Содержание к диссертации
Введение
1 Проблемы учета влияния угроз ИБ на эффективность функционирования корпоративных ТКС 19
1.1 Корпоративные ТКС в банковской системе Российской Федерации 20
1.2 Угрозы ИБ в корпоративных ТКС 24
1.3 Факторы, влияющие на эффективность функционирования ТКС 26
1.4 Методы учета влияния угроз ИБ, оценки защищенности и эффективности функционирования ТКС 28
1.5 Факторы, влияющие на эффективность функционирования ТКС со стороны ИБ 33
1.6 Выводы по главе 1 44
2 Математическая модель эффективности функционирования ТКС 46
2.1 Моделирование состояния ТКС с использованием методов теории надежности 46
2.2 Математическая модель состояния элемента ТКС 48
2.3 Оценка влияния резервирования линий связи на эффективность функционирования ТКС 52
2.4 Оптимизация сетевых топологий для повышения эффективности функционирования ТКС 57
2.5 Исследование влияния неоднородных сегментов на эффективность функционирования ТКС 63
2.6 Выводы по главе 2 68
3 Учет влияния угроз ИБ в математической модели эффективности функционирования ТКС и ее узлов 69
3.1 Влияние угроз ИБ на Кг ТКС 69
3.2 Математическая модель узла связи ТКС как совокупности элементов 71
3.3 Марковская модель узла связи ТКС, учитывающая влияние угроз доступности информации 72
3.4 Исследование влияния угроз доступности информации на Кг узла связи ТКС 75
3.5 Экспериментальное определение вероятности реализации угроз ИБ 81
3.6 Совершенствование метода учета влияния угроз ИБ, направленных на нарушение доступности информации, на эффективность функционирования и защищенность ТКС 86
3.7 Выводы по главе 3 88
4 Применение результатов исследования к оценке эффективности функционирования корпоративной ТКС ПАО Сбербанк Омской области 90
4.1 Математическая модель состояния узла связи ТКС ПАО Сбербанк в Омской области 91
4.2 Определение Кнг узла связи ТКС, вызванного техническими отказами оборудования узла связи 94
4.3 Определение Кнг узла связи ТКС, обусловленного влиянием угроз ИБ 99
4.4 Расчет численный значений Кг узла связи исследуемой ТКС 104
4.5 Расчет характеристик надежности сегментов ТКС ПАО Сбербанк на территории Омской области 107
4.6 Анализ влияния угроз ИБ на эффективность функционирования исследуемой ТКС 121
4.7 Повышение эффективности функционирования ТКС за счет топологических методов 125
4.8 Выводы по главе 4 132
Заключение 133
Список сокращений
- Факторы, влияющие на эффективность функционирования ТКС
- Оценка влияния резервирования линий связи на эффективность функционирования ТКС
- Марковская модель узла связи ТКС, учитывающая влияние угроз доступности информации
- Определение Кнг узла связи ТКС, вызванного техническими отказами оборудования узла связи
Факторы, влияющие на эффективность функционирования ТКС
На эффективность функционирования ТКС в первую очередь влияет работоспособность элементов ТКС. Для элементов ТКС различают 2 основных состояния технических устройств: работоспособное и неработоспособное. Под работоспособным состоянием [100] понимается состояние изделия, при котором оно способно выполнять требуемую функциональность при условии предоставления необходимых внешних ресурсов. Под неработоспособным состоянием [100] – состояние, при котором изделие не способно выполнять требуемую функцию по любой причине. Причины неработоспособности могут иметь различную природу, при этом существуют различные подходы к их классификации. Одним из них является подход, предложенный в [102]. Адаптированная для ТКС версия классификации изображена на рисунке 1.1.
