Содержание к диссертации
Введение
ГЛАВА 1, Анализ современного состояния проблемы защиты информации на объекте информатизации и возможностей ее решения 24
1Л Анализ объекта исследования 24
Описание объекта информатизации как объекта защиты, его структуры, типовых компонентов и принципов функционирования 24
Принципы построения современных СЗИ и сравнительный анализ существующих комплексов средств защиты 29
К2 Исследование проблемы защиты информации и основных направлений ее решения 41
1.2.1 Анализ существующих стандартов и документов в области защиты информации 44
1.2.2 Обоснование необходимости построения СЗИ в соответствии с принципами управления защитой информации и обзор публикаций по этому вопросу 46
1.3 Анализ состояния научно-методологического базиса защиты информации 54
1.3 J Основные принципы системного подхода применительно к построению системы защиты информации 54
13.2 Общая характеристика проблемы создания моделей и выявления множества угроз 58
133. Анализ состояния вопроса разработки методов оценки уровня защищенности информации 63
13.4 Анализ существующих методов выбора рациональных вариантов СЗИ 70
13.5 Анализ принципов построения интеллектуальных СЗИ и возможностей повышения эффективности защиты 72
1.4 Цели и задачи исследования 74
Результаты и выводы по главе 1 76
ГЛАВА 2. Концепция построения модели угроз информационной среде объекта информатизации и разработка методики оценки уровня защищенности информации 78
2 Л Разработка модели объекта информатизации как совокупности объектов угроз 78
2,2 Разработка теоретического подхода к рассмотрению множества угроз как последовательности действий злоумышленника (нарушителя) в виде деревьев угроз 82
2.3 Разработка пространственных графовых моделей угроз как каналов несанкционированного доступа, утечки информации и деструктивных воздействий на информационную среду ПК и ОИ 88
2.3.1 Анализ потенциально возможных действий злоумышленника (нарушителя) на основе типовой структуры ПК и построение пространственных графовых моделей угроз информационной среде ПК или сервера 89
2.3.2 Разработка пространственных графовых моделей каналов несанкционированного доступа, утечки информации и деструктивных воздействий на информационную среду объекта информатизации в целом 102
2.3.3 Использование аппарата нечеткой логики при расчете 121 уровней элементов угроз 121
2.3.4 Разработка интегральной структурной вербальной модели каналов НС ДУВ 133
2.4 Разработка методики численной оценки уровня защишенности 135
информации наОИ 135
Результаты и выводы по главе 2 138
ГЛАВА 3. Разработка моделей и методов интеллектуального обеспечения защиты информации 140
3.1. Разработка архитектуры ИСЗИ, функционирующей в соответствии с принципами управления защитой информации 140
3.2. Модели, методы и алгоритмы принятия решений по организационно-техническому управлению ЗИ для подсистемы поддержки принятия решений ИСЗИ 143
3.2.1. Построение трехрубежной модели защиты объекта информатизации на основе функциональных требований к системе 144
3.2.2. Метод синтеза рациональных комплексов средств защиты из совместимых между собой продуктов и аппаратных средств для рубежей зашиты 157 3,23 Архитектурное построение подсистемы поддержки принятия решений по организационно-техническому управлению в интеллектуальной системе защиты информации 170 3.2,4 Методика организационно-технического управления защитой информации 171 3.3 Алгоритмы оперативного управления процессами информационного противоборства в условиях риска для подсистемы поддержки принятия решений ИСЗИ 173
Результаты и выводы по главе 3 183
ГЛАВА 4. Разработка программного обеспечения для автоматизированной системы поддержки принятия решений ИСЗИ 184
4.1 Разработка программного обеспечения для ПППР ОТУ ЗИ 184 4.1.1. Блок-схема алгоритма «Выбор целостных вариантов системы защиты информации, состоящих из совместимых между собой программно-аппаратных средств» и описание программы 184 4.1.2 Блок-схема алгоритма «Блок расчета показателей защищенности и издержек средств защиты методом анализа иерархий» и описание программы . 191
4.1.3. Блок-схема алгоритма «Синтез рационального набора средств защиты» и описание программы 198
4.2 Разработка программного обеспечения для подсистемы поддержки принятия решений по оперативному управлению ЗИ 202
4.3 Примеры использования программного обеспечения 205
Результаты и выводы по главе 4 209
Заключение 210
Список используемой литературы
- Описание объекта информатизации как объекта защиты, его структуры, типовых компонентов и принципов функционирования
- Разработка теоретического подхода к рассмотрению множества угроз как последовательности действий злоумышленника (нарушителя) в виде деревьев угроз
- Модели, методы и алгоритмы принятия решений по организационно-техническому управлению ЗИ для подсистемы поддержки принятия решений ИСЗИ
- Блок-схема алгоритма «Блок расчета показателей защищенности и издержек средств защиты методом анализа иерархий» и описание программы
Введение к работе
Актуальность темы. Информационные системы (ИС) становятся сегодня одним из главных инструментов управления бизнесом, важнейшим средством производства современного предприятия. Однако применение информационных технологий немыслимо без повышенного внимания к вопросам информационной (компьютерной) безопасности из-за наличия угроз защищенности информации- Публикуемые регулярно данные об ущербе мировой экономике от компьютерных атак свидетельствуют о том, что применяемые в современных ИС традиционные комплексы систем защиты информации (СЗИ) практически не позволяют обеспечивать выполнение требований по защите информации в течение всего периода функционирования ИС, Критичная ситуация в сфере информационной безопасности усугубляется в связи с появлением неизвестных ранее типов информационных воздействий и использованием глобальной сети для внешних и внутренних электронных транзакций предприятия. Таким образом, без должной степени защиты информации внедрение информационных технологий может оказаться экономически невыгодным, С другой стороны, обеспечение компьютерной безопасности создает ограничения в работе пользователей, отнимает вычислительные ресурсы, гарантирует сохранение конфиденциальности, целостности, доступности с вероятностью, пропорциональной затратам.
