Содержание к диссертации
Введение
Глава 1. Угрозы безопасности критически важным сегментам информационной сферы: механизмы реализации защиты 12
1.1. Классификация угроз безопасности защищенным информационным системам 12
1.2. Модель потенциального злоумышленника 28
1.3. Механизмы реализации типовых угроз безопасности защищенным информационным системам 33
1.4. Противодействие угрозам информационной безопасности защищенных информационных систем 46
1.5. Принципы моделирования вредоносных воздействий на критически важные сегменты информационной сферы для синтеза
алгоритмов обнаружения угроз их безопасности 48
1.6. Показатель возможностей обнаружения угроз безопасности
критически важным сегментам информационной сферы 50
1.7. Содержательная и формальная постановка задачи 51
Выводы по первой главе 52
Глава 2. Функциональное моделирование механизмов вредоносных воздействий на критически важные сегменты информационной сферы 54
2.1. Методические основы синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы 54
2.2. Структурирование как основа синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы 59
2.3. Формальные основы функционального моделирования воздействия угроз информационной безопасности и процессов их обнаружения 67
2.4. Особенности графической реализации функционального
моделирования воздействия угроз информационной безопасности и процессов их обнаружения 72
2.5. Функциональные модели воздействия угроз информационной безопасности критически важным сегментам информационной сферы 76
2.6. Формирование идентифицирующих признаков вредоносных воздействий на информацию критически важных сегментов информационной сферы 92
2.7. Формирование первичных признаков обнаружения угроз безопасности критически важным сегментам информационной сферы 98
2.8. Первый уровень вторичных признаков обнаружения угроз безопасности информационным ресурсам критически важным сегментам информационной сферы 99
2.9. Второй уровень вторичных признаков обнаружения угроз безопасности информационным ресурсам критически важным сегментам информационной сферы 100
2.10. Методика синтеза алгоритмов обнаружения угроз безопасности
критически важным сегментам информационной сферы на основе
функционального моделирования их вредоносного воздействия 101
Выводы по второй главе 103
Глава 3. Способы и средства обнаружения вредоносных воздействий на критически важные сегменты информационной сферы 106
3.1. Способы обнаружения первичных признаков вредоносных воздействий на критически важные сегменты информационной сферы 106
3.2. Программные средства обнаружения первичных признаков вредоносных воздействий на критически важные сегменты информационной сферы 111
Выводы по третьей главе 115
Глава 4. Оценка эффективности алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы 116
4.1. Оценка эффективности алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы в условиях традиционного подхода 116
4.2. Оценка эффективности алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы, основанно о на моделировании механизмов вредоносных воздействий 116
Выводы по четвертой главе 118
Заключение 119
Литература
- Механизмы реализации типовых угроз безопасности защищенным информационным системам
- Структурирование как основа синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы
- Программные средства обнаружения первичных признаков вредоносных воздействий на критически важные сегменты информационной сферы
- Оценка эффективности алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы, основанно о на моделировании механизмов вредоносных воздействий
Введение к работе
Актуальность темы. Усиливающиеся в последнее время темпы внедрения информационных технологий во все области жизнедеятельности общества свидетельствуют о том, что объективным началом его развития все больше выступает информация [1]. Именно информационная сфера определяет эволюцию современной цивилизации [2].
Вместе с тем, информатизация общества наряду с неоспоримыми преимуществами, неизбежно влечет и негативные феномены. Наиболее характерным отрицательным фактором выступает прогрессирующая информатизация криминала [3], существенно обострившая проблему противоборства в сфере информационных ресурсов [4-7].
Основным направлением противодействия общества негативным явлениям в этом плане выступают мероприятия по повышению эффективности системы защиты информационной сферы [8-10].
Что касается криминальной среды, то основными направлениями в ее противоправной деятельности являются [11-13]:
попытки легализации в использовании информационных технологий для «управления» традиционными видами преступной деятельности;
усиление противоправного влияния собственно в информационной сфере.
