Содержание к диссертации
Введение
1. Общий анализ проблемы защиты информации в современных системах обработки информации .
1.1 Система обработки информации как объект защиты информации.
1.2 Анализ состояния проблемы защиты информации в системах обработки информации .
1.3 Постановка задачи исследования. 19
Выводы по первому разделу 22
2. Разработка аппарата количественного анализа эффективности системы защиты информации - 23
2.1 Разработка вероятностной модели воздействия дестабилизирующих факторов на элементы системы обработки информации. 23
2.1.1 Формирование полного множества дестабилизирующих факторов и его качественный анализ. 25
2.1.2 Вероятностная модель воздействия дестабилизирующих факторов на элементы системы обработки информации. 36
2.2 Разработка вероятностной модели поведения сиетемы обработки информации под воздействием дестабилизирующих факторов .
2.3 Построение модели системы защиты информации. 61
2.4 Выбор показателей и критериев эффективности 65
системы защиты информации.
Выводы по второму разделу 77
3. Методика формализованного выбора механизмов безопасности для построения системы защиты информации. 79
3.1 Анализ особенностей целевой функции. 79
3.2 Разработка методики формализованного выбора механизмов безопасности для построения системы защиты информации. 82
Выводы по третьему разделу 87
4. Экспериментальная проверка предлагаемых методов и разработка практических рекомендаций по их использованию . - 88
Выводы по четвертому разделу 101
Заключение 102
Приложение 1 105
Приложение 2 106
Список литературы
- Анализ состояния проблемы защиты информации в системах обработки информации
- Формирование полного множества дестабилизирующих факторов и его качественный анализ.
- Разработка вероятностной модели поведения сиетемы обработки информации под воздействием дестабилизирующих факторов
- Разработка методики формализованного выбора механизмов безопасности для построения системы защиты информации.
Введение к работе
Бурное развитие информационных технологий открывает новые перспективы в развитии систем обработки информации (СОИ). Принципиально изменяется структура СОИ, основой которых теперь являются распределенные информационно-вычислительные сети (ИВС), подключенные к глобальным сетям передачи данных. Масштабы развития СОИ и сферы их применения стали таковы, что наряду с проблемами надежности и устойчивости функционирования СОИ возникает проблема обеспечения безопасности обрабатываемой ими информации. Однако решение этой проблемы осложняется тем, что до настоящего времени в России и за рубежом отсутствуют единые и общепринятые теория и концепция обеспечения безопасности информации в СОИ. Поэтому в теории защиты информации актуальной задачей является задача построения единой, унифицированной концепции защиты информации в современных СОИ. Частной задачей построения единой концепции ЗИ является задача формализации процессов оценивания эффективности систем защиты информации и выбора механизмов безопасности для построения СЗИ.
В соответствии с изложенным цель диссертационной работы состоит в разработке аппарата оценивания эффективности системы защиты информации (СЗИ) СОИ и на основе полученного результата разработка методики выбора механизмов обеспечения безопасности СОИ.
Для достижения цели диссертационной работы решались следующие частные задачи:
В первой главе был проведен общий анализ состояния проблемы защиты информации, а также рассмотрена специфика обеспечения безопасности информации в СОИ.
Вторая глава посвящена разработке аппарата оценивания эффективности СЗИ СОИ, для чего была проведена обобщенная классификация дестабилизирующих факторов (ДФ), воздействующих на СОИ, пред-
ложен метод декомпозиции СОИ на структурные элементы, разработаны следующие модели:
модель воздействия ДФ на элементы СОИ;
модель поведения СОИ при воздействии ДФ;
модель СЗИ.
Разработка этих моделей велась на основе теории массового обслуживания, теории случайных процессов и теории построения и анализа сложных технических систем.
Разработка методики выбора механизмов безопасности элементов СОИ велась в третьей главе. При этом были определены критерии выбора, а также описаны особенности целевой функции СЗИ.
Наконец, в четвертой главе были разработаны практические рекомендации по использованию предложенного аппарата оценивания эффективности СЗИ и выбора механизмов безопасности.
Проведенные в рамках диссертационной работы исследования определи положения, выносимые на защиту:
Постановка задачи оценивания эффективности СЗИ.
Модель воздействия ДФ на элементы СОИ.
Модель поведения СОИ при воздействии ДФ.
Описание выбора показателей и критериев эффективности СЗИ СОИ.
Методика формализованного выбора механизмов безопасности элементов СОИ.
Рекомендации по использованию разработанных методов и проведению мероприятий по обеспечению безопасности информации в СОИ.
Апробация работы проводилась на научно-технических конференциях, семинарах и в научных статьях различного уровня.
