Содержание к диссертации
Введение
1 Структурно-функциональное описание социотехнических информационных систем в контексте анализа средств и методов оценки их защищенности ..116
1.1 Теоретико-множественный подход в описании социотехнических информационных систем в контексте обеспечения их безопасности.Л 6
1.2 Существующие методики оценки защищенности социотехнических информационных систем 29
1.3 Возможности использования математического аппарата теории чувствительности с целью анализа информационной защищенности 38
1.4 Основные выводы 1 главы 47
2 Разработка методического обеспечения оценки защищенности информационных систем с помощью функций чувствительности 48
2.1 Математическое описание информационных систем 48
2.2 Параметрические модели и общие уравнения чувствительности информационных систем 52
2.3 Уравнения чувствительности высших порядков 54
2.4 Аналитическое представление однопараметрического семейства решений 57
2.5 Уравнения дополнительного движения переменных системы 55
2.6 Оценка погрешности первого приближения 59
2.7 Чувствительность па бесконечных интервалах времени 65
2.8 Интегральные оценки функций чувствительности. Показатели качества 68
2.9 Основные выводы 2 главы 70
3 Разработка моделей чувствительности для социотехнических информационных систем в контексте оценки их защищенности 71
3.1 Разработка топологической модели социотсхнических информационных систем для анализа ее чувствительности 71
3.2 Анализ защищенности топологической модели информационной системы с помощью уравнений чувствительности высших порядков 82
3.3 Основные выводы 3 главы 96
4 Практическое применение методики оценки защищенности для социотехнических систем с различной топологией 98
4.1. Исследование чувстзительности СТИС с различной топологией 98
4.2 Статистические характеристики множества дестабилизирующих факторов 114
4.3 Основные выводы 4 главы 131
Заключение 133
Список литературы
- Существующие методики оценки защищенности социотехнических информационных систем
- Возможности использования математического аппарата теории чувствительности с целью анализа информационной защищенности
- Параметрические модели и общие уравнения чувствительности информационных систем
- Анализ защищенности топологической модели информационной системы с помощью уравнений чувствительности высших порядков
Введение к работе
Актуальность темы. Внедрение новых информационных технологий, базирующихся на широком использовании средств кибернетики в различных сферах жизнедеятельности, закладывает прочную основу для развития глобального информационного сообщества, В настоящее время в индустриально развитых странах мира осуществляется переход к "информационному обществу1 , образование которого будет означать революционное изменение экономических и социальных отношений. Функционирование современного государства, его социальная, политическая, экономическая, индустриальная и военная сферы находятся в прямой зависимости от работы вычислительных и информационных сетей, систем связи и управления, электронных устройств и программного обеспечения, составляющих техническую базу информационного пространства и одновременно обуславливающих его уязвимость [61, 89, 96].
Широчайшее использование информационных инфраструктур привнесло нам угрозы информационной безопасности, которые в последнее время стали носить поистине глобальный характер. По мнению экспертов [25, 33, 61, 83, 96, 108], ежегодный ущерб в этой сфере в России оценивается в сотни миллионов долларов, мировой ущерб десятки миллиардов долларов. Причем этот ущерб оценивается, в основном, как стоимость потерь рабочего времени на устранение последствий угроз. Точный ущерб от хищения информации, как нового вида собственности, вообще затруднительно посчитать [94, 100-101, 104,106,108,111, 113,123, 132].
По мере роста интенсивности использования информационных технологий количество информационных угроз увеличивается, степень негативных последствий от их реализации возрастает [92-95, 108, 123, 131-132].
Поэтому со всей остротой выходят вопросы о том, готова ли Россия влиться в интернациональные информационные инфраструктуры, какова будет ее роль в создании глобальных систем. От этого, безусловно, в самом ближайшем будущем будут зависеть вопросы национальной безопасности нашего государства [2-3, 7, 114, 122-126,131, 137,140].
Для защиты от новых угроз необходимо формировать инфраструктуру информационной безопасности, позволяющую получить защищенный информационный продукт.
При этом инфраструктура должна учитывать современный уровень развития информационных технологий, быть адаптивной по отношению ко вновь возникающим угрозам информационной безопасности, учитывать перспективы развития информационных технологий, создавать доверительную среду межведомственного и иного информационного обмена [42-45, 80, 82-84, 94-95,97-101,104, 106,108-109, 111-112, 130, 132, 135, 137,139].