Первоочередными объектами противоправных действий криминальной среды являются информационные ресурсы так называемых критических инфраструктур, ущерб от нарушения информационной безопасности которых приводит к особо значительным, а подчас к фатальным последствиям [14 -23].
К таким структурам относятся органы государственного управления, системы управления инфраструктурой связи, финансов, энергетики, транспорта, водоснабжения и чрезвычайных служб. Информационные элементы
этих структур являются критически важными сегментами информационной сферы.
С позиций современной системотехники критически важные сегменты информационной сферы представляют собой защищенные информационные системы, т.е. системы с реализованными механизмами защиты информации. Вместе с тем, несмотря на определенную степень защищенности информационных процессов в таких системах все же существует возможность преодоления их защитных механизмов [24].
Это обусловило необходимость анализа мероприятий по выявлению противоправных действий в отношении информационных ресурсов критических инфраструктур, расследованию неправомерного доступа к компьютерной информации [25 - 30] и исследования эффективности этих мероприятий [31- 39] с целью обоснования единой методологии сбора, обработки, хранения и защиты информации, а таюке обоснования требований к используемым средствам противодействия угрозам информационной безопасности.
Важное место в рассматриваемой системе мер отводится проблеме обнаружения вредоносных воздействий на информационные ресурсы критических инфраструктур [40].
Вместе с тем, проведенный анализ существующих подходов к построению алгоритмов обнаружения различного рода угроз информационной безопасности позволил выявить ряд существенных недостатков. Главной их причиной, по мнению автора, является устарелый подход к решению проблемы обнаружения вредоносных воздействий на компьютерную информацию, основанный на выявлении лишь отдельных признаков таких действий, не связывая их в какую-либо научно обоснованную систему.
Проведенный анализ методов исследования информационных процессов такого класса как информационно-аналитическая деятельность, основанная на компьютерных технологиях, для обнаружения угроз информационной
безопасности дает основание считать, что наиболее приемлемыми для решения этой задачи являются методы функционального моделирования [41 - 44].
Суть функционального моделирования состоит в представлении с нужной степенью подробности системы выполняемых предметных функций, отражающих свои взаимоотношения через ее сущности.
Методы функционального моделирования основываются на следующих принципах [41].
Во-первых, структурный подход к рассмотрению проблемы позволяет иерархически распределять получаемую о предметной области информацию по уровням. Таким образом, обеспечивается представление информации и очерчивается предмет исследования с приемлемым объемом новой информации на каждом новом уровне.
Во-вторых, предполагается отделение организационной структуры и вещественных компонентов структуры от предметных функций и архитектуры информации. Это означает, что в функциональном моделировании игнорируются аспекты используемых информационных технологий, а рассматриваются только функциональные связи и логическая структура информации. Этот принцип следует из того предположения, что моделируемые процессы состоят из взаимосвязанных и взаимозависимых компонентов, работающих совместно для выполнения определенных функций. Эти компоненты могут быть любой природы, включая технические средства и оборудование, программное обеспечение и людей. Однако содержательная сторона целевой деятельности заключается в описании выполняемых системой функций и их взаимосвязей.
Методология функционального моделирования позволяет строить модели, способствующие одновременно как пониманию проблемы, так и передаче результатов представления проблемы другим лицам. Принятие во внимание множества дополнительных точек зрения дает возможность рассмотреть все
аспекты системы при одновременной концентрации внимания в каждый момент времени на одном хорошо определенном элементе.
Расширению понимания проблемы и логичности общей концепции способствует изучение как существенных, так и случайных характеристик объекта исследования. Качество разрабатываемой модели обеспечивается проведением обзорных и итерационных процедур.
Несмотря на то, что совершенствование методологии функционального моделирования стало чрезвычайно актуальной проблемой, специальные исследования, связанные с моделированием информационных процессов для синтеза алгоритмов обнаружения угроз безопасности информационным ресурсам не проводились.
Изложенное дает основание утверждать, что синтез алгоритмов обнаружения угроз безопасности информационным ресурсам методами функционального моделирования является чрезвычайно актуальной задачей, а связанные с этим вопросы нуждаются в проработке, как в методическом, так и в прикладном плане.