Поэтому обеспечение компьютерной безопасности должно быть не однократным действием, а постоянным процессом, и для успешного использования современных информационных технологий необходимо эффективное управление системой защиты информации. В число задач системы управления защитой информации в ИС масштаба предприятия - на объекте информатизации (ОИ)- входят; определение рациональных наборов средств защиты при варьировании требований к уровню защищенности, то есть, управление составом, версиями, компонентами устройств и программного обеспечения
7 (ПО) защиты, а также событийное управление в реальном масштабе времени (реагирования на аномальные события и предотвращение возможных неизвестных типов воздействий).
Анализ публикаций последних лет свидетельствует о том, что, несмотря па интенсивные исследования в области разработки методов и систем защиты информации, проблема обеспечения информационной безопасности остается чрезвычайно актуальной, требует разработки новых подходов к ее решению, в числе которых отмечаются исследования в области методологии интеллектуального обеспечения процессами защиты информации.
Современные СЗИ не обладают свойством интеллектуальности, что требует комплексного решения ряда научных задач, направленных на создание новых теоретических моделей и методов для разработки на их основе архитектуры интеллектуальной СЗИ (ИСЗИ). Основная на сегодняшний день научная проблема в области построения ИСЗИ - это обеспечение автоматизированной или автоматической поддержки принятия решений по всему комплексу задач, решаемых ИСЗИ. Это вызывает потребность в инфраструктурном ПО, в котором реализованы математические методы принятия решений по управлению СЗИ.
Таким образом, тема диссертационной работы, направленная на решение данной проблемы, является весьма актуальной и определяет цели, задачи и основные направления исследования.
Объект исследования - система защиты информации объекта информатизации.
Предмет исследования - методическое, математическое, алгоритмическое и программное обеспечение ИСЗИ.
Целью исследования является повышение эффективности системы защиты информации (СЗИ) за счет разработки механизмов интеллектуализации процессов защиты информации. Для достижения поставленной цели потребовалось решить следующие задачи.
8 К Сформировать концепцию построения модели угроз информационной среде объекта информатизации.
2. Предложить формализованное описание комплексной методики ор
ганизационно-технического управления защитой информации на объекте
информатизации, позволяющей:
производить численную оценку уровня защищенности информации на ОИ;
осуществлять синтез с учетом требований стандартов рациональных наборов средств защиты информации из совместимых между собой программно-аппаратных продуктов при изменении требований к уровню защищенности информации на ОИ.
Разработать алгоритм выбора рациональных вариантов реагирования СЗИ в реальном масштабе времени при возникновении потенциально опасных ситуаций в условиях неопределенности информационных воздействий,
Предложить архитектуру интеллектуальной СЗИ на основе разработки структур: подсистемы поддержки принятия решений (ПППР) по выбору рационального состава СЗИ и изменению его в процессе эксплуатации ОИ; ПППР по выбору варианта оперативного реагирования при возникновении потенциально опасных ситуаций в условиях неопределенности информационных воздействий (ИВ).
Разработать программное обеспечение, реализующее модули системы поддержки принятия решений ИСЗИ.
Методы исследования
Для решения поставленных задач и достижения намеченной цели использованы методы системного анализа, математического моделирования, теории множеств, теории графов, теории вероятности, теории защиты информации, нечеткой логики, теории принятия решений.
Научная новизна работы заключается в следующем:
Предложено рассматривать множество угроз как множество каналов несанкционированного доступа, утечки информации и деструктивных воздействий (НСДУВ), реализуемых злоумышленником или нарушителем. Новизна такого подхода состоит в том, что угроза рассматривается, с одной стороны, как сложная последовательность компонентов угроз при манипулировании злоумышленником информационными потоками, с другой - в виде графа структуризации на множестве элементов физической среды распространения носителя информации. Описываемый подход позволяет использовать как статистические оценки уровней компонентов угроз, так и экспертные оценки: уровни компонентов угроз предложено вычислять, используя аппарат нечеткой логики, что позволяет преодолеть нехватку статистических данных и в конечном счете оценить уровень угрозы.
Разработана методика численной оценки уровня защищенности информации, в которой, в отличие от существующих, используются данные интегральной структурной вербальной модели каналов НСДУВ, позволяющая сравнивать различные комплексы средств защиты по уровню защищенности, проводить количественный анализ состояния информационной безопасности ОИ с целью выработки решений по усилению или ослаблению функций защиты.
3- Предложен метод синтеза рациональных наборов средств защиты, состоящих из совместимых программно-аппаратных продуктов, по целевой функции, максимизирующей отношение суммарного показателя защищенности к сумме показателей издержек, включающих стоимость, причем численные значения показателей защищенности и издержек определяются с использованием метода анализа иерархии. Метод позволяет, в отличие от существующих, осуществить синтез рациональных наборов средств защиты, состоящих из совместимых программно-аппаратных продуктов, с априорно заданными свойствами, удовлетворяющими требованиям к защищенности информации на ОИ.
А. Разработано алгоритмическое обеспечение подсистемы поддержки принятия решений (ПППР) по оперативному управлению защитой информации, позволяющее в отличие от существующих методов реагирования с одной стороны минимизировать влияние угроз на защищаемую информацию, с другой - уменьшить вероятность того, что ответные действия повлияют на нормальное функционирование защищаемого ОИ.
5. Предложена архитектура построения интеллектуальной СЗИ, позволяющей обеспечить автоматизированную поддержку принятия решений по выбору рационального состава СЗИ и изменению его в процессе эксплуатации ОИ и по выбору варианта оперативного реагирования при возникновении потенциально опасных ситуаций в условиях неопределенности информационных воздействий.
Практическая значимость и реализация результатов работы.
Полученные интегральная структурная вербальная модель угроз информационной среде объекта информатизации и методика численной оценки уровня защищенности информации обеспечивают эффективное определение уровня защищенности на объекте информатизации. Этот показатель необходимо учитывать при выработке управленческих решений по защите информации.
Разработанная трехрубежная модель системы защиты объекта информатизации позволяет выделить ключевые направления в создании целостной системы защиты, в которой каждое звено является надежно защищенным, и гарантирует безопасность всего ОИ в соответствии с требуемым уровнем защищенности.
Разработанные иерархические структуры критериев качества по показателям «защищенность» и «издержки» для каждой функциональной подсистемы каждого рубежа защиты облегчают работу экспертов по определению показателей «защищенность» и «издержки» для каждой альтернативы.
