Система и способ повышения уровня защищенности компьютерной системы

Область техники

Настоящее изобретение относится к компьютерным системам, более конкретно к системам обеспечения информационной безопасности.

Уровень техники

В настоящее время компьютеры перестали быть средством, которое доступно лишь весьма ограниченному кругу технических специалистов. На сегодняшний день огромное количество людей использует электронно-вычислительные машины и различные вычислительные сети для передачи данных с целью решения как текущих рабочих вопросов, так и ежедневных бытовых проблем. Плюсы от такого распространения средств вычислительной техники (СВТ) трудно переоценить, в частности, посредством вычислительных сетей удешевляется и упрощается получение различных услуг, материалов из архивов библиотек со всего мира, взаимодействие людей на больших расстояниях и так далее. Однако всеобщая компьютеризация таит в себе существенные проблемы в области обеспечения безопасности тех данных, которые обрабатываются или хранятся с использованием СВТ. При этом исследования в области информационной безопасности выявили тот факт, что 80% всех инцидентов информационной безопасности совершаются самими пользователями либо с их участием и лишь 20% из них происходят из-за сбоев и отказов техники (http://www.sans.edu/research/leadership-laboratory/article/mgt421-scott-pareto). В данном описании под термином «инцидент информационной безопасности» понимается единичное событие или же ряд нежелательных или неожиданных событий в информационной безопасности, которые подвергают большому риску бизнес-процессы или же угрожают информационной безопасности.

Таким образом, для комплексного обеспечения информационной безопасности нужно обратить внимание на самое слабое звено в цепочке «математические алгоритмы - техника - человек», то есть - на человека. При этом введение жестких аппаратных и программных ограничений не всегда возможно и целесообразно.

Сейчас типичным пользователем компьютера является человек, не обладающий специальными техническими знаниями в области информационных технологий и информационной безопасности. В некоторых ситуациях он даже может не понять, почему нельзя совершать те или иные действия, например необдуманно открывать любые файлы, приходящие от неизвестных отправителей. Также стоит отметить, что информационная безопасность системы, к которой имеют доступ несколько лиц, будет определяться уровнем грамотности наименее подготовленного из них. Следовательно, для повышения уровня защиты отдельного компьютера или сети в целом в первую очередь следует развивать компетентность пользователей.

Для решения проблем образования, в том числе и в области информационной безопасности, на данный момент существует большое количество систем интерактивного обучения, в которых пользователям предоставляется возможность ознакомления с материалами курса. Например, в патенте US 6993513 B2 описывается способ, согласно которому для достижения поставленной задачи предоставляется определенный набор информации, адаптированной к текущему уровню знаний студента. Системы интерактивного обучения пользователей также описаны в патентах и заявках US 5823781 A, JP 2009163746 A, JP 2002279057 A, US 20020154155 A1. При этом все отмеченные технологии ориентированы на заинтересованное лицо, готовое проходить тестирование для определения своего уровня компетентности. Однако при централизованном обучении, например, в корпоративной вычислительной сети большинство пользователей не смогут уделить этому достаточное количество времени.

Технология автоматического определения уровня знаний пользователя описана в патенте US 4964077 A, которая реализована на основании подсчета числа полученных подсказок. Также идея определения компетентности пользователя раскрывается в патенте US 5774118 A, однако в данном случае анализируются и классифицируются непосредственно сами действия пользователя, на основании которых определяется его уровень знаний. В патенте US 5107499 А рассматриваются и сравниваются предыдущие и текущие действия пользователя, а затем с помощью заранее заданных правил определяется степень его подготовки. В дальнейшем на основании уровня знаний может предоставляться обучающая информация.

В заявке US 20090094697 A1 рассматривается идея информирования пользователей о возникающих угрозах. Ее реализация представлена в обозревателе Google Chrome: выводятся предупреждающие сообщения о возможном присутствии вредоносных объектов на веб-странице. Далее по запросу пользователя может быть указано, на основании каких данных было сформировано предостережение, при этом указанное предостережение можно игнорировать. Тем не менее, предложенный вариант не учитывает различную степень подготовки пользователей: информационные сообщения одинаковы для всех. В патенте US7552199B2 описывается идея автоматического определения уровня знаний пользователя и предоставления обучающей информации соответствующего уровня. Однако описанная технология не рассматривает действия пользователей с точки зрения влияния на информационную безопасность системы и соответствия заданным правилам безопасности. При этом в патенте не указывается возможность изменения настроек компьютера или всей локальной вычислительной сети в зависимости от уровня знаний пользователя, что бывает полезным для обеспечения информационной безопасности.

Таким образом, требуется получить систему, в которой не только предоставляется информация для совершенствования уровня понимания проблем информационной безопасности, но и ограничиваются несанкционированные действия определенных категорий пользователей.

Анализ предшествующего уровня техники и возможностей позволяет получить новый результат, а именно способ и систему повышения уровня защищенности компьютерной системы.

Сущность изобретения

Настоящее изобретение предназначено для повышения защищенности компьютерной системы с целью комплексного обеспечения информационной безопасности.