Работа выполнена в соответствии с Доктриной информационной безопасности Российской Федерации.
Объектом исследования являются вредоносные воздействия на информационные ресурсы критически важных сегментов информационной сферы.
Предметом исследования выступают методы функционального моделей как инструмент синтеза алгоритмов обнаружения угроз безопасности информационным ресурсам критически важных сегментов информационной сферы.
Целью диссертационной работы является разработка и исследование функциональных моделей информационных процессов для синтеза алгоритмов обнаружения угроз безопасности информационным ресурсам критически важных сегментов информационной сферы.
Для достижения этой цели в работе решены следующие научные задачи:
Проанализированы особенности вредоносных воздействий на информационные ресурсы критически важных сегментов информационной сферы.
Обоснован методический подход к синтезу алгоритмов обнаружения угроз безопасности информационным ресурсам критически важных сегментов информационной сферы.
Разработаны функциональные модели механизмов вредоносного воздействия на информационные ресурсы критически важных сегментов информационной сферы.
4. Проанализирована эффективность алгоритмов обнаружения угроз
безопасности информационным ресурсам критически важных сегментов ин
формационной сферы.
Основные методы исследования. В работе использованы методы системного анализа, математического моделирования, теории информационной безопасности, а так же методы теории вероятностей и математической статистики.
Научная новизна результатов, полученных в диссертации при решении перечисленных задач состоит в следующем:
1. Разработан новый способ синтеза алгоритмов обнаружения угроз
безопасности информационным ресурсам критически важных сегментов ин
формационной сферы, основанный на использовании функционального мо
делирования механизмов вредоносного воздействия на информационные
процессы.
2. Впервые сформулированы основные принципы функционального мо
делирования механизмов вредоносного воздействия на информационные
процессы в критически важных сегментах информационной сферы в интере
сах синтеза алгоритмов обнаружения угроз их безопасности.
3. Разработаны функциональные модели механизмов вредоносного воздействия на информационные ресурсы критически важных сегментов информационной сферы обеспечивающие, в отличие от существующих, высокую степень детализации описания выполняемых вредоносных функций.
Практическая значимость работы.
Разработанные в диссертации методики использованы при обосновании требований к нормативно-правовому и техническому обеспечению защиты компьютерной информации (НИР № госрегистрации 03083258), при обосновании требований к процедурам анализа нормативно-правовых актов и правоприменительной практики органов внутренних дел (HEP № госрегистрации 03083264).
Содержащиеся в диссертационной работе методические результаты и практические рекомендации использованы Главным управлением внутренних дел по Воронежской области при организации защиты информации в подразделениях ГУВД.
Предложенные в диссертации методики использованы в учебном процессе Московского государственного технического университета им Н.Э. Баумана и Воронежского института МВД России.
Внедрение результатов работы. Результаты диссертационной работы внедрены в:
Региональном учебно-научном центре «Безопасность» при Московском государственном техническом университете им. Н.Э. Баумана;
ГУВД по Воронежской области;
Воронежском институте Министерства внутренних дел Российской Федерации.
Внедрение результатов подтверждается соответствующими актами. Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:
1. Международной научно-практической конференции «Обеспечение
общественной безопасности в Центральном федеральном округе Российской
Федерации» (г. Воронеж, 2007 г.) [42].
2. Всероссийской научно-практической конференции «Охрана, безопас
ность и связь - 2007» (Воронеж, 2007 г.) [72].
Публикации: По теме диссертации опубликовано 9 научно-технических статей [14, 32, 40, 44, 81, 82, 90, 91, 92] и 2 доклада [42, 72].
В работах, опубликованных в соавторстве, приведенных в библиографическом списке использованной литературы, лично автором предложены:
в [14] принципы организации противодействия угрозам безопасности в критически важных сегментах информационной сферы с системных позиций;
в [40, 44, 72] процедуры построения алгоритмов обнаружения угроз безопасности сегментов информационной сферы на основе методологического аппарата структурного синтеза;
в [42] модели вероятного злоумышленника в качестве методического основания для разработки функциональных моделей угроз безопасности информационным ресурсам критически важных сегментов информационной сферы, в частности компьютерным системам органов внутренних дел;
в [91] принципы структуризации частных показателей защиты информации с целью интегральной оценки защищенности информационно-телекоммуникационных систем.
