole, the competence of users should first be developed.
Для решения проблем образования, в том числе и в области информационной безопасности, на данный момент существует большое количество систем интерактивного обучения, в которых пользователям предоставляется возможность ознакомления с материалами курса. Например, в патенте US 6993513 B2 описывается способ, согласно которому для достижения поставленной задачи предоставляется определенный набор информации, адаптированной к текущему уровню знаний студента. Системы интерактивного обучения пользователей также описаны в патентах и заявках US 5823781 A, JP 2009163746 A, JP 2002279057 A, US 20020154155 A1. При этом все отмеченные технологии ориентированы на заинтересованное лицо, готовое проходить тестирование для определения своего уровня компетентности. Однако при централизованном обучении, например, в корпоративной вычислительной сети большинство пользователей не смогут уделить этому достаточное количество времени.To solve the problems of education, including in the field of information security, at the moment there are a large number of interactive training systems in which users are given the opportunity to familiarize themselves with the course materials. For example, in the patent US 6993513 B2 describes a method according to which to achieve the task provided a certain set of information adapted to the current level of knowledge of the student. Interactive user training systems are also described in patents and applications US 5823781 A, JP 2009163746 A, JP 2002279057 A, US 20020154155 A1. Moreover, all the technologies mentioned are oriented to the interested person who is ready to undergo testing to determine their level of competence. However, with centralized training, for example, on a corporate computer network, most users will not be able to devote enough time to this.
Технология автоматического определения уровня знаний пользователя описана в патенте US 4964077 A, которая реализована на основании подсчета числа полученных подсказок. Также идея определения компетентности пользователя раскрывается в патенте US 5774118 A, однако в данном случае анализируются и классифицируются непосредственно сами действия пользователя, на основании которых определяется его уровень знаний. В патенте US 5107499 А рассматриваются и сравниваются предыдущие и текущие действия пользователя, а затем с помощью заранее заданных правил определяется степень его подготовки. В дальнейшем на основании уровня знаний может предоставляться обучающая информация.The technology for automatically determining the user's knowledge level is described in US Pat. No. 4,963,077 A, which is implemented based on counting the number of prompts received. The idea of determining the competence of the user is also disclosed in US Pat. No. 5,774,118 A, however, in this case, the user's actions themselves are analyzed and classified directly, based on which his level of knowledge is determined. US Pat. No. 5,107,499 A examines and compares previous and current user actions, and then, with the help of predetermined rules, the degree of his preparation is determined. In the future, based on the level of knowledge, training information may be provided.
В заявке US 20090094697 A1 рассматривается идея информирования пользователей о возникающих угрозах. Ее реализация представлена в обозревателе Google Chrome: выводятся предупреждающие сообщения о возможном присутствии вредоносных объектов на веб-странице. Далее по запросу пользователя может быть указано, на основании каких данных было сформировано предостережение, при этом указанное предостережение можно игнорировать. Тем не менее, предложенный вариант не учитывает различную степень подготовки пользователей: информационные сообщения одинаковы для всех. В патенте US7552199B2 описывается идея автоматического определения уровня знаний пользователя и предоставления обучающей информации соответствующего уровня. Однако описанная технология не рассматривает действия пользователей с точки зрения влияния на информационную безопасность системы и соответствия заданным правилам безопасности. При этом в патенте не указывается возможность изменения настроек компьютера или всей локальной вычислительной сети в зависимости от уровня знаний пользователя, что бывает полезным для обеспечения информационной безопасности.In the application US 20090094697 A1 discusses the idea of informing users about emerging threats. Its implementation is presented in Google Chrome: warning messages are displayed about the possible presence of malicious objects on the web page. Further, at the request of the user, it can be indicated on the basis of what data the warning has been generated, while this warning can be ignored. However, the proposed option does not take into account the varying degrees of user training: informational messages are the same for everyone. US7552199B2 describes the idea of automatically determining a user's knowledge level and providing training information of an appropriate level. However, the described technology does not consider the actions of users from the point of view of the impact on the information security of the system and compliance with the specified security rules. Moreover, the patent does not indicate the possibility of changing the settings of the computer or the entire local area network depending on the level of knowledge of the user, which is useful for ensuring information security.
Таким образом, требуется получить систему, в которой не только предоставляется информация для совершенствования уровня понимания проблем информационной безопасности, но и ограничиваются несанкционированные действия определенных категорий пользователей.Thus, it is required to obtain a system in which not only information is provided to improve the level of understanding of information security problems, but also unauthorized actions of certain categories of users are limited.
Анализ предшествующего уровня техники и возможностей позволяет получить новый результат, а именно способ и систему повышения уровня защищенности компьютерной системы.Analysis of the prior art and capabilities allows you to get a new result, namely a method and system to increase the level of security of a computer system.
Сущность изобретенияSUMMARY OF THE INVENTION
Настоящее изобретение предназначено для повышения защищенности компьютерной системы с целью комплексного обеспечения информационной безопасности.The present invention is intended to increase the security of a computer system with the aim of comprehensively ensuring information security.
Техническим результатом является повышение уровня защищенности компьютерной системы, который достигается за счет анализа действий пользователей, своевременного выявления инцидентов информационной безопасности и обучения пользователей основам информационных технологий.The technical result is to increase the level of security of a computer system, which is achieved by analyzing the actions of users, timely detection of information security incidents and teaching users the basics of information technology.
Одним из предметов настоящего изобретения является способ предотвращения возникновения инцидентов информационной безопасности в системе, состоящей, по крайней мере, из одного компьютера, по крайней мере, с одним пользователем, в котором: а) оценивают уровень знаний, по крайней мере, одного пользователя с помощью средства оценки; б) выбирают, по крайней мере, одно правило безопасности, соответствующее определенному ранее уровню знаний выбранного пользователя, с помощью средства принятия решений; в) определяют инциденты информационной безопасности, произошедшие с участием выбранного пользователя, с помощью средства определения инцидентов; г) для определенных ранее инцидентов информационной безопасности выбирают правила безопасности с помощью средства принятия решений для предотвращения возникновения аналогичных инцидентов информационной безопасности с участием выбранного пользователя.One of the objects of the present invention is a method of preventing the occurrence of information security incidents in a system consisting of at least one computer with at least one user, in which: a) assess the level of knowledge of at least one user using assessment tools; b) choose at least one security rule corresponding to the previously determined level of knowledge of the selected user, using the decision-making tool; c) determine information security incidents that occurred with the participation of the selected user using the incident detection tool; d) for previously identified information security incidents, select security rules using the decision-making tool to prevent the occurrence of similar information security incidents involving the selected user.
В описанном выше способе под инцидентом информационной безопасности понимается, по крайней мере, одно из следующих событий: а) распространение вредоносных объектов; б) копирование конфиденциальных данных; в) использование внешнего почтового клиента. В то же время в качестве правила информационной безопасности выступает, по крайней мере, одно из следующих: а) разрешение/запрещение подключения внешнего устройства; б) периодичность обновления системы; в) список разрешенных/запрещенных TCP-портов; г) использование стороннего почтового клиента; д) блокирование соединений для заданных IP-адресов; е) изменение графического интерфейса, по крайней мере, одного приложения.In the method described above, an information security incident means at least one of the following events: a) the spread of malicious objects; b) copying confidential data; c) using an external mail client. At the same time, at least one of the following acts as an information security rule: a) permission / prohibition of connecting an external device; b) the frequency of updating the system; c) a list of allowed / forbidden TCP ports; d) use of a third-party email client; e) blocking connections for specified IP addresses; e) changing the graphical interface of at least one application.
