Содержание к диссертации
Введение
Глава I Методы моделирования и оценки эффективности функционирования информационной системы 7
1.1 Признаки и свойства динамической информационной системы 7
1.2 Моделирование динамических процессов информационной системы во времени 8
1.2.1. Моделирование динамических информационных систем с помощью нейронных сетей 11
1.2.2 Моделирование динамических информационных систем на основе временных рядов 14
1.3 Параметры порядка динамической информационной системы 15
1.3.1. Методы неформального моделирования 17
1.3.2. Декомпозиция общей задачи оценки эффективности функционирования информационной системы 21
1.3.3.Макромоделирование 22
1.3.4 Определение показателей эффективности и критериев защищенности ИС 23
1.4 Методы оценки эффективности функционирования средств защиты информации 26
1.5 Постановка задачи исследования 34
Выводы по главе I 35
Глава II Математическая модель процесса защиты информационной системы от факторов, нарушающих безопасность 36
2.1. Основные виды угроз и их анализ-.. 36
2.2 Модель воздействия атак на информационную систему 43
2.3 Модель поведения информационной системы под воздействием атак 48
2.4 Построение модели системы защиты информации 68
2.5 Выбор показателей и критериев эффективности средств зашиты информации 72
Выводы по главе II 75
Глава III Метод оценки эффективности функционирования средств защиты информации 76
3.1 Метод определения весовых коэффициентов с помощью экспертных оценок 76
3.2 Метод определения частных характеристик 81
3.3 Формирование обобщенного показателя эффективности и оценивание индивидуальных и групповых вкладов частных показателей 88
Выводы по главе III 90
Глава IV Практическая реализация предлагаемого метода оценки средств защиты информации 91
4.1 Определение показателей эффективности средств защиты информации 91
4.2 Решение задачи выбора оптимального варианта с помощью метода экспертного оценивания, 94
4.2.1. Анализ степени защищенности информационной системы «Энергонасос- ЦЕСБМ» 97
4.2.2. Выбор алгоритма шифрования 106
Выводы по главе IV 115
Заключение 116
- Моделирование динамических процессов информационной системы во времени
- Модель воздействия атак на информационную систему
- Метод определения весовых коэффициентов с помощью экспертных оценок
- Определение показателей эффективности средств защиты информации
Введение к работе
Актуальность темы. Развитие мирового сообщества наглядно
демонстрирует, что важным государственным ресурсом, обеспечивающим национальную безопасность страны, становится информация, циркулирующая
*' в информационных системах (ИС) различного назначения. Информационная
система представляет комплекс с многоуровневой системой получения,
обработки, хранения и передачи информации, обладающая сложным
нелинейным недетерминированным поведением и большим числом степеней
свободы» В силу непредсказуемости состояний элементов ИС, возникающей
нз-за сложности поведения, проектирование безукоризненной системы
представляется невозможным, вследствие чего любая ИС имеет дефекты,
которые могут использоваться в ходе умышленных или неумышленных
4 действий. Удаленные атаки, внедрение вредоносного программного кода
$ наряду со злоупотреблениями авторизованных пользователей ведет к
достижениям вполне конкретных целей военного, политического или экономического характера. Для предотвращения несанкционированного доступа вырабатывается политика безопасности, учитывающая поведение ИС, свойства средств защиты информации (СЗИ) и основанная на анализе вероятностей реализации атак.
Целевая задача защиты—спрогнозировать поведение ИС и, в случае,
нарушения безопасности предотвратить потери. Однако процедура защиты
ресурсоемкая и дорогостоящая, поэтому возникает необходимость
минимизировать включение СЗИ в ИС. Для построения системы СЗИ
^ существуют большое количество средств, однако данными средствами задачи
защиты решаются избирательно и зависят от условий применения и взаимной комплектации. В связи с этим возникает необходимость разработки методов оценивания и прогноза поведения ИС в условиях неопределенности атак. Для прогнозирования поведения ИС, под воздействием атак используют; нейронные сети, вероятностные модели, временные ряды и др.