Структура и объем работы. Диссертация состоит из введения, четырех глав, изложенных на 135 страницах машинописного текста, 30 рисунков, 5 таблиц, заключения и библиографического списка использованной литературы, содержащего 131 наименование.
Основные положения, выносимые на защиту:
Практические и теоретические результаты решения задачи оценки угроз безопасности критически важным сегментам информационной сферы, полученные с использованием разработанных в диссертации моделей.
Способы функционального представления и структуризации при формировании обобщающего описания противоправных действий, совершаемых в отношении информационных ресурсов критически важных сегментов информационной сферы.
Методические рекомендации по оценке угроз безопасности защищенным информационным системам, позволившие обеспечить адекватность оценки не менее 0.87, что значительно превышает значение данного показателя в условиях традиционного анализа.
Механизмы реализации типовых угроз безопасности защищенным информационным системам
Анализ состояния вопросов эксплуатации защищенных информационных систем различного типа дает основание утверждать, что, независимо от используемых сетевых протоколов, топологии и инфраструктуры РВС, механизмы реализации удаленных воздействий на РВС инвариантны по отношению к особенностям конкретной системы.
Это объясняется тем, что РВС проектируются на основе одних и тех же принципов, и, следовательно, имеют практически одинаковые проблемы безопасности. Отсюда является очевидным тот факт, что, что причины успеха вредоносных воздействий на защищенные информационные системы различного типа одинаковы. Таким образом, появляется возможность ввести понятие типовой угрозы безопасности защищенным информационным системам. Типовая угроза безопасности - это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой РВС. Соответственно типовое вредоносное воздействие - это реализация типовой угрозы безопасности защищенным информационным системам.
Классификация типовых вредоносных воздействий на защищенные информационные системы приведена в табл. 1.2.
Рассмотрим содержание представленных в таблице типовых вредоносных воздействий.
Анализ сетевого трафика. Основной особенностью РВС, как отмечалось выше, является то, что ее объекты распределены в пространстве, и связь между ними осуществляется физически (по сетевым соединениям) и программно (при помощи механизма сообщений). При этом все управляющие сообщения и данные, пересылаемые между объектами РВС, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичной для РВС типовой угрозы безопасности "анализ сетевого трафика" (сокращенно - "сетевой анализ"), заключающейся в прослушивании канала связи.
Реализация угрозы "сетевой анализ" позволяет, во-первых, изучить логику работы РВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы РВС позволяет на практике моделировать и осуществлять типовые вредоносные воздействия.
Во-вторых, подобное вредоносное воздействие позволяет непосредст венно перехватить поток данных, которыми обмениваются объекты РВС. То есть вредоносное воздействие этого типа заключается в получении несанк ционированного доступа к информации, которой обмениваются два сетевых абонента. Отметим, что при реализации угрозы нельзя модифицировать тра фик, а сам анализ возможен только внутри одного сегмента сети. Примером информации, перехваченной при помощи такого типового вредоносного воз действия, могут служить имя и пароль пользователя, пересылаемые в неза шифрованном виде по сети. \
По характеру воздействия анализ сетевого трафика является пассивным воздействием. Осуществление его без обратной связи ведет к нарушению конфиденциальности информации внутри одного сегмента сети на канальном уровне OSI. При этом начало осуществления воздействия, безусловно, по отношению к его цели.
Подмена доверенного объекта РВС. Одна из основных проблем безопасности РВС заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами (абонентами) взаимодействия.
