Содержание к диссертации
Введение
Глава 1. Научно-технические задачи построения информационной безопасности автоматизированных систем 9
1.1. Анализ системы информационной безопасности 9
1.2. Характеристика СЗИ в условиях распределенности информационных ресурсов в ЕИП 26
1.3. Анализ методов интеллектуального анализа данных в обеспечение построения СЗИ АС 30
1.4. Постановка задачи на исследование 46
Выводы по 1 главе: 53
Глава 2. Метод формирования доменов безопасности автоматизированных систем 54
2.1. Модель полномочного доступа мобильных пользователей к информационным ресурсам 54
2.2. Алгоритмы динамического формирования доменов безопасности 67
2.3. Алгоритм интеллектуальной настройки доменов безопасности LID3 73
Выводы по 2 главе: 114
Глава 3. Методика обеспечения полномочного доступа мобильных пользователей к информационным ресурсам 116
3.1. Основные этапы применения метода формирования доменов безопасности автоматизированных систем 116
3.2. Анализ результатов исследования 127
3.3. Рекомендации по организации применения методики в подразделениях ОБИ 130
Выводы по 3 главе: 133
Заключение 134
Список литературы
- Характеристика СЗИ в условиях распределенности информационных ресурсов в ЕИП
- Анализ методов интеллектуального анализа данных в обеспечение построения СЗИ АС
- Алгоритмы динамического формирования доменов безопасности
- Рекомендации по организации применения методики в подразделениях ОБИ
Введение к работе
Необходимость удовлетворения жестких требований по информационному обеспечению управления, с одной стороны, и появление современных средств связи, автоматизации и вычислительной техники с другой, привело к тому, что одним из основных направлений дальнейшего совершенствования управления стало построение системы безопасности автоматизированных систем. Система безопасности не может быть построена до тех пор, пока не сформированы домены безопасности. Это общепризнанный подход и он реализован в автоматизированных системах (АС), где под доменом безопасности понимается совокупность объектов безопасности, находящихся в одной сети и принадлежащих к одному и тому же уровню безопасности. Однако, в условиях построения единого информационного пространства (ЕИП), перед системой защиты информации АС возникают новые задачи. Расширение возможностей АС в рамках ЕИП определяются основными требованиями к соответствующим информационным процессам в органах управления. Организация использования ЕИП включает, в том числе и обеспечение возможности для лиц принимающих решения (ЛИР) доступа к информационным ресурсам любой автоматизированной системы в соответствии с имеемыми полномочиями.
Изучение работ зарубежных авторов: Д. Денинга, Н. Кресси, Р. Рида, Б. Шнаера и др.; и отечественных авторов: Л.К. Бабенко, А.А. Грушо, П.Д. Зег-жда, Г.Ф. Нестерука, В.П. Просихина, В.Я. Розенберга, В.Ф Шпака, и др.; позволяет сделать вывод о наличии существенных положительных результатов в разработке данной проблемы. В настоящее время предложены новые подходы к определению сущности системы защиты информации, её структуры и механизмов функционирования. Однако, некоторые теоретические и практические аспекты не нашли должного отражения в научных работах. Реалии современной российской действительности таковы, что многие проблемы
формирования системы защиты информации и особенности в теоретическом и методологическом плане раскрыты недостаточно. Анализ системы защиты информации носит, чаще всего, описательный характер без выявления глубинных особенностей её разнородных подсистем и их воздействий, при этом используются агрегированные показатели состояния системы, что не позволяет провести детального её анализа. Крайне слабо проработаны вопросы моделирования и прогнозирования состояния доменов безопасности. Сложилась тенденция к проведению изолированных и фрагментарных исследований по отдельным аспектам обеспечения полномочного доступа к информационным ресурсам, его анализа, а также анализа механизмов функционирования мобильных пользователей. Все это требует дальнейшего системного анализа рассматриваемой проблемы, разработки методологических подходов к раскрытию причинно-следственных связей формирования доменов безопасности и возможности гибкой настройки и адаптации системы защиты информации (СЗИ).