Вместе с тем, в современном обществе, где человек стремится автоматизировать не только большинство производственных процессов [2-4, 7, 22, 23, 57-58, 61-63, 137, 156, 171], но и управление ими, на первый план выходит проблема защиты социотехнических информационных систем (CTHCj [11-13, 41-43, 63, 66, 85, 89, 96-99, 137, 140 ,146, 164, 171-173]. Характерным примером социотехнической информационной системы является современный объект информатизации, представляющий собой сложную совокупность таких разнородных компонентов, находящихся во взаимодействии, как люди, информационные ресурсы, автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, а также помещения, предназначенные для ведения конфиденциальных переговоров.
Обеспечение безопасности таких систем вызывает серьезные трудности, связанные со сложностью информационных процессов, участием человека как необходимого звена функционирования СТИС, а также существенной неопределенностью в описании данных систем. Функционирование таких систем характеризуется многообразием и сложностью влияния на СТИС социальных, экономических, политических, природных, технических и др. факторов, приводящих к поступлению в систему новой для нее информации.
Новая информация, поступающая извне, и возмущения, происходящие внутри системы, приводят к модификации исходных данных, необходимых для функционирования системы и ее защиты. При этом могут меняться цели, решаемые задачи и ресурсы социотехническои системы, поэтому ее защита также должна постоянно модифицироваться [12-17, 20-23, 54, 61-69, 90-92, 98, 105]. Это означает, что необходимо решать множество задач защиты в изменяющихся условиях, т.е. в нечетко определенной обстановке. Последнее связано с тем, что цели и допустимые стратегии защищающейся стороны и злоумышленника могут быть описаны только в нечеткой форме /47/, так как выполнение цели защиты зависит не только от действий защищающейся стороны, но и от действий злоумышленника, цели которого являются прямо противоположными целям защиты.
Если рассматривать под таким углом информационную систему, то классические методы определения степени ее защищенности не могут достаточно точно отразить складывающуюся картину. Непосредственное влияние субъективного фактора вызывает существенные возмущения информационных процессов накопления и обработки, т.к. это способствует проявлению целой серии дестабилизирующих факторов (ДФ), которые являются следствием как объективных, так и субъективных факторов на всех жизненных этапах системы.
В связи с этим необходима разработка эффективной модели, которая устанавливала бы связь процессов обработки и накопления информации с проявлениями различного рода ДФ. Кроме того, для эффективного синтеза защищенных социотехнических информационных систем необходимо, прежде всего, иметь качественную оценку их защищенности с точки зрения исходного структурного построения СТИС [13, 40-43, 58, 69,98].
Существуют различные методы оценки защищенности информационных систем [3, 11, 32, 40-43, 50, 58, 77, 126, 151, 153, 158, 170, 168]. В настоящее время технология оценки защищенности информационных систем зачастую базируется на экспертных оценках, и положениях различных руководящих документов. Согласно рекомендациям данных документов информационная система, в зависимости от своего класса, должна обладать подсистемой безопасности с конкретными свойствами [32, 40, 42, 58, 125, 137, 138, 140, 146, 151, 156, 164, 166, 171-175]. Анализ ее защищенности при этом выполняется формально, с использованием частных методик. Данные методики, как правило, применимы только в определенных условиях и для конкретных информационных систем. Они слабо учитывают их структурные особенности и динамику информационных процессов. Это не позволяет использовать методики при оценке всевозможных информационных систем с достаточной эффективностью и точностью.
Наиболее точную оценку степени защищенности СТИС возможно получить только на основе исследования движения характеристик системы при воздействии дестабилизирующих факторов [44]. Для этого необходимо воспользоваться положениями теории чувствительности [24, 31, 44, 112, 113].
Для адекватного описания СТИС как объекта защиты необходимо учитывать набор качественных показателей информации [40-43, 98, 99], циркулирующей в системе. Математически этот набор представляет собой вектор. Именно этот вектор характеризует основные свойства, а также множество возможных состояний СТИС. При этом вводятся так называемые переменные состояния или характеристики системы, которые соответствуют ее структурному представлению. Так как свойства СТИС определяются информацией, циркулирующей в ней, то необходимо сопоставить значения характеристик системы (как входных, так и выходных) с заранее выбранными оптимальными показателями, показателями качества информации [98].
Далее, если сопоставить множество угроз информационной безопасности с набором возмущений системы [24, 31, 44, 112, 113] (по теории чувствительности), то можно будет изучать действие этого набора на внутренние и, соответственно, выходные параметры системы.
