Содержание к диссертации
Введение
ГЛАВА 1 Основные сведения, используемые для построения моделей 10
1.1 Методологические основы применения методов имитационного моделирования 10
1.2 Выбор метода определения актуальных угроз безопасности информационной системы 13
1.3 Получение первоначальных данных 15
1.4 Исходные данные, используемые экспертами при проведении экспертных оценок 25
1.5 Схема функционирования имитационной модели 34
1.6 Выводы 38
ГЛАВА 2 Имитационные модели сегментов информационной системы 41
2.1 Построение имитационной модели сегмента «Коммутатор - сервер».. 41
2.2 Построение имитационной модели сегмента «Рабочая станция -коммутатор» 54
2.3 Построение имитационной модели сегмента «Маршрутизатор -маршрутизатор» 63
2.4 Построение имитационной модели сегмента «Оператор - рабочая станция» 72
2.5 Построение имитационной модели сегмента «Коммутатор -маршрутизатор» 76
2.6 Выводы 80
ГЛАВА 3 Определение актуальных угроз безопасности и необходимости дополнительной защиты 82
3.1 Построение модели воздействия угроз безопасности на информационную систему в целом 82
3.2 Определение актуальных угроз безопасности информационной системы в целом 88
3.3 Расчет необходимости применения дополнительных мер защиты ИСПДн
3.4 Выводы 104
ГЛАВА 4 Математическое моделирование информационной системы 107
4.1 Применение математической модели для выявления актуальных угроз безопасности 107
4.2 Математическая модель воздействия на систему угроз безопасности нескольких видов 117
4.3 Применение предложенной математической модели для изучения поведения некоторых микроэкономических систем 120
4.4 Выводы 127
Заключение 129
Список сокращений и условных обозначений 131
Список литературы
- Выбор метода определения актуальных угроз безопасности информационной системы
- Построение имитационной модели сегмента «Оператор - рабочая станция»
- Расчет необходимости применения дополнительных мер защиты ИСПДн
- Применение предложенной математической модели для изучения поведения некоторых микроэкономических систем
Выбор метода определения актуальных угроз безопасности информационной системы
Для определения актуальных угроз безопасности информационной системы обработки персональных данных практически все специалисты прибегают к методике, предложенной ФСТЭК России [82]. В соответствии с данным документом угрозой является «совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным (ПДн), результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий». Актуальной является угроза, которая может быть реализована в информационной системе обработки персональных данных (ИСПДн) и представляет опасность для ПДн.
Актуальность угрозы, в соответствии с [82], определяется двумя показателями: уровень исходной защищенности информационной системы и вероятность реализации угрозы. Уровень исходной защищенности определяется на основании утвержденных в [82] факторов и может быть рассчитан техническим специалистом без привлечения дополнительных экспертов.
Для определения вероятности реализации угроз используется модель угроз, также предложенная и утвержденная ФСТЭК России [20]. В модели угроз рассматривается воздействие на информационную систему каждой угрозы в отдельности и указаны угрозы, которые являются актуальными. В связи тем, что данный процесс требует высокого уровня подготовки от специалистов, составляющих модель, и глубокого знания о поведении рассматриваемой системы, разработкой модели угроз, как правило, занимаются специализированные организации.
В связи с тем, что рассматриваемая в данной работе информационная система «Информационные ресурсы УГИБДД» разработана специалистами УГИБДД и используется ими на протяжении длительного промежутка времени, на оперативном совещании было принято решение о разработке модели угроз специалистами Управления без привлечения сторонних организаций.
В целях более детального изучения влияния каждой угрозы, а также определения качества имеющихся средств защиты, было принято решение помимо формального составления модели угроз расширить количество используемых в ней показателей: 1. Изначально рассматривается вероятность наступления угрозы. Данный показатель добавлен для изучения количества угроз, воздействующих на информационную систему, и их примерной периодичности; 2. Вероятность реализации угрозы при наличии исходного уровня защищенности, рассчитываемого в соответствии с [82]. 3. Вероятность реализации угроз при наличии средств дополнительной защиты. Данная вероятность рассматривается в случае, если исходного уровня защищенности было недостаточно, чтобы парировать наступившую угрозу. Вероятность реализации при наличии дополнительных средств защиты в итоге использовалась в качестве вероятности реализации при заполнении модели угроз.