V-
5 Однако описанные методы не решают проблему оценивания СЗИ в сложных
ИС, поэтому целью исследования является разработка методов
прогнозирования поведения ИС и разработка метода оценивания СЗИ.
Основные задачи исследований можно свести к следующим:
математическое моделирование воздействия деструктивных факторов на ИС;
разработка математической модели поведения элементов защиты ИС под воздействием атак;
разработка метода выбора показателей эффективности функционирования СЗИ;
разработка многопараметрической модели оценки эффективности функционирования СЗИ в ИС.
Основные научные результаты, которые выносятся на защиту:
математическая модель воздействия деструктивных факторов на ИС;
математическая модель поведения элементов защиты под воздействием факторов, нарушающих безопасность ИС;
многопараметрическая модель оценки эффективности средств защиты информации и выбор на ее основе рационального варианта комплексной защиты информации-
Научная новизна:
предложено обоснование и условия применения модели пуассоновских процессов для описания взаимодействия потока атак на ИС, отличающаяся тем, что потоки атак могут выстраиваться в очередь независимо от СЗИ;
предложена и исследована математическая модель описания деструктивных процессов при взаимодействии с набором СЗИ на базе марковских процессов, отличающая тем, что учитывается реакция систем защиты на проведенные атаки;
предложена многопараметрическая модель оценки СЗИ на базе обобщенного показателя эффективности, отличается возможностью
учета общего доверительного интервала и согласованности оценок
экспертов.
Практическая ценность работы определяется возможностью использования предложенных методов оценки эффективности функционирования СЗИ.
Результаты работы внедрены и используются в НТЦ «Энергонасос-ЦКБМ» дня передачи конфиденциальной информации между территориально удаленными подразделениями предприятия, а также в учебном процессе Северо-Западного государственного заочного технического университета в дисциплине «Теория систем и системотехника».
Достоверность полученных результатов обеспечивается физической и математической корректностью постановок задач и методов их решения; формальными выводами и заключениями; результатами, полученными на основе теории информации, вероятности, случайных процессов, дискретной математики, а также системного, экспертного и статистического анализа.
Апробации работы проводилась на «Третьей междисциплинарной конференции (НБИИТ-21)» (г. Петрозаводск, 2004г.), научно-техническом семинаре "Информатика и компьютерные технологии11 в Санкт-Петербургском институте информатики и автоматизации РАН, а также семинарах кафедры компьютерных технологий и программного обеспечения Северо-Западного заочного технического университета (2001-2004тт).
Публикации Основные результаты работы опубликованы в 5 печатных работах [64,40,84-87]
Структура и объем работы
Диссертационная работа состоит из введения, четырех глав, заключения, списка литературы и 2 приложений. Общий объем диссертации 126 страниц, 8 рисунков, 24 таблиц, списка использованных источников из 96 наименований.
Моделирование динамических процессов информационной системы во времени
Каждое новое поколение техники включая компьютерные и информационные системы существенно меняют мир, несут свои риски, угрозы, опасности. В связи с этим возникает необходимость предвидения вероятностного исхода событий в будущем. Предвидение событий дает возможность заблаговременно приготовиться к ним, учесть их положительные и отрицательные последствия, а если это возможно — вмешаться в ход развития, контролировать его.
