Содержание к диссертации
Содержание 2
Введение 6
1. Анализ систем защиты информации и их моделей 10
Анализ систем защиты информации 10
Анализ ресурсов информационной системы 18
1.З.- Сравнительный анализ подходов к классификации уязвимостей 20
Сравнительный анализ подходов к классификации угроз 22
Анализ средств и методов защиты информации 24
Анализ моделей систем защиты информации 30
Обобщенные модели систем защиты 33
Модели, построенные с использованием теории вероятностей 34
Модели, построенные с использованием теории случайных процессов 36
Модели, построенные с использованием теории сетей Петри 36
Модели, построенные с использованием теории автоматов 38
Модели, построенные с использованием теории графов 39
Модели, построенные с использованием теории нечетких множеств45
Модели, построенные с использованием теории катастроф 47
Модели, построенные с использованием теории игр 48
Модели, построенные с использованием энтропийного подхода... 50
Сравнительный анализ моделей систем защиты информации 51
1.7. Выводы 55
2. Разработка модели системы защиты информации в организации 58
2.1. Разработка модели ресурсов информационной системы организации. 58
\
Разработка модели угроз информационной системы организации 62
Разработка архитектуры модели 73
Разработка игровой модели исследования оптимальности проекта системы защиты информации 74
Разработка полумарковской модели реализации угрозы 78
Разработка метода генерации дерева процесса реализации угрозы 83
Отображение зависимости параметров уязвимостей и переходов от состояния злоумышленника и пути преодоления системы защиты 84
Отображение сложной внутренней структуры уязвимостей 90
Разработка метода моделирования процесса эксплуатации составной уязвимости 92
Разработка методики использования кластерного анализа при рассмотрении результатов моделирования составной уязвимости 97
Разработка модели злоумышленника 99
Разработка архитектуры программного комплекса 101
Разработка класса «Игровая модель» 102
Разработка класса «Проект СЗИ» 103
Разработка класса «Граф реализации угрозы» 104
Разработка класса «Уязвимость» 105
Разработка класса «Переход» 106
Разработка класса «Тип злоумышленника» 107
Разработка класса «Дерево реализации угрозы» 107
Разработка класса «Дизъюнкт» 109
Разработка класса «Дизъюнкт уязвимости» ПО
2.8.10. Разработка класса «Дизъюнкт перехода» 111
Разработка алгоритмов методов классов программного комплекса... 112
Разработка графического интерфейса пользователя 114
Оценка адекватности модели реализации угрозы 115
4
2.12. Выводы 117
3. Разработка методики проведения моделирования и выбора оптимального
проекта 119
Разработка методики проведения моделирования 119
Разработка методики подготовки входных данных 123
3.2.1. Разработка методики получения моделей ресурсов ИС и списков
угроз и злоумышленников 125
Разработка методики получения проектов СЗИ 128
Разработка методики получения списка уязвимостей и формирования графов реализации угрозы 131
Разработка методики получения числовых исходных данных 136
3.3. Выводы 140
4. Моделирование системы защиты информации 142
Анализ защищаемых информационных ресурсов и построение модели угроз 143
Анализ угроз безопасности университета 145
Анализ типов злоумышленников опасных для рассматриваемой системы 147
Определение требований к системе защиты 151
Анализ существующей системы защиты информации ИС 153
Разработка проектов системы защиты информации ИС 154
Проект системы защиты ориентированный на противодействие внешним злоумышленникам '. 154
Проект системы защиты ориентированный на противодействие внутренним злоумышленникам 156
Сбалансированный проект системы защиты 158
Анализ результатов моделирования 160
Выводы 169
Заключение 170
Библиографический список 172
Введение к работе
Актуальность задачи. В современных условиях развития информационных технологий при создании информационных систем (ИС) для коммерческих или государственных организаций, обязательно создается система защиты информации (СЗИ). На этапе проектирования ИС возникает вопрос эффективности СЗИ, созданной по тому или иному проекту. Решение задачи формального сравнения нескольких проектов СЗИ для выбора наилучшего вызывает определенные сложности. Для оценки эффективности создаваемых СЗИ в РФ используются руководящие документы Федеральной службы по техническому и экспортному контролю и ГОСТы. Также данной проблеме посвящено значительное количество работ отечественных и зарубежных исследователей, среди которых В.А. Герасименко, В.В. Мельников, С.С. Корт, А.Г. Корченко, И.В. Котенко, М.В. Степашкин, В.И. Богданов, А.А. Малюк, Д.П. Зегжда, A. Moore, R. Ellison, R. Linger, S. Templeton, К Levitt, Xinming Ou, R.P. Lippman, O. Sheyner, J. Haines, S. Jha, J.Wing, S. Noel, S. Jajodia, M. Bishop, P. Ammann, B. Schneier и другие.