С другой стороны, помимо характеристик состояния и возмущений в лице угроз информационной безопасности, свойства и функционирование реальных СТИС зависят от много численных, обычно неконтролируемых, дополнительных факторов, которые отражают особенности каждого образца системы условий его функционирования, В теории чувствительности различные факторы такого рода называются параметрами,
С точки зрения информационной безопасности часто больший интерес представляет категория параметров, под которыми понимаются величины, определяющие отличие режимов функционирования идентичных образцов системы, т.е. параметры внешней среды и условий эксплуатации. В контексте информационной безопасности такие параметры являются дестабилизирующими факторами, которые постоянно оказывают воздействие на компоненты СТИС, Множество дестабилизирующих факторов, как уже было сказано, генерируется множеством угроз безопасности информации. Поэтому фактический интерес представляет исследование движения во времени СТИС при изменении их параметров, т.е. при воздействии дестабилизирующих факторов.
Свойство изменения параметров состояния модели информационной системы при изменении ее параметров воздействием дестабилизирующих факторов называется чувствительностью системы. Основным методом исследования теории чувствительности является использование так называемых функций чувствительности, на основе которых рассматривается основное или базовое движение системы (с базовой совокупностью дестабилизирующих факторов). Но при изменении воздействия дестабилизирующих факторов возникает дополнительное движение системы, которое характеризует изменение интересующих исследователя свойств СТИС при изменении параметров.
Именно изучение свойств дополнительных движений и установление их связи со свойствами исходной системы является основной задачей исследования чувствительности,
С учетом вышеизложенных условий, такая задача наиболее полно осуществима на основе положений теории чувствительности, поскольку данный подход учитывает и динамику информационных процессов, и структурное построение системы, а также позволяет получить наиболее точную оценку степени защищенности на основе исследования движения ее параметров при воздействии угроз (совокупности ДФ).
Целью работы является разработка методик оценки защищенности СТИС с использованием функций чувствительности.
Для достижения поставленной цели необходимо решить следующие задачи;
• Построить модель социотехнической информационной системы, которая отображает реализуемые в системе информационные операции с учетом показателей качества информации;
• Получить аналитическое выражение дополнительного движения переменных состояния системы при воздействии дестабилизирующих факторов на основе уравнений чувствительности.
• Разработать методику оценки степени защищенности информационной системы на основе соответствия величин дополнительного движения допускам безопасности,
• Получить аналитические выражения функций чувствительности различных вариантов структурно-функционального построения СТИС, включая оценку по защищенности рассмотренных ИС.
• Получить аналитические выражения математического ожидания, дисперсии и коэффициента корреляции для дестабилизирующих факторов, дополнительного движения и показателей качества информации.
Объектом исследования является защищаемая социотехническая информационная система.
Предмет исследования: движение характеристик системы при воздействии дестабилизирующих факторов.
Методы исследовании. Для решения поставленных задач в работе используются методы системного анализа, теории чувствительности, методы математического моделирования, экспертного оценивания и оптимизации.
Научная новизна. В работе получены следующие новые научные результаты:
Ь Модель информационной системы (СТИС), отличающаяся от аналогов ее универсальным структурно-функциональным описанием и учетом качественных показателей информации в динамике.
2. Модель СТИС, которая, в отличие от известных, учитывает чувствительности параметров и дополнительное движение системы при воздействии дестабилизирующих факторов в пространстве допусков безопасности,
3. Методика оценки защищенности системы, в отличие от аналогов, позволяющая на основе нечетких переменных установить степень защищенности системы, на основе соответствия величин дополнительного движения системы допускам безопасности.
4. Методика решения уравнений чувствительности, отличающаяся от известных тем, что базируется на табличном нахождении решений для набора фиксированных значений переменной времени с последующей интерполяцией.
5. Аналитические выражения функций чувствительности различных вариантов структурно-функционального построения СТИС, включая оценку по их защищенности.
6. Аналитические выражения математического ожидания, дисперсии и коэффициента корреляции, полученные для дестабилизирующих факторов, дополнительного движения и показателей качества информации.
Практическая ценность. Разработанное в диссертации методическое обеспечение оценки защищенности социотехнических информационных систем позволяет провести анализ чувствительности различных вариантов структурно-функционального построения СТИС и выработать проектные решения, касающиеся защиты наиболее уязвимых компонентов СТИС с точки зрения безопасности информации.
Научные результаты, полученные в диссертационной работе, были внедрены в Воронежском филиале ОАО «ЦентрТелеком», что подтверждено соответствующим актом внедрения.