Прогнозирование- научное (т.е. основанное на системе фактов и доказательств, установленных причинно-следственных связей) выявление вероятностных путей и результатов предстоящего развития явлений и процессов, оценка показателей, характеризующих эти явления и процессы для более или менее отдаленного будущего. Каждая альтернативная траектория развития связывается с наличием комплекса внешних относительно исследуемой ИС (явлений) условий. Главная особенность прогноза заключается в том, что он нацелен на будущее; вторая важная черта -учет неопределенности, связанной с будущим. Неопределенность обусловлена отсутствием знаний о точном значении тех или иных параметров, отражающих влияние основных или дополнительных факторов, о действительных условиях, в которых будет развиваться изучаемый процесс, и т,д. Нельзя рассматривать перспективный анализ как прогнозирование, если он не учитывает формально (с помощью теории вероятностей) или неформально (если для применения теории вероятностей нет достаточных оснований) различного влияния неопределенности. В последнем случае экспертным путем устанавливается некоторая область ожидаемых значений прогнозируемой переменной. Как известно, прогнозы явлений и процессов могут быть разработаны в виде качественных характеристик развития (общее описание тенденции и ожидаемого характера изменений, а в самом простом случае - утверждение о возможности или невозможности наступления каких-либо событий) и количественных (точечных или интервальных) оценок, характеризующих будущие числовые значения прогнозируемых показателей и величины вероятностей достижения этих значений» Фазовое пространство, описывающие поведение ИС, имеет большую размерность и в реальных ситуациях принять во внимание все переменные в нем невозможно [58]. Поэтому возникает необходимость построение проекции на подпространства меньшего числа переменных, которые адекватно отражали бы происходящее во всем огромном пространстве переменных. Такие подпространства называют руслами. И если для описания реальности имеется подходящее русло, то возможно построение достаточно простых и эффективных теории, нахождения эффективных поведенческих стратегий. В области русла поведение ИС возможно описать простыми детерминированными моделями, на несложные закономерностях. Однако русла кончаются и число переменных, которые определяют ход поведения ИС быстро растет, горизонт прогноза уменьшается, появляется возможность резких изменений. Данные области в фазовом пространстве названы областями джокеров, а правила, поведения ИС -джокерами, В данных областях огромное влияние приобретают случайности или факторы, не играющие никакой роли в другой ситуации, которые могут оказаться решающими и скачком перевести ее в другую точку фазового пространства. При этом резко увеличивается число вариантов поведения ИС и степень неопределенности, В критических ситуациях факторами, упорядочивающими реальность оказываются плохо поддающиеся формализации сущности. При этом осознание, что ИС находится в области джокера, имеет преимущество, перед теми кто еще это не осознал, В качестве примера приведем схему, когда производит последовательно атаки «Компьютерный абордаж» (подбор пароля к системе вручную или с использованием специальной программы), приводящая к атаке «маскарад» (проникновение в компьютерную систему, выдавая себя за законного пользователя, с применением его кодов (паролей) и других идентифицирующих шифров), что создает возможность атаки «Мистификация» когда законный пользователь осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работает с необходимым ему абонентом. То есть на какое-то время вместо одного русла со своими параметрами порядка в действительно возникает другое, именно то на которое рассчитывает злоумышленник, однако обычные пользователи не подозревают о том, что они уже находятся в области джокера. Данный пример наглядно демонстрирует, что для всех ИС одно событие может является возникновением длинных причинно-следственных связей. Одно событие может повлечь за собой другое, третье, «лавину изменений» затрагивающих всю систему. При этом переход к новому состоянию равновесия может произойти не скоро. То есть опасность находится на грани между детерминированным и вероятностным поведением. Сплошь и рядом становиться необходимым вероятностное описание. Выбор в таких случаях сложен, потому что приходится принимать в расчет слишком многое, что оставляет простор для субъективных факторов. В 1963 г. была высказана мысль о принципиальной ограниченности «горизонта прогноза» Р. Фейнманом. Любая динамическая система описывает движение точки в фазовом пространстве. При этом для многих даже достаточно простых маломерных систем близкие траектории расходятся. То есть малые причины имеют большие следствия и тем самым насколько быстро эти следствия будут расти со временем определяется горизонт прогноза или срок, на который возможно провести прогноз динамической системы с необходимой точностью (предсказуемость). Мониторинг позволяет провести количественные характеристики и выяснить траекторию поведения ИС. Вторую траекторию, начинающуюся из близкой точки возможно считать возмущением первой траектории. По данным двум траекториям можно определить среднюю скорость расходимости траектории» При наличии достаточного количества данных, возможно использования для прогноза поведения динамической ИС нейронных сетей.
Модель воздействия атак на информационную систему
Для разработки критерия комплексной защиты информации в компьютерных сетях введем следующие основные понятия и определения.
Под комплексной защитой информации будем понимать вариант алгоритма, обеспечивающего заданное качество передачи информации и конфиденциальность ее содержания одновременно. Вариантом комплексной защиты информации является возможная комбинация стандартных решений, в области защиты информации от реальных угроз. Оптгімальньш вариантом является та комбинация стандартных решений, которая обладает минимальной сложностью практической реализации. Под информационной безопасностью, как и в [73], будем понимать защищенность информации от следующих факторов: 1. Преднамеренных воздействий, нарушающих целостность сообщений, при котором мотивом нарушения конфиденциальности является намерение несанкционированного чтения, модификации, перехвата, навязывание законному получателю фальсифицированных сообщений и.т.п. 2. Случайных воздействий, которые предполагают сбои аппаратуры, ошибки в программном обеспечении и помехи в канале связи. Оценка степени уязвимости предполагает определение вероятности успешного осуществления угроз безопасности. Осуществление угрозы означает нанесение ущерба ресурсам ИС. Наличие уязвимостей в ИС обусловлено слабостями защиты. Таким образом, нанесение ущерба определяется вероятностью осуществления угрозы и величиной последующего ущерба. Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление которое может привести к нанесению ущерба чьим-либо интересам. Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности ИС. Перечень угроз, оценка вероятностей их реализации служат основой для проведения анализа риска и формулирования требований к системе защиты Классификация угроз безопасности Основными видами угроз безопасности ИС и информации (угроз интересам субъектов информационных отношений) являются [13,14-20,24,33,69,70,73,77,79-82,92,96]: стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.); сбои и отказы оборудования (технических средств) ИС; последствия ошибок проектирования и разработки компонентов ИС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.); ошибки эксплуатации (пользователей, операторов и другого персонала); преднамеренные действия нарушителей (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.) Все множество потенциальных угроз по природе их возникновения разделяют на два класса: естественные (объективные) и искусственные (субъективные) (таблица 2.1,2.2 ). [15,44,79,82] Классификация угроз безопасности Естественные угрозы - это угрозы, вызванные воздействиями на ИС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека. Искусственные угрозы - это угрозы ИС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить: непреднамеренные угрозы, вызванные ошибками в проектировании ИС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; преднамеренные угрозы, связанные с мотивами устремлений определенных людей. Источники угроз по отношению к ИС могут быть внешними или внутренними (компоненты самой ИС - ее аппаратура, программы, персонал).
Из анализа относительно полного множества угроз при построении модели воздействия угроз наибольший интерес представляют угрозы - искусственные по происхождению» преднамеренные по характеру возникновения, воздействующие с помощью программных средств, осуществляемые с подключением к линиям связи и на успешное осуществление которых повлиять невозможно. По характеру воздействия эти угрозы могут быть пассивными или активными, а их источник может находиться как внутри зоны безопасности» так и вне ее. При воздействии подобных угроз могут быть нарушены доступность, целостность, конфиденциальность.
Метод определения весовых коэффициентов с помощью экспертных оценок
В [72] приведен ряд методов, позволяющих осуществить ранжирование элементов. Однако наиболее приемлемым в нашем случае представляется простое ранжирование (ordinal ranking) - метод, который представляет последовательность элементов в виде ряда [42] - При простом ранжировании анализируемые элементы располагают в ряд от более важных (или уязвимых) к менее.
На втором этапе осуществляется оценка наиболее значимых характеристик с учетом обоснованных выше угроз. При этом важной характеристикой СЗИ выступает нормированный коэффициент значимости # частного показателя СЗИ, который характеризует степень важности данного частного показателя для выполнения целевой задачи за необходимое время и может принимать значения от 0 до 1. При формировании таблицы коэффициентов значимости каждому элементу ставится в соответствие полученные для него нормированные коэффициенты для частных показателей.
Следует заметить, что определение коэффициентов значимости частных показателей является сложной процедурой в расчетах. Требует использования соответствующих рабочих гипотез, на основе которых могут быть построены, исходя из методов «теории принятия решений в условиях неопределенности», приемы в тех случаях, когда невозможно построить порядок предпочтения показателей. Одним из способов решения поставленных задач может служит метод, предложенный в работах [64,85,86]» Третьим этапом оценки служит формирование обобщенного показателя эффективности, и на его основе выбор наилучшей СЗИ, Найти и использовать объективную возможность замены многих частных показателей единственным удается не всегда. В таких случаях, как показано в [96], можно провести субъективное свертывание на основе информации об относительной важности частных показателей ущерба. Простейшей формой рассматриваемого способа свертывания частных показателей потенциального ущерба является линейная свертка, описываемая выражением [64,72,64]; где хп -принятые уровни /-ых частных показателей ( - ый частный критерий); у{хі)- в общем случае функция значимости (веса) і-го частного показателя (однако нередко принимают значения /(х -к, - const при ]ГА( = I 1. В главе показано, что ИС сложная техническая система, имеющая децентрализованную агрегированную структуру, В качестве элементов системы служат конструктивы, законченные с точки зрения формационного и функционального исполнения. 2. Разработанный обобщенный подход приводит к заключению, что основными деструктивными, дезорганизующими факторами являются факторы искусственного происхождения. Дальнейшее исследование целесообразно вести в направлении предлагаемых моделей фактическими данными. 3. Анализ поведения ИС при воздействии на нее относительно полного множества атак показал: - использование моделей элементов ИС с Q+1 несовместными состояниями позволяет в произвольный момент времени t характеризовать ИС при решении любой задачи конечным множеством несовместных состояний, т.е. вектором состояния 6 = [0p02,...fi Q(;Y - переходы ИС из состояния в состояние можно описать в виде модели дискретного марковского процесса (2,3 Л1). 4, Сформированная вероятностная модель воздействия атак на ИС основывается на пуассоновском законе распределения. Показано, что процесс переходов элементов из состояния в состояние является марковским случайным процессом. Использование модели позволяет выявить наиболее опасные атаки. 5. Как следует из п,2 целевой установкой СЗИ может являться лишь частичное исключение или снижение возможности НСД к информации, циркулирующей в соответствующих типах ИС. Одним кз важных направлений дальнейшего развития СЗИ, может являться автоматический контроль и улавливание попыток проникновения в ИС Метод определения весовых коэффициентов с помощью экспертных оценок В процессе оценивания средств защиты информации (СЗИ) возникает необходимость всесторонней оценки эффективности функционирования в условиях многокритериальности. Основная трудность состоит неоднозначности выбора наилучшего решения [38,39,45,48,74,75,89,91]. Для ее преодоления используется две группы методов, В методах первой группы стремятся сократить число критериев, для чего вводят дополнительные предположения, относящиеся к процедуре сопоставления критериев и построению моделей оптимизации. К ним относятся метод свертки, метод главного критерия, метод пороговых критериев и метод расстояний. В методах второй группы стремятся сократит число альтернатив в исходном множестве, исключая заведомо плохие альтернативы. Однако существуют характеристики сложных систем, которые могут быть получены только методами неформального оценивания. Сущность методов заключается в привлечении для получения некоторых характеристик специалистов-экспертов в соответствующих областях знаний.
Наибольшее распространение из неформальных методов оценивания получили методы экспертных оценок [85,86]» Первоначально формируется группа экспертов, из числа специалистов, обладающих профессиональными знаниями в рассматриваемой области и включающая не менее 5 и не более 10 лиц. Группа экспертов отбирает показатели, которые считает важнейшими при определении качества объекта, путем предварительного ранжирования частных показателей. При этом каждый эксперт индивидуально осуществляет расстановку показателей по рангам с первого, представляющегося наиболее важным, до я-ого, который, по мнению эксперта наименее значим. Если же несколько показателей, по мнению 7-ого эксперта имеет одинаковое влияние (вес),
Определение показателей эффективности средств защиты информации
Применяемые в настоящее время в ИС разнообразные способы обеспечения безопасности информации могут быть эффективными лишь в определенных условиях. Сложность операционных систем постоянно повышается, происходит непрерывная модернизация программного обеспечения. В связи с этим трудно гарантировать невозможность проведения все новых сетевых атак, направленных на получение доступа к информации, ослабление систем защиты, получение доступа к ключевой и парольной информации, имеющейся в компьютере, особенно, если источник атаки может быть скрыт, ИС подвергается не только внешним атакам. Не менее вероятно присутствия злоумышленника внутри ИС.
В данном случае конечной целью системного анализа является разработка практических рекомендаций по использованию разработанных методов и рациональному построению СЗИ ИС. Разработанный в главах 2 и 3 математический аппарат позволяет сформулировать указанные рекомендации.
Решения по обеспечению информационной безопасности элементов ИС принимаются на основе анализа ее структуры, т.е. выделения множества элементов ИС, выделения множества возможных факторов, воздействующих на элементы ИС и определения множества доступных механизмов безопасности Zm, В конечном итоге должен быть определен обобщенный показатель эффективности СЗИ ИС _
Для построения комплексной защиты информации в сети необходимо решить следующие задачи: - Распределение секретного ключа между двумя абонентами по сети; - Обеспечение целостности процесса шифрования, т,е. в процессе шифрования преобразуемые данные изменяются в соответствии с алгоритмом преобразования и не могут быть изменены целенаправленно с помощью каких-либо внешних воздействий ни на одном шагов преобразования; - Эффективность метода криптографических преобразований можно охарактеризовать следующими показателями: о Соотношением длины ключа и достигаемого уровня криптостойкости (относительно уровня криптостойкости шифр можно считать оптимальным, если все современные методы криптоанализа не менее сложны, чем полный перебор возможный вариантов ключа) о Количество итераций и диффузия: зависимость или независимость функций шифрования от результатов шифрования предыдущих частей, если в системах используется зависимость от результатов шифрования предыдущей части то наблюдается размножен ие ошибок, а также зависимость или независимость шифрования отдельных знаков от положения в тексте; о Выбор помехоустойчивого кодирования в зависимости от выбранного способа шифрования и используемого канала связи; о Длины блока шифротекста: длина блока должна быть достаточной, чтобы скрыть все статистические характеристики исходного сообщения с другой стороны, сложность реализации криптографической функции возрастает экспоненциально в соответствие с размером блока; Конфузия: зашифрованный текст должен зависеть от ключа сложным и запутанным способом; о Диффузия: каждый бит открытого текста должен влиять на каждый бит зашифрованного текста. Распространение одного открытого бита на большое количество зашифрованных битов скрывает статистическую структуру открытого текста» Определить, какие статистические характеристики зашифрованного текста зависит от статистических характеристик открытого текста должно быть непросто; -Фаза аутентификации. При осуществлении доступа пользователей к компонентам СКЗИ вероятность ложной аутентификации Р на одну попытку доступа должна быть не более вероятности Р0 т В системе должно быть установлено ограничение на число следующих подряд неудачных попыток. -Генерация подключей, В большинстве современных криптосистем исходный ключ не используется для непосредственного шифрования, а служит для порождения рабочих подключей, которые и применяются в качестве параметров криптографических преобразований (совокупность этих рабочих подключей назьшают еще расширенным ключом шифрования). Соответственно типовой алгоритм шифрования определяется алгоритмом вычисления рабочих подключен, а также алгоритмом криптографических преобразований, -Генератор псевдослучайных чисел. Последовательность чисел в подключах должна быть статистически случайной и непредсказуемой, это требование достигается включением в работу криптоалгоритма генератора псевдослучайных чисел. -Скорость шифрования является важной характеристикой так как, при низкой производительности и сложности пользователи как правило, перестают использовать СЗИ. -Способ реализации: о Аппаратный этом случае используется элементная база ограниченной надежности (т.е. в деталях и узлах возможны неисправности или отказы) о Программный выполняется на процессоре ограниченной надежности и в программной среде, содержащей посторонние программы, которые могут повлиять на различные этапы его работы. К тому же в данном случае СЗИ хранится на материальном носителе и может быть преднамеренно или случайно искажено.