Кроме того, существует множество современных международных и отечественных стандартов и нормативных документов в области информационной безопасности, рассматривающих вопросы оценки эффективности СЗИ или определяющих требования к её функциональности. В этих документах, как правило, в качестве критерия эффективности используется наличие тех или иных средств защиты информации или требования к их параметрам и не учитывается, что имеются возможности преодоления данных средств за счет наличия в них и в ИС тех или иных уязвимостей. Таким образом, актуальной является задача выбора оптимального проекта СЗИ по критерию эффективности, учитывающему наличие уязвимостей и взаимосвязей между ними.
Исходя из этого, в работе сформулирована научная задача исследования: разработка алгоритма выбора оптимального проекта системы защиты информации для типовой информационной системы организации.
Цель исследования — развитие методического обеспечения проектирования и оценки эффективности систем защиты информации типовых информационных систем организаций с учетом их уязвимостеи.
Объект исследования - информационная система организации.
Предмет исследования - система защиты информации.
Для достижения цели исследования были решены следующие задачи:
разработка модели реализации угроз в ИС;
разработка модели выбора оптимального проекта СЗИ;
создание программного комплекса реализующего описанные модели и алгоритмы-моделирования;
разработка методики проведения моделирования.
В рамках исследования используются методы теории множеств, теории графов, математической логики, теории вероятностей, теории случайных процессов, теории игр и методы объектно-ориентированного моделирования.
Основные положения, выносимые на защиту.
полумарковская модель реализации угрозы в ИС, учитывающая наличие уязвимостеи и взаимосвязей между ними;
игровая модель выбора оптимального проекта СЗИ;
программный комплекс, реализующий описанные модели;
методика проведения моделирования.
Научная новизна работы заключается в следующем: разработан комплекс моделей, для исследования оптимальности проектов СЗИ'с учетом наличия уязвимостеи и различных сценариев их использования в предлагаемых проектах.
Основные научные результаты:
1. Предложена полумарковская модель, позволяющая рассчитать время и вероятность реализации угрозы злоумышленником.
Предложена игровая модель поиска оптимального проекта на основании таких критериев как: время и вероятности реализации угроз, стоимость создания СЗИ и информационные риски, связанные с угрозами.
Предложена методика проведения моделирования ориентированная на использование предложенных моделей.
Практическая значимость исследования заключается в следующем:
Использование разработанных моделей позволяет повысить эффективность создаваемых СЗИ ещё на этапе их проектирования.
Результаты использования модели реализации угроз ИС могут применяться для оценки существующих СЗИ, в том числе для проведения аудита информационной безопасности ИС для получения значений вероятностей реализации угроз и информационных рисков.
Основные положения исследования могут быть применены при разработке проектов усовершенствования защищенных информационных систем для выбора наиболее оптимального проекта СЗИ.
Реализация и внедрение результатов. Основные результаты исследования были применены при проектировании систем защиты информационных систем Отделения Пенсионного фонда Российской Федерации по Волгоградской области и Волгоградского государственного университета.
Кроме того, результаты исследования использовались в учебном процессе на кафедре «Информационной безопасности» Волгоградского государственного университета при проведении лабораторных работ по курсу «Моделирование процессов и систем защиты информации» для студентов специальности 090105 — «Комплексное обеспечение информационной безопасности автоматизированных систем».
Достоверность полученных результатов подтверждается корректным
I использованием известного математического аппарата, а также проведением,
натурных экспериментов для небольших тестовых систем и последующее
сравнение результатов с результатами использования разработанной модели для этих систем.
Структура и объем диссертации. Диссертация включает введение, четыре раздела, заключение, библиографический список, содержащий 111 наименований, и 8 приложений. Основной текст диссертации изложен на 166 страницах, включая 26 рисунков и 11 таблиц.
Во введении обоснована актуальность исследований, сформулированы цель и задачи работы, определена практическая ценность и научная новизна выносимых на защиту результатов.
В первом разделе рассматриваются модели информационной системы, отражающие структурные и функциональные зависимости между элементами системы, модель ресурсов ИС и подходы к классификации угроз и уязвимостей. Основное место в первой главе отводится анализу подходов к моделированию систем защиты информации. По результатам первой главы определяются требования к разрабатываемой модели.
Во втором разделе разрабатываются модели, решающие задачу выбора оптимального проекта СЗИ и разрабатываются алгоритмы для проведения моделирования. Так же разрабатывается архитектура программного комплекса реализующего данные алгоритмы и графический интерфейс пользователя.
В третьем разделе разрабатывается методика проведения моделирования и выбора оптимального проекта СЗИ с использованием разработанных моделей.
В четвертом разделе приводятся результаты моделирования по выбору оптимального проекта системы защиты типовой информационной системы на примере Волгоградского государственного университета и Отделения Пенсионного фонда РФ по Волгоградской области.