Актуальность и научно-техническая острота проблемы, её недостаточная изученность и разработанность предопределили рассмотрение данного вопроса, постановку цели и задач, структуру и логику диссертационного исследования.
Целью диссертационного исследования является обеспечение полномочного доступа мобильных пользователей к информационным ресурсам с требуемым уровнем безопасности.
Объектом диссертационного исследования является система информационной безопасности АС.
Предметом исследования модели, алгоритмы и методики формирования доменов безопасности АС.
Для реализации цели исследования были решены следующие задачи:
1. Провести системный анализ информационной безопасности АС.
Разработать модель полномочного доступа мобильных пользователей к информационным ресурсам.
Разработать алгоритмы динамического формирования доменов безопасности на основе алгебраического преобразования состояний системы.
Разработать методику обеспечения полномочного доступа мобильных пользователей к информационным ресурсам.
Методы исследования. Для решения поставленных задач использовались следующие методы: системный анализ, структурный синтез, теория вероятностей, теория принятия решения, булева алгебра, методы логической индукции, методы построения деревьев решений, информационная теория систем, нечеткая логика.
Научная новизна диссертационного исследования заключается в том, что:
использованы приемы системного анализа для обоснования новых и совершенствования имеющихся методов и средств защиты информации;
формализована работа экспертов при синтезе принципов формирования доменов безопасности, по-новому представлена модель полномочного доступа мобильных пользователей к информационным ресурсам и процессов её функционирования;
обоснована целесообразность разработки алгоритмов динамического формирования доменов безопасности на основе алгебраического преобразования состояний системы.
Теоретическая значимость диссертационного исследования определяется вкладом в теорию информационного обеспечения сложных систем, концепцию развития системы управления ВМФ, формализацию процессов информационного обеспечения; и заключается в формулировке основных теоретических положений и разработке научно обоснованной методики обеспечения полномочного доступа мобильных пользователей к информационным ресурсам.
Практическая ценность диссертации заключается в доведении теоретических результатов до инженерных методик, алгоритмов и программ, обеспечивающих возможности выработки практических рекомендаций и повышающих обоснованность и оперативность принимаемых решений по обеспечению полномочного доступа мобильных пользователей к информационным ресурсам.
Реализация результатов работы. Основные результаты диссертации реализованы в научной и практической деятельности ФГУ «24 ЦНИИ МО РФ», ЦКП и ЦВЦ ВМФ; в образовательном процессе ВМИ, ВМИРЭ им. А.С. Попова.
Публикации и апробация. Результаты работы использовались в 5 НИ-ОКР, 10 публикациях из них 3 опубликованных в ведущих рецензируемых научных журналах и изданиях, определенных ВАК, РФ, докладывались на международной и 4 межвузовских конференциях.
В соответствии с целевой установкой и задачами исследования получены следующие, выносимые на защиту, основные научные результаты:
Формализованная модель полномочного доступа мобильных пользователей к информационным ресурсам.
Алгоритмы динамического формирования доменов безопасности на основе алгебраического преобразования состояний системы.
Методика обеспечения полномочного доступа мобильных пользователей к информационным ресурсам.
Структура и объем диссертации. Диссертационная работа состоит из введения, трех глав, заключения и списка использованных источников. Общий объем диссертации - 149 с, из которых: основного текста - 139 с, библиографии - 10 с. (126 наименований).
Характеристика СЗИ в условиях распределенности информационных ресурсов в ЕИП
Одной из основных функций АС является информационная поддержка принятия решений. Таким образом, понятие информационного ресурса становится одним из ключевых. В соответствии с [14] информационное обеспечение - это совокупность реализованных решений по объемам, размещению, формам организации информации, циркулирующей в АС.
