Содержание к диссертации
Введение
1. Построение математической модели несанкционированного доступа в информационном комплексе
1.1. Постановка задачи, 7
1.2. Перечень основных терминов и сокращений . 11
1.3. Выбор математических методов 15
1.4 Модель нарушителя 1
1.5. Построение математической модели. 25
Выводы по главе 35
2. Точные алгоритмы нахождения решения задач линейного программирования и целочисленного линейного программирования 36
2.1. Обзор методов нахождения вещественных решений задачи ли- 36
нейного программирования
2.1.1 Элементы теории линейного программирования 36
2.1,2. Теоретические основы симплекс-метода 37
2.1.3 Симплекс-метод при известном допустимом базисном решении 39
2.1.4 Нахождение начального допустимого базисного решения 40
2.1.5. Метод эллипсоидов 41
2.1.6. Применимость методов решения общей задачи линейного программирования - 45
2.2. Обзор методов решения задачи целочисленного линейного программирования - 41
2.2.1 Метод отсечений Гомори 47
2.2.2 Метод ветвей и границ 49 2-2-3* Описание метода перебора L-классов 53
2.2.4. Оценка применимости методов решения задачи целочисленного линейного программирования 69
2.3 Приближенные алгоритмы решения задачи целочисленного линейного программирования 71
2.4 Комбинированный метод решения задачи целочисленного линейного программирования
Выводы по главе 75
3. Реализация алгоритмов и оценка их характеристик 76
3.1. Точный алгоритм решения задачи целочисленного линейного программирования; алгоритм перебора L-классов 76
3.2.2. Приведение математической модели к требуемой алгоритмически реализуемой форме 76
3.2.2. Адаптация алгоритма перебора L-классов к структуре переменных задачи - получение специальной формы алгоритма 79
3 Л 3. Подбор параметров алгоритмической модели, 30
3.2.1 Численный эксперимент 82
ЗЛ,5. Анализ результатов эксперимента 89
3,2, Приближенный алгоритм решения задачи о НСД 94
3.2Л. Приведение математической модели к требуемой алгоритмически 94
реализуемой форме
3.2.2, Численный эксперимент 95
3.2.3. Анализ результатов эксперимента 96
33. Сравнительный анализ точного и приближенного алгоритмов 98
Выводы по главе 99
4, Определение численных характеристик математической модели несанкционированного доступа 100
4.1. Общие положения методики нахождения численных характеристик модели совершения несанкционированного доступа 100
4.2. Разбиение информационного комплекса на информационные подсистемы 103
4.3. Анализ подсистем отдельного компьютера или сервера 107
4.4. Анализ подсистем автоматизированных систем предприятия 109
4.5. Анализ психологически-личностной подсистемы 113
4.6. Анализ выбранной локальной вычислительной сети 116
4.6.1, Анализ уязвимостей локальной вычислительной сети 119
4.6.2. Экспериментальное решение задачи о несанкционированном доступе и анализ результатов
Выводы по главе 123
Основные результаты и выводы 124
Список литературы
- Перечень основных терминов и сокращений
- Теоретические основы симплекс-метода
- Приведение математической модели к требуемой алгоритмически реализуемой форме
- Анализ подсистем автоматизированных систем предприятия
Введение к работе
В наше время информационная безопасность организаций имеет высокую значимость из-за перехода процессов планирования и управления их деятельностью в область автоматизированных систем, где доля участия человека на стадии принятия решений становится все меньшей. На откуп автоматизированным системам снабжения товарно-материальными ценностями отдаются не только отдельные заводы и другие узкоспециализированные производства, но и целые отрасли и министерства.
Например, известна история министерства обороны США, где в результате применения автоматической системы закупки продовольствия и другой невоенной техники отдельные поставщики получили необоснованное преимущество, даже, несмотря на явно завышенную цену товаров.
Программное обеспечение (ПО), содержащее ошибки, представляет серьезную угрозу деятельности не только отдельных субъектов экономики, но и всего государства. Другим бичом современного ПО становиться наличие в нем недокументированных возможностей и дополнительных функций, которые позволяют использовать их в корыстных целях 1Тведающихи людей. Объединив эти механизмы, с легальными возможностями разнообразного ПО организации можно с большой вероятностью получить несанкционированный доступ (НСД) к конфиденциальным данным. Тогда урон и потери будут зависеть только от совершенства комплекса мер по противодействию деструктивным воздействиям злоумышленникам.