В одном из вариантов исполнения системы инциденты информационной безопасности определяются путем сравнения с заранее определенными событиями, соответствующими инцидентам информационной безопасности, согласно правилам безопасности.In one embodiment of the system, information security incidents are determined by comparing with predefined events corresponding to information security incidents, according to security rules.
При оценке уровня знаний пользователя учитываются косвенные признаки его компетентности. В частности, к косвенным признакам относится, по крайней мере, один из следующих: а) инциденты информационной безопасности, совершаемые пользователем или с его участием; б) сложность и частота создаваемых паролей; в) установленное и используемое программное обеспечение на компьютере пользователя; г) установленные настройки для программного обеспечения; д) посещаемые пользователем веб-страницы. В другом варианте исполнения настоящего изобретения оценка уровня знаний пользователя происходит на основании, по крайней мере, одного из фактов: а) занимаемая должность; б) возраст; в) опыт работы; г) образование.When assessing the user's knowledge level, indirect signs of his competence are taken into account. In particular, indirect signs include at least one of the following: a) information security incidents committed by or with the participation of the user; b) the complexity and frequency of generated passwords; c) installed and used software on the user's computer; d) the installed settings for the software; e) the web pages visited by the user. In another embodiment of the present invention, an assessment of a user's knowledge level is based on at least one of the facts: a) position held; b) age; c) work experience; g) education.
В частном варианте исполнения вышеописанного способа выбор правил безопасности для предотвращения возникновения инцидентов информационной безопасности с участием пользователя осуществляется с использованием нейронной сети.In a private embodiment of the above method, the selection of security rules to prevent the occurrence of information security incidents involving the user is carried out using a neural network.
В одном из вариантов реализации в указанном выше способе дополнительно предоставляют выбранному пользователю обучающую информацию, соответствующую его уровню знаний, по крайней мере, по одному инциденту информационной безопасности, произошедшему с участием выбранного пользователя. При этом дополнительно оценка уровня знаний пользователя осуществляется на основании анализа действий пользователя, совершаемых в ответ на предоставление обучающей информации. Обучающая информация содержит, по крайней мере, одно из представлений: а) текстовое; б) графическое; в) аудиовизуальное.In one embodiment, the implementation of the above method further provides the selected user with training information corresponding to his level of knowledge of at least one information security incident that occurred with the participation of the selected user. In addition, an assessment of the user's knowledge level is carried out on the basis of an analysis of user actions performed in response to the provision of training information. The training information contains at least one of the representations: a) textual; b) graphic; c) audiovisual.
В частном варианте осуществления вышеописанного способа дополнительно информируют выбранного пользователя, по крайней мере, об одном выбранном правиле безопасности для предотвращения инцидентов информационной безопасности и его причинах.In a particular embodiment of the above method, the selected user is further informed of at least one selected security rule to prevent information security incidents and its causes.
Другим предметом настоящего изобретения является система предотвращения инцидентов информационной безопасности в системе, состоящей, по крайней мере, из одного компьютера, по крайней мере, с одним пользователем, которая включает: а) средство оценки, предназначенное для определения уровня знаний, по крайней мере, одного пользователя, которое также связано с базой данных и со средством принятия решений; б) средство определения инцидентов, предназначенное для выявления, по крайней мере, одного инцидента информационной безопасности и сохранения информации о нем, которое также связано со средством принятия решений и с базой данных; в) база данных, предназначенная для хранения правил безопасности, информации об инцидентах информационной безопасности и пользователях системы; г) средство принятия решений, предназначенное для выбора правил безопасности для предотвращения повторного возникновения аналогичных инцидентов информационной безопасности с участием пользователя.Another object of the present invention is a system for preventing information security incidents in a system consisting of at least one computer with at least one user, which includes: a) an assessment tool designed to determine the level of knowledge of at least one a user who is also associated with the database and with the decision-making tool; b) an incident detection tool designed to detect at least one information security incident and store information about it, which is also associated with the decision-making tool and the database; c) a database designed to store security rules, information about information security incidents and system users; d) a decision-making tool designed to select security rules to prevent the recurrence of similar information security incidents involving the user.
В частном варианте исполнения вышеуказанная система дополнительно содержит средство подбора информации, предназначенное для предоставления выбранному пользователю обучающей информации соответствующего уровня знаний, по крайней мере, по одному инциденту информационной безопасности, произошедшему с участием выбранного пользователя, которое также связано со средством определения инцидентов информационной безопасности, средством оценки и базой данных. При оценке уровня знаний пользователя, в частности, учитываются действия пользователей, совершаемые в ответ на предоставление обучающей информации. При этом обучающая информация содержит, по крайней мере, одно из представлений: а) текстовое; б) графическое; в) аудиовизуальное.In a private embodiment, the above system further comprises a means of selecting information intended to provide the selected user with training information of an appropriate level of knowledge of at least one information security incident that occurred with the participation of the selected user, which is also associated with a means of determining information security incidents, means assessment and database. When assessing the level of user knowledge, in particular, user actions taken in response to the provision of training information are taken into account. Moreover, the training information contains at least one of the representations: a) textual; b) graphic; c) audiovisual.
В описанной ранее системе под инцидентом информационной безопасности понимается, по крайней мере, одно из следующих событий: а) распространение вредоносных объектов; б) копирование конфиденциальных данных; в) использование внешнего почтового клиента. В то же время в качестве правила безопасности выступает, по крайней мере, одно из следующих: а) разрешение/запрещение подключения внешнего устройства, б) периодичность обновления системы; в) список разрешенных/запрещенных TCP-портов; г) использование стороннего почтового клиента; д) блокирование соединений для заданных IP-адресов; е) изменение графического интерфейса, по крайней мере, одного приложения. Обнаружение инцидентов информационной безопасности в указанной системе происходит путем сравнения с заранее определенными событиями, соответствующими инцидентам информационной безопасности, согласно правилам безопасности.In the system described earlier, an information security incident means at least one of the following events: a) the spread of malicious objects; b) copying confidential data; c) using an external mail client. At the same time, at least one of the following acts as a security rule: a) enable / disable the connection of an external device, b) the frequency of system updates; c) a list of allowed / forbidden TCP ports; d) use of a third-party email client; e) blocking connections for specified IP addresses; e) changing the graphical interface of at least one application. Detection of information security incidents in the specified system occurs by comparing with predefined events corresponding to information security incidents, according to security rules.
В одном из вариантов исполнения указанной выше системы оценка уровня знаний пользователя осуществляется с использованием косвенных признаков. К косвенным признакам относится, по крайней мере, один из следующих: а) инциденты информационной безопасности, совершаемые пользователем или с его участием; б) сложность и частота создаваемых пользователем паролей; в) установленное и используемое программное обеспечение на компьютере пользователя; г) установленные настройки для программного обеспечения; д) посещаемые веб-страницы. В другом варианте осуществления изобретения оценка уровня знаний пользователя осуществляется на основании, по крайней мере, одного из фактов: а) занимаемая должность; б) возраст; в) опыт работы; г) образование.In one embodiment of the above system, an assessment of a user's knowledge level is carried out using indirect features. Indirect signs include at least one of the following: a) information security incidents committed by or with the participation of the user; b) the complexity and frequency of user-generated passwords; c) installed and used software on the user's computer; d) the installed settings for the software; e) visited web pages. In another embodiment of the invention, an assessment of a user's knowledge level is carried out based on at least one of the facts: a) position held; b) age; c) work experience; g) education.