Основное назначение ИО — своевременно выдавать системе управления, в частности, ее операторам, принимающим решения, достоверную информацию, необходимую и достаточную для принятия оптимальных или близким к ним управленческих решений [14].
Основная функция ИО - создание и ведение динамической информационной модели управляемого объекта, которая в каждый момент содержит данные, соответствующие фактическим значениям параметров объекта и среды, в которой он функционирует, с минимальной задержкой во времени [14, 15].
Информационная подсистема (ИП) является материальным носителем ИО процессов управления. Она представляет собой совокупность систем сбора, контроля, преобразования, кодирования, хранения, обновления, поиска, выдачи по запросам, документирования, распределения и передачи информации [15].
Будучи ключевым звеном системы управления, ИР является и объектом противоборства в информационной войне. Функцию противодействия угрозам безопасности информации в АС выполняет система защиты информации. Следовательно, при проектировании СЗИ необходимо руководствоваться рядом принципов, которые можно объединить в следующие группы [14]: - системные, - структурные, - принципы унификации, - функциональные (пользовательские).
Системные подход заключается в создании единого процесса обработки информации для всех предметных областей на основе общих принципов организации информации и единой технологии ее обработки и использования. Основные принципы такого подхода [16]: - интеграция хранения информации, т.е. хранение информации для всех пользователей в общей информационной базе, построенной на единых принципах, - дифференциация использования данных, т.е. возможность использования информации в информационной базе многими пользователями, к которым они имеют право доступа на основе одних и тех же средств общего ПО, - целостность и однозначность представления информации при ее хранении и использовании, - минимизация избыточности данных при хранении, - использование единой технологии информационного взаимодействия пользователей с процессами обработки информации.
Под структурными принципами понимаются правила построения элементов систем и их взаимной увязки, а также сопряжения с взаимодействующими АС [14]. Под унификацией понимают приведение всех элементов к единообразию по заданным признакам. Основные принципы унификации [16]: - лингвистическое единство информационной базы, т.е. использование единой терминологии, - информационная совместимость компонентов информации, которая должна базироваться на единой системе кодирования информации для всех подсистем и функциональных приложений, построенной на основе классификаторов конфиденциальной и технической информации, - типизация представления информации в информационном фонде.
К функциональным принципам относятся: - обеспечение высоких эксплуатационных показателей, - надежность хранения информации, - актуальность данных, - ретроспектива данных.
Для обеспечения высокой эффективности управления, информация, циркулирующая в АС должна соответствовать следующим требованиям [21]: - полнота; - достоверность; - актуальность; - динамичность; - защищенность; - сопоставимость; - согласованность; - возможность сохранения и централизованного изменения знаний о соотношениях и семантических связях между различными объектами и понятиями предметной области и знаний о типовых процедурах обработки информации.
Однако, вследствие территориального принципа построения сети (рис. 1.6), не все эти требования могут быть обеспечены. На объектах управления информация дублируется, затруднено динамическое поддержание актуальности и согласованности всех копий информации. Управление доступом к информации при таком подходе осуществляется отдельно на каждом ОУ (т.е. не существует общей базы пользователей системы и их полномочий). Вследствие этого, качество СЗИ ограничено. Значительным шагом в преодолении этого недостатка существующей структуры АС была разработка ИАСУ, основанной на концепции создания Единого информационного пространства ВМФ.
Анализ методов интеллектуального анализа данных в обеспечение построения СЗИ АС
Значимость этих методов для арсенала ИАД крайне велика - ведь именно в них наиболее последовательно отрабатывается мысль о принципиальной важности больших массивов ретроспективных данных для решения задачи обучения автоматизированных СППР. Среди наиболее известных и популярных пакетов статистического анализа следует отметить Statistica, SPSS, Systat, Statgraphics, SAS, BMDP, TimeLab, Data-Desk, S-Plus, Scenario (BI), Мезозавр.