Структурирование как основа синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы
Исходя из общих методологических позиций, анализ и синтез сложных систем и процессов проводится на множестве моделей, описывающих различные аспекты объекта исследования [83, 84]. В контексте данной работы таким объектом являются процессы воздействия угроз безопасности на критически важные сегменты информационной сферы. Это значит, что разрабатываемые процедуры обнаружения этих угроз должны основываться на моделях информационных процессов в исследуемых сегментах информационной сферы. При этом следует заметить, что процессы воздействия угроз ин
формационной безопасности и процессы их обнаружения протекают в рамках информационной среды [85]. Поэтому моделирование процессов обнаружения угроз безопасности критически важным сегментам информационной сферы невозможно без исследования и моделирования самих угроз.
Из классической теории моделирования [86] известно, что модель должна отражать знания о предметной области. Современная наука рассматривает два типа знаний: декларативные и процедурные [87]. Декларативные знания об объекте содержат сведения о некоторых понятиях, их признаках, свойствах, характеристиках, об отношениях между понятиями. Процедурные знания описывают процедуры работы с объектом и позволяют использовать те или иные декларативные знания с целью получения новых знаний о предметной области.
Широта использования общенаучного понятия модели обусловила множество его определений [83]. Однако в каждом из них присутствует семантический аспект, заключающийся в: формировании законченных и непротиворечивых знаний о сущности объекта моделирования (построение некоторого образа, в той или иной степени подобного объекту); имитации поведения объекта (воспроизведение функционирования или смены его состояний во времени).
В нашем случае объектами моделирования выступают процессы воздействия угроз информационной безопасности и процессы их обнаружения.
Классическая теория моделирования классифицирует модели на качественные и формализованные [83]. Качественные модели описывают различные свойства и связи по номинальной шкале или устанавливают их взаимозависимость и подчиненность по порядковой шкале. Наиболее часто качественные модели имеют вербальное описание, но могут быть записаны в виде логических выражений, графов и т.п.
Формализованные модели используются для описания меры зависимости свойств и связей в объекте и обычно выражаются в математической форме.
В настоящее время разработано и апробировано большое количество методов моделирования, позволяющих эффективно решать задачи анализа и синтеза больших систем и процессов различной природы. Классификация видов моделирования по различным основаниям проводится, многими авторами. Однако детальное рассмотрение этого вопроса не входит в задачу данной работы. Вопросы моделирования затрагиваются в той степени, которая необходима для обоснования выбора методов описания и исследования воздействия угроз информационной безопасности и процессов их обнаружения.
Так, например, в [83] приведены четыре основных класса моделей: абстрактные (знаковые и графические), наглядные (изображения), предметные (макеты) и комбинированные. Исходя из приведенной классификации, достаточно очевидно, что для исследования воздействия угроз информационной безопасности и процессов их обнаружения наиболее предпочтителен абстрактный класс моделей.
Множественность методов моделирования означает, во-первых, определенную ограниченность и, во-вторых, отсутствие тривиальной процедуры их выбора, которая во многом зависит от характера самого объекта исследования. В связи с этим сделаем несколько замечаний об особенностях применения классических методов для моделирования воздействия угроз информационной безопасности и процессов их обнаружения.
Применение математических методов для синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы и анализа признаков их воздействия связано с рядом существенных трудностей, в том числе большой размерностью задачи, стохастичностью структуры и взаимосвязей элементов, неопределенностью исходных данных, многовариантностью различных решений, нелинейностью и дискретностью параметров, неалгоритмичнстью функционирования и т.п.
Это существенно затрудняет практическое использование для указанных целей традиционного математического аппарата, который не позволяет описывать процессы воздействия угроз информационной безопасности и процессы их обнаружения, сочетающие предметные, управленческие и информационные аспекты. При попытках формального описания таких процессов не удается: строго его описать; полностью формализовать постановку задач синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы и анализа признаков их воздействия; использовать формальные методы решения задач анализа и синтеза; интерпретировать результаты решения задач.
Учитывая это, задача моделирования воздействия угроз информационной безопасности и процессов их обнаружения не является тривиальной. В связи с этим крайне актуальным является поиск методов упрощения моделей, вытекающих из содержания поставленной задачи. Другими словами, необходим выбор моделей, отвечающих целям исследования, и при этом изоморфных упрощенному образу объекта.