Анализ состояния проблемы защиты информации в системах обработки информации
Системный подход к анализу эффективности СЗИ СОИ предполагает наличие, по меньшей мере, трех моделей: - модели воздействия дестабилизирующих факторов на СОИ. - модели поведения СОИ при воздействии ДФ; - модели системы защиты информации.
Очевидно, что разработка этих моделей представляет собой нетривиальную задачу, выполнить которую можно при наличии инструментальных средств системного анализа. Также процесс применения подобных моделей должен быть итеративным и периодически обновляться по мере развития СОИ, методов нарушения безопасности информации и методов защиты системы обработки информации.
Модель системы защиты информации не может быть построена без тща тельного и всестороннего анализа ДФ, воздействующих на СОИ. Качественное развитие систем защиты, несомненно, является одной из причин развития методов нарушения безопасности информации и пополнения множества угроз.
Таким образом, построение моделей СЗИ СОИ и дестабилизирующих факторов предполагает проведение анализа потенциальных ДФ, воздействующих на систему обработки информации. Анализ воздействия дестабилизирующих факторов, в свою очередь, включает составление полного (насколько это возможно) перечня потенциальных угроз и исследования возможности их воздействия на систему обработки информации.
Также, в процессе решения этой задачи должны быть определены множества объектов защиты и потенциальных угроз информации, а также проведен статистический анализ этих множеств по отношению друг к другу.
Следующий этап предполагает описание и проведение анализа целевой функции СЗИ СОИ.
Наконец, на последнем этапе решения задачи (в соответствии с проведенным статистическим анализом множества угроз и оптимизацией целевой функции) необходимо разработать метод выбора механизмов безопасности СОИ.
Целью данной работы является разработка метода оценивания эффективности СЗИ СОИ при воздействии на СОИ ДФ и разработка методики выбора механизмов безопасности для построения СЗИ СОИ. Исходя из целей работы, задача исследования в общем виде может быть сформулирована следующим образом:
При известных: структуре СОИ, составе информационного обеспечения, ПО и технических средств, характере решаемых задач, а также требований по ЗИ в СОИ необходимо: 1. оценить эффективность СЗИ СОИ; 2. разработать методику формализованного выбора механизмов безопасности для элементов СОИ, обеспечивающих требуемый уровень эффектив ности СЗИ СОИ. Системный подход к решению поставленной задачи предполагает методику достижения цели исследования, состоящую из следующих этапов: - анализ структуры СОИ и выделение уязвимых элементов; - анализ относительно полного множества ДФ и выделение класса ДФ для дальнейших исследований; - построение модели воздействия ДФ на элементы СОИ; - построение модели СЗИ СОИ; - построение модели поведения СОИ при воздействии на нее ДФ; - выбор показателей и критериев эффективности СЗИ СОИ; - разработка методики выбора механизмов безопасности элементов СОИ; - выработка практических рекомендаций по построению СЗИ конкретной СОИ.
1. Проанализированы назначение и задачи, решаемые СОИ. Определены особенности СОИ и необходимость проведения работ по ЗИ в СОИ.
2. На основе анализа существующих методов решения вопросов обеспечения безопасности информации в СОИ определены основные проблемы, препятствующие созданию надёжных СЗИ. Для решения этих проблем первоочередной задачей является проведение исследований в области разработки научно обоснованных методов оценивания качества СЗИ и методик формализованного выбора механизмов безопасности для построения СЗИ.
3. На основе анализа содержания унифицированной концепции защиты информации в современных СОИ определены частные задачи по построению СЗИ СОИ.
4. Проведён анализ существующих методов оценивания качества СЗИ. Обоснована необходимость разработки на основе системного подхода к анализу и синтезу СЗИ универсального метода оценивания эффективности СЗИ. Поставлена задача на разработку метода оценивания эффективности СЗИ СОИ при воздействии на нее ДФ и на его основе получения методики формализованного выбора механизмов безопасности элементов СОИ.
Формирование полного множества дестабилизирующих факторов и его качественный анализ.
В настоящей работе предпринята попытка обобщенной классификации ДФ информационных отношений по различным критериям. Однако следует иметь в виду, что научно-технический прогресс, качественное развитие систем безопасности, могут привести к появлению принципиально новых видов ДФ, способов преодоления систем безопасности, НСД к данным и дезорганизации работы СОИ.