Выбор правил безопасности для предотвращения возникновения инцидентов информационной безопасности с участием пользователя в рассматриваемой системе осуществляется с использованием нейронной сети.The selection of security rules to prevent the occurrence of information security incidents involving the user in the system in question is carried out using a neural network.
Дополнительные преимущества изобретения будут раскрыты далее в ходе описания вариантов реализации изобретения. Также отметим, что все материалы данного описания направлены на детальное понимание того технического предложения, которое изложено в формуле изобретения.Additional advantages of the invention will be disclosed further in the description of embodiments of the invention. Also note that all the materials in this description are aimed at a detailed understanding of the technical proposal, which is set forth in the claims.
Краткое описание чертежейBrief Description of the Drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут раскрыты дальше в описании со ссылками на прилагаемые чертежи.Additional objectives, features and advantages of the present invention will be disclosed further in the description with reference to the accompanying drawings.
Фиг.1 представляет блок-схему способа предотвращения инцидентов информационной безопасности.Figure 1 is a flowchart of a method for preventing information security incidents.
Фиг.2 иллюстрирует систему предотвращения инцидентов информационной безопасности.Figure 2 illustrates an information security incident prevention system.
Фиг.3А описывает частный вариант определения уровня компетентности пользователя в зависимости от установленного ПО.Figa describes a particular embodiment of determining the level of competence of the user depending on the installed software.
Фиг.3Б описывает частный вариант определения уровня знаний пользователя на основании совершаемых действий.Fig.3B describes a particular option for determining the level of knowledge of the user based on the actions performed.
Фиг.4 представляет логические взаимосвязи между темами и возможность уточнения терминов.Figure 4 represents the logical relationships between topics and the ability to clarify terms.
Фиг.5 иллюстрирует варианты полноты описания.5 illustrates options for completeness of description.
Фиг.6 демонстрирует задание соответствия между различными заданными правилами безопасности, уровнем знаний пользователей и функциональными возможностями.6 illustrates the task of correspondence between various predetermined safety rules, the level of user knowledge and functionality.
Фиг.7 показывает примерную схему компьютера общего назначения, на котором развертывается настоящее техническое решение.7 shows an exemplary diagram of a general purpose computer on which the present technical solution is deployed.
Подробное описание предпочтительных вариантов осуществленияDetailed Description of Preferred Embodiments
Объекты и признаки настоящего изобретения, способы для достижения этих признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.
В область решаемых задач входит обучение пользователей с целью уменьшения числа уязвимостей и соблюдение заданных правил безопасности. Здесь и далее под уязвимостью системы будет пониматься свойство системы, которое может быть использовано злоумышленником для осуществления несанкционированных действий, а под заданными правилами безопасности - одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.The scope of tasks includes user training to reduce the number of vulnerabilities and compliance with specified security rules. Hereinafter, a system’s vulnerability will be understood as a property of a system that can be used by an attacker to carry out unauthorized actions, and given security rules - one or more security rules, procedures, practices or guidelines that guide the organization in its activities.
В данном изобретении под термином «информационная безопасность системы» понимается состояние системы, определяющее защищенность информации и ресурсов системы от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность системы выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений. С подробными определениями угроз и субъектов информационных отношений можно ознакомиться в стандарте ГОСТ Р ИСО/МЭК 15408-1-2002 или в соответствующем руководящем документе «Критерии оценки безопасности информационных технологий» (http://www.fstec.ru/_spravs/_spec.htm).In this invention, the term "system information security" refers to the state of the system, which determines the security of information and system resources from the action of objective and subjective, external and internal, accidental and intentional threats, as well as the ability of the system to perform the prescribed functions without causing unacceptable damage to the subjects of information relations. Detailed definitions of threats and subjects of information relations can be found in the standard GOST R ISO / IEC 15408-1-2002 or in the corresponding guidance document “Criteria for assessing the security of information technology” (http://www.fstec.ru/_spravs/_spec.htm )
Основные преимущества настоящего решения вытекают из анализа действий пользователя и своевременного предоставления ему обучающей информации.The main advantages of this solution arise from the analysis of user actions and the timely provision of training information to him.
Фиг.1 описывает предлагаемый способ 100 повышения уровня защищенности компьютерной системы. На первом этапе 110 собирают данные о действиях пользователя, которые могут включать различные сведения, например, о подключаемых сменных носителях, запуске приложений, посещении веб-сайтов, реакции пользователя на информационные сообщения системы и так далее. Впоследствии собранная информация учитывается при предоставлении обучающей информации.Figure 1 describes the proposed
Далее на шаге 120 происходит выбор тех действий, которые нарушают заданные правила безопасности либо приводят к их нарушению. В одном из вариантов исполнения заданные правила безопасности определяются специалистом по информационной безопасности и хранятся в базе данных. В другом варианте реализации правила безопасности задаются с использованием экспертных оценок для аналогичных систем. Например, исходя из заданных правил безопасности, запрещается подключать внешние носители информации к компьютеру, при этом была произведена такая операция, следовательно, указанное действие будет выбрано.Next, at
Затем на шаге 130 происходит оценка уровня знаний пользователя, которая может осуществляться различными способами. В частном варианте реализации изобретения уровень знаний пользователя определяется по различным косвенным признакам, например, по набору программного обеспечения, присутствующем на компьютере, по настройкам приложений, по созданным правилам для межсетевого экрана. Более подробно механизм оценки уровня знаний пользователя по установленному программному обеспечению представлен на Фиг.3А.Then, at
В некоторых вариантах осуществления для определения уровня знаний пользователя анализируются непосредственно совершаемые действия пользователя, в том числе и инциденты информационной безопасности, произошедшие с его участием. В одном из вариантов исполнения изобретения рассматриваются совершаемые пользователем действия в ответ на внешние события, например, на информационные сообщения системы, оповещения об обнаружении вредоносного программного обеспечения, предоставление обучающей информации и так далее. В этих целях для каждого действия определяется рейтинг, на основании которого в дальнейшем определяется компетентность пользователя. При этом стоит учитывать, что рейтинг для каждого действия может изменяться динамически, например, при использовании весовых коэффициентов. В частности, весовые коэффициенты могут отличаться для различной частоты повторения действия. Например, если пользователь совершает действие А от одного до пяти раз, весовой коэффициент равен 1, если от шести до десяти - двум и так далее. Более подробно указанный вариант представлен на Фиг.3Б.In some embodiments, the user directly analyzes the user's actions, including information security incidents that occurred with his participation, to determine the level of knowledge of the user. In one embodiment of the invention, actions performed by the user in response to external events, for example, information messages of the system, alerts about the detection of malicious software, the provision of training information, and so on, are considered. For these purposes, a rating is determined for each action, based on which the user's competence is further determined. It should be borne in mind that the rating for each action can change dynamically, for example, when using weighting factors. In particular, weights may vary for different repetition rates. For example, if the user performs action A from one to five times, the weight coefficient is 1, if from six to ten - two, and so on. In more detail, this option is presented in Fig.3B.
Уровень знаний пользователя может определяться на основе нечеткой логики. Для этого вначале происходит фаззификация (введение нечеткости): всем входным величинам ставятся в соответствие лингвистические переменные, для которых определяются терм-множества и функции принадлежности терму. Например, для лингвистической переменной «уровень знаний пользователя» терм-множество будет иметь вид {«новичок», «средний», «продвинутый», «эксперт»}.The level of knowledge of the user can be determined based on fuzzy logic. To do this, fuzzification first takes place (introducing fuzziness): linguistic variables are associated with all input quantities, for which term sets and term membership functions are determined. For example, for a linguistic variable “user knowledge level”, the term set will have the form {“beginner”, “intermediate”, “advanced”, “expert”}.
В одном из вариантов реализации изобретения действия 120 и 130 осуществляются одновременно. В другом варианте исполнения первоначально происходит оценка уровня знаний пользователя 130, а затем выбор действий 120, нарушающих правила безопасности.In one embodiment of the invention,
На основании оцененного уровня знаний для пользователя применяются соответствующие правила безопасности. Один из вариантов задания правил безопасности изображен на Фиг.6. Стоит отметить, что в некоторых вариантах реализации выбранные правила безопасности, соответствующие уровню знаний пользователя, добавляются к множеству уже существующих правил безопасности для данного пользователя.Based on the estimated level of knowledge for the user, the relevant safety rules apply. One of the options for setting safety rules is shown in Fig.6. It is worth noting that in some implementations, the selected security rules that correspond to the user's knowledge level are added to the set of existing security rules for this user.
На этапе 140 происходит подбор обучающей информации на основании определенного уровня знаний пользователя и совершенных им действий, нарушающих или приводящих к нарушению заданных правил безопасности, с целью минимизации числа подобных ситуаций впредь.At
Обучающая информация предоставляется в любом из форматов: текстовые сообщения, аудиозапись, короткометражные мультимедийные ролики и так далее. В частном варианте реализации обучающая информация предоставляется пользователю так, как описано в заявке RU2009142890. При этом описания составлены таким образом, что пользователь может получить уточнения любого интересующего термина либо ознакомиться с более глубоким описанием проблемы. Подробнее примеры составления указанных описаний приведены на Фиг.4 и Фиг.5. В одном из вариантов исполнения изобретения для определения уровня знаний пользователя учитывается степень детализации описания, которую он предпочитает. Например, каждому описанию выставляется соответствующий рейтинг, который используется при определении совокупного рейтинга пользователя.Training information is provided in any of the formats: text messages, audio recordings, short multimedia clips, and so on. In a particular embodiment, the training information is provided to the user as described in the application RU2009142890. Moreover, the descriptions are compiled in such a way that the user can get clarifications of any term of interest or get acquainted with a deeper description of the problem. More examples of the preparation of these descriptions are shown in Fig.4 and Fig.5. In one embodiment of the invention, to determine the level of knowledge of the user, the degree of detail of the description that he prefers is taken into account. For example, each description is assigned a corresponding rating, which is used to determine the total user rating.
Стоит отметить, что анализ действий пользователя, определение уровня его знаний и предоставление обучающей информации происходит периодически. В частных вариантах исполнения интервалы времени могут быть определены заранее, произвольно выбраны администратором или специалистом по информационной безопасности, а также зависеть от обнаружения инцидентов информационной безопасности, произошедших с участием пользователя.It is worth noting that the analysis of user actions, determining the level of his knowledge and the provision of training information occurs periodically. In private embodiments, the time intervals can be determined in advance, arbitrarily selected by the administrator or information security specialist, and also depend on the detection of information security incidents that occurred with the participation of the user.
После предоставления пользователю обучающей информации на этапе 150 осуществляется оценка сети на предмет соответствия заданным правилам безопасности. В этих целях определяют параметры локальной вычислительной сети, например, существующие настройки межсетевого экрана, открытые порты, и сравнивают их с заданными правилами безопасности. В некоторых вариантах исполнения изобретения осуществляется автоматическое тестирование системы на проникновение, а затем отмечаются те заданные правила безопасности, которые не были выполнены. Тестирование на проникновение может быть осуществлено с применением соответствующего программного обеспечения, например, сетевого сканера Wireshark или nmap, а также любой из известных методологий. Стоит отметить, что тестированию может подвергаться так называемая приманка, которая полностью идентична существующей системе.After providing the user with training information at
На основании предыдущих шагов на этапе 160 выбирают правила безопасности, направленные на предотвращение возникновения аналогичных инцидентов информационной безопасности у рассматриваемого пользователя. При этом учитывается уровень знаний пользователя, произошедшие инциденты, а также заданные правила безопасности. Решение может носить как запрещающий характер, так и выдавать дополнительные привилегии пользователю. Например, если с момента последней оценки уровень знаний пользователя понизился, тогда в соответствии с заданными правилами безопасности принимаются те условия, которые характерны для его текущего уровня знаний. Пример задания правил безопасности для пользователей с различным уровнем знаний приведен на Фиг.6. Например, в момент предыдущей оценки уровень пользователя был определен как «продвинутый», однако последняя оценка указала на средний уровень знаний. Однако в соответствии с заданными правилами безопасности среднему пользователю, в отличие от продвинутого, не выдаются права локального администратора. Следовательно, у такого пользователя возможность работы с правами локального администратора отбирается. В то же время для пользователей, которые получают новые знания и, как следствие, повышают свой уровень, применяются поощрительные действия, выражающиеся в выдаче дополнительных прав в соответствии с заданными правилами безопасности.Based on the previous steps, at
Также изменению подвергается графический интерфейс приложений. Например, для группы настроек определяется минимальный уровень знаний пользователя, для которого она доступна. В некоторых вариантах исполнения определение минимального уровня знаний для редактирования данной настройки основано на экспертных либо статистических данных. В дальнейшем минимальный уровень знаний для выбранной группы настроек сравнивается с текущим уровнем знаний пользователя. Если уровень знаний пользователя выше минимально определенного, тогда пользователю выдается право использовать указанную настройку или группу настроек.Also subject to change is the graphical interface of applications. For example, for a group of settings, the minimum level of knowledge of the user for which it is available is determined. In some embodiments, determining the minimum level of knowledge for editing this setting is based on expert or statistical data. In the future, the minimum level of knowledge for the selected group of settings is compared with the current level of user knowledge. If the user's knowledge level is above the minimum defined, then the user is given the right to use the specified setting or group of settings.
В частном варианте исполнения выбранные правила безопасности оформляются с использованием любого из языков сценариев.In a private embodiment, the selected security rules are issued using any of the scripting languages.
После выбора правил безопасности для предотвращения возникновения инцидентов информационной безопасности на шаге 170 происходит выполнение выбранных правил и информирование пользователя о проведенных изменениях с их обоснованием. В одном из вариантов реализации выбранные правила в виде сценария запускаются в соответствующей оболочке, например, в Bash, Microsoft PowerShell либо с использованием антивирусной утилиты AVZ.After selecting security rules to prevent the occurrence of information security incidents at
Фиг.2 представляет систему 200 повышения уровня защищенности, реализующую способ 100. Указанная система включает средство журналирования действий пользователя 210, средство оценки 220, средство определения инцидентов 230, средство подбора информации 250, средство принятия решений 260, средство выполнения решений 270 и базу данных 240, к которой обращаются средство оценки 220, средство определения инцидентов 230 и средство подбора информации 250. Описываемая система работает с данными, получаемыми от средства журналирования действий пользователя 210. В простейшем варианте осуществления журналируются все возникающие события с использованием встроенного функционала операционной системы. В других вариантах осуществления записываются в журнал не все события, а только те из них, которые удовлетворяют заданным критериям: для этого также можно использовать функционал операционной системы, применяя дополнительные настройки. В одном из вариантов реализации журнал действий пользователя периодически перезаписывается, что позволяет сократить объем используемой части диска. В другом варианте исполнения изобретения предыдущие журналы действий пользователей архивируются для возможного дальнейшего расследования инцидентов информационной безопасности. После журналирования действий пользователя с помощью средства определения инцидентов 230 выделяются те действия пользователей, которые привели к нарушению заданных правил безопасности. Для определения подобных действий в базе данных 240 содержится список событий, которые являются инцидентами информационной безопасности или приводят к ним. Определение действий, приведших к инцидентам информационной безопасности, осуществляется с использованием любого из существующих механизмов расследования инцидентов. В одном из вариантов исполнения указанный список формируется с использованием набранной статистики. В другом варианте реализации события, являющиеся инцидентами информационной безопасности, определяются экспертно, с привлечением специалистов по информационной безопасности или аудиторов. Таким образом, средство определения инцидентов информационной безопасности выделяет соответствующие события путем сравнения всех действий пользователя с базой данных инцидентов информационной безопасности. Примерами инцидентов информационной безопасности являются распространение вредоносных объектов, несанкционированное копирование или изменение конфиденциальной информации, использование внешнего почтового клиента и так далее.Figure 2 represents a system 200 to increase the level of security that implements the
В дальнейшем происходит оценка уровня знаний пользователя с использованием средства оценки 220. При этом оценка уровня знаний пользователя осуществляется с применением различных подходов. В одном из вариантов реализации для определения уровня знаний пользователя каждому действию присваивается рейтинг, а для определения совокупного рейтинга пользователя объединяются рейтинги по всем совершенным действиям. Значения рейтингов для каждого действия пользователя сохраняется в базе данных 240. На основании рассчитанного рейтинга с использованием механизма нечеткой логики определяется уровень знаний пользователя. Более подробно описанный выше процесс изображен на Фиг.3Б. В том числе при анализе действий пользователя учитываются и инциденты информационной безопасности, совершенные им или с его участием.In the future, the user’s knowledge level is evaluated using the assessment tool 220. In this case, the user’s knowledge level is assessed using various approaches. In one implementation option, a rating is assigned to each action to determine the user's knowledge level, and ratings for all completed actions are combined to determine the user's total rating. The rating values for each user action are stored in the database 240. Based on the calculated rating using the fuzzy logic mechanism, the user's knowledge level is determined. In more detail the process described above is depicted in Fig.3B. In particular, when analyzing user actions, information security incidents committed by or with his participation are also taken into account.
Также оценка уровня знаний пользователя может происходить по различным косвенным признакам, которые напрямую не показывают компетентность, например программное обеспечение, установленное на компьютере пользователя, и его настройки, сложность создаваемых паролей, форматы используемых файлов и так далее. На Фиг.3А более подробно рассмотрен порядок определения уровня знаний пользователя на основании установленного программного обеспечения.Also, the assessment of the user's knowledge level can occur according to various indirect signs that do not directly show competence, for example, software installed on the user's computer, and its settings, the complexity of the created passwords, the formats of the files used, and so on. On figa in more detail the procedure for determining the level of knowledge of the user based on the installed software.
В дальнейшем к пользователю применяются правила безопасности с помощью средства принятия решений 260, соответствующие его уровню знаний. Один из вариантов задания правил безопасности для пользователей с различным уровнем знаний представлен на Фиг.6.In the future, safety rules are applied to the user with the help of decision-making tools 260, corresponding to his level of knowledge. One of the options for setting security rules for users with different levels of knowledge is presented in Fig.6.
На основании выделенных действий пользователя, которые явились причиной инцидентов информационной безопасности, и его уровня знаний в дальнейшем с помощью средства подбора информации 250 формируется обучающая информация, которая будет полезна для развития компетенции пользователя в области информационных технологий. Для этого для каждого действия или группы действий выбирается тема, описание которой сформировано в соответствии с уровнем знаний пользователя. Все имеющиеся описания там хранятся в базе данных 240, при этом описание может быть представлено в любом из существующих форматов: текстовая информация, аудио- или видеоролики, графические изображения и так далее.Based on the identified user actions that caused the information security incidents, and his level of knowledge, training information is generated using the information selection tool 250, which will be useful for developing the user's competence in the field of information technology. For this, a topic is selected for each action or group of actions, the description of which is formed in accordance with the user's knowledge level. All available descriptions there are stored in a database 240, and the description can be presented in any of the existing formats: text information, audio or video clips, graphic images, and so on.
В некоторых случаях пользователю могут понадобиться дополнительные сведения по теме. Например, некоторые термины в предоставленной информации неясны пользователю либо он желает ознакомиться с более детальным описанием. Для осуществления таких возможностей описание должно быть составлено соответствующим образом. Более подробно механизм составления описания для пользователей с различным уровнем знаний приведен на Фиг.4 и Фиг.5.In some cases, the user may need additional information on the topic. For example, some of the terms in the information provided are not clear to the user or he wants to read a more detailed description. To implement such capabilities, a description should be made accordingly. In more detail, the mechanism for writing descriptions for users with different levels of knowledge is given in FIG. 4 and FIG. 5.
После предоставления обучающей информации средство оценки 220 определяет, соответствуют ли параметры локальной вычислительной сети требованиям заданных правил безопасности. Для определения соответствия правил безопасности и параметров локальной вычислительной сети могут применяться различные варианты тестирования на проникновение, в том числе и автоматического.After providing the training information, the evaluation tool 220 determines whether the parameters of the local area network meet the requirements of the specified security rules. To determine the compliance of the security rules and the parameters of the local area network, various penetration testing options, including automatic ones, can be used.
В некоторых вариантах исполнения при оценке рассматривается также уровень знаний пользователя, таким образом, учитывая не только внешние, но и внутренние угрозы. Например, заданные правила безопасности содержат положения, касающиеся распределения функционала между пользователями в зависимости от уровня их знаний, как указано на Фиг.6.In some variants of execution, the assessment also considers the level of knowledge of the user, thus, taking into account not only external, but also internal threats. For example, predetermined security rules contain provisions regarding the distribution of functionality between users depending on their level of knowledge, as indicated in FIG. 6.
Фиг.6 представляет собой пример распределения функционала для пользователей с различным уровнем знаний в соответствии с заданными правилами безопасности. Стоит отметить, что для различных категорий пользователей в рамках заданных правил безопасности могут устанавливаться различные ограничения. Таким образом, при повышении уровня знаний с новичка до среднего специалиста не исключено предоставление дополнительных привилегий, например, возможность работы с внешними почтовыми клиентами. В частности, как указано на Фиг.6, в соответствии с заданными правилами безопасности разрешено использовать USB порты всем пользователям.6 is an example of the distribution of functionality for users with different levels of knowledge in accordance with predetermined security rules. It is worth noting that for various categories of users, within the framework of the specified security rules, various restrictions can be set. Thus, while increasing the level of knowledge from a novice to an average specialist, it is possible that additional privileges are provided, for example, the ability to work with external mail clients. In particular, as indicated in FIG. 6, in accordance with the specified security rules, all users are allowed to use USB ports.
В одном из вариантов исполнения изначальный функционал задается исходя из заданного уровня знаний пользователя по умолчанию. Например, в корпоративной сети уровень знаний пользователя по умолчанию соответствует продвинутому, следовательно, для нового члена корпоративной сети будут применены правила безопасности, характерные для продвинутого пользователя. В другом варианте реализации изначальный уровень знаний пользователя определяется на основании должностных обязанностей сотрудника, пола, возраста, образования, ученых степеней, предыдущих мест работы и так далее. То есть используется всевозможная информация о пользователе, являющаяся постоянной и известной без анализа его действий. Например, новый сотрудник принимается на должность программиста, таким образом, его уровень соответствует, по крайней мере, продвинутому пользователю. В дальнейшем уровень знаний переоценивается более точно, в том числе, на основании совершаемых действий.In one embodiment, the initial functionality is set based on a given level of user knowledge by default. For example, in a corporate network, the user’s knowledge level defaults to advanced, therefore, for a new member of the corporate network, the security rules specific to an advanced user will be applied. In another embodiment, the initial level of knowledge of the user is determined on the basis of the official duties of the employee, gender, age, education, academic degrees, previous jobs and so on. That is, all kinds of information about the user is used, which is constant and known without an analysis of his actions. For example, a new employee is hired as a programmer, so his level corresponds to at least the advanced user. In the future, the level of knowledge is reevaluated more accurately, including on the basis of the actions taken.
В дальнейшем на основании произведенной оценки с помощью средства принятия решения 260 осуществляется выбор правил безопасности, направленных на повышение защищенности компьютерной системы. Правила безопасности выбираются на основании уровня знаний пользователя и совершаемых им инцидентов информационной безопасности. Выбор правила безопасности происходит путем поиска подходящего среди ранее известных, хранящихся в базе данных 240. Подходящее правило безопасности выбирается путем сопоставления входных параметров и выделения наиболее близкой комбинации. При этом правила безопасности поступают в базу данных на основании экспертных оценок. Стоит отметить, что указанная база данных может работать под управлением любой из существующих или будущих СУБД, например, Oracle, MS SQL Server, My SQL и так далее. Также подходящее правило безопасности может выбираться с использованием обученной нейронной сети, на вход которой поступают совершенные пользователем инциденты информационной безопасности и уровень знаний пользователя, а на выходе формируется целесообразное правило безопасности для заданных параметров. В одном из вариантов исполнения правило безопасности подбирается с использованием рекомендаций, собранных от всех пользователей, которые учитываются при принятии окончательного решения.Subsequently, on the basis of the assessment made, with the help of decision making tool 260, a selection of security rules is carried out aimed at increasing the security of the computer system. Security rules are selected based on the level of knowledge of the user and the incidents of information security. The selection of a security rule is carried out by searching for a suitable among previously known stored in the database 240. A suitable security rule is selected by comparing the input parameters and highlighting the closest combination. At the same time, safety rules enter the database on the basis of expert assessments. It is worth noting that this database can operate under the control of any existing or future DBMS, for example, Oracle, MS SQL Server, My SQL and so on. Also, a suitable security rule can be selected using a trained neural network, to the input of which information security incidents committed by the user and the level of knowledge of the user are received, and the appropriate security rule for the given parameters is generated at the output. In one embodiment, the security rule is selected using recommendations collected from all users, which are taken into account when making the final decision.
После выбора правила безопасности оно реализуется с помощью средства выполнения решений 270. Средство выполнения решений может быть представлено в виде одной из оболочек выполнения сценариев, например, Bash, Microsoft PowerShell, а также антивирусной утилиты AVZ.After choosing a security rule, it is implemented using the solution execution tool 270. The solution execution tool can be presented as one of the script execution shells, for example, Bash, Microsoft PowerShell, and the AVZ antivirus utility.
Фиг.3А демонстрирует один из частных вариантов определения уровня компетентности пользователя. В данном случае анализируется установленное ПО, которое может быть классифицировано по характеру выполняемых задач.Figa shows one of the private options for determining the level of competence of the user. In this case, the installed software is analyzed, which can be classified by the nature of the tasks performed.
На первом этапе 310 происходит поиск установленного ПО. Затем на шаге 320 - его классификация, которая может быть основана, в частности, на описании, изложенном в патенте на полезную модель RU 91213. Далее на стадии 330 формируются категории, из которых впоследствии 340 выделяется наиболее часто используемая. В зависимости от выбранной категории определяется уровень пользователя на шаге 350. Например, у пользователя обнаружено офисное, дизайнерское ПО и ПО для разработчиков. При этом наиболее часто используются такие программы, как: Altova XMLSpy, PL SQL Developer, SQL Plus и так далее. Таким образом, можно заключить, что текущий пользователь соответствует уровню продвинутого специалиста. Аналогично учитываются и посещаемые пользователем веб-страницы. В частном варианте исполнения веб-страницы классифицируются на основании анализа присутствия заданных слов или фраз. При осуществлении классификации слова и фразы могут учитываться с определенным весовым коэффициентом, отражающим вероятность принадлежности к той или иной категории.In a
Таким образом, анализу подвергаются прежде всего косвенные признаки компетентности пользователя, например настройки ПО, сложность создаваемых паролей, частота их изменения, используемые форматы файлов. Также к косвенным признакам грамотности пользователя можно отнести статистику самостоятельного блокирования компьютера и использования клавиатуры: применение сочетаний специальных клавиш, скорость ввода текста, в том числе на различных языках.Thus, the analysis undergoes primarily indirect signs of user competence, for example, software settings, the complexity of the created passwords, how often they change, and the file formats used. Also indirect statistics of user literacy include statistics on self-locking of a computer and use of a keyboard: the use of special key combinations, the speed of text input, including in different languages.
Фиг.3Б описывает способ определения уровня знаний пользователя на основании совершаемых им действий. В предлагаемом варианте реализации после возникновения некоторого действия на шаге 305 проверяется, является ли оно известным. В случае положительного ответа на этапе 315 происходит определение рейтинга события на основании ранее полученных данных, иначе - переходят к стадии 325, на которой действие анализируется. После проведенного анализа на шаге 335 рассчитывают рейтинг. При этом в одном из вариантов реализации рейтинг действия пользователя учитывается с весовым коэффициентом, который изменяется с течением времени. В частности, весовой коэффициент изменяется в зависимости от частоты совершения определенного действия. Затем в зависимости от совокупности совершенных пользователем действий и присвоенного им рейтинга формируется ответ об уровне его компетенции.Fig.3B describes a method for determining the level of knowledge of the user based on his actions. In the proposed embodiment, after the occurrence of some action at
В качестве примера использования рейтингов можно привести следующую ситуацию: в организацию поступает новый сотрудник на должность программиста. В зависимости от должности и компетенции ему автоматически выставляется рейтинг. Например, для программиста определен рейтинг в сто баллов, плюс указанный человек дополнительно обладает навыками системного администрирования операционной системы Unix, которые добавляют еще десять баллов. Таким образом, начальный рейтинг равнялся ста десяти баллам. При этом один раз пользователь подключал внешнее устройство, которое явилось причиной инцидента информационной безопасности, что отняло от рейтинга пользователя десять баллов. После инцидента информационной безопасности пользователь был проинформирован о недопустимости таких действий, несмотря на это второй раз подключил зараженное устройство, и от его рейтинга отнялось двадцать баллов с учетом весового коэффициента при повторном совершении действия. Таким образом, в зависимости от начального рейтинга и совершаемых действий рейтинг пользователя изменяется с течением времени. При изменении рейтинга изменяется и уровень знаний, к которому относят пользователя, то есть начальный рейтинг может соответствовать новичку, но впоследствии увеличиться до продвинутого пользователя.An example of the use of ratings is the following situation: a new employee enters the organization as a programmer. Depending on the position and competence, he is automatically assigned a rating. For example, for a programmer, a rating of one hundred points is determined, plus the specified person additionally has system administration skills for the Unix operating system, which add ten more points. Thus, the initial rating was one hundred and ten points. At the same time, once the user connected an external device, which was the cause of the information security incident, which took ten points from the user's rating. After an information security incident, the user was informed about the inadmissibility of such actions, despite this, he connected the infected device a second time, and twenty points were subtracted from his rating taking into account the weight coefficient when the action was repeated. Thus, depending on the initial rating and the actions taken, the user rating changes over time. When the rating changes, the level of knowledge to which the user is assigned also changes, that is, the initial rating can correspond to a beginner, but subsequently increase to an advanced user.
На основании определенной компетенции пользователя для осуществления обучения предоставляется информация соответствующего уровня знаний. При этом стоит учитывать, что могут существовать ситуации, когда пользователю будет интересно знать больше о некоторых аспектах той или иной темы либо ему будет непонятна терминология, использующаяся в изложении материала.Based on a certain competence of the user, information of an appropriate level of knowledge is provided for training. It should be borne in mind that there may be situations where the user will be interested to know more about some aspects of a particular topic or he will not understand the terminology used in the presentation of the material.
Фиг.4 показывает один из вариантов формирования описания для различных уровней знаний. На Фиг.4 видно, что экспертное описание является наиболее полным и содержит всю информацию, которая будет интересной даже экспертам в этой области знаний.Figure 4 shows one of the options for generating descriptions for various levels of knowledge. Figure 4 shows that the expert description is the most comprehensive and contains all the information that will be interesting even to experts in this field of knowledge.
В любом описании можно выделить используемые термины, при этом каждый термин может быть описан с разным уровнем детализации и для людей с разным уровнем подготовки. Под термином будет подразумеваться базовое понятие, в описании которого уже не получится "опуститься" ниже уровнем. В качестве примера можно привести следующую таблицу:In any description, the terms used can be distinguished, and each term can be described with a different level of detail and for people with different levels of training. The term will mean the basic concept, in the description of which it will no longer be possible to "lower" below the level. An example is the following table:
Тема 1 (Термин 2, Термин 5,… Термин N)Topic 1 (Term 2, Term 5, ... Term N)
Тема 2 (Термин 1, Термин 5,… Термин К)Theme 2 (Term 1, Term 5, ... Term K)
Тема 3 (Термин 1,…, Ссылка на Тема 1, Ссылка на Тема 2)Topic 3 (Term 1, ..., Link to Topic 1, Link to Topic 2)
Тема L (Термин А, Термин В,… Ссылка на Тема С)Topic L (Term A, Term B, ... Link to Topic C)
Тема [Термины] [Ссылки на Темы] [Иллюстрации] [Примеры]Topic [Terms] [Links to Themes] [Illustrations] [Examples]
На предложенной выше иллюстрации каждая тема включает несколько терминов и ссылок на другие темы, а также возможно добавить дополнительные иллюстрации и примеры. Например, подраздел "Троянские программы" может содержать следующие термины: [Файл][Инсталляция программ] [Удаление программ] и другие.In the illustration above, each topic includes several terms and links to other topics, and it is also possible to add additional illustrations and examples. For example, the subsection “Trojans” may contain the following terms: [File] [Install programs] [Uninstall programs] and others.
Фиг.5 является примером построения логических связей между темами и терминами. В том случае, если в будущем один из терминов потребует уточнения и для него вводятся дополнительные понятия, то его можно будет считать темой, т.е. понятия тема и термин по сути равнозначны и разделение связано с необходимостью отобразить нижний уровень логических связей. Соответственно, описание терминов также может быть сделано на разных уровнях сложности - от самого простого до экспертного.5 is an example of constructing logical connections between topics and terms. In the event that in the future one of the terms requires clarification and additional concepts are introduced for it, then it can be considered a topic, i.e. the concepts of topic and term are essentially equivalent and the separation is connected with the need to display the lower level of logical connections. Accordingly, a description of the terms can also be done at different levels of complexity - from the simplest to the expert.
Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.7 is an example of a general purpose computer system, a personal computer or server 20 comprising a
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn contains a
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).The present description discloses an implementation of a system that uses a hard disk, a removable
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонки, принтер и т.п.Computer 20 has a
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or several
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 51 and wide area network (WAN) 52. Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 51 through a network adapter or
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.
Claims (23)
- оценивают уровень знаний, по крайней мере, одного пользователя с помощью средства оценки;
выбирают, по крайней мере, одно правило безопасности, соответствующее определенному ранее уровню знаний выбранного пользователя, с помощью средства принятия решений;
- определяют инциденты информационной безопасности, произошедшие с участием выбранного пользователя, с помощью средства определения инцидентов;
- для определенных ранее инцидентов информационной безопасности выбирают правила безопасности с помощью средства принятия решений для предотвращения возникновения аналогичных инцидентов информационной безопасности с участием выбранного пользователя.1. A method of preventing the occurrence of information security incidents in a system consisting of at least one computer with at least one user, in which:
- evaluate the level of knowledge of at least one user using the assessment tool;
choose at least one security rule corresponding to the previously determined level of knowledge of the selected user, using the decision-making tool;
- determine information security incidents that occurred with the participation of the selected user using the incident detection tool;
- for previously identified information security incidents, security rules are selected using the decision tool to prevent similar information security incidents involving the selected user.
- текстовое;
- графическое;
- аудиовизуальное.3. The method according to claim 2, in which the training information contains at least one of the representations:
- textual;
- graphic;
- audiovisual.
- распространение вредоносных объектов;
- копирование конфиденциальных данных;
- использование внешнего почтового клиента.5. The method according to claim 1, in which an information security incident means at least one of the following events:
- distribution of malicious objects;
- copying confidential data;
- use of an external email client.
- разрешение/запрещение подключения внешнего устройства;
- периодичность обновлений системы;
- список разрешенных/запрещенных ТСР-портов;
- использование стороннего почтового клиента;
- блокирование соединений для заданных IP-адресов;
- изменение графического интерфейса, по крайней мере, одного приложения.6. The method according to claim 1, in which at least one of:
- permission / prohibition of connecting an external device;
- the frequency of system updates;
- list of allowed / prohibited TCP ports;
- use of a third-party email client;
- blocking connections for specified IP addresses;
- Changing the graphical interface of at least one application.
- информируют выбранного пользователя, по крайней мере, об одном выбранном правиле безопасности для предотвращения инцидентов информационной безопасности и его причинах.7. The method according to claim 1, in which additionally:
- inform the selected user of at least one selected security rule to prevent information security incidents and its causes.
- инциденты информационной безопасности, совершаемые пользователем или с его участием;
- сложность и частота создаваемых пользователем паролей;
- установленное и используемое программное обеспечение на компьютере пользователя;
- установленные настройки для программного обеспечения;
- посещаемые пользователем веб-страницы.10. The method according to claim 9, in which the indirect features include at least one of the following:
- information security incidents committed by or with the participation of the user;
- the complexity and frequency of user-generated passwords;
- installed and used software on the user's computer;
- installed settings for software;
- Web pages visited by the user.
- занимаемая должность;
- возраст;
- опыт работы;
- образование.11. The method according to claim 1, in which the assessment of the level of knowledge of the user is carried out on the basis of at least one of the facts:
- position held;
- age;
- work experience;
- education.