Техническим результатом является повышение уровня защищенности компьютерной системы, который достигается за счет анализа действий пользователей, своевременного выявления инцидентов информационной безопасности и обучения пользователей основам информационных технологий.

Одним из предметов настоящего изобретения является способ предотвращения возникновения инцидентов информационной безопасности в системе, состоящей, по крайней мере, из одного компьютера, по крайней мере, с одним пользователем, в котором: а) оценивают уровень знаний, по крайней мере, одного пользователя с помощью средства оценки; б) выбирают, по крайней мере, одно правило безопасности, соответствующее определенному ранее уровню знаний выбранного пользователя, с помощью средства принятия решений; в) определяют инциденты информационной безопасности, произошедшие с участием выбранного пользователя, с помощью средства определения инцидентов; г) для определенных ранее инцидентов информационной безопасности выбирают правила безопасности с помощью средства принятия решений для предотвращения возникновения аналогичных инцидентов информационной безопасности с участием выбранного пользователя.

В описанном выше способе под инцидентом информационной безопасности понимается, по крайней мере, одно из следующих событий: а) распространение вредоносных объектов; б) копирование конфиденциальных данных; в) использование внешнего почтового клиента. В то же время в качестве правила информационной безопасности выступает, по крайней мере, одно из следующих: а) разрешение/запрещение подключения внешнего устройства; б) периодичность обновления системы; в) список разрешенных/запрещенных TCP-портов; г) использование стороннего почтового клиента; д) блокирование соединений для заданных IP-адресов; е) изменение графического интерфейса, по крайней мере, одного приложения.

В одном из вариантов исполнения системы инциденты информационной безопасности определяются путем сравнения с заранее определенными событиями, соответствующими инцидентам информационной безопасности, согласно правилам безопасности.

При оценке уровня знаний пользователя учитываются косвенные признаки его компетентности. В частности, к косвенным признакам относится, по крайней мере, один из следующих: а) инциденты информационной безопасности, совершаемые пользователем или с его участием; б) сложность и частота создаваемых паролей; в) установленное и используемое программное обеспечение на компьютере пользователя; г) установленные настройки для программного обеспечения; д) посещаемые пользователем веб-страницы. В другом варианте исполнения настоящего изобретения оценка уровня знаний пользователя происходит на основании, по крайней мере, одного из фактов: а) занимаемая должность; б) возраст; в) опыт работы; г) образование.

В частном варианте исполнения вышеописанного способа выбор правил безопасности для предотвращения возникновения инцидентов информационной безопасности с участием пользователя осуществляется с использованием нейронной сети.

В одном из вариантов реализации в указанном выше способе дополнительно предоставляют выбранному пользователю обучающую информацию, соответствующую его уровню знаний, по крайней мере, по одному инциденту информационной безопасности, произошедшему с участием выбранного пользователя. При этом дополнительно оценка уровня знаний пользователя осуществляется на основании анализа действий пользователя, совершаемых в ответ на предоставление обучающей информации. Обучающая информация содержит, по крайней мере, одно из представлений: а) текстовое; б) графическое; в) аудиовизуальное.

В частном варианте осуществления вышеописанного способа дополнительно информируют выбранного пользователя, по крайней мере, об одном выбранном правиле безопасности для предотвращения инцидентов информационной безопасности и его причинах.

Другим предметом настоящего изобретения является система предотвращения инцидентов информационной безопасности в системе, состоящей, по крайней мере, из одного компьютера, по крайней мере, с одним пользователем, которая включает: а) средство оценки, предназначенное для определения уровня знаний, по крайней мере, одного пользователя, которое также связано с базой данных и со средством принятия решений; б) средство определения инцидентов, предназначенное для выявления, по крайней мере, одного инцидента информационной безопасности и сохранения информации о нем, которое также связано со средством принятия решений и с базой данных; в) база данных, предназначенная для хранения правил безопасности, информации об инцидентах информационной безопасности и пользователях системы; г) средство принятия решений, предназначенное для выбора правил безопасности для предотвращения повторного возникновения аналогичных инцидентов информационной безопасности с участием пользователя.

В частном варианте исполнения вышеуказанная система дополнительно содержит средство подбора информации, предназначенное для предоставления выбранному пользователю обучающей информации соответствующего уровня знаний, по крайней мере, по одному инциденту информационной безопасности, произошедшему с участием выбранного пользователя, которое также связано со средством определения инцидентов информационной безопасности, средством оценки и базой данных. При оценке уровня знаний пользователя, в частности, учитываются действия пользователей, совершаемые в ответ на предоставление обучающей информации. При этом обучающая информация содержит, по крайней мере, одно из представлений: а) текстовое; б) графическое; в) аудиовизуальное.