На рисунке 1.1 представлена диаграмма причин отказов элементов ТКС. В красном секторе сгруппированы первичные отказы элемента, причиной которых является элемент сам по себе. Причины первичных отказов могут быть обусловлены как несовершенством технологических процессов при производстве элемента (заводским браком), так и естественным старением элементов по истечению рекомендованного периода эксплуатации. В синем секторе сгруппированы вторичные отказы элементов. Причиной вторичного отказа является не элемент сам по себе, а некие внешние факторы. Ими могут быть некачественные внешние ресурсы, необходимые для нормального функционирования элемента – выход параметров окружающей среды за пределы, предусмотренные производителем обору 27 дования, проблемы связанные с электропитанием оборудования, повреждения, вызванные выходом из строя соседних элементов, инженерно связанных с рассматриваемым. В зеленом секторе сгруппированы отказы, вызванные человеческим фактором и неправильной эксплуатацией оборудования. Преимущественно к ним относятся неправильные команды персонала. Несмотря на то, что в конечном итоге последствием любой из перечисленных выше причин является нарушение работоспособности элемента ТКС, отказы с разными причинами их возникновения учитываются в показателях надежности по-разному.
Рисунок 1.1 – Диаграмма отказов элементов ТКС В соответствии с [100, 101] для оценки работоспособности изделия используется группа показателей Кг. Физическим смыслом Кг является вероятность нахождения изделия в работоспособном состоянии, при условии, что для этого предоставлены все необходимые внешние ресурсы. Благодаря этому свойству Кг позволяет наиболее точно оценить характеристики работоспособности устройства, отсекая те отказы, причиной которых не является элемент ТКС сам по себе. Таким образом, в расчет значения Кг включаются только первичные отказы оборудования (красный сектор рисунка 1.1). Вторичные отказы (синий сектор рисунка 1.1) не могут учитываться при расчете Кг по определению, так как относятся к необходимым для функционирования элемента внешним ресурсам. Отказы, инициированные человеческим фактором (зеленый сектор рисунка 1.1), не должны учитываться в расчете Кг, поскольку по своей природе их причина относится не к техническим характеристикам оборудования, а к трудно прогнозируемому влиянию человеческого фактора. Влияние человеческого фактора освещается в ряде работ [103, 104, 105, 106], посвященных вопросам внедрения в организациях систем управления качеством обслуживания библиотеки инфраструктуры информационных технологий (ITIL) и управления услугами информационных технологий (ITSM). Описанные методики стали фактическими стандартами для использования в крупных организациях. Подход, рассматриваемый в настоящей работе, также ориентирован на средние и крупные организации, в которых влияние человеческого фактора должно компенсироваться выше обозначенным методологическим аппаратом.
Для разработки математической модели в качестве критерия эффективности функционирования ТКС и показателя надежности ее элементов ТКС используется Кг. В качестве отказов, влияющих на его величину, рассматриваются относящиеся исключительно к анализируемому элементу, и произошедшие по его внутренним причинам, не зависящим от внешних факторов и влияния персонала.
В настоящее время для учреждений банковской системы Российской Федерации основными документами, регулирующими систему обеспечения ИБ, явля 29 ется семейство стандартов СТО БР ИББС, разработанных Банком России. В это семейство входят методические документы, посвященные организации процесса, формированию системе менеджмента и методике оценки соответствия действующей системы нормам данных стандартов. В [77] предлагается система оценки, основанная на экспертном заключении о соответствии действующей системы организации защиты информации в учреждении положениям, изложенным в [107]. Поскольку эти рекомендации носят общий рекомендательный характер и не описывают ни конкретных технических решений, ни математической оценки их эффективности, то система оценки представляет собой один из вариантов экспертной оценки, усовершенствованный с целью обеспечения наглядной визуализации результатов и облегчения работы экспертов. Таким образом, данному подходу, хоть и в меньшей степени по сравнению с остальными, присущи все негативные признаки экспертной оценки, такие как [108]: возможность влияния заинтересованных лиц на результат оценки; сложность оценки случайных событий и их сочетаний, влияние психологии восприятия рисков; волюнтаризм и зависимость от квалификации экспертов; сложность соотнесения балльных оценок экспертов и действительного состояния оцениваемого объекта.
Еще одной сложностью в оценке эффективности функционирования ТКС является то, что характеристики эффективности функционирования не находятся в прямой зависимости с техническими характеристиками и параметрами ТКС. Этот факт нашел отражение в информационно-центричном подходе к выполнению процедуры оценки. При использовании информационно-центричного подхода производится оценка не отдельных технических параметров (таких как величина времени задержки, пропускная способность канала связи и т.п.), а иного общего показателя, характеризующего эффективность и качество функционирования ТКС в целом.