Кроме того, полученные результаты используются в Воронежском государственном техническом университете и Международном институте компьютерных технологий в ходе курсового и дипломного проектирования на кафедре «Системы информационной безопасности» студентами специальностей 075500 «Комплексное обеспечение информационной безопасности автоматизированных систем» и 075300 «Организация и технология защищиты информации» по общепрофессиопальным дисциплинам «Системы и сети передачи информации», «Безопасность вычислительных сетей», что подтверждено актами внедрения в учебные процессы указанных ВУЗов,
Апробация работы. Результаты работы обсуждались на следующих конференциях:
- Региональной конференции молодых ученых «Проблемы передачи, обработки и защиты информации в технических, биологических и социальных системах» (Воронеж, 2003);
- Региональной научной конференции молодых ученых «Методы и системы передачи и защиты информации в субъектах РФ, региональная и муниципальная, корпоративная информационная безопасность» (Воронеж, 2003);
- Региональной научной конференции молодежи «ЮниорИнфоСофети» (Воронеж, 2006);
- Научных конференциях профессорско-преподавательского состава ВГТУ, Воронеж, 2002-2005 г.г.
Публикации. Основное содержание диссертационной работы отражено в 10 научных статьях и докладах.
В работах, опубликованных в соавторстве, лично соискателю принадлежат: структура комплексной защиты информационных систем [1]5 классификация угроз безопасности ИС при воздействии различных ДФ [2], зависимость между дополнительным движением системы и функциями чувствительности [5], представление системы уравнений ИС набором матриц чувствительности [6], построение матрицы чувствительности в абсолютном виде, а совокупности дестабилизирующих факторов и наборов интервалов безопасности в относительном виде [7], методика оценки степени защищенности информационной системы на основе соответствия величин дополнительного движения допускам безопасности [7], модель структурно-функционального описания социотехнической информационной системы по показателям качества [8].
На защиту выносятся:
1. Модель структурно-функционального описания СТИС, отображающая реализуемые в системе информационные операции с учетом показателей качества информации.
2. Аналитическое выражение дополнительного движения переменных состояния системы при воздействии дестабилизирующих факторов на основе функций чувствительности.
3. Методика оценки степени защищенности информационной системы на основе соответствия величин дополнительного движения допускам безопасности,
4. Аналитические выражения функций чувствительности различных вариантов структурно-функционального построения СТИС, включая оценку по их защищенности.
5. Аналитические выражения математического ожидания, дисперсии и коэффициента корреляции, полученные для дестабилизирующих факторов, дополнительного движения и показателей качества информации.
Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения, приложения и списка литературы из 203 наименований. Основной текст изложен на 151 странице. Работа содержит 10 рисунков и 3 таблицы.
Во введении обоснована актуальность темы диссертации, сформулированы цели и задачи исследования, представлены основные научные результаты, выносимые на защиту, и описана их новизна.
В первой главе
На основе теоретико-множественного подхода в описании социотехнических информационных систем с учетом воздействия дестабилизирующих факторов на информационное пространство, сформулированы основные задачи исследования.
Обоснована целесообразность использования топологических методов для структурного описания СТИС на основе теории графов, включая топологическую формализацию моделей деструктивных информационных операций и угроз безопасности по показателям качества информации как проявлений данных информационных операций.
На основе анализа структурной специфики СТИС и динамики информационных процессов, предложено использовать положения теории чувствительности для оценки защищенности СТИС. Исследованы возможности использования для решения этой задачи положений теории чувствительности, включая уравнения чувствительности разных порядков, функции чувствительности, дополнительное движение системы.
Во второй главе предложено математическое описание ИС как конечномерной линейной монотонной системы, зависящей от параметра.
В развитие данного описания получены аналитические выражения для уравнений чувствительности по нескольким и одному параметру, уравнений чувствительности высших порядков, уравнений дополнительного движения системы при изменении параметров, осуществлен переход к представлению дополнительного движения через функции чувствительности на бесконечных интервалах времени и качественным оценкам, не зависящим от времени. Для отражения защищенности информации в ИС предлагается рассматривать поведение показателей качества, соответствующих переменным состояния системы.
В третьей главе осуществлено построение топологической линейной модели СТИС, отображающей реализуемые в системе информационные операции с учетом показателей качества.
Предложена методика оценки защищенности СТИС, включающая:
1. Разбиение топологической схемы СТИС (графа информационной системы) на семь карт, соответствующих семи показателям качества информации, и составление системы дифференциальных уравнений, описывающих динамику информационных показателей качества для каждой из семи карт.