Особое направление в спектре аналитических средств ИАД составляют методы, основанные на нечетких множествах (fuzzy sets). Традиционные вероятностно-статистическая методология базируется на классической колмо-горовской аксиоматике. В ее основе лежит понятие меры, определенной на множестве 7s0-anre6p F в пространстве элементарных событий 7W0. Однако в ряде практических задач, связанных, например, с лингвистическими переменными, подобную аксиоматику построить не удается. В связи с этим в 1961 г. Л.Заде была предложена концепция нечетких множеств, позволяющая оперировать с понятием неопределенности в неметрических системах.
Применение теории нечетких множеств в системе ИАД позволяет ранжировать данные по степени близости к желаемым результатам, осуществлять, так называемый, нечеткий поиск.
Второе крупное направление развития связано с кибернетическими методами оптимизации, основанными на идеях и принципах саморазвивающихся систем. К этому направлению следует отнести методы нейронных сетей, эволюционного и генетического программирования.
В качестве основных программных продуктов, содержащих в себе кибернетические методы ИАД, следует назвать системы Poly Analyst, Neu-roShell, GeneHunter, BrainMaker, OWL, 4Thought (BI).
Однако новые достоинства всегда порождают и новые проблемы. В частности, решения, полученные кибернетическими методами, очень часто не допускают наглядных интерпретаций, что, в определенной степени, усложняет жизнь предметным экспертам.
Рассмотрим подробнее некоторые из кибернетических методов.
Искусственные нейронные сети как средство обработки информации моделировались по аналогии с известными принципами функционирования биологических нейронных сетей. Их структура базируется на следующих допущениях: - обработка информации осуществляется во множестве простых элементов - нейронов; - сигналы между нейронами передаются по связям от выходов ко входам; - каждая связь характеризуется весом, на который умножается передаваемый по ней сигнал; - каждый нейрон имеет активационную функцию (как правило, нелинейную), аргумент которой рассчитывается как сумма взвешенных входных сигналов, а результат считается выходным сигналом.
Таким образом, нейронные сети представляют собой наборы соединенных узлов, каждый из которых имеет вход, выход и активационную функцию (как правило, нелинейную). Они обладают способностью обучаться на известном наборе примеров обучающего множества. Обученная нейронная сеть представляет собой "черный ящик" (нетрактуемую или очень сложно трактуемую прогностическую модель), которая может быть применена в задачах классификации, кластеризации и прогнозирования .
Обучение нейронной сети заключается в подстройке весовых коэффициентов, связывающих выходы одних нейронов со входами других.
Имеется ряд недостатков, ограничивающих использование нейронных сетей в качестве инструмента ИАД.
1. Обученные нейронные сети являются нетрактуемыми моделями -"черными ящиками", поэтому логическая интерпретация описанных ими за 35 кономерностей практически невозможна (за исключением простейших случаев).
2. Будучи методом группы вывода уравнений, нейронные сети могут обрабатывать только численные переменные. Следовательно, переменные других типов, как входные, так и выходные, должны быть закодированы числами.
Таким образом, нейронные сети - довольно мощный и гибкий инструмент ИАД, но подходят не для всех проблем, требующих интеллектуального анализа корпоративных данных.
Алгоритмы динамического формирования доменов безопасности
Каждую сетевую компьютерную систему (компьютер, сервер, маршрутизатор, шлюз), требующую защиты, и каждую единицу информационного ресурса будем называть объектом безопасности. Уровни безопасности определяются как иерархический атрибут, который может быть ассоциирован с объектом безопасности для обозначения его чувствительности в смысле безопасности [32]. Данная степень чувствительности может помечать, например, степень ущерба от нарушения безопасности данного объекта. Когда в сети существуют такие иерархические отношения, то требуется некий механизм, помечающий основное содержимое сети, чтобы его чувствительность в смысле безопасности была известна. Один из путей достижения этого — ассоциировать каждую составляющую компьютерной сети с уровнем безопасности.
Термин домен безопасности определим как совокупность объектов безопасности и субъектов системы, удовлетворяющих одному и тому же уровню безопасности через какой-либо общий элемент. Домен безопасности не всегда можно четко определить. В большинстве сети присутствует несколько доменов безопасности, и чаще всего они перекрывают друг друга.
Более формально предлагаемую концепцию можно представить в виде колец (рис. 2.4). Внешнее кольцо соответствует самому низшему уровню безопасности, внутреннее — самому высшему. Для перемещения объекта из внешнего кольца во внутреннее нужно применять соответствующие средства защиты.
Алгоритмы построения доменов безопасности состоят из трех основных составляющих: алгоритма формирования доменов, алгоритма объединения доменов и алгоритма интеллектуальной настройки доменов безопасности. Необходимость применения интеллектуального алгоритма возникает при необходимости динамического формирования доменов безопасности (рис. 2.5).
Формирование доменов безопасности представляет собой сложную задачу, и включает в себя следующие этапы (рис. 2.6): 1. На первом этапе следует выполнить задачи определения объектов сети щ требующих защиты. 2. Задать степень ценности t=(i = l.n) каждого объекта щ во всей структуре сети, это поможет в дальнейшем оценить уровень безопасности конкретного объекта. 3. Определить тип атак, которые могут иметь место для каждого объекта Ui, 4. Исходя из предыдущего пункта, определить типы уязвимостей Wk (k=l..s, seN) каждого объекта щ которые могут возникнуть или стать причиной реализации атак, определенных выше (по типу уязвимости определяется степень ущерба от реализации атаки V. 5. Определить вероятность P(wf) (k=l..s, SEN) наиболее часто встречающихся типов уязвимости. 6. Сравнивая уязвимости Wk и их вероятности P(wk) (k=l..s, ssN), а также, принимая во внимание степень ценности, можно вычислить потери от конкретной атаки.
Таким образом, выполнив вышеприведенные задачи можно сделать вывод о принадлежности тех или иных объектов безопасности к конкретным уровням безопасности. Получим множество S(uj - уровень безопасности объекта щ і = 1..п.
Далее объекты с одинаковым уровнем безопасности объединяются в одну сеть— получаются домены безопасности. То есть граф G разбивается на подграфы Gi,..,Gq, так чтобы иг= S(uj) Vі, j = l.m (GJ, где m(G\) - количество объектов безопасности подграфа G, I = 1..q.
В результате операции выделения доменов, получен некоторый набор доменов безопасности (графы G/, I = l..q). Далее полученные в результате операции выделения домены безопасности объединяются в одну сеть (граф GD). Но между доменами безопасности включаются средства защиты границ домена — объекты df,f= 1..г, reN. Вставка объектов df должна происходить без нарушения начальной структуры сети, то есть, если объект щ был связан с объектом Uj в.графе G, то они также должны быть логически связаны и в новом графе Go, хотя физически между ними может быть вставлен объект (feN). Взаимодействие полученных доменов должно быть четко и строго определено, (рис. 2.7.)
Рекомендации по организации применения методики в подразделениях ОБИ
До этого описывалось применение LDT только для классификации четких данных, где объекты описаны в терминах точных значений признака. Однако, во многих реальных приложениях измерения реальных признаков могут давать неточные данные. Поэтому есть смысл использовать LDT для классификации в таких задачах. Формально, нечеткая база данных определяется как набор элементов или объектов, каждый из которых описывается скорее лингвистическими выражениями, чем четкими значениями. Другими словами FD={(e1(i),...,en(i))u = h...,N}
В настоящее время имеется очень немного эталонных проблем такого рода с нечеткими значениями атрибута. Это происходит потому, что традиционно только четкие значения данных зарегистрированы, даже в случаях, когда это недопустимо. Поэтому для испытаний была принята задача «восьмерки», цель которой состоит в том, чтобы идентифицировать нахождение внутри области. Дано: рисунок фигуры "восьмерка» описывается уравнением х=2 ("-5)(2sin(2t)-sin(t)) и у=2 (" 5)(2sin(2t)+sin(t)), где ts[0,27c] (рисунок 2.19). Точки в [-1.6, 1.6] классифицированы как искомые, если они лежат в преде Ill лах фигуры «восьмерка» (отмечены х) и не подходящие, если они лежат вне фигуры (отмечены точками).
Классификация на четких (слева) и нечетких данных без масс (справа), где каждый признак дискретизирован на 7 однородных нечетких наборов. Чтобы сформировать нечеткую базу данных, мы сначала генерировали четкую базу данных, производя однородную выборку 961 точек из [-1.6,1.6]2. Тогда каждый вектор данных (хь х2) был преобразован в вектор лингвистических выражений (0Ь G2) следующим образом: 9J=0RJ, где Rj={Fe(j)j: mXj(F) 0} и 0Rj получен согласно а-функции, описанной выше. LDT было обучено применением LID3 алгоритма к четкой базе данных. После этого это дерево использовалось для классификации и четких, и нечетких данных. Результаты тестирования показаны в таблице 2.8, результаты тестирования с NF=7 показаны на рис. 2.21.
Как мы можем видеть из таблицы 2.8, наша модель дает разумное приближение искомой области данных, хотя и не так точно, как на четких данных. Точность увеличивается с увеличением NF - количеством нечетких наборов, используемых для дискретизации. Эти результаты показывают, что LDT модель достаточно хорошо применима к нечетким и неоднозначным данным. Задачу «восьмерки» можно применить и для тестирования классификации с лингвистическими ограничениями в следующем примере.
Задача «восьмерка» с лингвистическими ограничениями, где каждый признак разбивается на 5 трапециидальных нечётких набора: очень маленький, маленький, средний, большой и очень большой.
Предположим, что LDT обучен на базе данных «восьмерки», где каждый признак - однородно разбит пятью нечеткими наборами: очень малень 113 кий (vs), маленький (s), средний (m), большой (1) и очень большой (vl). Далее, предположим, имеется следующее описание точек данных: #1 = (х is vs V s Л -ifns у із vs V s Л -»m) во = {x is m А І, у is s Л m) #3 = (:v is s Am}y is I V vl) Полученные экспериментальные результаты таковы: Рг(С!Й) = 1.000 Pr(C2\6i) = 0.000 Рг{Сі\в2) = 0.000 Рг(СпЩ = 1.000 Рг(Сі\вз) = 0.428 Рг{С2\в3) = 0.572
Как видно из рис. 2.22, вышеупомянутые 3 лингвистические ограничения соответствуют областям 1, 2 и 3, соответственно. Рассматривая местонахождение положительных и отрицательных примеров в пределах этих областей, мы проверили достоверность предлагаемого подхода.
В этой главе в качестве интеллектуального алгоритма динамического построения доменов безопасности СЗИ АС был предложен алгоритм обучения деревьев решений, основанный на нечеткой логике LID3. Данный алгоритм является модификацией классического ID3 алгоритма. В отличие от классических деревьев решений, новый алгоритм использует оценку вероятности, основанную на лингвистических метках. Лингвистические метки основаны на нечеткой дискретизации, использующей ряд различных методов, включая однородное, процентиль-основанное и энтропийное разделение. Результаты тестирования показали, что процентиль-основанная и энтропиийная дискретизация превосходят однородный метод, но никакой статистической зависимости не было найдено. Проверка алгоритма на реальных наборах данных и сравнение с другими тремя хорошо известными алгоритмами машинного обучения, показали, что LID3 превзошел по быстродействию С4.5 на всех данных наборах данных и превосходит по быстродействию Naive Bayes на наборах данных с только числовыми признаками.