В итоге для того, чтобы угроза была реализована, она должна с определенной вероятностью наступить, после чего с определенной вероятностью обойти исходный уровень защищенности и после этого, также с определенной вероятностью, систему дополнительной защиты.
Для определения актуальных угроз безопасности было предложено и одобрено на оперативном совещании использование имитационного моделирования. В качестве среды моделирования выбрано программное обеспечение «Anylogic», разработанное российской компанией «Экс Джей Текнолоджис».
Выбор именно этого программного продукта обусловлен следующими факторами[2, 3, 1,4, 83]: - облегченный процесс создания моделей с помощью графической среды разработки; - возможность использования ранее созданных библиотек и модулей для создания новых моделей; - объектно-ориентированный подход к построению модели; - наличие большого количества встроенных библиотек для создания имитационных моделей; - построение модели с использованием языка программирования Java, что позволяет запускать их на любой программной и аппаратной платформе; - возможность запуска имитационной модели без использования средств разработки. Для построения математических и, в частности, имитационных моделей различных информационных систем необходимо наличие первоначальных данных, которые в дальнейшем будут использованы при проведении экспериментов с моделью. В качестве исходных данных для рассматриваемой информационной системы принято решение использовать вероятности наступления и реализации угроз. Для определения указанных вероятностей был применен метод экспертных оценок.
Построение имитационной модели сегмента «Оператор - рабочая станция»
После добавления вероятностей реализации угроз модель приняла следующий вид (Рисунок 11). Результатом добавления вероятностей реализации угроз стало увеличение до 82,65% сгенерированных запросов, завершивших движение до маршрутизатора.
Следующим этапом стало добавление в модель вероятностей реализации угроз при наличии дополнительных используемых средств защиты информации. СЗПДн добавлены также в виде точки, расположенной на пути реализации угрозы. Вероятности реализации угроз при наличии дополнительных средств защиты информации также предложены экспертами (Таблица 15). Q-схема реализации угроз при наличии дополнительных средств защиты на сегменте «Рабочая станция - коммутатор» где X - входной поток, V - выходной поток, X - поток заявок, прервавших движение, Кп 1 - блок наступления п-ой угрозы, Кп 2 - блок реализации п-ой угрозы, Кп 3 - блок реализации п-ой угрозы при наличии дополнительных средств защиты, при п=1, 2 ... 16 - угрозы, которые могут наступить на рассматриваемом сегменте по мнению группы экспертов.
В итоге схема реализации угроз приняла вид, представленный на Рисунок 13. В результате проведенных экспериментов установлено, что к маршрутизатору подразделения поступает 97,89% сгенерированных запросов, при среднем количестве реализовавшихся угроз на один запрос 0.028. В целях выявления угроз, которые наиболее значимо влияют на конечный результат, результаты реализации угроз рассмотрены отдельно от остальных результатов измерений (Таблица 16). Рисунок 13 -Схема реализации угроз при наличии дополнительных средств защиты на сегменте «Рабочая станция - коммутатор» Таблица 16 -Процент количества реализованных угроз на сегменте «Рабочая станция - коммутатор» Наименование угрозы Кол-во угроз,при наличиизащиты % от общегокол-ва реализовавшихся угроз Угрозы удаленного запуска приложений 6383 4.58% Угрозы внедрения по сети вредоносных программ 6157 4.42% Угрозы сканирования, направленные на выявление открытых соединений и ДР- 12250 8.80% Доступ к информации, модификация, уничтожение лицами, не допущенных к ее обработке 1296 0.93%
Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, открытых портов и служб, открытых соединений и др. - 8,80%.
В целях оценки качества и значимости используемых дополнительных СЗПДн от каждого типа угроз, которые по мнению экспертной комиссии, могут наступить на данном сегменте имитационной модели, из модели поочередно убиралась дополнительная защита от каждой угрозы и проводились измерения. Полученные результаты измерений представлены в Таблица 17.
На основе полученных результатов были найдены следующие значения (Таблица 18): процент количества завершенных запросов от количества поступивших в систему; процент количества реализовавшихся угроз, от общего количества реализованных и нереализованных угроз; процент количества угроз, реализация которых предотвращена системой защиты, от общего количества реализованных и нереализованных угроз; процент количества угроз, реализация которых предотвращена системой защиты, от количества нереализованных угроз; процент количества реализованных угроз, защита от которых не учитывалась во время проведения эксперимента, от общего количества реализованных угроз.