В описанной ранее системе под инцидентом информационной безопасности понимается, по крайней мере, одно из следующих событий: а) распространение вредоносных объектов; б) копирование конфиденциальных данных; в) использование внешнего почтового клиента. В то же время в качестве правила безопасности выступает, по крайней мере, одно из следующих: а) разрешение/запрещение подключения внешнего устройства, б) периодичность обновления системы; в) список разрешенных/запрещенных TCP-портов; г) использование стороннего почтового клиента; д) блокирование соединений для заданных IP-адресов; е) изменение графического интерфейса, по крайней мере, одного приложения. Обнаружение инцидентов информационной безопасности в указанной системе происходит путем сравнения с заранее определенными событиями, соответствующими инцидентам информационной безопасности, согласно правилам безопасности.

В одном из вариантов исполнения указанной выше системы оценка уровня знаний пользователя осуществляется с использованием косвенных признаков. К косвенным признакам относится, по крайней мере, один из следующих: а) инциденты информационной безопасности, совершаемые пользователем или с его участием; б) сложность и частота создаваемых пользователем паролей; в) установленное и используемое программное обеспечение на компьютере пользователя; г) установленные настройки для программного обеспечения; д) посещаемые веб-страницы. В другом варианте осуществления изобретения оценка уровня знаний пользователя осуществляется на основании, по крайней мере, одного из фактов: а) занимаемая должность; б) возраст; в) опыт работы; г) образование.

Выбор правил безопасности для предотвращения возникновения инцидентов информационной безопасности с участием пользователя в рассматриваемой системе осуществляется с использованием нейронной сети.

Дополнительные преимущества изобретения будут раскрыты далее в ходе описания вариантов реализации изобретения. Также отметим, что все материалы данного описания направлены на детальное понимание того технического предложения, которое изложено в формуле изобретения.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут раскрыты дальше в описании со ссылками на прилагаемые чертежи.

Фиг.1 представляет блок-схему способа предотвращения инцидентов информационной безопасности.

Фиг.2 иллюстрирует систему предотвращения инцидентов информационной безопасности.

Фиг.3А описывает частный вариант определения уровня компетентности пользователя в зависимости от установленного ПО.

Фиг.3Б описывает частный вариант определения уровня знаний пользователя на основании совершаемых действий.

Фиг.4 представляет логические взаимосвязи между темами и возможность уточнения терминов.

Фиг.5 иллюстрирует варианты полноты описания.

Фиг.6 демонстрирует задание соответствия между различными заданными правилами безопасности, уровнем знаний пользователей и функциональными возможностями.

Фиг.7 показывает примерную схему компьютера общего назначения, на котором развертывается настоящее техническое решение.

Подробное описание предпочтительных вариантов осуществления

Объекты и признаки настоящего изобретения, способы для достижения этих признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

В область решаемых задач входит обучение пользователей с целью уменьшения числа уязвимостей и соблюдение заданных правил безопасности. Здесь и далее под уязвимостью системы будет пониматься свойство системы, которое может быть использовано злоумышленником для осуществления несанкционированных действий, а под заданными правилами безопасности - одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности.

В данном изобретении под термином «информационная безопасность системы» понимается состояние системы, определяющее защищенность информации и ресурсов системы от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность системы выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений. С подробными определениями угроз и субъектов информационных отношений можно ознакомиться в стандарте ГОСТ Р ИСО/МЭК 15408-1-2002 или в соответствующем руководящем документе «Критерии оценки безопасности информационных технологий» (http://www.fstec.ru/_spravs/_spec.htm).

Основные преимущества настоящего решения вытекают из анализа действий пользователя и своевременного предоставления ему обучающей информации.

Фиг.1 описывает предлагаемый способ 100 повышения уровня защищенности компьютерной системы. На первом этапе 110 собирают данные о действиях пользователя, которые могут включать различные сведения, например, о подключаемых сменных носителях, запуске приложений, посещении веб-сайтов, реакции пользователя на информационные сообщения системы и так далее. Впоследствии собранная информация учитывается при предоставлении обучающей информации.

Далее на шаге 120 происходит выбор тех действий, которые нарушают заданные правила безопасности либо приводят к их нарушению. В одном из вариантов исполнения заданные правила безопасности определяются специалистом по информационной безопасности и хранятся в базе данных. В другом варианте реализации правила безопасности задаются с использованием экспертных оценок для аналогичных систем. Например, исходя из заданных правил безопасности, запрещается подключать внешние носители информации к компьютеру, при этом была произведена такая операция, следовательно, указанное действие будет выбрано.

Затем на шаге 130 происходит оценка уровня знаний пользователя, которая может осуществляться различными способами. В частном варианте реализации изобретения уровень знаний пользователя определяется по различным косвенным признакам, например, по набору программного обеспечения, присутствующем на компьютере, по настройкам приложений, по созданным правилам для межсетевого экрана. Более подробно механизм оценки уровня знаний пользователя по установленному программному обеспечению представлен на Фиг.3А.