Разработанная архитектура построения интеллектуальной СЗИ? определяет состав модулей, разработка которых необходима для реализации управления защитой информации на объекте информатизации.
Разработанное программное обеспечение подсистемы поддержки принятия решений ИСЗИ реализует следующие модули: модуль «Выбор целостных вариантов системы защиты информации, состоящих из совместимых между собой программно-аппаратных средств.», модуль «Блок расчета показателей защищенности и издержек средств защиты методом анализа иерархий», модуль «Синтез рационального набора средств защиты». На программные модули получены свидетельства об официальной регистрации программы для ЭВМ №2006611352 и № 2006611782.
Методика синтеза рациональных наборов средств защиты для объектов информатизации внедрена на ОАО «МТУ Кристалл», Модель объекта информатизации и метод синтеза рациональных наборов средств защиты для построения системы защиты информации объекта информатизации внедрены в учебный процесс кафедры «Вычислительная техника и защита информации».
Публикации, По результатам научных исследований опубликовано 12 печатных работ, из которых 10 статей, 2 свидетельства об официальной регистрации программ.
Основные положения, выносимые на защиту.
Концепция построения интегральной структурной вербальной модели угроз информационной среде объекта информатизации .
Комплексная методика организационно-технического управления защитой информации на объекте информатизации.
Алгоритм выбора рациональных вариантов реагирования СЗИ в реальном масштабе времени при возникновении потенциально опасных ситуаций в условиях неопределенности информационных воздействий.
4- Архитектура интеллектуальной СЗИ.
5. Алгоритмы, реализующие модули системы поддержки принятия решений, позволяющие создать и внедрить ИСЗИ.
Апробация работы.
Основные результаты работы были доложены и обсуждены на следующих конференциях:
VI-VIII Международной научно-практической конференции «Информационная безопасность» (Таганрог - 2004,2005,2006);
VII- VIII Международной конференции по компьютерным наукам и информационным технологиям. (Уфа-Ассы -2005, Карлсруэ -2006);
- Региональная зимняя школа-семинар аспирантов и молодых ученых
(Уфа, 2006).
Структура и объем диссертации. Диссертационная работа состоит из перечня сокращений, введения, четырех глав, заключения, списка литературы включающего 93 наименования, и 1 приложения.
Общий объем работы составляет 238 страниц.
СОДЕРЖАНИЕ РАБОТЫ
Во введении обоснована актуальность темы исследования, сформулированы цель и задачи в общем виде, определены научная новизна и практическая значимость работы, представлена краткая аннотация диссертации по разделам и сформулированы основные положения, выносимые на защиту.
В первой главе проведен анализ существующих подходов к решению проблемы защиты информации. Установлено, что большинство современных средств интеграции и управления программно-аппаратными системами защиты производятся иностранными производителями; в них реализованы следующие функции: централизованная настройка приложений, централизованное управление политиками безопасности на приложениях, рассылка пре-
13 дупреждений о возможных угрозах, некоторые функции по контролю сети; возможности по автоматизации рутинных операций, централизованному управлению работой приложений и динамическому изменению вариантов реагирования реализованы лишь частично; механизмы обнаружения неизвестных угроз и реагирования на неизвестные угрозы, механизмы организационно-технического управления защитой информации, механизмы поддержки принятия решения в сложных ситуациях - не реализованы,
Подробно проанализированы существующие стандарты информационной безопасности. Выявлена их ограниченная применимость: методология количественной оценки рисков заказчика, количественные нормативы требуемой защищенности систем стандартами по существу не рассматриваются.
Дана постановка задачи формирования механизмов ИСЗИ. Обоснованы цель и задачи исследования.
Вторая глава посвящена разработке концепции построения модели угроз информационной среде объекта информатизации и разработке методики определения уровня защищенности информации.
Информированность является основой принятия решений в системах защиты информации. Для разработки стратегий использования множества возможных вариантов средств защиты, последовательностей их применения необходимо провести анализ источников и способов воздействия противника, анализ объектов защищаемого ОИ, которые могут являться целями информационных атак, возможные результаты. Такие исследования должны отражать условия функционирования и специфику конкретного ОИ.
Создание модели объекта информатизации - это формализация закономерностей функционирования объекта защиты на основе целенаправленного накопления и организации информации, ее структурирования.
Предлагаемая структурная вербальная модель объекта защиты включает в себя четыре блока в соответствии с четырьмя типами ресурсов ОИ и
позволяет наиболее полію описать объект информатизации. В модели предлагается структурирование каждого типа ресурсов ОИ.
Используя предложенный подход, по разработанному формату можно получить модель объекта информатизации, в которой учитываются все существенные для СЗИ элементы объекта информатизации, связи и свойства изучаемого объекта: объекты воздействия угроз, ценность информационных и вычислительных ресурсов, наиболее критичные из них.
Обеспечение защиты информации на ОИ невозможно без проведения системного анализа соответствующих угроз безопасности.
На основе структурно-функционального анализа угроз предложено рассматривать множество угроз как множество каналов НСДУВ, которые описываются с одной стороны в виде графов, отображающих путь распространения носителя информации, с другой стороны - как последовательность действий по манипулированию информационными потоками.
При рассмотрении угроз безопасности информации как последовательности действий^ эти действия выделяются в составляющие- компоненты угрозы.
В процессе моделирования угроз каждый компонент угрозы представляется в виде двух элементов. Первый элемент каждого компонента угрозы -это попытка его реализации: попытка проникновения с подключением к среде распространения носителя, попытка блокирования узла (посылка ложных заявок на обработку информации), попытка перехвата информации на линии связи, попытка сканирования сети, получение тех или иных прав.
Второй элемент каждого компонента угрозы характеризует успешность преодоления барьеров защиты эксплуатацией существующих уязвимостей.
Уровень компонента угрозы определяется произведением уровня попытки реализации компонента угрозы на уровень уязвимости используемого средства защиты.
Предложено рассматривать функционирование канала НСДУВ в виде дерева угроз. Совокупность возможных деревьев приведена на рисунках.
Построены пространственные модели в виде графов структуризации каналов НСДУВ в случае несанкционированных действий нарушителя -пользователя данного сегмента сети, соседнего сегмента, а также в случае действий злоумышленника или нарушителя из филиала организации, использующих модемный пул, широкополосный модем или беспроводную точку доступа.