Проанализировав результаты, представленные в таблице 6, можно выделить угрозы, отсутствие защиты от которых наиболее очевидно влияет на конечный результат. Среди таких угроз наибольшее влияние оказывает отсутствие зашиты от угрозы утраты ключей и атрибутов доступа (количество запросов, дошедших до окончания модели, сократилось с 97,89% до 91,83%). Также снижение завершенных запросов до 95,46% и 95,67% приводит отсутствие защиты от угрозы типа «Отказ в обслуживании» и сбой системы электроснабжения соответственно. Отсутствие защиты от остальных угроз влияет на конечный результат в менее значимой мере (не более 1,5%). Таблица 18 -Результаты расчетов на сегменте «Рабочая станция - коммутатор»
Наименование угрозы % пройден-ных запросов % кол-ва реализовавшихся угроз % кол-ва угроз, реализ.которых предотвращенас-мой защиты,от общ.кол-ва угроз % зкол-ва угроз, реализ.которых предотвращенас-мой защиты, от кол-ванереализ. угроз % кол-ва реализ. угроз, при отсутсвии защиты от угрозы, от общ. кол-ва реализ угроз
Эффективность средств защиты также можно оценить, сравнив процент реализации конкретной угрозы от общего количества реализованных угроз с процентом количества реализованных угроз, защита от которых не учитывалась во время проведения эксперимента, от общего количества реализованных угроз (Таблица 19).
Исходя из результатов, представленных в Таблица 19 можно сделать вывод, что в целом система защиты ИСПДн от реализации угроз является эффективной. Вероятность реализации таких угроз, как угрозы выхода из строя аппаратно-программных средств и наступления стихийных бедствий, достаточно большая и, в то же время, наличие защиты кардинальным образом не влияет на общий результат. Отсутствие эффективной защиты обусловлено тем, что вероятность реализации данных угроз носит спонтанный характер и в очень малой степени зависит от регулируемых факторов (например, от человеческого фактора).
Рассмотрим сегмент, на котором запрос поступает к маршрутизатору Управления ГИБДД от маршрутизатора подразделения по арендуемым (при использовании технологий VSAT или xDSL) или ведомственным (волоконно-оптические линии связи) каналам связи. Экспертной комиссиейвыделены угрозы, которые могут быть реализованы на рассмотренном сегменте (Таблица 20).
Опишем общую схему функционирования имитационной модели данного сегмента. Запрос движется между двумя маршрутизаторами по соединительной линии (каналу связи), на которой расположены точки наступления угроз. Запрос, проходя точку наступления угрозы, либо продолжает движение к маршрутизатору Управления, и фиксируется факт нереализации угрозы, либо с вероятностью наступления угрозы попадает на альтернативный путь движения и фиксируется факт наступления угрозы. Если наступившая угроза препятствует дальнейшему продвижению запроса, например, угроза типа «Отказ в обслуживании», то цикл заканчивается и в счетчик наступивших угроз прибавляется одно значение. Если угроза не препятствует дальнейшему продвижению, например, угроза выявления паролей по сети, то в счетчик наступивших угроз также прибавляется одно значение, но запрос продолжает движение.
Расчет необходимости применения дополнительных мер защиты ИСПДн
Из приведенных расчетов видно, что преобладающее количество угроз для каждого вида модели составляют так же, как и для отдельных сегментов, три угрозы: стихийное бедствие, выход из строя аппаратно-программных средств и сбой системы электропитания. Также вероятность реализации около одного процента от количества реализованных угроз имеют угроза удаленного запуска приложений, отказ в обслуживании и угроза утраты ключей и атрибутов доступа.