В некоторых вариантах осуществления для определения уровня знаний пользователя анализируются непосредственно совершаемые действия пользователя, в том числе и инциденты информационной безопасности, произошедшие с его участием. В одном из вариантов исполнения изобретения рассматриваются совершаемые пользователем действия в ответ на внешние события, например, на информационные сообщения системы, оповещения об обнаружении вредоносного программного обеспечения, предоставление обучающей информации и так далее. В этих целях для каждого действия определяется рейтинг, на основании которого в дальнейшем определяется компетентность пользователя. При этом стоит учитывать, что рейтинг для каждого действия может изменяться динамически, например, при использовании весовых коэффициентов. В частности, весовые коэффициенты могут отличаться для различной частоты повторения действия. Например, если пользователь совершает действие А от одного до пяти раз, весовой коэффициент равен 1, если от шести до десяти - двум и так далее. Более подробно указанный вариант представлен на Фиг.3Б.

Уровень знаний пользователя может определяться на основе нечеткой логики. Для этого вначале происходит фаззификация (введение нечеткости): всем входным величинам ставятся в соответствие лингвистические переменные, для которых определяются терм-множества и функции принадлежности терму. Например, для лингвистической переменной «уровень знаний пользователя» терм-множество будет иметь вид {«новичок», «средний», «продвинутый», «эксперт»}.

В одном из вариантов реализации изобретения действия 120 и 130 осуществляются одновременно. В другом варианте исполнения первоначально происходит оценка уровня знаний пользователя 130, а затем выбор действий 120, нарушающих правила безопасности.

На основании оцененного уровня знаний для пользователя применяются соответствующие правила безопасности. Один из вариантов задания правил безопасности изображен на Фиг.6. Стоит отметить, что в некоторых вариантах реализации выбранные правила безопасности, соответствующие уровню знаний пользователя, добавляются к множеству уже существующих правил безопасности для данного пользователя.

На этапе 140 происходит подбор обучающей информации на основании определенного уровня знаний пользователя и совершенных им действий, нарушающих или приводящих к нарушению заданных правил безопасности, с целью минимизации числа подобных ситуаций впредь.

Обучающая информация предоставляется в любом из форматов: текстовые сообщения, аудиозапись, короткометражные мультимедийные ролики и так далее. В частном варианте реализации обучающая информация предоставляется пользователю так, как описано в заявке RU2009142890. При этом описания составлены таким образом, что пользователь может получить уточнения любого интересующего термина либо ознакомиться с более глубоким описанием проблемы. Подробнее примеры составления указанных описаний приведены на Фиг.4 и Фиг.5. В одном из вариантов исполнения изобретения для определения уровня знаний пользователя учитывается степень детализации описания, которую он предпочитает. Например, каждому описанию выставляется соответствующий рейтинг, который используется при определении совокупного рейтинга пользователя.

Стоит отметить, что анализ действий пользователя, определение уровня его знаний и предоставление обучающей информации происходит периодически. В частных вариантах исполнения интервалы времени могут быть определены заранее, произвольно выбраны администратором или специалистом по информационной безопасности, а также зависеть от обнаружения инцидентов информационной безопасности, произошедших с участием пользователя.

После предоставления пользователю обучающей информации на этапе 150 осуществляется оценка сети на предмет соответствия заданным правилам безопасности. В этих целях определяют параметры локальной вычислительной сети, например, существующие настройки межсетевого экрана, открытые порты, и сравнивают их с заданными правилами безопасности. В некоторых вариантах исполнения изобретения осуществляется автоматическое тестирование системы на проникновение, а затем отмечаются те заданные правила безопасности, которые не были выполнены. Тестирование на проникновение может быть осуществлено с применением соответствующего программного обеспечения, например, сетевого сканера Wireshark или nmap, а также любой из известных методологий. Стоит отметить, что тестированию может подвергаться так называемая приманка, которая полностью идентична существующей системе.

На основании предыдущих шагов на этапе 160 выбирают правила безопасности, направленные на предотвращение возникновения аналогичных инцидентов информационной безопасности у рассматриваемого пользователя. При этом учитывается уровень знаний пользователя, произошедшие инциденты, а также заданные правила безопасности. Решение может носить как запрещающий характер, так и выдавать дополнительные привилегии пользователю. Например, если с момента последней оценки уровень знаний пользователя понизился, тогда в соответствии с заданными правилами безопасности принимаются те условия, которые характерны для его текущего уровня знаний. Пример задания правил безопасности для пользователей с различным уровнем знаний приведен на Фиг.6. Например, в момент предыдущей оценки уровень пользователя был определен как «продвинутый», однако последняя оценка указала на средний уровень знаний. Однако в соответствии с заданными правилами безопасности среднему пользователю, в отличие от продвинутого, не выдаются права локального администратора. Следовательно, у такого пользователя возможность работы с правами локального администратора отбирается. В то же время для пользователей, которые получают новые знания и, как следствие, повышают свой уровень, применяются поощрительные действия, выражающиеся в выдаче дополнительных прав в соответствии с заданными правилами безопасности.

Также изменению подвергается графический интерфейс приложений. Например, для группы настроек определяется минимальный уровень знаний пользователя, для которого она доступна. В некоторых вариантах исполнения определение минимального уровня знаний для редактирования данной настройки основано на экспертных либо статистических данных. В дальнейшем минимальный уровень знаний для выбранной группы настроек сравнивается с текущим уровнем знаний пользователя. Если уровень знаний пользователя выше минимально определенного, тогда пользователю выдается право использовать указанную настройку или группу настроек.