Произведен анализ потенциально возможных действий злоумышленника (нарушителя) на основе типовой структуры ПК и построены пространственные графовые модели угроз информационной среде ПК или сервера. Рассмотрено использование аппарата нечеткой логики для численной оценки успешного преодоления средств защиты и уровня попытки реализации компонента угрозы, когда статистические данные об уровнях попытки реализации компонентов угроз или преодолении барьеров отсутствуют; определены параметры механизмов защиты и условия функционирования ОИ, от которых будет зависеть возможность получения злоумышленником паролей различных категорий пользователей и, следовательно, уровни попытки реализации компонентов угроз при дальнейших действиях.
Организованно в табличной форме системное упорядочение информации о множестве потенциально возможных каналов НСДУВ - интегральная структурная вербальная модель угроз ОИ. Такая предметная организация информации об угрозах ОИ обеспечивает уменьшение неопределенности при принятии решения в ИСЗИ,
В модели отражены: каналы как совокупность компонентов угроз; возможные цели воздействия; структура канала на множестве элементов среды распространения носителя информации; элемент воздействия или источник информации, источник опасного сигнала; уровни угроз; местонахождение источника информации или элемента воздействия или источника опасного
16 сигнала. Модель делится на две части: каналы реализуемые злоумышленником и каналы реализуемые нарушителем.
Предлагается методика численной оценки уровня защищенности информации, в которой используются как статистические, так и экспертные (субъективные) оценки уровней компонентов угроз, получаемые с помощью разработанного алгоритма численной оценки уровней уязвимостей средств защиты с использованием аппарата нечеткой логики. Методика позволяет оценить потери, которые могут иметь место при реализации различных угроз, определить наиболее опасные угрозы:
проводится декомпозиция ОИ на составляющие подсистемы - сегменты;
определяется объем и рассчитывается стоимость информации к-ой категории важности в n-ом сегменте;
рассчитывается стоимость защищаемой информации в n-ом сегменте (С„);
-определяется цена (С) информации, подлежащей защите, циркулирующей наОИ;
-определяются коэффициенты ущерба по формуле ап =—-;
-описывается множество каналов НСДУВ ОИ, которые могут привести к нарушению конфиденциальности, целостности, доступности. Описывается множество каналов S, реализация которых возможна в данном сегменте. Множество каналов НСДУВ, реализация которых возможна в сегменте, может быть описано в виде матрицы М3чИп размерности (SxU), где U - число компонентов угроз в канале;
-далее для каждого сегмента составляется две диагональные квадратные матрицы Г^'празмерности (SxS). В одной матрице по диагонали впи-
17 саны уровни компонентов угроз для случаев реализации угрозы злоумышленником, в другой - нарушителем;
- вычисляется матрица угроз нарушителя и матрица угроз злоумыш-ленникаР**"п = T'JJ\ -м3щНп;
- предлагается вычислять значение уровня защищенности (т\) на ОИ по формуле:
q = \-aT(E-ProdCol{ En-fkfPradRmvP^+kfVTO
В третьей главе предложена трехрубежная модель построения СЗИ, предложен метод синтеза с учетом требований существующих стандартов рациональных наборов средств зашиты информации, состоящих из совместимых программно-аппаратных продуктов, для рубежей защиты ОИ, алгоритм выбора рациональных вариантов реагирования СЗИ в реальном масштабе времени при возникновении потенциально опасных ситуаций в условиях неопределенности ИВ, описана архитектура предлагаемой ИСЗИ,
В течение периода эксплуатации ОИ изменяются планы обработки информации и соответствующие им требования к уровню защищенности, с другой стороны, постоянно разрабатываются новые методы и средства ИВ на информационную среду. Учет этих факторов требует разработки принципиально новых подходов к обеспечению защиты информации,
С учетом комплекса задач, решаемых ИСЗИ, представляется целесообразным вариант построения автоматизированной системы поддержки принятия решений (СППР) из двух функциональных подсистем: подсистемы поддержки принятия решений по организационно-техническому управлению (ПППР ОТУ) и подсистемы поддержки принятия решений по оперативному управлению в реальном масштабе времени (ПППР ОУ).
Алгоритмическое и программное обеспечение ПППР ОТУ реализует методы принятия решений по выбору рациональных наборов средств защиты (СрЗ) и структуры СЗИ при обработке на ОИ информации с различными
уровнями ограничения доступа. В процессе выбора рациональных наборов средств защиты необходимо основываться на модели СЗИ - описании организованной совокупности программно-аппаратных средств защиты (как можно наиболее полно учитывающей потенциально возможные источники угроз).
Предлагается трехрубежная модель СЗИ, Первый рубеж - периметр объекта информатизации - комплекс функциональных подсистем, включающих средства и механизмы системной защиты от внешних ИВ злоумышленника и потенциально возможных деструктивных воздействий удаленного пользователя; второй рубеж — комплекс функциональных подсистем защиты сегмента от потенциально возможных внутренних деструктивных воздействий нарушителя (пользователя данного или соседнего сегмента), удаленного пользователя, ИВ злоумышленника; третий рубеж включает в себя комплекс функциональных подсистем, обеспечивающих защиту информационной среды отдельного персонального компьютера, сервера БД, сервера безопасности.
Предложен метод синтеза рациональных наборов средств защиты, состоящих из совместимых программно-аппаратных продуктов, и разработанная на его основе методика, которая может применяться с учетом требований любых стандартов.
Методика включает в себя следующие этапы:
Разрабатываются варианты синтезируемого набора - множество возможных вариантов решения задачи синтеза задается морфологической матрицей (модель СЗИ рубежа);
Заполняется вспомогательная матрица, в которой отмечены совместимые друг с другом программно-аппаратные средства.
Генерируется множество решений по синтезу целостного варианта набора с усечением этого множества до подмножества вариантов, состоящего из совместимых между собой программно-аппаратных продуктов.