Из анализа основных особенностей СОИ (п. 1.1) можно выделить следующие основные виды ДФ [26]: - стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.); - сбои и отказы оборудования (технических средств) СОИ; - последствия ошибок проектирования и разработки компонентов СОИ (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.); - ошибки эксплуатации (пользователей, операторов и другого персонала); - преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Различные подходы к классификации ДФ представлены в работах [1], [3] [4], [44]. На Рис. 2.1.1 приведен результат обобщающего анализа этих классификаций полного множество ДФ информационных отношений в СОИ.
Одной из наиболее принципиальных особенностей проблемы защиты информации является абсолютный характер требования полноты всех угроз информации, потенциально возможных в современных СОИ [1]. Как показано в [1], одним из наиболее адекватных и эффективных методов формирования и, особенно, проверки множества потенциально возможных угроз является метод натурных экспериментов. Суть данного подхода состоит в проведении тестовых воздействий и экспериментов, в процессе которых выявляются и фиксируются проявления различных ДФ. При достаточной продолжительности этих экспериментов набираются статистические данные, на основе которых проводится анализ воздействия ДФ на СОИ. Однако, очевидна высокая стоимость такого подхода, поэтому данный метод целесообразно применять для уточнения уже сформированного множества ДФ.
Следующий метод формирования полного множества ДФ - использование экспертных оценок в различных их модификациях. Однако при этом не может быть гарантировано формирование строго полного множества ДФ. Алгоритмы формирования относительно полного множества ДФ представлены в [1].
Целью данной работы не является формирование полного множества ДФ, воздействующих на СОИ, тем более что в современной литературе по теории безопасности информационных систем достаточно полно приведены перечни потенциальных ДФ и их определения. Однако есть необходимость перечисления элементов полного множества ДФ для дальнейшего анализа. Для этого, пользуясь результатами работ [1,2,3,11,26], приведем в Таблице 2.1.1 относительно полное множество ДФ:
Описание дестабилизирующего фактора 1 стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.) 2 сбои и отказы оборудования (технических средств) СОИ; 3 последствия ошибок проектирования и разработки компонентов СОИ (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.); 4 неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.); 5 неправомерное включение оборудования или изменение режимов работы устройств и программ; 6 неумышленная порча носителей информации; 7 запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.); 8 нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
Разработка вероятностной модели поведения сиетемы обработки информации под воздействием дестабилизирующих факторов
В результате анализа поведения атакованной СОИ должны быть получены функциональные зависимости, которые отражали бы изменения состояний системы при воздействии на нее ДФ. Определение подобных зависимостей позволит: 1. создать модель поведения СОИ при воздействии на нее ДФ; 2. выявить наиболее "вредные" ДФ на конкретных этапах функционирования СОИ; 3. определить наиболее уязвимые элементы СОИ; Согласно вероятностной модели поведения СОИ при воздействии на нее
ДФ, которая приведена в [43], СОИ любого типа, когда каждый из ее элементов может находиться в состоянии выполнения ЦЗ с заданным качеством и в состоянии функционирования с качеством, находящемся за установленными пределами, удается характеризовать некоторым конечным множеством несовместных состояний {Oi,...,0;,...,Oz}, где Z - общее число несовместных состояний СОИ.
Рассмотрим возможные состояния СОИ в соответствии с агрегированным представлением системы. Сохраняя обозначения, принятые в п. 2.1. представим СОИ как множество входящих в нее объектов Е = {Eh...,Em,...,EM}, а множество ДФ как конечное множество Y={Yb...Y„,...YN}.
Совокупность состояний элементов СОИ в некоторый момент времени t характеризует состояние СОИ в данный момент времени. Изменение состояний элементов во времени определяет динамику состояний СОИ. В процессе функционирования переходы СОИ из состояния в состояние происходят в случайные и детерминированные моменты времени. Детерминированные изменения состояний СОИ связаны с программой выполнения целевой задачи. Случайные изменения состояний системы могут быть вызваны отказами элементов СОИ и воздействием преднамеренных ДФ.
Опыт применения СОИ показывает, что процесс переходов СОИ из состояния в состояние при воздействии на нее ДФ в процессе выполнения СОИ целевой задачи является достаточно сложным. Сложность этого процесса во многом обусловлена спецификой функционирования элементов СОИ, которая состоит в том, что атакованные элементы СОИ могут иметь несколько состояний с различным качеством выполнения своих функций.
Поскольку элементы СОИ могут иметь несколько состояний, то для описания процесса смены состояний элементом СОИ в общем случае необходимо использовать модель с q состояниями. Вектор состояния у-го элемента для произвольного момента времени / имеет вид: Em =ki ет1 ... еш ... emJ,i = \,qm ; Общее число несовместных состояний элемента равно qm.
Использование моделей элементов СОИ с #т несовместными состояниями позволяет в произвольный момент времени t характеризовать СОИ при решении любой задачи конечным множеством несовместных состояний, т.е. вектором состояния О =p)02,...,0J...Ozf, где Z - число несовместных состояний СОИ обусловленных атаками ДФ.
Если в работе СОИ при решении целевой задачи участвуют М элементов, причем М1 элементов может находиться в одном из qx несовместных состояний, М2 элементов может находиться в одном из q2 несовместных состояний, ..., Мх элементов может находиться в одном из /, несовместных состояний, М, элементов может находиться в одном из q, несовместных состояний, то общее число несовместных состояний СОИ [43]: Z = f\tf , M = j M, (2.2.1)
Как показано в [43], вектор состояния СОИ размером Zxl и соответствующую ему матрицу состояния размером Z х м для любого момента времени можно представить в виде:
Разработка методики формализованного выбора механизмов безопасности для построения системы защиты информации.
Рациональное построение любой технической системы заключается в синтезе такой структуры системы, которая бы обеспечивала оптимальные значения ее параметров. При этом выбор указанных значений параметров из области их допустимых значений должен проводиться на основе обобщенного критерия эффективности СЗИ.
На этапе разработки метода оценивания эффективности СЗИ в качестве параметров были определены прочности механизмов безопасности - / ,_,..
Тогда задача рационального выбора механизмов безопасности для построения СЗИ заключается в выборе таких значений PDmi, чтобы значение предотвращенного ущерба было максимальным при ограниченных затратах на построение СЗИ СОИ: max 7(7 ,) n = \,N\m = \,M;i = \,2K -I R R (3.2.1)
Для решения этой задачи целесообразно использовать алгоритмы оптимизации, использующие методы прямого поиска. В частности, для решения рассматриваемой задачи хорошие результаты, с точки зрения быстродействия и точности вычислений, дает использование метода прямого поиска Хука и Дживса [48].
Суть данного метода заключается в поиске максимума многомерной функции с помощью многошаговой процедуры, на каждом шаге которой изменяется только одна переменная, тогда как другие остаются постоянными, пока не будет достигнут максимум. При этом используются априорные сведения и в то же время отвергается устаревшая информация. Алгоритм, реализующий метод Хука и Дживса, состоит из следующих операций (Рис. 3.2.1): 1. Задаются начальные значения всех элементов х, а также начальное приращение Ах. 2. Вычисляется значение функции /(У) в базисной точке ( ). 3. В циклическом порядке изменяется каждая переменная , (каждый раз только одна) на выбранные величины приращений (Ах,) и вычисляется значение f(x). Если приращение не улучшает целевую функцию, x\J) изменяется на [-Лх,0)], и значение f(x) проверяется, как и ранее. Если значение f(x) не улучшается в точках х,0) = х," ± Аху, то значения переменных остаются без изменений.
4. На каждом шаге вычислений значение ЦФ сравнивается с ее значением в предыдущей точке: если /(к\х) /(к1)(х),го / 00 = / 00, если /(t)00 /( -(х), то /(t)0O = /Ci)00. Примечание. Пункты 1-4 описывают исследующий поиск типа 1.
5. Из полученной новой базисной точки х проводится поиск по об разцу в соответствии с правилом акселерации: х,(і+,)=2х,№)-х,(В),где x,tS) - предыдущий базисный вектор х. Для вектора x,(t+1 вычисляют значение целевой функции f[x + ].
6. Проводят исследующий поиск в соответствии с п.п. 2-4, беря за на чальные значения параметров, полученные в процессе поиска по об разцу (см. п.5 вектор х ). Успех или неуспех поиска оценивается путем сравнения получаемых значений целевой функции с f[x ], — (т) „ , где f[x ] - значение целевой функции, вычисленное по результатам поиска по образцу.
7. Если по результатам исследующего поиска по п.6 окажется, что по иск по образцу был неудачным, то начинают исследующий поиск ти па 1, используя в качестве базисного вектора х
8. При достижении стадии, на которой ни исследующий поиск типа 1, ни поиск по образцу (вместе с последующим исследующим поиском) не являются успешными в любом координатном направлении, говорят, что оба они неудачны, и возмущение Дх уменьшают до величины: Ах = Ах. . Л —, і,новое і, предыдущее - где - число последовательных неудач в исследующих поисках при данной величине шага, начиная от последнего успешного исследующего поиска. 9. Если АХІ новое, Б„ где - некоторая наперед заданная допустимая величина, то переходят к п.п. 2-8. В противном случае вычисления прекращают и в качестве оптимального используют вектор, вычисленный в п.6.