Оценка влияния резервирования линий связи на эффективность функционирования ТКС
На основании наблюдений за состоянием устройств ТКС, возможно определить число их отказов и время нахождения в работоспособном и неработоспособном состоянии. На основании этих данных возможно создать математическую модель характеристик надежности оборудования ТКС и использовать ее для прогнозирования состояния оборудования в произвольный момент времени.
Каждый элемент ТКС представляет собой совокупность определенных технических устройств (оборудования). Оборудование элемента ТКС представляет собой восстанавливаемые объекты. На рисунке 2.1 представлен граф состояний оборудования, где состоянию 1 соответствует исправное состояние объекта, состоянию соответствует 2 неисправное состояние, А. - интенсивность потока отказов, - интенсивность потока восстановлений.
Когда состояние оборудования стабилизировано (оно находится либо в исправном, либо в неисправном состоянии), его поведение можно уподобить поведению невосстанавливаемого объекта. При исключении из рассмотрения времени восстановления устройства (поскольку в это время отказ произойти не может) отказы формируют поток [122]. В соответствии с [49, 123] интенсивность потока отказов будет рассчитываться по (2.3): где n(t) - число устройств, находящихся в неработоспособном состоянии на интервале времени t, t - интервал времени, Nср - среднее число устройств, находящихся в работоспособном состоянии на интервале времени t. Также в соответствии с [124, 125, 126, 127, 128] интенсивность потока отказов можно выразить посредством вероятности безотказной работы и частоты отказов (2.4): т = И, (2.4) где N0 - число устройств, находящихся в работоспособном состоянии на момент начала наблюдения, a(t) - средневзвешенная вероятность нахождения устройства в неработоспособном состоянии. Средневзвешенная вероятность нахождения устройства в неработоспособном состоянии определяется по (2.5): aCAt) = n(At)XtB, (2.5) v N0xAt где n(t) - число устройств, находящихся в неработоспособном состоянии в интервале времени t, tB - средневзвешенное время нахождения устройства в неработоспособном состоянии, No - число устройств, находящихся в работоспособном состоянии на момент начала наблюдения, t - интервал времени. Поскольку отказы устройств являются случайными событиями и подчиняются экспоненциальному закону распределения, достоверно определить количество устройств, находящихся в работоспособном состоянии в произвольный момент времени не представляется возможным. Для этого следует использовать математический аппарат прогнозирования числа устройств, находящихся в работоспособном состоянии, N(t) в зависимости от средневзвешенного времени нахождения устройства в неработоспособном состоянии и длины временного интервала (2.6): где n(t) - число устройств, находящихся в неработоспособном состоянии на интервале времени t, tB - средневзвешенное время нахождения устройства в неработоспособном состоянии, No - число устройств, находящихся в работоспособном состоянии на момент начала наблюдения, t - интервал времени. Таким образом, среднее число устройств, находящихся в работоспособном состоянии на заданном интервале времени t будет определено по (2.7): Ncp = №), (2.7) где No - число устройств, находящихся в работоспособном состоянии на момент начала интервала наблюдений, N(t) - число устройств, находящихся в работоспособном состоянии на момент конца интервала наблюдений. Поскольку для каждого из рассматриваемых устройств процесс восстановления начинается сразу же после отказа, то время нахождение устройства в неисправном состоянии будет тождественно времени его восстановления. Далее в тек 51 сте под tB подразумевается средневзвешенное время восстановления устройства. Величина tB определяется на основании данных наблюдений за массивом соответствующих устройств в рассматриваемом интервале времени. Для определения средневзвешенного времени восстановления на основании собранных статистических данных производится построение графика аппроксимирующей функции, описывающей соответствующий закон распределения величины наблюдаемого времени восстановления в диапазоне Xi - ХІ, где X - наблюдаемое время восстановление,. Таким образом, tB определяется по (2.8): tB=-J[f{i), (2.8) где і - число случаев восстановления работоспособности устройства в рассматриваемом периоде, f(i) - функция распределения времени восстановления.