Отмеченные трудности построения моделей воздействия угроз информационной безопасности и процессов их обнаружения можно преодолеть, понизив требования к формализуемости. Для этого достаточно ограничиться изучением общей картины воздействия угроз информационной безопасности и исследованием внутренних связей между отдельными характеристиками угроз при реализации процедур обнаружения этих воздействий. Для этого целесообразно использовать известные структурные методологии [41, 88, 89].
Программные средства обнаружения первичных признаков вредоносных воздействий на критически важные сегменты информационной сферы
Проведенный анализ возможности использования программных средств для обнаружения вредоносных воздействий на информационные ресурсы критически важных сегментов информационной сферы позволил сформировать номенклатуру сертифицированных средств системного и прикладного программного обеспечения [131], позволяющих реализовывать процедуры обнаружения первичных признаков такого рода воздействий (таблица 3.2.1).
Обнаружение первичных признаков вредоносного воздействия на информационные ресурсы критически важных сегментов информационной сферы осуществляется путем: проведения оперативно-розыскных и оперативно-технических мероприятий; использования специальных программных средств контроля вычислительных процессов в компьютерных системах в процессе их функционирования; проведением компьютерно-технической экспертизы программного обеспечения компьютерных систем.
По аналогии с п. 2.1 условно представим структуру неструктурированной системы обнаружения угроз в следующем виде (рис. 4.1.1). Определим значение вероятности Рг0\ обнаружения угроз информационной безопасности по совокупности приведенных в диссертации анализируемых признаков для случая, когда условия определенности и неопределенности в оценке значений этих признаков равновероятны. В этом случае значение pt выражения (2.1.1) составит величину 0.5. Тогда вероятность Рс0) обнаружения угрозы, для случая неструктурированного представления совокупности частных признаков, согласно (2.1.1), составит: Т)=ПА=П-5=0-06 Представим структуру многоуровневой иерархической системы обнаружения угроз в следующем виде (рис. 4.2.1). Определим значение вероятно сти -Р(0) обнаружения угрозы информационной безопасности, для тех же условий, что и при рассмотрении неструктурированной системы распознавания (п. 4.1), т.е. для случая, когда условия определенности и неопределенности в оценке значений анализируемых признаков равновероятны (значение ру выражения (2.1.2) составляет величину 0.5). Тогда вероятность Р(0) обнаружения угрозы информационной безопасности, для случая структурированного представления совокупности частных признаков, согласно (2.1.2), составит: д0) = !-(!_ „( )). (! _ )). (і _ А«). (i _ )= 0.9375, ) = 1-(1- )).(1- )-(1- )-(1- )=0-9375,
/ ) = ). ) = 0.8789. («.і)
Сравнив значения, полученные в (4.1.1) и (4.2.1) можно сделать вывод, что применение разработанного способа позволяет значительно повысить эффективность обнаружения угроз информационной безопасности.
Применение разработанного в диссертации способа обнаружения угроз безопасности информационным ресурсам критически важных сегментов информационной сферы позволяет обеспечить вероятность обнаружения не менее 0.87, что значительно превышает значение данного показателя в условиях традиционного анализа.
Основные научные результаты, полученные в диссертационной работе, состоят в следующем: 1. Обоснована возможность обнаружения угроз безопасности информационным ресурсам критически важных сегментов информационной сферы на основе функционального моделирования вредоносных воздействий. 2. Разработаны функциональные модели вскрытия систем защиты информации и противоправного манипулирования данными и программами. 3. Разработан метод обнаружения угроз информационной безопасности на основе систематизации разнородных признаков вредоносного воздействия. 4. В рамках синтезированных алгоритмов обнаружения угроз информационной безопасности предложены способы и средства обнаружения.
Новым практическим результатом, полученным в диссертации является разработанные алгоритмы обнаружения угроз информационной безопасности обеспечивающие для типовых условий функционирования компьютерных систем критически важных сегментов информационной сферы вероятность обнаружения не менее 0.87, что значительно превышает значение данного показателя в условиях традиционного способа обнаружения.