Проанализировав выделенные угрозы и имеющиеся средства борьбы с ними, сделаны следующие выводы:
Для защиты от угроз стихийное бедствие, выход из строя аппаратно-программных средств и отказ в обслуживании принимаются всевозможные меры и добиться снижения вероятности их реализации без значительных финансовых затрат в настоящее время не представляется возможным;
Защита от угрозы сбоя системы электроснабжения является эффективной, однако, так как при расчете вероятностей реализации угроз учитывались реальные составляющие, которые часто встречаются в подразделениях (например, для запуска генератора необходимо получить ключ, дойти до места установки генератора, заправить и потом уже запустить его, на что тратится время, превышающее время работы источников бесперебойного питания), данная угроза по сравнению с остальными имеет высокий уровень реализации;
Угроза удаленного запуска приложений имеет вероятность реализации выше, чем у большинства угроз, так как для удобства управления серверами и рабочими станциями используется программное обеспечение для удаленного доступа к ПЭВМ. Несмотря на то, что данное программное обеспечение имеет разграничение прав доступа и для подключения требует введения необходимых установок и авторизации пользователя, вероятность доступа к ПЭВМ нарушителя возрастет. Однако отказ от использования программного обеспечения для удаленного доступа приводит к возрастанию угроз таких типов, как, например, отказ в обслуживании, действия вирусов и вредоносных программ. Это связано с тем, что пропадает возможность оперативного доступа к серверу или рабочей станции для ликвидирования одной из реализованных угроз, особенно это актуально, когда требуется оперативное вмешательство администратора в нерабочее время, во время нахождения от серверной на удаленном расстоянии;
Защититься полностью от угрозы утраты ключей и атрибутов доступа не представляется возможным, так как данная угроза полностью зависит от человеческого фактора: рассеянности или забывчивости.
Как показали проведенные расчеты, наличие дополнительных программных средств защиты практически не влияет на процент запросов, которые вернулись к пользователю в качестве ответов, однако позволяет исключить угрозы, связанные с действиями внешних или внутренних нарушителей. Исключение наступления указанных угроз с помощью сертифицированного программного обеспечения позволяет использовать информационную систему для обработки персональных данных 2 категории, которой является информационная система «Информационные ресурсы Управления ГИБДД». Несмотря на то, что внедрение дополнительного программного обеспечения в масштабах всего Краснодарского края потребует более 35 миллионов рублей, для обеспечения заданного уровня безопасности и соблюдений требований Российского законодательства это является необходимым.
Для хранения полученных результатов разработана специализированная база данных. Данная база данных содержит численные данные, используемые при построении имитационной модели информационной системы «Информационные ресурсы УГИБДД», и результаты экспериментов, проведенных с построенной моделью. База данных также содержит результаты расчетов качества и значимости защиты от угроз безопасности, применяемой в информационной системе, промежуточные вычисления значений вероятностей наступления и реализации угроз безопасности и определение угроз, вероятность реализации которых является наиболее высокой по сравнению с остальными.
В результате проведенных вычислений выделены угрозы, которые являются актуальными для рассматриваемой информационной системы. В качестве актуальных выделены угрозы типа «стихийное бедствие» и «выход из строя аппаратно-программных средств»,причём данные угрозы выделены в качестве актуальных как для информационной системы в целом, так и для отдельных её сегментов. Численные расчёты, проведенные с результатами экспериментов с имитационными моделями, показывают, что процент реализации этих двух типов угроз составил более шестидесяти процентов от общего количества реализованных угроз. Помимо этого в качестве актуальной выделена угроза сбоя системы электроснабжения, а также угроза сканирования, удаленного запуска приложений и угроза утраты ключей и атрибутов доступа, процент реализации которых составляет около одного процента от общего количества реализованных угроз, но является высоким по сравнению с другими типами угрозами.
Применение предложенной математической модели для изучения поведения некоторых микроэкономических систем
Предложенную выше математическую модель можно также использовать для изучения поведения некоторых объектов микроэкономики с помощью аппарата теории дискретных марковских процессов. Рассмотрим микроэкономическую систему, которая описывает /.
При построении состояние некоторой фирмы на рынке и может находиться в каждый момент времени t Є [0, Г] в одном из трёх состояний (Рисунок 27): 1) фирма выпускает инновационную продукцию, которая не имеет аналогов на рынке и пользуется спросом у потребителей (состояние х0); 2) у продукции фирмы появились аналоги, которые составляют ей конкуренцию (состояние Х\); 3) у продукции фирмы появилось значительное число аналогов, которые дешевле и доступнее, она не может больше конкурировать на рынке и нуждается в замене или модернизации (состояние х2). Обозначим через pit), / = 0, 1, 2, t Є [0, Г], вероятность того, что в момент времени система будет находиться в состоянии таких моделей будем учитывать характерную особенность рынка: интенсивности переходов Я10из состояния хх в состояние х0, Я2о иЯ2іИЗ состояния х2 в состояние х0 ИЛИ Х\ равны или близки к 0. Это связано с тем, что с течением времени на рынке всегда появляются аналоги продукции с новыми востребованными потребителями свойствами, и, как правило, они остаются на рынке, конкурируя с продукцией фирмы. Но полностью пренебрегать данными интенсивностями нельзя, так как всегда существует возможность того, что продукция конкурента не будет востребована, в связи с чем ему придётся уйти с рынка.