Время рекомендуемой эксплуатации (наработки на отказ) телекоммуникационного устройства рассчитывается таким образом, что влиянием старения устройства на его эксплуатационные характеристики и показатели надежности можно пренебречь. Таким образом, отказы, образующие поток, распределены по закону Пуассона. Поскольку отказ устройства может произойти только во время его нахождения в исправном состоянии (до или после восстановления), то поток отказов носит экспоненциальный характер. Вероятность безотказной работы в момент времени t в этом случае определяется в соответствии с [129] по (2.9):
Зависимость (2.12) позволяет рассчитать Кг оборудования элемента ТКС на основании данных о числе отказов оборудования и времени нахождения его в неработоспособном состоянии на ограниченном временном интервале наблюдения. Полученные данные можно и следует использовать для прогнозирования значений показателей надежности на произвольном временном интервале до начала старения изделия.
Таким образом, использование математического и методического аппарата теории надежности обосновано для описания случайных процессов вызывающих переход элементов ТКС из работоспособного состояния в неработоспособное. Выше рассмотренная модель хорошо себя зарекомендовала для исследования влияния отказов технических устройств. Однако использование экспоненциального закона распределения для исследования влияния угроз ИБ, направленных на нарушение доступности информации, требует дополнительного обоснования, поскольку недостаток данных об инцидентах (частоте их возникновения и длительности) не позволяет сделать однозначный вывод о том или ином характере распределения. Метод учета влияния угроз ИБ на Кг элемента ТКС разработан в главе 3 настоящего исследования.
Марковская модель узла связи ТКС, учитывающая влияние угроз доступности информации
На графике (рисунок 2.9) наглядно продемонстрировано, что при низких значениях Кгу при стабилизированном значении Кгр Кг линейной топологии со всеми видами резервирования практически идентичны. Аналогично идентичны Кг кольцевой топологии и кольцевой топологии с резервным ребром. При этом в условиях низких значений Кгу наибольшее значение Кг сегмента ТКС достигается при использовании линейной топологии с резервированием. При относительно высоких значениях Кгу, значение Кг сегмента ТКС при наличии полноценного резервного ребра (кольцевая топология, кольцевая топология с резервным ребром, линейные топологии с резервным ребром) становится практически идентичным. Топологии без полноценного резервного ребра (линейная топология без резервирования и с резервированием только линий связи) не обеспечивают достаточного значения Кг сегмента ТКС.
Аналогично построим график зависимости Кг каждой формализованной топологии при стабилизированном коэффициенте Кгу. Для аналитического расчета и построения графика примем Кгр изменяющимся в диапазоне от 0,99 до 0,9999 с шагом 0,00099 в соответствии с таблицей 2.2. Кгу примем стабилизированным на значении 0,999. Результаты расчета по (2.13) – (2.26) занесем в соответствующие колонки таблицы 2.2 и построим график (рисунок 2.10). Для увеличения наглядности построим график зависимости Кг формализованных топологий в увеличенном масштабе (рисунок 2.11).
На полученных графиках находит отражение тот факт, что наибольшую зависимость от Кгр Кг сегмента в целом имеет в линейной топологии без резервирования (рисунок 2.9). Линейная топология с резервированием линий связи также демонстрирует меньший Кг, чем топологии с полноценным резервным ребром. Топологии с полноценным резервным ребром демонстрируют практически линейный характер зависимости от Кгр. Кг кольцевой топологии и линейной топологии с резервным ребром в области минимальных рассматриваемых значений Кгр сети демонстрирую незначительную зависимость от Кгр, но в то же время в области максимальных значений Кгр эта зависимость практически отсутствует. Рисунок 2.10 – График зависимости Кг формализованных топологий ТКС от Кгр 0,998 - 0,9979 - 0,9978 - 0,9977 - 0,9976 -0,9975 -0, 99 0,99099 0,99198 0,99297 0,99396 0,99495 0,99594 0,99693 0,99792 0,99891 0,9Кг ребра сетикольцо кольцо с горизонтальным ребром кольцо с вертикальным ребром 2 кольца с резервным линия с резервным ребром 999 Рисунок 2.11 – Увеличенный масштаб графика зависимости Кг формализованных топологий ТКС от Кгр Таким образом, наибольшее влияние на Кг всех рассматриваемых формализованных топологий оказывает Кгу. Эта зависимость явно выражена. В случае то 63 пологий с полноценным резервным ребром при Кгр 0,999, дальнейший рост Кгр сети не приводит к росту Кг сегмента в целом. Полученные данные подтверждают тот факт, что для ТКС с полноценными резервными ребрами на Кг всего сегмента ТКС большее влияние оказывает Кгу, нежели Кгр. Следовательно, для обеспечения высоких показателей надежности телекоммуникационной инфраструктуры в условиях ограниченных ресурсов, следует уделять большее внимание надежности функционирования узлов ТКС [133].