Противостоять атакам на информацию можно только в случае определения слабых мест в системе защиты. В таком контексте представляется очень своевременной приведенная методика анализа слабых мест в информационной системе.
С этой точки зрения любой злоумышленник должен проделать ту же самую работу, что и в рамках описываемой методики, поэтому, обладая большими правами и знаниями сотрудники безопасности организации могут быстрее и правильнее найти уязвимости, которые могут быть потенциально использованы для проведения НСД и оперативно их устранить.
На сегодняшний день для обеспечения информационной безопасности в локальных вычислительных сетях организации используются в основном следующие способы защиты:
• Антивирусные средства, устанавливаемые на рабочие станции и серверы;
• Пакетные фильтры и анализаторы проходящего потока цифровых данных;
• Системы обнаружения вторжений (IDS).
Комбинации указанных методов позволяют достаточно надежно защититься от известных способов проникновения в ЛВС организации, но мало пригодны для выявления новых. Поэтому наиболее актуальной сейчас являются системы позволяющий производить предсказание вторжений - IPS. Именно к числу такого рода систем относится разрабатываемая методика, которая позволяет указать слабые места в защите, где существует потенциальная возможность проведения НСД.
Цель работы. Создание методики нахождения оптимальных воздействий на набор ПО организации, которые позволяют провести НСД,
Для достижения поставленной цели потребовалось решить следующие задачи:
1. Построить математическую модель НСД в информационном комплексе организации.
2. Проанализировать существующие методы решения построенной математической задачи.
3. Разработать приближенный алгоритм решения построенной математической задачи.
4. Провести численные эксперименты для анализа возможности применения алгоритмов,
5. Разработать способы нахождения параметров математической модели.
Методы исследования. Проведены исследования с использованием теории линейного программирования, целочисленного программирования, теории графов, теории вычислительной сложности.
Научная новизна. Новыми являются следующие результаты работы.
1. Разработана новая математическая модель проведения НСД в информационном комплексе (ИК) организации, поставлена задача нахождения оптимального решения, соответствующего наиболее вероятному НСД.
2. Разработан новый приближенный алгоритм нахождения оптимального целочисленного решения задачи НСД в ИК.
3. Разработана методика оценки параметров математической модели для работающих ИК.
Практическая полезность работы.
1, На основе расчетов и экспериментальных исследований выработаны рекомендации, реализация которых позволит снизить вероятность совершения НСД в информационный комплекс.
2. Используя предложенную методику сотрудники служб безопасности могут провести анализ защищенности вверенных им информационных объектов и итерационно изменяя структуру или параметры информационного комплекса добиться нужного уровня "доверия11 к реализованным функциям защиты от НСД.
3. На основе разработанной методики можно проводить тестирование стандартизованных политик безопасности согласно [23].
Основные положения, выносимые на защиту.
L Разработана математическая модель проведения НСД в информационном комплексе (ИК) организации. На основе предложенной модели сформулирована задача нахождения оптимального решения, соответствующего наиболее вероятному НСД.
2. Разработан новый приближенный алгоритм целочисленного решения задачи о нахождении оптимального НСД.
3. Доказана практическая применимость разработанного приближенного алгоритма.
4. Построена методика нахождения параметров математической модели.
Перечень основных терминов и сокращений
Информационный комплекс (ИК) - совокупность аппаратно-программных средств и содержащихся в ней данных, используемая в технологическом процессе ее функционирования.
Подсистема - это отдельная информационная система, автоматизирующая некоторое направление деятельности организации. Подсистемы могут быть базами данных, средствами организации интерфейса с пользователями, средствами коммуникации с другими подсистемами информационного комплекса, средствами удаленного доступа и т.д. Каждая подсистема может быть разбита на подсистемы более низкого уровня, и тогда к ним можно применить аналогичный метод исследования возможности несанкционированного доступа.
Автоматизированная система (АС) - программный продукт, способный в комплексе с другими программами предоставлять своим пользователям возможность автоматизировать те или иные функции связанные с производством продукта организации. Уместно говорить, что АС прямо связана с производственным процессом и от ее правильного функционирования зависит функционирование организации, АС присуще прямое взаимодействие работниками организации, включенными в процесс производства продукции. АС обычно состоит из нескольких подсистем, выполняющих в ней неперекрывающиеся функции, например АС "Бухгалтерского учета" состоит из подсистем уровня операционных систем серверов и рабочих станций, подсистем управления базами данных, подсистем сетевого взаимодействия и подсистем реализующих интерфейс с пользователями в рамках данной АС. Вышесказанное указывает на существенное отличие терминов иподсистема" и "АС".
Значимость подсистемы - специфическая для каждой подсистемы величина, определяющая ценность проведения НСД в данную подсистему для нарушителя. Эта характеристика подсистемы сравнительная и определяет приоритет проведения НСД для одной подсистемы относительно другой. Значимость подсистемы тем выше, чем проще нарушителю получить прямую материальную выгоду, совершая в нее НСД. Особую значимость имеют подсистемы напрямую обеспечивающие финансовые транзакции, к ним можно отнести такие подсистемы как: системы "Клиент-Банк,т, "Интернет-Банк", система начисления заработной платы и расчета с поставщиками, системы электронной коммерции и т.д.
Параметр подсистемы - одно из свойств подсистемы, влияющее на ее состояние. Применительно к подсистемам, реализованным на базе ЭВМ, под параметром будем понимать характеристику программы, влияющую на процесс ее взаимодействия с другими программами. Примером параметра для подсистемы складского учета может стать внутренняя переменная программы, определяющая текущую дату или набор переменных программы, отвечающих за предоставление доступа к процедуре изменения остатка товарно-материальных ценностей на складе. Стоит заметить, что параметры подсистемы не содержат всей информации данной подсистемы. Параметры, например не отражают количества определенных деталей на складе, но несут информацию о способах доступа к подобного рода информации.
Связь между параметрами - свойство конечного множества параметров К предсказуемо изменять значение определенного, заранее выбранного параметра а, не входящего в V, при согласованном их изменении. Направление связи в таком случае задается от Ук а. В такой терминологии будем называть множество К влияющим на параметр я. Параметр а —управляемым.
Связь между подсистемами - соответствует связи между параметрами, в случае когда влияющее множество принадлежит одной подсистеме а управляемый параметр другой. Связь между подсистемами определяет возможность влиять на одну подсистему изменением значения параметров другой. Причем необходимо отметить, что возможны ситуации, когда связь может охватывать более двух подсистем, т.е. влияющее множество может состоять из параметров нескольких подсистем.
Нарушитель - абстрактная личность целенаправленно воздействующая на доступные параметры подсистем. Воздействие осуществляется для удовлетворения личных интересов нарушителя. Нарушителем в различных условиях можно считать либо сотрудника организации, либо злоумышленника, пытающегося попасть во внутренний сегмент корпоративной сети через соединение с глобальными сетями, например "Интернет", Для каждого случая свойственны различные характеристики нарушителя, которые должны быть полностыо описаны моделью нарушителя.
Модель нарушителя - набор свойств, определяющих характер воздействия нарушителя на параметры подсистем. Включает в себя описание доступных параметров, целей нарушителя, возможностей получения информации о характеристиках ИК, возможностей использования вычислительных мощностей для проведения атак и т.д. Модель нарушителя может задаваться не только перечислением характеристик, но и множеством возможных для нарушите ля действий, как например, возможность подсмотреть пароль легального пользователя или возможность воспользоваться ключевым носителем для изготовления копии, либо прямого использования непосредственно В АС Несанкционированный доступ (НСД)- получение нарушителем возможности использовать информацию в своих интересах, которая ему не предназначалась, НСД характеризуется целенаправленным действием нарушителя против механизмов ограничения множества легальных пользователей, а также отсутствием разрешения на доступ со стороны владельца информации.
Легальный пользователь - пользователь, наделенный официальным правом использовать информацию в интересах ее владельца, а также с его согласия.1
Несанкционированное изменение параметра - изменение значения параметра, проводимое нарушителем в рамках возможностей, предоставляемых моделью нарушителя, для осуществления НСД.
Атака на ИК - проведение нарушителем согласованных несанкционированных изменений параметров для осуществления НСД. Полностью описывается множеством измененных параметров. Атака на ИК проводиться путем изменения доступных параметров, которые будем называть внешними, поскольку нарушитель влияет на них непосредственно, а не через другие параметры.
Теоретические основы симплекс-метода
Процесс решения любой задачи ЛП симплекс-методом имеет итерационный характер: однотипные вычислительные процедуры в определенной последовательности повторяются до тех пор, пока не будет найдено оптимальное решение. Симплекс-метод также позволяет провести анализ математической модели на чувствительность.
Для применения симплекс-метода задача ЛП должна быть представлена в стандартной форме, система линейных алгебраических уравнений должна являться базисной: AY = B, (2.5) TJieA = (aik)eMIJ,(K),Rs4 = LJ = (yl...yN)T,B = (bl...bl)T.
Не теряя общности рассуждений, первые L столбцов ак матрицы А далее можем считать базисными. В этом случае переменные у к = 1,1, называют ба зисными, а переменные з ь k = L + l,N- свободными переменными модели. Таким образом, если ак=(а1к...а1Х)Т,к = \,Щ Ab={av..aL)eML(R);Yb ={yx...ykf\ (2.6) Ая ={aIM...aN)eMlN_L{Ry,Y, = (yM...y№)r9 то матричное уравнение A Y = В может быть преобразовано к виду: Аь Yb + ASYS = В. (2.7) Отсюда находим Yh=A l(B-AsYs). (2.8) Тогда для любого YseR L вектор rJM-ЩеК (2.9) \ J является решением уравнения (2.5), а при выполнении условия Y N он является допустимым решением. В частности, при YS=N.L , решение уравнения (2.5) принимает вид Г = (2.10) Это решение будем называть базисным решением соответствующей задачи ЛП. Для дальнейших рассуждений нам понадобятся следующие определения:
а) выпуклой комбинацией векторов Хь k = \ m, называют линейную ком бинацию Х\ Х\ + ... + Лт Хт этих векторов, коэффициенты Ль которой удовле творяют условиям 171 Л, 0Д = йи,2 =1; (2.11)
б) множество G cR" называют выпуклым если наряду с любыми двумя элементами этого множества ему принадлежат и их произвольная выпуклая комбинация, т.е. для любых Х}, Х2 eGn любого числа Ле [ОД] выполняется условие ЛХі + (1-Л)Х2єО; (2.12)
в) точку Х0 выпуклого множества называют крайней точкой этого множе ства, если не существует двух различных X], Х2 eG, для которых Х0=АХ] + (7-і; Х2, 0 А 1. (2.13)
Заметим, что для точек X/, Х2 є KN множество всевозможных их выпуклых комбинаций представляет собой отрезок их соединяющий. Можно показать, что множество решений системы (2.5) является, во-первых, выпуклым и во-вторых, состоит из всевозможных выпуклых комбинаций допустимых базисных решений системы (2.5).
Пусть задана задача ЛП в стандартной форме, тогда на основе выражения (2.7) будем называть матрицу Аь - базисом.
При сделанных допущениях и обозначениях (2.6) уравнение (2.7) можно представить в виде: ГЬ+А?АЯУЙ=А;1В. (2.14) Если при записи целевой функции/ в (2.3) воспользоваться представлением вектора 7 аналогичным (2.7) и ввести обозначения Cb=(cv..cL),Cs=(cL ..cN), (2.15) то С = (Сь С J и f(Y) = CbA-b]B + (Cx -С„А;1А,)УЯ. (2.16) Заметим, что матрица коэффициентов при базисных переменных у k = \\L, в (2.14) является единичной, а в (2.16) - нулевой. Поэтому, значение целевой функции в базисном решении представимо как: Л=СЬА;% (2.17) Тогда из (2.16) и (2.17) следует, что ДУ) = /0+(С5-САЧ)П, (2.18) и коэффициент при свободном переменному в правой части равенства (2.18) для определения значения целевой функции равен: dj=Cj- CbA;laJ9j = Г+Щ (2.19) На основе вышесказанного целевая функция может быть записана в виде ЯП = /о+2Х» (2.20) j=L+] где коэффициенты dp j = L +\JJ, относятся к свободным переменным. Каждый dj называют симплекс-разностью. Тогда, с учетом неотрицательности переменных имеют место следующие важные для симплекс-метода соображения: а) небазисный столбец aj имеет смысл вводить в базис, если симплекс разность dj положительна; б) в новый базис целесообразно включать небазисный столбец, для которо го симплекс-разность имеет наибольшее положительное значение (условие оп тимальности);
Приведение математической модели к требуемой алгоритмически реализуемой форме
Как показано в главе 2 задача целочисленного линейного программирования может быть записана в стандартной форме вида: П Y,ckyk vnax; k=\ n Та Ук=ь = (3-і) ы yk Q,ykeNu{0},k = U2.
Поскольку задача (1.30) отличается по структуре переменных от стандартной формы (3.1) требуется дополнительное преобразование, в результате которого получим запись задачи о НСД пригодную для решения алгоритмом перебора L-классов. Для этого рассмотрим множество переменных выражения (3.2), соответствующее (1.30). , = {0,l},/ = l7tf; \z0. = {0,1},/ = UN ,j = UN; (3 2) где N— соответствует количеству путей к НПУА в задаче об оптимальной атаке.
Для определенности условимся называть переменные у,- в (1,30) и далее соответствующие им - основными.
Из (3.2) видно, что при условии zy = 0, для у = і такие переменные можно отбросить из рассмотрения при решении (1.30), тогда число переменных z за висит от величины Nno квадратичному закону (3.3): ».- il. (3.3) где Nz = количество учитываемых при решении (1.30) переменных z.
Таким образом, для приведения (1.30) к виду (3.1) введем два подмножества индексов U и К приведенных переменных х, таких, что для них выполняется: Ne = N + Nz; їх,. = yt,i= l,N;ie U, . (3.4) \хк = гу,к = N"+hN cU,j = UN;к є V.
Необходимо отметить, что множества U и VHQ пересекаются, поэтому переменные, чей индекс принадлежит U, входят в целевую функцию выражения (1.30) прямо, а переменные индексируемые множеством V- в произведении с самими собой.
Из выражения (3.4) видно, что общее количество переменных линейной модели будет квадратично расти при увеличении количества основных переменных в модели (1.30), что приводит к аналогичному росту ограничений системы: х. + х, + 2 х {i } 3, і = \Jf\ У = 1,//; (3.5) xt + Xj + 2-xpitJ)b 2,i = l9N9j=l9N; и делает решение системы (1.30) более вычислительно трудоемким.
Далее, дополнительно установим взаимно однозначную зависимость между индексами /, j и к: к = д (/, j):k = iN + j; i,j = \,N. ,6)
Вместе с заменой переменных z, также необходимо "развернуть" в линейный вектор С квадратную матрицу Н коэффициентов h определяемую выражением (1.24), что можно произвести использованием индексов согласно выражения (3.6). В итоге, совмещая в операции объединения вектора Р и матрицы Н, получаем вектор коэффициентов целевой функции С, вида: С = {с, = -p,-J = l,N;cHiJ) = htJ\iJ = \,N}. ,
Тогда после замены переменных на основе выражении (3.4), (3.6) и вычисления коэффициентов целевой функции по выражению (3.7) задача (1.30) принимает вид: х( -с,. - max; /=і /=i xt + Xj + 2 XpitJ) з,/ - іТлГ.у = ЇЖ; , + х, + 2 p(u) 2,/ = UN, j = UN\ х, = {ofi},/ = i7F7. где М- количество подмножеств переменных xh для которых выполняется условие: 5 ,=i; (3.9)
If подмножества индексов переменных xh для которых выполняется выражение (3.9), кроме того, подмножества Ij не пересекаются, т.е. для них имеем: / ,=0;V/ yV = U/;y = U?. (3.10)
Таким образом, на основе приведенного в гл. 2 задача о НСД в форме (3.8) пригодна для решения алгоритмом перебора L-классов, т.е. для нее можно получить допустимое решение за конечное время, что следует из описания указанного алгоритма в главе 2, где указывается его принципиальная сходимость, при сходимости шагового алгоритма ЛДСМ. Из выражения (3.8) очевидно, что система ограничений, образующая многогранник решений [4], зависит только от М, размера задачи и множеств индексов Ij, свойства которых определяет выражение (3.10). Поэтому сложность решения тестовых задач определяется коэффициентами целевой функции и перечисленными характеристиками системы ограничений.
Анализ подсистем автоматизированных систем предприятия
Введем понятие "Вероятность доступа к параметру 1 - характеризующая возможность злоумышленника выявить и идентифицировать параметр. Рассчитываем эти вероятности для параметров модели, что вместе с заявленными характеристиками АС позволит судить о вероятностях изменения параметров. Для этого необходимо провести оценку вероятностей доступа злоумышленника к параметрам, т.е. провести построение уровня пользовательской информации, что в итоге отражается в получении следующих данных: 1.1. Схема передачи секретной информации в организации; 1.2. Определение параметров злоумышленника (в каком отделе, чем занимается и т.д.); L3. Оценка вероятностей доступа к параметрам; Чтобы получить вышеописанную характеристику персонала в организации нужно построить многоуровневую модель передачи секретов в организации, в ней можно выделить следующие уровни: L Самостоятельное структурное подразделение (отдел, управление); 2. Отдельные направления деятельности самостоятельного структурного подразделения (участки); 3. Сотрудники.
В рамках каждого уровня можно рассматривать распределение секретов и их перемещение. Процесс распространения секретов можно описывать на каждом уровне. Учитывая при этом суммарную скорость передачи секретов. Для каждого уровня характерна своя плотность секретов которая отражает количество секретов на одного сотрудника. Таким образом, разные уровни можно использовать для получения результатов с разной точностью. От уровня к уровню можно проследить с большей точностью процесс передачи секре та. Для уточнения скорости передачи будем использовать следующий набор характеристик личного общения сотрудников: 1. Количество встреч сотрудников хранящих различные секреты; 2. Условия при которых эти встречи происходят; 3. Личные качества сотрудников; 4. Активность сотрудников безопасности, проводящих профилактические мероприятия (инструктажи, проверки, провокации).
Предварительно собираются исходные данные о расположении кабинетов, распределении сотрудников внутри кабинетов и секретов, носителями которых они являются. Далее, с помощью психологических тестов составляются психологические карты сотрудников с указание вероятностей обмена секретов при различных условиях, В повседневных встречах внутрикорпоративного общения возникают различные ситуации, способствующие временному доминированию определенных качеств сотрудников, в следствии чего происходит разглашение секретов, т.е. несанкционированная передача секретов между сотрудниками. Опираясь на этот факт, можно сделать дополнительное заключение о целесообразности оценки психологического состояния коллектива. Здесь необходимо учитывать следующие обстоятельства:
1. Качество отношений руководитель-сотрудник (напряженность, поддержка, наставничество и т.д.), возможно дополнительное разбиение на несколько уровней; сотрудник - непосредственный руководитель (начальник отдельного направления деятельности самостоятельного структурного подразделения); сотрудник - высшее руководство; 2, Уровень оплаты специалистов (принятие, неудовлетворенность, озлобленность), оценка социального уровня специалистов со стороны организации или коллег; 3, Уровень патриотических чувств по отношению к организации; 4. Неоднородность в загрузке различных подразделений или неоднородность требований к сотрудникам различных подразделений.
Чрезмерное проявление одной или нескольких приведенных характеристик может являться центром напряжений и способствовать большей скорости передачи секретов.
Эмоциональные и психологические характеристики сотрудников могут быть достаточно точно определены путем проведения серии из нескольких тестов. В качестве тестов можно использовать хорошо зарекомендовавшие себя тесты NMPI или Кэттела. Демонстрационные версии этих тестов можно без труда найти в сети интернет.
Для уровня пользовательской информации можно построить математическую модель на основе некоторых базовых принципов.
Оценкой потока секрета от одного пользователя к другому может служить некоторый вектор, в котором значения элементов соответствуют вероятности передачи некоторого секрета от одного пользователя к другому (первоначально строится вектор секретов для пользователей, т.е. оценивается количество секретов и их функциональное назначение) будем называть такой вектор оценкой передачи секретов ОПС. Для каждой пары пользователей задается вектор ОПС, по которым считаются вероятности доступа к параметрам.