19 4) Дальнейшее усечение осуществляется методом полного перебора по заданной целевой функции. В качестве целевой функции для синтезируемого варианта средств защиты для рубежа защиты
Sr = {A\bA2j,->Aim*»ALn },гдеіє[1,К,],іє[1,К2],-. тє[1,К,],..,
ne [1, К J, r=[i,... j..m..n] применяется функция
J = max —-^ rv————77 n—- , где
Ki - число элементарных альтернатив для реализации 1-ой подсистемы, 1 є 1,L, L - число всех функциональных подсистем,
WAImKlH - значения показателя «защищенность» для альтернативы А!т , W тк[ц - значения показателя «издержки» для альтернативы Alm.
Значения показателей «защищенность» и «издержки» предложено определять по методу анализа иерархий на основе разработанной системы иерархических структур критериев качества для каждой из функциональных подсистем.
Метод позволяет осуществить синтез рациональных наборов средств защиты, состоящих из совместимых программно-аппаратных продуктов, с априорно заданными свойствами, удовлетворяющими требуемому уровню защищенности информации на ОИ, функционирующем в условиях меняющихся во времени планов обработки информации и соответствующих им требований к уровню защищенности информации в СЗИ.
ПППР ОТУ включает в себя: блок ввода данных; базы данных механизмов и средств защиты; базу данных стандартов ИБ; блок задания целевой функции; базу знаний, разработанную на основе экспертных знаний (списки требования к функциям рубежей СЗИ, девять сформированных комбинаторно- морфологических матриц средств защиты для каждого рубежа защиты и каждого уровня ограничения доступа, матрицы совместимости средств за-
20 щиты, иерархии критериев оценки средств защиты по показателям "защищенность" и "издержки'', матрицы попарных сравнений альтернатив и критериев); плановый решательf обрабатывающий знания и формирующий рациональные наборы средств защиты для каждого рубежа защиты, состоящий из модуля обработки матриц совместимости средств защиты, модуля реализации алгоритма полного перебора совместимых альтернатив, модуля расчета показателей защищенности и издержек для каждого средства защиты методом анализа иерархий.
Наиболее важной и практически нерешённой в настоящее время является проблема выбора рациональных стратегий реагирования на аномальные события и нейтрализации совершения ИВ. Задачей ПППР по выбору варианта оперативного реагирования при возникновении потенциально опасных ситуаций в условиях неопределенности информационных воздействий является выработка эффективных управляющих воздействий с целью, с одной стороны, минимизации влияния угроз на защищаемую информацию, с другой - уменьшения вероятности того, что ответные действия повлияют на нормальное функционирование защищаемого ОИ.
В работе предлагается структура ПППР ОУ, реализующая метод принятия решений в условиях неопределенности: на выходе ПППР ОУ формируется оперативная командная информация, предназначенная для администратора безопасности (АБ) или средств реализации управляющих воздействий на встроенные в средства защиты (СрЗ) управляющие модули,
ПППР ОУ включает в себя следующие модули: базу знаний прецедентов, в которой происходит определение (на основе данных системы контроля информационной безопасности) номера ситуации; базу знаний алгоритмов принятия решений, в которой происходит выбор требуемого алгоритма для данного номера ситуации; модуль статистической оценки уровня угрозы на основе данных системных журналов; механизм нечеткого вывода значения уровня угрозы, определяющий на базе экспертных знаний и данных системы
21 контроля информационной безопасности уровень угрозы; оперативный решатель, в котором осуществляется выбор управляющего воздействия по требуемому алгоритму.
Для ПППР ОУ предложен алгоритм выбора рациональных вариантов реагирования СЗИ в реальном масштабе времени, основанный на методе принятия решений в условиях риска, и отличающийся тем, что необходимые для реализации метода значения вероятностей исходов определяются, исходя из значения уровня угрозы по задаваемым экспертом соотношениям, причем сам уровень угрозы определяется как на основе статистических данных журналов регистрации, так и на основе экспертных знаний с использованием аппарата нечеткой логики,а в расчетах используется максимальное значение
Если статистические данные отсутствуют, то во внимание при вычислениях в соответствии с алгоритмом принятия решения принимаются их расчётные значения.
Выбор управляющего воздействия осуществляется по формуле
игШІірШІ = игИіі(ащтіп(ЕС -{VomX AUomjlj,zt))- p(z())),
j ы J
где p(Z[)- вероятность искусственного состояния среды 2/?
сотл\]іуот^иоші^і))' значение «ущерба» при выборе альтернативы
UomJ и реализовавшегося исхода VomX^ при состоянии среды z,,
/- число искусственных состояний среды. Приведены два примера реализации этого алгоритма в различных ситуациях подозрительной активности.
В четвертой главе представлены результаты разработки алгоритмического и программного обеспечения для ПППР ИСЗИ, установлено повышение эффективности СЗИ при внедрении предлагаемой комплексной методики
22 организационно-технического управления защитой информации на объекте информатизации.
Для СППР разработан сложный программный комплекс, аккумулирующий знания эксперта в области защиты информации и специалиста по теории принятия решений.
Для подсистемы поддержки принятия решений по организационно-техническому управлению решается задача программной реализации трех модулей: «Выбор целостных вариантов системы защиты информации, состоящих из совместимых между собой программно-аппаратных средств», «Блок расчета показателей защищенности и издержек средств защиты методом анализа иерархий» и «Синтез рационального набора средств защиты».
Модуль «Выбор целостных вариантов системы защиты информации, состоящих из совместимых между собой программно-аппаратных средств» позволяет генерировать варианты наборов средств защиты, состоящие из совместимых между собой программных средств, на программный модуль получено свидетельство об официальной регистрации программы для ЭВМ №2006611352.
Модуль «Блок расчета показателей защищенности и издержек средств защиты методом анализа иерархий» позволяет определить значения показателей «защищенность» и «издержки» для средств защиты на основе разработанной системы иерархических критериев качества альтернатив для каждой из функциональных подсистем комбинаторно-морфологических матриц, сформированных для каждого из рубежей защиты; на программный модуль получено свидетельство об официальной регистрации программы для ЭВМ №2006611782.
Модуль «Синтез рационального набора средств защиты» позволяет осуществлять выбор наилучшего набора средств защиты из совместимых альтернатив по целевой функции, максимизирующей отношение суммы по-
23 казателей «защищенность» к сумме показателей «издержки» целостного варианта набора.
Разработанные на основе методики синтеза алгоритмы позволяют при изменении планов обработки информации и требований к уровню защищенности на ОИ производить автоматизированный поиск возможных вариантов построения СЗИ из совместимых между собой продуктов и аппаратных средств, сертифицированных по требуемому классу; осуществлять поиск рационального варианта системы.