2. Переход к уравнениям чувствительности первого и второго порядка, их решение, формирование матриц чувствительности системы первого и второго порядков в относительной форме.
3. Определение набора ДФ и формирование совокупности векторов возмущений в относительной форме, соответствующих проявлению этих ДФ, переход к интегральным относительным оценкам дополнительного движения по показателям качества.
4. Определение наиболее и наименее защищенных узлов системы па основе соответствия матрицы величин дополнительного движения набору интервалов безопасности.
В четвертой главе получены аналитические выражения функций чувствительности наиболее распространенных вариантов структурного построения СТИС типа прямая и обратная иерархия, «звезда», «кольцо», «каждый с каждым». Выявлены наиболее и наименее уязвимые узлы СТИС.
С использованием теории вероятности и теории нечетких множеств исследованы статистические характеристики дестабилизирующих факторов, в результате были получены аналитические выражения математического ожидания, дисперсии и коэффициента корреляции для дестабилизирующих факторов, дополнительного движения системы и показателей качества информации.
В заключении обобщены основные результаты диссертационной работы.
В приложении получены численные значения математического ожидания, дисперсии и коэффициентов корреляции для дестабилизирующих факторов и показателей качества информационной системы.
Существующие методики оценки защищенности социотехнических информационных систем
На сегодняшний день методология оценки уязвимости ипформации [40-43, 50, 58, 126, 151, 168] состоит из трех элементов: системы показателей уязвимости, системы угроз информации и системы моделей определения текущих и прогнозирования ожидаемых значений показателей уязвимости. Однако практическая реализация данной методологии сопряжена с преодолением больших трудностей, связанных с формированием баз исходных данных, необходимых для обеспечения моделей оценки уязвимости.
Научно обоснованное определение (в том числе и в количественном выражении) требуемого уровня защиты на каждом конкретном объекте и в конкретных, изменяющихся условиях его функционирования сопряжено с определенными трудностями в связи с тем, что на требуемый уровень защиты оказывает влияние большое количество разноплановых факторов и зачастую он оценивался качественными показателями. В ряде работ [40, 42, 43, 50, 31, 150] рассмотрен подход к более объективному определению требуемого уровня защиты, основанный на структуризации факторов, влияющих на этот уровень, и количественных оценках этих факторов, которые определяются экспертным путем.
Проблема определения требований к защите информации имеет комплексный характер и рассматривается как в организационном, так и в техническом аспектах [40, 158, 50, 5, 91, 63, 122, 156], Причем в условиях автоматизированной обработки информации существует большое количество каналов несанкционированного ее получения, которые не могут быть перекрыты без применения специфических технических и программно-аппаратных средств. Это серьезно повышает удельный вес технических аспектов и приводит к необходимости определения требований к системам защиты, содержащим указанные средства [32, 40, 42, 58, 125, 137, 138, 140, 146,151,156, 164, 166,171-175].
На сегодняшний день используется подход, основанный на выделении некоторого количества типовых систем защиты, рекомендуемых для использования в тех или иных конкретных условиях и содержащих определенные механизмы защиты, т.е. подход, базирующийся на создании системы стандартов в области защиты информации [80,176-180,182-193].
Основу такой системы, действующей в настоящее время в Российской Федерации, составляют руководящие документы, разработанные Гостехкомиссией России в начале 90-х годов и дополненные впоследствии рядом нормативных актов. Эти документы были созданы в результате исследований и практической деятельности в данной области министерств оборонных отраслей промышленности и министерства обороны СССР, и с учетом «Критериев оценки доверенных компьютерных систем» министерства обороны США, которые известны под названием «Оранжевая книга», и которые вместе с Европейскими и Канадскими критериями легли в основу «Общих критериев» (стандарта ISO 15408-99 «Критерии оценки безопасности информационных технологий») [147, 191-193].
Если не касаться вопросов криптографии и защиты информации от се утечки через ПЭМИН, которые решаются во всех странах на национальном уровне, общие вопросы обеспечения безопасности информационных технологий развиваются во всех странах параллельно, а в последние годы совместно. Основу обеспечения безопасности информационных технологий составляет решение трех задач: обеспечение секретности (конфиденциальности), обеспечение целостности и обеспечение доступности. Эта основа заложена в стандартах, касающихся обеспечения безопасности информационных технологий, практически всех стран [1, ПО, 114,125, 142-145,147,151,191-193],
Во всех документах Гостехкомиссии России используется методологический подход, принятый в свое время при разработке «Оранжевой книги». В последней, в частности, предусмотрено шесть фундаментальных требований, которым должны удовлетворять вычислительные системы, использующиеся для обработки конфиденциальной информации. Эти требования касаются стратегии защиты, подотчетности, а также гарантий защиты [191].