Проведем анализ влияния сегментов с резервированием различной топологии на характер убывания Кг с увеличением длины ТКС (числа сегментов). Расчеты и анализ полученных результатов выполнены для сетевой топологии, изображенной на рисунке 2.12.
Буквами A, B, C, D, E, F, G обозначены сегменты топологии. Сегменты B, D, А представляют собой линейную топологию из трех узлов, Сегменты A, C, E, G представляют собой исследуемый вид топологии: кольцевую (рисунок 2.12), кольцевую с резервированием вертикальным ребром (рисунок 2.13) и кольцевую с резервированием горизонтальным ребром (рисунок 2.14).
Расчет Кг неоднородной топологии выполнен при стабилизированных значениях Кгу и Кгр, принятых равными друг другу, для трех значений Кг каждого элемента топологии: КГэ л = 0,9; КГэ л = 0,99; КГэ л = 0,999. Результаты расчетов для всех трех случаев сведены в таблицы 2.3 – 2.5. В таблицы заносятся результаты последовательного расчета Кг формализованной топологии по сегментам от только первого сегмента до всей топологии целиком – семи последовательных сегментов. По результатам расчетов построены графики (рисунки 2.15 – 2.17).
Характер зависимости представляет собой ломаную линию, причем наибольший спад Кг происходит на линейных участках без резервирования (B, D, А). Спад Кг на участках с зарезервированной топологией гораздо менее выражен вне зависимости от типа резервирования. На представленном графике (рисунок 2.15) наблюдается, что Кг топологии с кольцевыми сегментами заметно ниже, чем когда зарезервированные сегменты имеют кольцевую топологию с резервным ребром.
Определение Кнг узла связи ТКС, вызванного техническими отказами оборудования узла связи
Как определено ранее, не всегда есть возможность использовать для расчетов статистические данные о параметрах потоков отказов и восстановлений работоспособности элемента ТКС. В этом случае целесообразно использовать математическую модель, описанную ниже, позволяющую осуществить расчет значения Кнг, обусловленного влиянием угроз ИБ, с использованием результатов эксперимента. Таким образом, возможно осуществить расчет значения Р2 (Кнг, обусловленного влиянием угроз ИБ) в условиях недостатка данных об инцидентах ИБ (в частности, для проектирования ТКС).
Поскольку итог реализации угроз ИБ, направленных на нарушение доступности информации, представляет собой неработоспособность сетевых сервисов и, следовательно, производственных процессов, то возможно учесть влияние угроз доступности информации в Кг узла связи. Последствием реализованной угрозы ИБ является простой сетевых служб, связанный с внешним воздействием, а также время, необходимое для восстановления работоспособности атакуемой ТКС после прекращения внешнего деструктивного воздействия. Таким образом, воздействие угроз ИБ, направленных на нарушение доступности информации, можно привести ко времени, в течение которого узел ТКС находится в состоянии неготовности по причинам, вызванным реализацией угроз ИБ.