В разделе приводится пример автоматизированного формирования комплекса средств защиты периметра по предлагаемой методике с использованием разработанного ПО.
Проводится численная оценка эффективности комплексов средств защиты информации объекта информатизации, сформированных: по предлагаемой методике синтеза рациональных наборов и в рамках стандартных подходов,
В качестве критерия эффективности было выбрано отношение суммы показателей «защищенность» к сумме показателей «издержки» для каждого варианта.
Показано, что сформированный по предлагаемой методике комплекс средств защиты периметра ОИ эффективнее сформированного в рамках стандартных подходов на 32%, суммарный показатель защищенности выше на 5%.
В заключении приводятся основные результаты проведенных исследований.
Описание объекта информатизации как объекта защиты, его структуры, типовых компонентов и принципов функционирования
Согласно [14] объект информатизации представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, и помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
В [10] отмечается, что понятие ОИ обладает на сегодняшний день неоднозначным содержанием и формированием. В [10]отмечается, что впервые определение ОИ было сформулировано в [44]; «объект информатизации -это совокупность информационных ресурсов, используемых в соответствии с заданной информационной технологией, средств обеспечения, помещений или объектов (зданий, сооружений, средств), в которых они установлены»,
В [38] приводится следующее определение: «Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, под 25 лежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров».
В данной работе на основании определения из [14], [44] под объектом информатизации будет пониматься информационная система, расположенная в помещениях одного здания и являющаяся частью распределенной корпоративной сети.
Как следует из данного определения, при рассмотрении вопросов защиты информации на ОИ необходимо учитывать вопросы контроля физического доступа на ОИ, вопросы инженерно-технической защиты информации, вопросы программно-аппаратной защиты информационной системы (локальной вычислительной сети). Вопросы контроля физического доступа на ОИ и инженерно-технической защиты информации к настоящему времени в целом можно считать решенными в связи с появлением комплексных и интегрированных систем физической безопасности [4,5],
В то же время, вопросы защиты информации, циркулирующей в локальных вычислительных сетях (ЛВС), остаются открытыми.
Основное назначение компьютерных сетей - объединение разнородных средств обработки информации в единую систему. Создание сетей позволяет повысить скорости обработки информации в рамках предприятия, снизить затраты на обмен информацией, увеличить доступность информации.
Различают иерархические и одноранговые компьютерные сети, В одноранговых сетях все компьютеры равноправны. В иерархических сетях для решения различных задач выделяются специальные мощные компьютеры -серверы. Приведем список типовых задач, которые обычно выполняют различные серверы[37,50,57]: поддержка обмена файлов, поддержка базы данных, сервера различных приложений, сервера печати, сервера DNS, сервера DHCP, сервера FTP, почтовые сервера, сервер учетных записей, другие.
В разных сетях требуется разный набор функций серверов, некоторые функции могут выполняться совместно на одном сервере.
Приведенная на рисунке 1Л структура сети - иерархическая, на ней выделены файл-сервер и сервер баз данных.
Основная задача файл-сервера- поддерживать межпользовательский обмен файлами. Поскольку затраты ресурсов компьютера на данную задачу не слишком велики, обычно файл-сервер выполняет дополнительно задачу сервера учетных записей и сервера DHCP, Основная задача сервера баз данных - поддержка серверных приложений баз данных. На эту задачу требуется выделение значительного объема системных ресурсов, обычный запрос к базе данных вызывает перебор сотен тысяч записей, соответственно сервер баз данных не поддерживает выполнения никаких других функций.
Рабочая станция - компьютер, который используется для локальной обработки информации и для обращения к ресурсам различных серверов.
Зачастую компьютер, выполняющий функции сервера, выполняет и функции рабочей станции[57]. Структура типового компьютера приведена на рис, 1.2. Структура типового компьютера Па рисунке 1.2 цифрами обозначены следующие устройства;
1 - процессор , 2 - оперативное запоминающее устройство, 3 - основной системный контроллер, 4 - контроллер ввода-вывода, 5 - контроллер жесткого диска, контроллер оптического диска, 6 - жесткий диск, 7 - устрой ство чтения/записи компакт-дисков, 8 - контроллер гибкого диска, 9 - дисковод гибких дисков, 10 - порт ввода-вывода, 11 - модем, 12 - линия связи, 13 -интерфейс сетевого адаптера, 14 - сетевой адаптер, 15 - сеть, 16 - интерфейс видеоадаптера, 17 - видеоадаптер, 18 - монитор, 19 - принтер, 20 - переносное запоминающее устройство, 21 - интерфейс манипулятора «мышь», 22-манипулятор «мышь», 23- интерфейс клавиатуры, 24 - клавиатура.
В структуре сети на рис. 1.1 выделены устройства сопряжения устройств обработки информации и сетевого кабеля. Согласно [37], связь между компьютерами осуществляется с помощью специальных периферийных устройств - сетевых адаптеров.
На нижнем уровне коммутация между компьютерами осуществляется с помощью сетевых концентраторов, которые могут быть пассивным или активным. В последнее время все чаще используются активные сетевые концентраторы. Основная задача сетевого концентратора - поддержка обмена информацией между устройствами, подключенными к нему, причем данные, передаваемые от одного компьютера к другому, автоматически становятся доступными и для других подключенных к нему компьютеров.
Между собой сетевые концентраторы соединяются с помощью более сложных устройств - сетевых коммутаторов, которые при передаче учитывают значения адресного пространства подсоединенных к ним сегментов, В последнее время растет число сетей, использующих свитчи на самых нижних уровнях коммутации сети.
Объединение между собой различных подсетей осуществляется с помощью маршрутизатора - интеллектуального коммутатора пакетов данных, определяющего наилучшее направление для передачи пакета,
В связи с распространением переносных компьютеров-ноутбуков и наличием в рамках предприятия точек, до которых протягивание кабеля связи не является выгодным, в последнее время получили распространение [43] беспроводные точки доступа. Компьютеры, подключающиеся к беспроводной точке доступа, соответственно должны быть оборудованы специальными беспроводными сетевыми адаптерами. Общий выход в глобальную сеть, через которую также в последнее время осуществляется объединение территориально удаленных сетей организации, осуществляется с использованием широкополосных соединений, поддержку которых осуществляет широкополосный модем.