Из других разработок, основанных па этом же подходе, могут быть также названы предложения министерства торговли и национального бюро стандартов США, министерства промышленности Великобритании и некоторые другие [114, 142-145].
Аналогичный подход реализован и «Общих критериях». Анализ этого международного стандарта, проведенный российскими специалистами, свидетельствует о том, что он полностью соответствует по сути сложившейся в России методологии защиты информации от НСД. Однако по уровню систематизации, полноте и степени детализации требований, универсальности и гибкости «Общие критерии» несколько превосходят Российские стандарты [147].
Возможности использования математического аппарата теории чувствительности с целью анализа информационной защищенности
Для эффективного синтеза защищенных ИС необходимо иметь качественную оценку защищенности данного структурного построения ИС.
Наиболее точную оценку степени защищенности СТИС возможно получить только на основе исследовании движения характеристик системы при воздействии дестабилизирующих факторов А [11, 31,91].
Дня качественного описания ИС как объекта защиты необходимо учитывать качественные показатели информации, циркулирующей в системе. Фактически это вектор (1.10): К = К(КК,КА,КЛЧКП,КТ,К1ПКН).
Именно этот вектор характеризует основные свойства, а так же множество состояний информационной системы. При этом xi и у. называются переменными состояния или характеристиками системы, которые соответствуют ее структурному представлению. Исходя из утверждения, что свойства информационной системы определяю ген информацией, циркулирующей в ней [11, 98] необходимо принять значения характеристик системы (как входных, так и выходных) равными вектору значений качества информации, которая находится в узле, описываемом соответствующей переменной xi или yti а если быть точнее - показатели качества информации
К являются фупкгщоналами, определенными на множестве переменных состояния. Множество угроз ИБ Г, является набором возмущений системы, которые оказывают действие на входные переменные состояния системы и вызывает отклонение выходных значений,
С другой стороны никакой набор переменных состояния и угроз безопасности информации Т , как бы широк он ни был, не отражает однозначно всех свойств и особенностей системы, том числе и с позиций ее защищенности. Т.е. по набору характеристик системы невозможно [24, 113] качественно оценить степень защищенности, а простым анализом множества угроз и характера их воздействия на входные переменные - выработать комплекс средств и механизмов защиты информации М Это объясняется тем, что помимо любого набора переменных состояния и возмущений в лице угроз безопасности информации Т свойства и функционирование реальных информационных систем зависят от многочисленных, обычно неконтролируемых, дополнительных факторов, которые отражают особенности каждого отдельного образца системы и условий его функционирования. Различные факторы такого рода называются параметрами [31, 113],
Всю совокупность параметров, определяющих свойство информационной системы, обычно можно разделить на две группы: 1) технические параметры; 2) параметры внешней среды и условий эксплуатации.
Под техническими параметрами понимаются величины, определяющие отличие одного образца системы от другого при одинаковых условиях эксплуатации. С точки же зрения ИБ наибольшей интерес представляет вторая категория параметров, под которыми понимаются величины, определяющие отличие режимов функционирования идентичных образцов системы. В контексте информационной безопасности параметры второй группы являются дестабилизирующими факторами, которые постоянно оказывают воздействие на объекты информационной системы. Множество дестабилизирующих факторов Л, как уже было сказано, генерируется множеством угроз Т безопасности информации. Поэтому фактический интерес представляет не анализ выходной реакции системы при воздействии угроз на входные параметры, описываемой формулой y.=F-xrT или в общем виде: Y=F\XxT, а исследование движения во времени систем при изменении их параметров, т.е. воздействии дестабилизирующих факторов. Следовательно, предыдущая формула примет следующий вид [98]: Y{t,A) = F(U):X(ttA) или с учетом задачи оптимизации; тж\\у$,А)-F(ttA)-xAt9A)\\ rnin (1.13) ! " " i-\A где выходной реакции yM A) = yt{UaXr..taF) (1.14) соответствуют показатели качества КХЛ) = К{{ах аг), (1.15) которые являются однозначными функциями параметров а(,_,а,.
Свойство изменения переменных состояния х, и у1 модели ИС при изменении ее параметров (в нашем случае это обуславливается воздействием дестабилизирующих факторов) называется чувствительностью системы.