Оценка эффективности алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы, основанно о на моделировании механизмов вредоносных воздействий
Первое. Представляется в самом обобщенном виде функциональная модель воздействия угроз информационной безопасности критически важным сегментам информационной сферы. Для этого воспользуемся представленной в п. 2.5 обобщенной функциональной моделью вредоносных воздействий на информацию в защищенных информационных системах, адекватно отражающую специфику объекта исследования.
Второе. На основе изложенных в п. 2.2. принципов структуризации осуществляется структурный анализ обобщенной функциональной модели (функционального описания) воздействия угроз информационной безопасности критически важным сегментам информационной сферы. В качестве примера используем представленные в п. 2.5 результаты функционального моделирования такого рода воздействий.
Третье. На основе структурного анализа обобщенной функциональной модели воздействия угроз информационной безопасности критически важным сегментам информационной сферы, в соответствии с приведенной в п.2.6 процедурой, формируется множество признаков, идентифицирующих такого рода воздействия.
Четвертое. Каждому идентифицирующему признаку ставится в соответствие способ его обнаружения. Для этих целей можно использовать приведенные в п.2.6 соответствия.
Пятое. С учетом возможностей приведенных способов обнаружения формируется множество первичных признаков обнаружения вредоносных воздействий на информацию критически важных сегментов информационной сферы. В качестве методической основы для этих целей используется приведенная в п. 2.7 процедура.
Шестое. В соответствии с приведенными в п.п. 2.8, 2.9 правилами формируются вторичные и результирующий признаки обнаружения вредоносных воздействий на информацию критически важных сегментов информационной сферы. При этом учитывается требование соответствия аналитики этих правил содержанию функциональной модели воздействия угроз информационной безопасности.
Выводы по второй главе
1. Основными требованиями к методическому обеспечению синтеза ал горитмов обнаружения угроз безопасности критически важным сегментам информационной сферы являются: требование структурированности совокупности признаков обнаружения угроз; требование иерархичности структуры признаков обнаружения.
В соответствии с первым требованием существует необходимость выявления взаимосвязей между признаками обнаружения угроз, позволяющими представлять их не простой совокупностью, а в виде системы определенным образом связанных элементов.
В соответствии с о вторым требованием имеет место следующее распределение признаков.
Первичные признаки - признаки, формируемые локальными средствами обнаружения нижнего (первого) уровня.
Вторичные признаки - промежуточные признаки, получаемые в результате аналитической обработки признаков предыдущего уровня.
Результирующий признак - признак, используемый на верхнем уровне структуры для принятия решения о наличии угрозы информационной безопасности.
2. Основой синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы и анализа признаков их воздействия является структурирование.
3. Структурный базис описания процесса обнаружения угроз безопасности критически важным сегментам информационной сферы составляют: 104 целевая функция - обнаружение угроз в соответствии с показателем возможностей; входы - первичные признаки обнаружения угроз; выходы - вторичные и результирующий признак наличия угрозы; механизмы - набор правил обнаружения угроз; управления - угрозы информационной безопасности.
При формировании структурного базиса описания процесса воздействия угроз безопасности критически важным сегментам информационной сферы угроз информационной безопасности в качестве целевой функции выступают вредоносные воздействия на информацию с целью ее несанкционированного удаления, копирования и модификации, в качестве входных/выходных данных - результаты вредоносного воздействия на информацию, в качестве механизмов - способы совершения противоправных действий, а в качестве управления - интересы, связные с реализацией такого рода действий.
4. Использование графического языка функционального моделирования в интересах синтеза алгоритмов обнаружения угроз безопасности критически важным сегментам информационной сферы и анализа признаков их воздей ствия имеет ряд особенностей.
Первое, структуризация целевой функции осуществляется в соответствии с опцией "Механизмы" графического языка.
Второе, опции "Управления" и "Входы" и "Управления" и "Выходы" попарно объединены, при этом опция "Управления/Выходы" одной функции является опцией "Управления/Входы" другой функции, что позволяет представить моделируемые информационные процессы в виде алгоритмов: алгоритма вредоносного воздействия на информацию критически важных сегментов информационной сферы и алгоритма обнаружения угроз безопасности этих сегментов.