Начальные условия вида Ро(0) = 1, Рі(0) = 0, р2(0) = 0, предложенные в [14, 34], не всегда удовлетворяют реальным условиям, складывающимся на рынке товаров, поэтому целесообразнее их задавать в каждом конкретном случае, прибегая к методу экспертных оценок.
Пример 1. Руководство некоторой небольшой фирмы решило выпускать новый недорогой сотовый телефон. Ниша рынка недорогих телефонов заполнена продукцией большого количества фирм-производителей. Продукция данной фирмы является малоизвестной широкому кругу покупателей. Начальные условия для решения (7) задаются экспертами на основе обработки следующего эксперимента. В магазин на продажу выставлен телефон, произведенный фирмой. После обработки статистических данных было установлено, что в среднем из десяти покупателей пятеро интересуются телефонном данной фирмы, трое - выбирают между телефоном рассматриваемой фирмы и телефонами других фирм, аналогичными данному по цене и набору функций, двое - выбирают телефоны известных фирм, не обращая внимания на предложенный товар. Основываясь на этих статистических данных, эксперты предлагают задать для решения системы уравнений следующие начальные условия:
Воспользовавшись пакетами прикладных программ «Mathcad», разработанным фирмой Parametric Technology Corporation вычисляем значения вероятностей Pi{t), г = 0, 1, 2,численно решая систему (7) при указанных начальных условиях (8) в моменты времени t = 1, 2, ... ,40 [64, 93]. Результаты вычислений представлены в Таблица 45.
Значения вероятностей/?,(/), / = 0, 1, 2, найдены численно путем решения системы (7) при заданных условиях в моменты времени t Є [0,40],представлены в Таблица 46, графики их изменений - на Рисунок 32.
В данном случае продукция фирмы, на момент её выпуска на рынок, является вполне конкурентоспособной, причём с течением времени её конкурентоспособность сохраняется. В связи с этим фирме целесообразно производить и реализовывать данный товар.
Вычислим теперь вероятности нахождения системы в одном из состояний через определенное количество шагов. Матрица вероятностей перехода из состояния Xj в состояние. /, і J = 0, 1,2, имеет вид [14]:
Как видно из полученных результатов, конкурентоспособность товара значительно меняется при появлении на рынке товаров первых двух конкурентов, после чего значение вероятности /?2(0 значительно увеличивается, что указывает на необходимость выпуска более конкурентоспособного продукта.
Результаты вычислительных экспериментов показывают, предложенные математические модели могут применяться для прогноза конкурентоспособности выпускаемого на рынок товара и анализа вопроса о целесообразности его выпуска. Предложенные модели позволяют рассчитать
Полученные численные результаты применения предложенной методики для анализа моделей поведения информационной системы при воздействии на неё угроз одного типа показали, что их использование позволяет выделить угрозы, которые являются актуальными для рассматриваемой информационной системы и могут использоваться на практике. Недостатком данных математических моделей является необходимость рассмотрения воздействия каждого типа угроз в отдельности и невозможность изучения поведения при воздействии нескольких угроз одновременно. Вместе с тем, анализ поведения модели при воздействии на неё каждой угрозы в отдельности позволяет более детально изучить каждый тип угрозы и выделить те, вероятность наступления которых является наиболее высокой.
Для исключения недостатка необходимости изучения воздействия каждой угрозы в отдельности математическая модель доработана. Доработанная модель позволяет изучать поведение системы в реальной ситуации, когда на неё воздействуют угрозы нескольких типов, что позволяет выделить угрозы, актуальные для рассматриваемой информационной системы.
Использование обеих моделей одновременно (модели воздействия на информационную систему угроз ПДн одного типа и модель воздействия угроз нескольких типов) позволит не только рассчитать уровень воздействия угроз на систему и выделить из них угрозы, являющиеся актуальными, но и рассмотреть уровень воздействия каждого типа угроз в отдельности.