Для того чтобы, угроза ИБ вызвала нарушение доступности должны произойти следующие связанные между собой события: угроза ИБ должна возникнуть, то есть злоумышленники должны провести ряд технических мероприятий, направленных на нарушение доступности исследуемого узла ТКС; угроза ИБ должна быть реализована на атакуемом узле, то есть СЗИ, предназначенные для противодействия и нейтрализации угроз, не выполнили свое предназначение; последствием реализации угрозы ИБ стал временной период, в течение которого узел связи ТКС находился в состоянии неготовности. Таким образом, для решения поставленной задачи необходимо определить коэффициент неготовности (Кнг), соответствующий состоянию 2 модели узла связи ТКС, изображенной на рисунке Рв, вероятности возникновения угрозы ИБ, характеризующей поток возникающих угроз ИБ, целью которых является нарушение доступности узлов связи исследуемой ТКС; Рр, вероятности реализации угрозы ИБ, характеризующей несовершенство применяемых СЗИ, призванных парировать угрозы ИБ, направленные на нарушение доступности узлов связи ТКС; Кнгру, Кнг, вызванного реализацией угрозы ИБ, характеризующего время, которое узел ТКС находится в состоянии неготовности, вызванном реализацией угрозы ИБ, направленной на нарушение доступности узлов связи ТКС.
Для того, чтобы угроза ИБ оказала влияние на Кг узла ТКС, все перечисленные выше условия должны выполняться одновременно. Поскольку все три показателя (Рв, Рр и Кнгру) имеют вероятностную природу и описываемые ими события должны произойти одновременно, то общая вероятность наступления всех трех событий (Кнг, связанный с угрозой ИБ, ) будет рассчитываться по (3.10) согласно теореме о вероятности зависимых событий [140]. Кнгу(0 = Рв X РРВ X Кнгру (3.10) Исходя из физического смысла, вероятностные величины Кг и Кнг являются взаимосвязанными [36]. Таким образом, можно записать (3.11): Кгу = 1- Кнгу (3.11) Подставив (3.10) в (3.11) получим (3.12): Кгу = 1 - Рв X РРВ X Кнгру (3.12). Для определения Кнг, отражающего влияние угроз ИБ, необходимо определить время, в течение которого узел связи будет простаивать вследствие реализации угроз ИБ. Реализованную угрозу ИБ следует рассматривать как увеличение времени простоя узла ТКС. Для решения практической задачи определения Кгв следует использовать результаты наблюдения за состоянием ТКС и моделирования поведения системы при реализации угроз ИБ.
В случае, когда модель угроз предполагает, что узел связи подвержен более чем одной угрозе ИБ, то Кнг будет рассчитываться в соответствии с (2.1). В результате расчет Кнг должен производиться по (3.13): Кнгу = 1 - Кгу(1) х Кгу(2) х ... х Кгу(п), (3.13) где Кгу1 … Кгуп - Кг, отражающие влияние угроз ИБ в соответствии с принятой моделью угроз. Величины Кгу1 … Кгупрассчитываются по (3.10) - (3.12). Путем анализа физического смысла и возможности влияния на эти величины, определено следующее:
. Кнгру определяется временем нахождения узла связи ТКС в состоянии неготовности. Это время может определяться двумя способами. В первом случае, это будет временной интервал, который требуется для активизации СЗИ, предназначенных для борьбы с соответствующими угрозами ИБ или активизации решения для аутсорсинга защиты от атак типа «отказ в обслуживании». Во втором случае, длительность времени простоя будет определяться длительностью атаки, этот случай характеризует ситуацию, когда используемые для защиты информации штатные СЗИ не справились с реализованной атакой и не смогли ей противостоять. В [141, 142, 143, 144, 145] рекомендуется использовать аутсорсинг защиты от атак типа «отказ в обслуживании» для обеспечения ИБ общедоступных ресурсов, которые устанавливают связь с неопределенным числом хостов (например, веб - серверов). В случае узла ТКС, наиболее перспективным является филь 78 трация входящих запросов и пропуск на атакуемое оборудование только тех, которые производятся с заранее определенных адресов соседних узлов связи. Остальные запросы СЗИ игнорируются, и вычислительные мощности узла связи не утилизируются. Такой подход реализован в оборудовании, доступном для приобретения организациями и хорошо зарекомендовал себя в отражении атак типа «отказ в обслуживании» малой и средней интенсивности, направленных на истощение вычислительной мощности телекоммуникационного оборудования. Таким образом, у атакуемой ТКС возможность воздействовать на время нахождения узла связи в неработоспособном состоянии фактически отсутствует. В случае успешной реализации атаки, это время будет определяться только возможностями злоумышленника. Значение Кнгр у будет характеризоваться временем нахождения узла связи в неработоспособном состоянии за исследуемый период времени.