Для обеспечения защищенности системы требуется, чтобы она обладала малой чувствительностью по отношению к внешним дестабилизирующим факторам, любой их совокупности. Более того, для создания защищенных ИС, требования к чувствительности системы должны учитываться уже на стадии се проектирования. Структура системы и операторы механизмов защиты должны выбираться соответствующим образом, чтобы обеспечить выполнение условий наименьшей чувствительности во всем диапазоне возможного воздействия дестабилизирующих факторов. Для действующей ИС задача обеспечения ИБ сводится только к применению механизмов защиты, снижающих чувствительность системы, т.е. к проектированию адекватной системы защиты информации.
Параметрические модели и общие уравнения чувствительности информационных систем
Формулы дополнительного движения для общего случая уже приводились в 1.3. Однако для конечномерных систем приведены достаточные условия существования функций чувствительности и общие уравнения для их вычисления. Кроме того, формулы (232) - (2,36) устанавливают связь погрешности п-го приближения дополнительного движения с функциями чувствительности и-И порядка. В частности, оказывается, что если выполнены условия существования непрерывных функций чувствительности второго порядка, то при достаточно малых Да справедливо первое приближение AY(t,Aa) dY(ttaJt которое весьма удобно для исследования общих свойств дополнительного движения. Однако допустимость такого представ.тения должна быть теоретически обоснована. В этом случае необходимо использовать оценки погрешности дополнительного движения при представлении его отрезком степенного ряда по степеням параметра [24,112,113].
Фактически уравнение дополнительного движения представляет собой изменение параметров социотехнической информационной системы при воздействии различных дестабилизирующих факторов. Степень же изменения свойств системы определяют ее функции чувствительности. Таким образом, прослеживается прямая зависимость между дополнительным движением параметров информационной системы и ее
функциями чувствительности. К примеру, при проявлении такой операции нарушения безопасности, как повтор информации, происходит изменение состояния системы за счет многократного дублирования, что приводит к ухудшению коэффициента избыточности. При этом, получая функции чувствительности, описывающие поведение системы в ее узлах относительно изменяющегося показателя качества, молено определить степень защищенности системы от указанного дестабилизирующего воздействия.
Для математической интерпретации чувствительности системы целесообразно рассматривать динамическую систему уравнений, приведенную к безразмерному егіду таким образом, что характерные значения переменных состояния уі и параметров а порядка единицы. Тогда матрица чувствительности такэюе будет безразмерной и ее компоненты по смыслу будут близки к числу обусловленности задачи по рассматриваемому параметру В данном контексте число обусловленности будет являться мерой чувствительности системы.
Таким образом, если значения матрицы чувствительности S порядка единицы, то система малочувствительна к возмущению параметра (относительное возмущение движения системы того лее порядка, что и относительное возмущение параметра), если Dice S»\t то движение системы сильно чувствительно к изменению параметра (малые относительные изменения параметра будут приводить к большим изменениям в траектории движения системы).
Величина в правой части (2,66) может быть оценена на основе уравнений чувствительности изложенным рекуррентным способом, В принципе такой метод оценивания без существенных изменений может быть применен и в задачах со многими параметрами [113].
Значение оценки погрешности первого приближения дает возможность определить степень адекватности использования приближенного значения дополнительного движения. Из выражения (2.66) следует, что Л долэюна быть достаточно мала для адекватности приближений. Для социотехиических информационных систем, например, при изменении такого показателя качества как коэффициент актуальности при изменении параметров вследствие проявления нарушений безопасности (задержка информации), валено определить, насколько точно первое приближение соответствует дополнительному движению системы.
Использование классических теорем, приведенных ранее, дает возможность обосновать справедливость приближенного представления дополнительного движения через функции чувствительности (2.36) на конечных достаточно малых интервалах времени. Оценка соответствующих интервалов времени, хотя принципиально возможно, но практически весьма сложна. Поэтому для решения прикладных задач оказывается полезным установить условия, при которых представление (2.36) сохраняет силу при всех t ta, где f0 - постоянная. Если это имеет место, то необходимость оценки величин соответствующих временных интервалов отпадает.