В частном варианте исполнения выбранные правила безопасности оформляются с использованием любого из языков сценариев.

После выбора правил безопасности для предотвращения возникновения инцидентов информационной безопасности на шаге 170 происходит выполнение выбранных правил и информирование пользователя о проведенных изменениях с их обоснованием. В одном из вариантов реализации выбранные правила в виде сценария запускаются в соответствующей оболочке, например, в Bash, Microsoft PowerShell либо с использованием антивирусной утилиты AVZ.

Фиг.2 представляет систему 200 повышения уровня защищенности, реализующую способ 100. Указанная система включает средство журналирования действий пользователя 210, средство оценки 220, средство определения инцидентов 230, средство подбора информации 250, средство принятия решений 260, средство выполнения решений 270 и базу данных 240, к которой обращаются средство оценки 220, средство определения инцидентов 230 и средство подбора информации 250. Описываемая система работает с данными, получаемыми от средства журналирования действий пользователя 210. В простейшем варианте осуществления журналируются все возникающие события с использованием встроенного функционала операционной системы. В других вариантах осуществления записываются в журнал не все события, а только те из них, которые удовлетворяют заданным критериям: для этого также можно использовать функционал операционной системы, применяя дополнительные настройки. В одном из вариантов реализации журнал действий пользователя периодически перезаписывается, что позволяет сократить объем используемой части диска. В другом варианте исполнения изобретения предыдущие журналы действий пользователей архивируются для возможного дальнейшего расследования инцидентов информационной безопасности. После журналирования действий пользователя с помощью средства определения инцидентов 230 выделяются те действия пользователей, которые привели к нарушению заданных правил безопасности. Для определения подобных действий в базе данных 240 содержится список событий, которые являются инцидентами информационной безопасности или приводят к ним. Определение действий, приведших к инцидентам информационной безопасности, осуществляется с использованием любого из существующих механизмов расследования инцидентов. В одном из вариантов исполнения указанный список формируется с использованием набранной статистики. В другом варианте реализации события, являющиеся инцидентами информационной безопасности, определяются экспертно, с привлечением специалистов по информационной безопасности или аудиторов. Таким образом, средство определения инцидентов информационной безопасности выделяет соответствующие события путем сравнения всех действий пользователя с базой данных инцидентов информационной безопасности. Примерами инцидентов информационной безопасности являются распространение вредоносных объектов, несанкционированное копирование или изменение конфиденциальной информации, использование внешнего почтового клиента и так далее.

В дальнейшем происходит оценка уровня знаний пользователя с использованием средства оценки 220. При этом оценка уровня знаний пользователя осуществляется с применением различных подходов. В одном из вариантов реализации для определения уровня знаний пользователя каждому действию присваивается рейтинг, а для определения совокупного рейтинга пользователя объединяются рейтинги по всем совершенным действиям. Значения рейтингов для каждого действия пользователя сохраняется в базе данных 240. На основании рассчитанного рейтинга с использованием механизма нечеткой логики определяется уровень знаний пользователя. Более подробно описанный выше процесс изображен на Фиг.3Б. В том числе при анализе действий пользователя учитываются и инциденты информационной безопасности, совершенные им или с его участием.

Также оценка уровня знаний пользователя может происходить по различным косвенным признакам, которые напрямую не показывают компетентность, например программное обеспечение, установленное на компьютере пользователя, и его настройки, сложность создаваемых паролей, форматы используемых файлов и так далее. На Фиг.3А более подробно рассмотрен порядок определения уровня знаний пользователя на основании установленного программного обеспечения.

В дальнейшем к пользователю применяются правила безопасности с помощью средства принятия решений 260, соответствующие его уровню знаний. Один из вариантов задания правил безопасности для пользователей с различным уровнем знаний представлен на Фиг.6.

На основании выделенных действий пользователя, которые явились причиной инцидентов информационной безопасности, и его уровня знаний в дальнейшем с помощью средства подбора информации 250 формируется обучающая информация, которая будет полезна для развития компетенции пользователя в области информационных технологий. Для этого для каждого действия или группы действий выбирается тема, описание которой сформировано в соответствии с уровнем знаний пользователя. Все имеющиеся описания там хранятся в базе данных 240, при этом описание может быть представлено в любом из существующих форматов: текстовая информация, аудио- или видеоролики, графические изображения и так далее.

В некоторых случаях пользователю могут понадобиться дополнительные сведения по теме. Например, некоторые термины в предоставленной информации неясны пользователю либо он желает ознакомиться с более детальным описанием. Для осуществления таких возможностей описание должно быть составлено соответствующим образом. Более подробно механизм составления описания для пользователей с различным уровнем знаний приведен на Фиг.4 и Фиг.5.

После предоставления обучающей информации средство оценки 220 определяет, соответствуют ли параметры локальной вычислительной сети требованиям заданных правил безопасности. Для определения соответствия правил безопасности и параметров локальной вычислительной сети могут применяться различные варианты тестирования на проникновение, в том числе и автоматического.

В некоторых вариантах исполнения при оценке рассматривается также уровень знаний пользователя, таким образом, учитывая не только внешние, но и внутренние угрозы. Например, заданные правила безопасности содержат положения, касающиеся распределения функционала между пользователями в зависимости от уровня их знаний, как указано на Фиг.6.

Фиг.6 представляет собой пример распределения функционала для пользователей с различным уровнем знаний в соответствии с заданными правилами безопасности. Стоит отметить, что для различных категорий пользователей в рамках заданных правил безопасности могут устанавливаться различные ограничения. Таким образом, при повышении уровня знаний с новичка до среднего специалиста не исключено предоставление дополнительных привилегий, например, возможность работы с внешними почтовыми клиентами. В частности, как указано на Фиг.6, в соответствии с заданными правилами безопасности разрешено использовать USB порты всем пользователям.

В одном из вариантов исполнения изначальный функционал задается исходя из заданного уровня знаний пользователя по умолчанию. Например, в корпоративной сети уровень знаний пользователя по умолчанию соответствует продвинутому, следовательно, для нового члена корпоративной сети будут применены правила безопасности, характерные для продвинутого пользователя. В другом варианте реализации изначальный уровень знаний пользователя определяется на основании должностных обязанностей сотрудника, пола, возраста, образования, ученых степеней, предыдущих мест работы и так далее. То есть используется всевозможная информация о пользователе, являющаяся постоянной и известной без анализа его действий. Например, новый сотрудник принимается на должность программиста, таким образом, его уровень соответствует, по крайней мере, продвинутому пользователю. В дальнейшем уровень знаний переоценивается более точно, в том числе, на основании совершаемых действий.

В дальнейшем на основании произведенной оценки с помощью средства принятия решения 260 осуществляется выбор правил безопасности, направленных на повышение защищенности компьютерной системы. Правила безопасности выбираются на основании уровня знаний пользователя и совершаемых им инцидентов информационной безопасности. Выбор правила безопасности происходит путем поиска подходящего среди ранее известных, хранящихся в базе данных 240. Подходящее правило безопасности выбирается путем сопоставления входных параметров и выделения наиболее близкой комбинации. При этом правила безопасности поступают в базу данных на основании экспертных оценок. Стоит отметить, что указанная база данных может работать под управлением любой из существующих или будущих СУБД, например, Oracle, MS SQL Server, My SQL и так далее. Также подходящее правило безопасности может выбираться с использованием обученной нейронной сети, на вход которой поступают совершенные пользователем инциденты информационной безопасности и уровень знаний пользователя, а на выходе формируется целесообразное правило безопасности для заданных параметров. В одном из вариантов исполнения правило безопасности подбирается с использованием рекомендаций, собранных от всех пользователей, которые учитываются при принятии окончательного решения.

После выбора правила безопасности оно реализуется с помощью средства выполнения решений 270. Средство выполнения решений может быть представлено в виде одной из оболочек выполнения сценариев, например, Bash, Microsoft PowerShell, а также антивирусной утилиты AVZ.

Фиг.3А демонстрирует один из частных вариантов определения уровня компетентности пользователя. В данном случае анализируется установленное ПО, которое может быть классифицировано по характеру выполняемых задач.

На первом этапе 310 происходит поиск установленного ПО. Затем на шаге 320 - его классификация, которая может быть основана, в частности, на описании, изложенном в патенте на полезную модель RU 91213. Далее на стадии 330 формируются категории, из которых впоследствии 340 выделяется наиболее часто используемая. В зависимости от выбранной категории определяется уровень пользователя на шаге 350. Например, у пользователя обнаружено офисное, дизайнерское ПО и ПО для разработчиков. При этом наиболее часто используются такие программы, как: Altova XMLSpy, PL SQL Developer, SQL Plus и так далее. Таким образом, можно заключить, что текущий пользователь соответствует уровню продвинутого специалиста. Аналогично учитываются и посещаемые пользователем веб-страницы. В частном варианте исполнения веб-страницы классифицируются на основании анализа присутствия заданных слов или фраз. При осуществлении классификации слова и фразы могут учитываться с определенным весовым коэффициентом, отражающим вероятность принадлежности к той или иной категории.

Таким образом, анализу подвергаются прежде всего косвенные признаки компетентности пользователя, например настройки ПО, сложность создаваемых паролей, частота их изменения, используемые форматы файлов. Также к косвенным признакам грамотности пользователя можно отнести статистику самостоятельного блокирования компьютера и использования клавиатуры: применение сочетаний специальных клавиш, скорость ввода текста, в том числе на различных языках.

Фиг.3Б описывает способ определения уровня знаний пользователя на основании совершаемых им действий. В предлагаемом варианте реализации после возникновения некоторого действия на шаге 305 проверяется, является ли оно известным. В случае положительного ответа на этапе 315 происходит определение рейтинга события на основании ранее полученных данных, иначе - переходят к стадии 325, на которой действие анализируется. После проведенного анализа на шаге 335 рассчитывают рейтинг. При этом в одном из вариантов реализации рейтинг действия пользователя учитывается с весовым коэффициентом, который изменяется с течением времени. В частности, весовой коэффициент изменяется в зависимости от частоты совершения определенного действия. Затем в зависимости от совокупности совершенных пользователем действий и присвоенного им рейтинга формируется ответ об уровне его компетенции.

В качестве примера использования рейтингов можно привести следующую ситуацию: в организацию поступает новый сотрудник на должность программиста. В зависимости от должности и компетенции ему автоматически выставляется рейтинг. Например, для программиста определен рейтинг в сто баллов, плюс указанный человек дополнительно обладает навыками системного администрирования операционной системы Unix, которые добавляют еще десять баллов. Таким образом, начальный рейтинг равнялся ста десяти баллам. При этом один раз пользователь подключал внешнее устройство, которое явилось причиной инцидента информационной безопасности, что отняло от рейтинга пользователя десять баллов. После инцидента информационной безопасности пользователь был проинформирован о недопустимости таких действий, несмотря на это второй раз подключил зараженное устройство, и от его рейтинга отнялось двадцать баллов с учетом весового коэффициента при повторном совершении действия. Таким образом, в зависимости от начального рейтинга и совершаемых действий рейтинг пользователя изменяется с течением времени. При изменении рейтинга изменяется и уровень знаний, к которому относят пользователя, то есть начальный рейтинг может соответствовать новичку, но впоследствии увеличиться до продвинутого пользователя.

На основании определенной компетенции пользователя для осуществления обучения предоставляется информация соответствующего уровня знаний. При этом стоит учитывать, что могут существовать ситуации, когда пользователю будет интересно знать больше о некоторых аспектах той или иной темы либо ему будет непонятна терминология, использующаяся в изложении материала.

Фиг.4 показывает один из вариантов формирования описания для различных уровней знаний. На Фиг.4 видно, что экспертное описание является наиболее полным и содержит всю информацию, которая будет интересной даже экспертам в этой области знаний.

В любом описании можно выделить используемые термины, при этом каждый термин может быть описан с разным уровнем детализации и для людей с разным уровнем подготовки. Под термином будет подразумеваться базовое понятие, в описании которого уже не получится "опуститься" ниже уровнем. В качестве примера можно привести следующую таблицу:

Тема 1 (Термин 2, Термин 5,… Термин N)

Тема 2 (Термин 1, Термин 5,… Термин К)

Тема 3 (Термин 1,…, Ссылка на Тема 1, Ссылка на Тема 2)

Тема L (Термин А, Термин В,… Ссылка на Тема С)

Тема [Термины] [Ссылки на Темы] [Иллюстрации] [Примеры]

На предложенной выше иллюстрации каждая тема включает несколько терминов и ссылок на другие темы, а также возможно добавить дополнительные иллюстрации и примеры. Например, подраздел "Троянские программы" может содержать следующие термины: [Файл][Инсталляция программ] [Удаление программ] и другие.

Фиг.5 является примером построения логических связей между темами и терминами. В том случае, если в будущем один из терминов потребует уточнения и для него вводятся дополнительные понятия, то его можно будет считать темой, т.е. понятия тема и термин по сути равнозначны и разделение связано с необходимостью отобразить нижний уровень логических связей. Соответственно, описание терминов также может быть сделано на разных уровнях сложности - от самого простого до экспертного.

Фиг.7 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс привода магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.).

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35 и дополнительные программные приложения 37, другие программные модули 38 и программные данные 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонки, принтер и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.7. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 51 и глобальную вычислительную сеть (WAN) 52. Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 51 через сетевой адаптер или сетевой интерфейс 53. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью 52, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ предотвращения возникновения инцидентов информационной безопасности в системе, состоящей, по крайней мере, из одного компьютера, по крайней мере, с одним пользователем, в котором:
- оценивают уровень знаний, по крайней мере, одного пользователя с помощью средства оценки;
выбирают, по крайней мере, одно правило безопасности, соответствующее определенному ранее уровню знаний выбранного пользователя, с помощью средства принятия решений;
- определяют инциденты информационной безопасности, произошедшие с участием выбранного пользователя, с помощью средства определения инцидентов;
- для определенных ранее инцидентов информационной безопасности выбирают правила безопасности с помощью средства принятия решений для предотвращения возникновения аналогичных инцидентов информационной безопасности с участием выбранного пользователя.

2. Способ по п.1, в котором дополнительно предоставляют выбранному пользователю обучающую информацию, соответствующую его уровню знаний, по крайней мере, по одному инциденту информационной безопасности, произошедшему с участием выбранного пользователя.

3. Способ по п.2, в котором обучающая информация содержит, по крайней мере, одно из представлений:
- текстовое;
- графическое;
- аудиовизуальное.

4. Способ по п.2, в котором оценка уровня знаний пользователя осуществляется на основании анализа действий пользователя, совершаемых в ответ на предоставление обучающей информации.

5. Способ по п.1, в котором под инцидентом информационной безопасности понимается, по крайней мере, одно из следующих событий:
- распространение вредоносных объектов;
- копирование конфиденциальных данных;
- использование внешнего почтового клиента.

6. Способ по п.1, в котором в качестве правила безопасности выступает, по крайней мере, одно из:
- разрешение/запрещение подключения внешнего устройства;
- периодичность обновлений системы;
- список разрешенных/запрещенных ТСР-портов;
- использование стороннего почтового клиента;
- блокирование соединений для заданных IP-адресов;
- изменение графического интерфейса, по крайней мере, одного приложения.

7. Способ по п.1, в котором дополнительно:
- информируют выбранного пользователя, по крайней мере, об одном выбранном правиле безопасности для предотвращения инцидентов информационной безопасности и его причинах.

8. Способ по п.1, в котором инциденты информационной безопасности определяются путем сравнения с заранее определенными событиями, соответствующими инцидентам информационной безопасности, согласно правилам безопасности.

9. Способ по п.1, в котором оценка уровня знаний пользователя осуществляется с использованием косвенных признаков.

10. Способ по п.9, в котором к косвенным признакам относится, по крайней мере, один из следующих:
- инциденты информационной безопасности, совершаемые пользователем или с его участием;
- сложность и частота создаваемых пользователем паролей;
- установленное и используемое программное обеспечение на компьютере пользователя;
- установленные настройки для программного обеспечения;
- посещаемые пользователем веб-страницы.

11. Способ по п.1, в котором оценка уровня знаний пользователя осуществляется на основании, по крайней мере, одного из фактов:
- занимаемая должность;
- возраст;
- опыт работы;
- образование.

12. Способ по п.1, в котором выбор правил безопасности для предотвращения возникновения инцидентов информационной безопасности с участием пользователя осуществляется с использованием нейронной сети.

13. Система предотвращения инцидентов информационной безопасности в системе, состоящей, по крайней мере, из одного компьютера, по крайней мере, с одним пользователем, которая включает:
- средство оценки, предназначенное для определения уровня знаний, по крайней мере, одного пользователя, которое также связано с базой данных и со средством принятия решений,
- средство определения инцидентов, предназначенное для выявления, по крайней мере, одного инцидента информационной безопасности и сохранения информации о нем, которое также связано с упомянутым средством принятия решений и с базой данных,
- упомянутая база данных, предназначенная для хранения правил безопасности, информации об инцидентах информационной безопасности и пользователях системы,
- упомянутое средство принятия решений, предназначенное для выбора правил безопасности, соответствующих оцененному уровню знаний пользователя, а также для выбора правил безопасности для предотвращения повторного возникновения аналогичных инцидентов информационной безопасности с участием пользователя.

14. Система по п.13, в которой дополнительно содержится средство подбора информации, предназначенное для предоставления выбранному пользователю обучающей информации соответствующего уровня знаний, по крайней мере, по одному инциденту информационной безопасности, произошедшему с участием выбранного пользователя, которое также связано с упомянутым средством определения инцидентов информационной безопасности, упомянутым средством оценки и упомянутой базой данных.

15. Система по п.14, в которой обучающая информация содержит, по крайней мере, одно из представлений:
- текстовое;
- графическое;
- аудиовизуальное.

16. Система по п.14, в которой оценка уровня знаний пользователя осуществляется на основании анализа действий пользователя, совершаемых в ответ на предоставление обучающей информации.

17. Система по п.13, в которой под инцидентом информационной безопасности понимается, по крайней мере, одно из следующих событий:
- распространение вредоносных объектов;
- копирование конфиденциальных данных;
- использование внешнего почтового клиента.

18. Система по п.13, в которой в качестве правила безопасности выступает, по крайней мере, одно из следующих:
- разрешение/запрещение подключения внешнего устройства;
- периодичность обновлений системы;
- список разрешенных/запрещенных ТСР-портов;
- использование стороннего почтового клиента;
- блокирование соединений для заданных IP-адресов;
- изменение графического интерфейса, по крайней мере, одного приложения.

19. Система по п.13, в которой обнаружение инцидентов информационной безопасности осуществляется путем сравнения с заранее определенными событиями, соответствующими инцидентам информационной безопасности, согласно правилам безопасности.

20. Система по п.13, в которой оценка уровня знаний пользователя осуществляется с использованием косвенных признаков.

21. Система по п.20, в которой к косвенным признакам относится, по крайней мере, один из следующих:
- инциденты информационной безопасности, совершаемые пользователем или с его участием;
- сложность и частота создаваемых пользователем паролей;
- установленное и используемое программное обеспечение на компьютере пользователя;
- установленные настройки для программного обеспечения;
- посещаемые веб-страницы.

22. Система по п.13, в которой оценка уровня знаний пользователя осуществляется на основании, по крайней мере, одного из фактов:
- занимаемая должность;
- возраст;
- опыт работы;
- образование.

23. Система по п.13, в которой выбор правил безопасности для предотвращения возникновения инцидентов информационной безопасности с участием пользователя осуществляется с использованием нейронной сети.