- средство оценки, предназначенное для определения уровня знаний, по крайней мере, одного пользователя, которое также связано с базой данных и со средством принятия решений,
- средство определения инцидентов, предназначенное для выявления, по крайней мере, одного инцидента информационной безопасности и сохранения информации о нем, которое также связано с упомянутым средством принятия решений и с базой данных,
- упомянутая база данных, предназначенная для хранения правил безопасности, информации об инцидентах информационной безопасности и пользователях системы,
- упомянутое средство принятия решений, предназначенное для выбора правил безопасности, соответствующих оцененному уровню знаний пользователя, а также для выбора правил безопасности для предотвращения повторного возникновения аналогичных инцидентов информационной безопасности с участием пользователя.13. The system for preventing information security incidents in a system consisting of at least one computer with at least one user, which includes:
- an assessment tool designed to determine the level of knowledge of at least one user, which is also associated with the database and with the decision-making tool,
- an incident detection tool for identifying at least one information security incident and storing information about it, which is also associated with the decision-making tool and the database,
- said database designed to store security rules, information about information security incidents and system users,
- the mentioned decision-making tool, designed to select security rules that correspond to the estimated level of knowledge of the user, as well as to select security rules to prevent the recurrence of similar information security incidents involving the user.
- текстовое;
- графическое;
- аудиовизуальное.15. The system of claim 14, in which the training information contains at least one of the representations:
- textual;
- graphic;
- audiovisual.
- распространение вредоносных объектов;
- копирование конфиденциальных данных;
- использование внешнего почтового клиента.17. The system according to item 13, in which an information security incident means at least one of the following events:
- distribution of malicious objects;
- copying confidential data;
- use of an external email client.
- разрешение/запрещение подключения внешнего устройства;
- периодичность обновлений системы;
- список разрешенных/запрещенных ТСР-портов;
- использование стороннего почтового клиента;
- блокирование соединений для заданных IP-адресов;
- изменение графического интерфейса, по крайней мере, одного приложения.18. The system of claim 13, wherein the security rule is at least one of the following:
- permission / prohibition of connecting an external device;
- the frequency of system updates;
- list of allowed / prohibited TCP ports;
- use of a third-party email client;
- blocking connections for specified IP addresses;
- Changing the graphical interface of at least one application.
- инциденты информационной безопасности, совершаемые пользователем или с его участием;
- сложность и частота создаваемых пользователем паролей;
- установленное и используемое программное обеспечение на компьютере пользователя;
- установленные настройки для программного обеспечения;
- посещаемые веб-страницы.21. The system of claim 20, wherein the indirect features include at least one of the following:
- information security incidents committed by or with the participation of the user;
- the complexity and frequency of user-generated passwords;
- installed and used software on the user's computer;
- installed settings for software;
- visited web pages.
- занимаемая должность;
- возраст;
- опыт работы;
- образование.22. The system according to item 13, in which the assessment of the user's level of knowledge is carried out on the basis of at least one of the facts:
- position held;
- age;
- work experience;
- education.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011115360/08A RU2460122C1 (en) | 2011-04-19 | 2011-04-19 | System and method of raising security level of computer system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2011115360/08A RU2460122C1 (en) | 2011-04-19 | 2011-04-19 | System and method of raising security level of computer system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2460122C1 true RU2460122C1 (en) | 2012-08-27 |
Family
ID=46937925
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2011115360/08A RU2460122C1 (en) | 2011-04-19 | 2011-04-19 | System and method of raising security level of computer system |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2460122C1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2610395C1 (en) * | 2015-12-24 | 2017-02-09 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of computer security distributed events investigation |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US582378A (en) * | 1897-05-11 | James d | ||
| US5107499A (en) * | 1990-04-30 | 1992-04-21 | At&T Bell Laboratories | Arrangement for automated troubleshooting using selective advice and a learning knowledge base |
| US6992513B2 (en) * | 2002-04-16 | 2006-01-31 | Research In Motion Limited | Frequency divider system |
| RU53050U1 (en) * | 2005-11-08 | 2006-04-27 | Роман Георгиевич Захаров | AUTOMATED TESTING AND TRAINING SYSTEM |
| US20090094697A1 (en) * | 2007-10-05 | 2009-04-09 | Google Inc. | Intrusive software management |
| US7552199B2 (en) * | 2005-09-22 | 2009-06-23 | International Business Machines Corporation | Method for automatic skill-gap evaluation |
-
2011
- 2011-04-19 RU RU2011115360/08A patent/RU2460122C1/en active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US582378A (en) * | 1897-05-11 | James d | ||
| US5107499A (en) * | 1990-04-30 | 1992-04-21 | At&T Bell Laboratories | Arrangement for automated troubleshooting using selective advice and a learning knowledge base |
| US6992513B2 (en) * | 2002-04-16 | 2006-01-31 | Research In Motion Limited | Frequency divider system |
| US7552199B2 (en) * | 2005-09-22 | 2009-06-23 | International Business Machines Corporation | Method for automatic skill-gap evaluation |
| RU53050U1 (en) * | 2005-11-08 | 2006-04-27 | Роман Георгиевич Захаров | AUTOMATED TESTING AND TRAINING SYSTEM |
| US20090094697A1 (en) * | 2007-10-05 | 2009-04-09 | Google Inc. | Intrusive software management |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2610395C1 (en) * | 2015-12-24 | 2017-02-09 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method of computer security distributed events investigation |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| King et al. | Artificial intelligence crime: An interdisciplinary analysis of foreseeable threats and solutions | |
| Kjaerland | A taxonomy and comparison of computer security incidents from the commercial and government sectors | |
| Hunker et al. | Insiders and Insider Threats-An Overview of Definitions and Mitigation Techniques. | |
| Ncubukezi | Human errors: A cybersecurity concern and the weakest link to small businesses | |
| Hall et al. | Predicting malicious insider threat scenarios using organizational data and a heterogeneous stack-classifier | |
| Caputo et al. | Detecting insider theft of trade secrets | |
| Canfield et al. | Setting priorities in behavioral interventions: An application to reducing phishing risk | |
| Younis et al. | A framework to protect against phishing attacks | |
| Whitelaw et al. | A review of the insider threat, a practitioner perspective within the UK financial services | |
| Sticha et al. | Using dynamic models to support inferences of insider threat risk | |
| Zhang et al. | Falsereject: A resource for improving contextual safety and mitigating over-refusals in llms via structured reasoning | |
| Black et al. | Insider Threat and White Collar Crime in Non-Government Organisations and Industries | |
| White | Impact of protection motivation theory and general deterrence theory on the behavioral intention to implement and misuse active cyber defense | |
| RU2460122C1 (en) | System and method of raising security level of computer system | |
| Rass | On game-theoretic risk management (part three)-modeling and applications | |
| Ali | Cybersecurity support of insider threat operations: DoD regulation and constitutional compliance | |
| Blythe | Information security in the workplace: A mixed-methods approach to understanding and improving security behaviours | |
| D'Arcy et al. | The role of individual characteristics on the effectiveness of IS security countermeasures | |
| Maybury | Detecting malicious insiders in military networks | |
| Stahl et al. | Ethical and legal issues of the use of computational intelligence techniques in computer security and computer forensics | |
| FERNANDO | Internal Control of Secure Information and Communication Practices through Detection of User Behavioural Patterns | |
| Davidovic et al. | The algorithm audit: Scoring the algorithms that score us | |
| Mbowe et al. | On Development of Platform for Organization Security Threat Analytics and Management (POSTAM) Using Rule-Based Approach | |
| Aldawood | An Awareness Policy Framework for Cyber Security Social Engineering Threats | |
| Khan | A human centric approach to unintentional insider threat: development of a sociotechnical framework |