Также до сегодняшнего дня продолжает оставаться распространенным использование в организациях модемного пула для подключения удаленных пользователей через модемное соединение.
Разработка теоретического подхода к рассмотрению множества угроз как последовательности действий злоумышленника (нарушителя) в виде деревьев угроз
Процессы осуществления НСД, утечки информации и деструктивных воздействий на объекте информатизации следует разделить на две части: действия злоумышленника и действия нарушителя (легального пользователя, решившего нарушить установленные правила). Их возможности по реализации угроз различаются.
В [34] были сформулированы основы предлагаемого подхода.
Предлагается каждую угрозу безопасности ОИ рассматривать как сложную последовательность действий, которые могут быть представлены как составляющие компоненты угрозы. Это - события, возникающие в процессе функционирования ОИ, приводящие объект в подмножество особых ситуаций, при которых становятся возможными НСД, утечка информации или деструктивные изменения информационной среды. Путь распространения носителя информации на множестве элементов среды распространения носителя информации при манипулировании злоумышленника (нарушителя) информационными потоками с целью достижения определенного воздействия на информационную среду будем называть каналом несанкционированного доступа, утечки информации или деструктивных воздействий.
В сформулированный в [17] перечень возможных угроз, добавим некоторые не учтенные угрозы и назовем их компонентами угроз в том смысле, что они могут выполняться последовательно; причем успешная реализация одного компонента угрозы является основанием для осуществления другого. Развертывание компонентов угроз в информационной среде от рабочей станции злоумышленника (нарушителя) до источника информации образует канал НСДУВ.
Этот перечень включает в себя: попытку проникновения с подключением к среде распространения носителя информации (для злоумышленника); посылку ложных заявок на обработку информации; перехват информации на линии связи; фильтрацию информации идентификации и аутентификации; поиск точек входа последовательным перебором известных уязвимостей; сборку "мусора11 на диске и в оперативной памяти; внедрение мобильных вредоносных кодов и программ; несанкционированный доступ к наборам данных; изменение базы данных защиты (настроек СЗИ) с последующим несанкционированным получением и использованием прав доступа.
Также отдельным компонентом уірозьі можно считать криптоанализ, используемый при наличии средств шифрования на ОИ и съем ПЭМИН,
В работе предлагается в процессе моделирования угроз каждый компонент угрозы представлять в виде двух элементов. Первый элемент каждого компонента угрозы - это попытка его реализации: попытка проникновения с подключением к среде распространения носителя, попытка блокирования узла (посылка ложных заявок на обработку информации),попытка перехвата информации на линии связи, попытка сканирования сети, получения тех или иных прав.
Второй элемент каждого компонента угрозы характеризует успешность преодоления барьеров защиты эксплуатацией существующих уязвимостей.
Тогда уровень компонента угрозы определяется произведением уровня попытки реализации компонента угрозы на уровень уязвимости используемого средства защиты.
На первом этапе для злоумышленника, находящегося вне информационной среды ОИ, необходимо получить доступ к среде для реализации более сложных компонентов угроз или посылать ложные заявки на обработку для блокирования взаимодействия среды ОИ с другими подразделениями, контрагентами через общедоступную сеть, В рамках этого этапа выделяется компонент: попытка проникновения с подключением к среде распространения носителя информации и подключение к среде распространения.
На втором этапе, получив доступ к информационной среде объекта информатизации, злоумышленник может пытаться реализовать следующие компоненты угроз; посылка ложных заявок на обработку и блокирование файл сервера; попытка перехвата информации на линии связи и перехват информации на линии связи; попытка сканирования файл сервера и поиск точек входа в файл сервер последовательным перебором известных уязвимостей.
Модели, методы и алгоритмы принятия решений по организационно-техническому управлению ЗИ для подсистемы поддержки принятия решений ИСЗИ
В течение периода эксплуатации ОИ изменяются планы обработки информации и соответствующие им требования к уровню защищенности [24]. Учет этого фактора требует разработки принципиально новых подходов к обеспечению защиты информации,
В качестве такого подхода предлагается использовать синтез СЗИ, свойства и параметры которой динамично изменяются в зависимости от того, информация с каким уровнем ограничения доступа обрабатывается в данный период времени на ОИ.
Одной из задач механизмов управления является обоснование наборов средств защиты [24], используемых в определенные периоды функционирования OR
Для совершенствования, развития и повышения эффективности СЗИ необходима разработка и практическое применение методического обеспечения, связанного с решением следующих частных задач проектирования и организационно-технического управления защитой информации:
1. Разработка модели СЗИ - получение описания организованной совокупности программно-аппаратных средств защиты (как можно наиболее полно учитывающей потенциально возможные источники угроз).
2. Разработка метода синтеза СЗИ с учетом требований, предъявляемых к механизмам защиты при обработке информации ограниченного доступа. Процедура синтеза должна обеспечивать выбор рациональных наборов средств защиты, который в комплексе позволяет обеспечить требуемый уровень защищенности информации на ОИ.
3. Поскольку требуемый уровень защищенности зависит от заданного
уровня ограничения доступа к информации, необходимо обоснование рацио 144 нальных наборов средств защиты при изменении планов обработки информации на OR
Трехрубежной модели защиты объекта информатизации на основе функциональных требований к системе
Если рассматривать ОИ как интеграцию рабочих станций, серверов, межсетевых мостов, элементов, обеспечивающих соединение нескольких сегментов сети, и каналов связи, то при создании таких систем следует использовать следующие основные принципы построения СЗИ [17]; - комплексность и согласованность использования широкого спектра мер, методов и средств защиты при построении целостной системы защиты, не содержащей слабых мест на стыках ее компонентов; - дифференциация мер защиты информации в зависимости от ее важности и потенциально возможных угроз информационным ресурсам; - разумная достаточность механизмов защиты, что означает правильность выбора достаточного уровня защиты, при котором затраты на защиту и размер возможного ущерба (риск) были бы приемлемыми.
На основе анализа всех возможных каналов несанкционированного доступа к информационной среде ПК, сегмента, ОИ, состоящего из нескольких сегментов, и в соответствии с приведенными выше основными принципами построения предлагается трехрубежная модель СЗИ. Первый рубеж - периметр объекта информатизации - комплекс функциональных подсистем, включающих средства и механизмы системной защиты от внешних ИВ злоумышленника и потенциально возможных деструктивных воздействий удаленного пользователя; второй рубеж - комплекс функциональных подсистем защиты сегмента от потенциально возможных внутренних деструктивных воздействий нарушителя (пользователя данного или соседнего сегмента), удаленного пользователя, ИВ злоумышленника; третий рубеж включает в себя комплекс функциональных подсистем, обеспечивающих за Ї45 щиту ипфарліацштіюй среды отдельного персонального компьютера, сервера ВД, сервера безопасности.
Таким обратом модель СЗЙ ОИ включает в себя три компонента: модель "Ї&ШМ Ш периметра ОИ, модель зашиты сегмента, модель іащиш ПК и сервера.
Рисунок 3.2 Трехрубгжшя модель СЗИ ОИ
Модель каждого рубежа зашиты явпжжя Х-уровневок и включает в себя N комбинаторно-морфологачееких матриц (КММ), в зависимости от уровня ограниченна доступа к хранимой или обрабатываемой на объекте за-щяш информации.
Блок-схема алгоритма «Блок расчета показателей защищенности и издержек средств защиты методом анализа иерархий» и описание программы
Блок-схема программы «Выбор целостных вариантов системы защиты информации, состоящих из совместимых между собой программно-аппаратных средств» Программа в процессе работы вызывает рекурсивную процедуру (рисунок 4.2).
Программа «Выбор целостных вариантов системы защиты информации, состоящих из совместимых между собой программно-аппаратных средств» Программа состоит из набора файлов: MSFLXGRD.OCX, msvbvm6CUll, TABCTL32.0CX, VB6.0LB, Projectl.exe. Исполняемым является файл Projectl.exe, остальные файлы, используемые программой во время выполнения программы, взяты из дистрибутива Visual Basic 6,0.
Файл MSFLliXGRID.OCX содержит стандартный компонент компании MicroSoft MSFlexGrid и методы для работы с ним, файл msvbvm60.dll содержит стандартные функции Visual Basic 6.0 и позволяет использовать их на системе, на которой Visual Basic 6.0 не установлен, TABCTL32.0CX содержит компонент закладок и методы для работы с ним, файл VB6.0LB содержит стандартные формы диалоговых окон, используемых в Visual Basic 6.0.
Программа не требует инсталляции- Достаточно запустить файл Projectl.exe. Файлы MSFLXGRD.OCX, msvbvm60.dll, TABCTL32.0CX, VB6.0LB могут быть расположены либо в папке Wmdows/system32, либо в той же папке, что и исполняемый файл.
Характеристики программы: программа занимает в ОЗУ 3 428 Кб, время выполнения программы для расчета системы, состоящей из 5-ти функциональных подсистем по 5 альтернатив в каждой подсистеме, составляет на ПК AMD Duron 1000MHz 256 Mb менее 10-ти секунд.
После запуска проіраммьз выводится главное окно программы (Рису-нок4.3).
На вкладке «Редактирование» (обозначена цифрой 1) производится ввод и редактирование данных. Для начала ввода либо редактирования данных необходимо в вертикальном, обозначенном цифрой 6, и горизонтальном, обозначенном цифрой 5, столбцах кнопок (Ф1...Ф5) выбрать номера функциональных подсистем, совместимость альтернатив которых будем редактировать.
Следующий шаг - ввод данных о совместимости альтернатив. Совместимые между собой альтернативы обозначаются в таблице (на рис.43 обозначенной цифрой 7) на пересечении соответствующих столбцов и строк цифрой «1», а аешшйСтимый - цгіфрпй «О». ї Ірогргшш н&.шсшл для модели, неоючшощсй 5 функциош-иышк подсчетом, в каждой ш которых 5 альтернатив. В слу шс5 если, например, в ігодсйсгше всего 4 альтернативы, то достаточцо просто не заполнять пееуществушдую альтернативу, оставив все с0» в соответетвуюїдегі строке/столбце. Программа сама определит количество введенных функциональных подсистем ц количество ьтеденных альчер» иатив о каждой из них.
Главное окно программы. Вкладка едажшровашс» ввода данных о совместимости альтернатив достаточно просто один раз тикнуть мышкой на пересечении соответсшующвх строк и столбцов. Значение в шчшт при этом вменится пй гфотвдадо;шжное. Гели в ячейке был #0я он мзменнт и на «1» н наоборот
Для редактирование ранее введенных данных достаточно перейти на вкладку «Рсдаашфошше» (на рисунке 4..1 цифра 1), выбрать функциональные нодшетемьі, которые необходимо треда&тировшъ {кнопки обозначенные па рисунке 4,3 цифрзши 5 и 6) и в отобр&шшиихсл р#т% вж&епмых дан После ввода данных в программу для выполнения анализа совместимости альтернатив нужно нажать на кнопку «Вывод результата», обозначенную на рис.4.3 цифрой 3. Появившееся окно, отображенное на рис.4.5, означает, что программа закончила проверку совместимости и вывела результат в файл result.htm (см. рис.4.6), созданный в той же папке, в которой находится программа.
Отчет программы представляет собой текстовый HTML файл, в который построчно заносятся все допустимые варианты комбинаций совместимых альтернатив. Описание переменных: МахА - количество введенных альтернатив; MaxKOV - количество управленческих критериев по иерархии выгод; MaxKPV - количество прочих критериев по иерархии выгод; MaxKOI - количество экономических критериев по иерархии издержек; МахКРІ - количество функциональных критериев по иерархии издержек; i, j, к, I-временные переменные цикла; LambdaOV[i], LambdaPV[i] - собственные вектора критериев по иерархии выгод; LambdaOI[i], LambdaPI[i] - собственные вектора критериев по иерархии издержек; WeightOV[i], WelghtPVfi] - веса критериев по иерархии выгод; WeightOI[i], WcightPI[i] - веса критериев по иерархии издержек; LambdaAOV[i], LambdaAPV[i] - собственные вектора альтернатив по группе критериев иерархии выгод;