Анализ защищенности топологической модели информационной системы с помощью уравнений чувствительности высших порядков
Запишем уравнения чувствительности п-го порядка для каждой карты у/. Они представляют больший теоретический интерес, чем уравнения первого порядка, тж. позволяют отследить всю полноту движении показателей качества системы, определить скорость, ускорение и другие динамические величины. Имея оценки /7-го приближения дополнительного движения системы (основанные на функциях чувствительности и-го порядка), можно легко лсрейти к первому приближению, определив при этом его ногрсншость И тем самым, обосновывая целесообразность и эффективность его применения [112]. Оценки погрешности первого приближения получаются из уравнений Коши формальным дифференцированием по А, Нас интересуют дифференциалы п-го порядка, что соответствует функциям чувствительности п-го порядка, В общем, формула уравнения чувствительности я-го порядка будет иметь следующий вид (3.9) dt дАц ИЛИ ,/eW я/г OF Однородная часть уравнений чувствительности —-S } совпадает с к уравнениями в вариациях dSin) 8F =JJL iSw (ЗЛО) решая которые определяем начальные условия функционирования системы У 0. Они соответствуют начальным значениям параметров Аа что в контексте безопасности, применительно к СТИС, соответствует условиям ее устойчивого функционирования. , для каждого у/ необходимо иметь
Для рассмотрения я-го приближения необходимо иметь выражения функций чувствительности с 1 по п-й порядок включительно, поэтому вместо оак одной матрицы чувствительности п матриц Ъа{ (3.11) г дЛ каждая из которых является матрицей чувствительности ухо порядка, где j-l(l)n, i=l(l)m, к=1(1)г (как предполагалось ранее, система содержит т узлов, а совокупность дестабилизирующих факторов состоит из г элементов). Получения всех п матриц чувствительности требует большого объема вычислений, однако это упрощается тем, что уравнение чувствительности/-го порядка получается дифференцированием по А уравнения чувствительности/-? порядка. Подставляя во вновь полученное уравнение значения функций чувствительности j-І порядка, полученные на предыдущем шаге, решаем уравнение у-го порядка. Такими последовательными вычислениями получаем все п матриц чувствительности для каждого цг.
Встает вопрос о размерности п: я-е приближения обеспечивает полноту оценки движения системы в том случае, если гс+7-е приближение равно и-му т.е. п+1-я поправка дополнительного движения равна нулю. Поэтому необходимо рассматривать функции чувствительности такого порядка п, который обеспечивал бы необходимую точность оценки дополнительного движения для каждого узла -ft.
Одним из условий существования функции чувствительности п-го порядка является существования п-ой производной по параметру Л. Естественно для различных узлов ft СТИС максимальной порядок п существующей производной будет различным. Поэтому максимальный порядок функций чувствительности определяется максимальным порядком существования производной по А. Представление более высокими порядками уже не имеет смысла, т.к. соответствующие функции чувствительности и поправки будут равны нулю, набор матриц становится избыточным. Иными словами, и = Лг, В ТОМ случае, если Iyv ,\fi, для которого 3 — s (3-12) дЛ т.е. не существует больше такой переменной системы, для которой производная iV-ro существует и не равна нулю.
Докажем справедливость и целесообразность такого представления. Пусть максимальный порядок п определен условием (3.12). Пусть vy, дифференцируемо к раз, где к п. Тогда в случае дифференцирования переменной у г п раз все производные, а, следовательно, и функции чувствительности порядка больше &, будут равны нулю. Тогда и соответствующие поправки дополнительного движения тоже будут раины нулю. Таким образом, если функция имеет к производных, дополнительное дифференцирование п к раз возможно, и не оказывает влияние на результат, т.к. производные высших порядков будут равны нулю. Следовательно, вычисляя величину дополнительного движения, эти производные (функции чувствительности) тоже можно не учитывать. Таким образом, возможно представление системы набором матриц чувствительности, где их количество определяется максимальным порядком дифференцирования переменных состояния /,. Такой набор матриц позволяет полностью описывать чувствительность информационной системы, ее отдельных узлов.
Каждая матрица из набора описывает функции чувствительности своего /-го порядка, і = 1(1)л, где п - максимальный порядок дифференцирования.
Однако, как показывает практика, оценить чувствительность эволюционирующих СТИС с достаточной степенью точности можно используя функции чувствительности только первого и второго порядка, т.е. описывающие скорость и ускорение дополнительного движения. Как было показано выше, матрицы чувствительности получаются в результате решения уравнений [31] чувствительности fJSiJ) r F которые, с учетом высказанного ранее утверждения о том, что уравнение чувствительности j-ro порядка получается дифференцированием no А уравнения чувствительности j-1 порядка [113], примут следующий вид, если при дифференцировании на каждому-м шаге в уравнение подставлять значения функций чувствительности, полученных iiay-7 шаге:
