Содержание к диссертации
Введение
1. Основные направления совершенствования механизмов оценки: эффективности программных систем защитыинформации . 9
1.1. Анализ особенностей разработки и функционирования программных систем защиты информации 9
1.2. Основные подходы к выбору показателей эффективности программных систем защиты информации и к их оценке 22
1.3. Постановка задачи исследования и общая схема её решения 28
Выводы по разделу 31
2: Математические модели? оценки эффективности программных систем защитбі информации. 32
2.1. Вербальная, модель конфликта между нарушителем и программной системой защиты информации 32
2.2. Моделирование реализации защитных функций в программных системах защиты информации 34
2.3. Полумарковская модель количественной оценки эффективности программных систем защиты информации 39
Выводы по разделу 58
3; Разработка алгоритмові и процедур комплексной оценки? эффективности; прий создании программных систем защиты информации ;. 59
3.1. Организация вычислительного эксперимента для оценки времени реализации защитных функций программных систем защиты информации. 59
3.2. Аппроксимация выборки времен реализации уровня обеспечения зашиты информации типовыми законами распределения вероятностей ... 63
3.3. Алгоритм оценки количественного показателя эффективности программной системы зашиты информации 75
Выводы по разделу 81
4. Разработка и применение автоматизированных; средств комплексной оценки эффективности программных систем защиты информации 82
4.1. Программно-моделирующий комплекс оценки эффективности программной системы защиты информации 82
4.2. Оценка количественного показателя эффективности типовой программной системы защиты информации 84
4.3 Основные направления совершенствования программных систем защиты информации на основе комплексной оценки эффективности при их
разработке 88
Выводы по разделу 91
Заключение. 92
Список использованных источников! 94
- Основные подходы к выбору показателей эффективности программных систем защиты информации и к их оценке
- Моделирование реализации защитных функций в программных системах защиты информации
- Аппроксимация выборки времен реализации уровня обеспечения зашиты информации типовыми законами распределения вероятностей
- Оценка количественного показателя эффективности типовой программной системы защиты информации
Основные подходы к выбору показателей эффективности программных систем защиты информации и к их оценке
Особенностью настоящего времени является широкое внедрение автоматизированных систем (АС) практически во все сферы жизнедеятельности государства. Вместе с тем в процессе их функционирования вследствие возникновения изменений штатных режимов работы, обусловленных нарушениями информационной безопасности, возможными сбоями и отказами программно-технических средств, несанкционированным доступом (НСД) к данным, манипулированием ими и перехватом управления, могут возникать неприемлемые последствия. В связи с этим исследования в области обеспечения информационной безопасности (ИБ) АС, направленные на снижение или устранение таких последствий, приобретают чрезвычайную-важность.
Проведенный анализ применения и требований, предъявляемых к АС, позволил выявить следующие ключевые особенности функционирования таких систем, которые необходимо учитывать при обеспечении их информационной безопасности [12, 14, 21, 23, 31, 36, 41, 62, 91]: 1) значительная доля автоматизированных процедур в общем объеме процессов обработки данных; 2) возрастающая" важность и ответственность решений, принимаемых в автоматизированном режиме и на основе автоматизированной обработки информации; 3) территориальная распределенность компонентов АС; 4) сложные режимы функционирования технических средств АС; 5) накопление на технических носителях огромных объемов информации, причем для многих видов этой информации все более трудным (и даже невозможным) становится изготовление немашинных аналогов (дубликатов); 6) интенсивная циркуляция информации между компонентами АС, в том числе и расположенными на больших расстояниях друг от друга; 7) интеграция в единых базах данных информации различного назначения и различной принадлежности; 8) долговременное хранение больших массивов информации на машинных носителях; 9) непосредственный и одновременный доступ к ресурсам (в том чис ле и к информации) большого числа пользователей различных категорий и различных учреждений;
Эти особенности определяют множество задач защиты информации в АС, которое можно условно разбить на следующие подмножества: 1) задачи предотвращения нарушения конфиденциальности информации (утечки информации); 2) задачи предотвращения нарушения целостности информации АС; 3) задачи предотвращения нарушения доступности информации АС;
Они, в свою очередь, определяют основные направления обеспечения информационной безопасности АС [1, 2, 13, 17, 18, 20, 32, 33, 43, 46, 56, 67, 107,108,110,111]: - обеспечение безопасности данных, т.е. наделение данных защитой как их внутренним свойством методами криптографии. Фактически сегодня шифрование единственная гарантия защиты данных, особенно при их хранении и передачи по каналам связи. Однако оно не всегда приемлемо из-за снижения скорости обработки данных, неудобств их интерпретации и отображения, высокой стоимости оборудования, сложности и уязвимости («человеческий фактор») систем обеспечения; - обеспечение безопасности аппаратных средств (спецпроверки на закладные устройства, специсследования на побочные электромагнитные излучения и наводки (ПЭМИН)) и программного обеспечения (дополнительное тестирование на отсутствие скрытых и недокументированных функций); - создание программно-аппаратных средств защиты от НСД (для отдельных рабочих мест и сетевых структур); - комплексирование перечисленных выше направлений с организационно-техническими мерами в рамках системы обеспечения информационной безопасности АС.
Для решения проблем обеспечения информационной безопасности создаются системы защиты информации (СЗИ), входящие в АС в качестве проблемно-ориентированной подсистемы и содержащие технические и программные средства защиты. В соответствии с ГОСТ 50.922-2006 под СЗИ следует понимать совокупность органов и (или) исполнителей, используемой ими техники защиты информации (ЗИ), а также объектов защиты, организованную и функционирующую по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации (ЗИ). Защита информации от НСД осуществляется при помощи специальной системы - СЗИ НСД. Она представляет собой функциональную подсистему АС, организованную как совокупность всех средств, методов и мероприятий, выделяемых (предусматриваемых) в АС для решения в ней необходимых задач защиты информации от нсд.
Программно-технической основой- СЗИ НСД является комплекс средств защиты (КСЗ) - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты информации от НСД [36, 99-103]. Программная система защиты информации (ПСЗИ) является подсистемой СЗИ НСД: Из всех средств КСЗ она включает в свой состав только программные средства. Программные средства защиты информации (ПСрЗИ) - это специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения АС для решения задач защиты информации от НСД [22, 36, 61, 69, 91]. Совокупность всех ПСрЗИ, входящих в состав ПСЗИ, образует комплекс программных средств защиты информации (КПСЗ). ПСрЗИ являются важнейшей и непременной частью механизма защиты современных АС. Это определяется их универсальностью; гибкостью; надежностью; простотой реализации; возможностью модификации и развития [22].
В то же время имеется ряд следующих недостатков применения ПСрЗИ: необходимость использования процессора, что ведет к увеличению времени отклика АС на запросы и, как следствие, к уменьшению эффективности ее работы (снижение оперативности); уменьшение объемов оперативной памяти и памяти на внешних запоминающих устройствах, доступной для использования функциональными задачами и другие [22, 36, 44, 47, 48, 71, 72, 81]. С другой стороны, доступные для ПСЗИ вычислительные ресурсы являются одним из важнейших факторов, определяющих достижимую защищенность АС, поэтому для реализации ПСрЗИ еще на этапе проектирования должна быть предусмотрена программная и информационная избыточность в виде ресурсов внешней и внутренней памяти АС [22, 36, 44, 47, 48, 71, 72, 81]. Кроме того, для функционирования ПСрЗИ необходима временная избыточность, обеспечиваемая повышенной производительностью системы.
Моделирование реализации защитных функций в программных системах защиты информации
Проведенный анализ методов исследования процессов функционирования сложных систем такого класса дает основание считать, что наиболее приемлемыми для решения этой задачи являются методы математического моделирования [3, 9, 13, 17, 18, 32, 33, 43, 46, 67, 78, 84, 86, 87, 105].
Методы математического моделирования, в настоящее время, широко применяются в исследовании сложных систем, благодаря- своей эффективности, оперативности и дешевизне по сравнению с натурными испытаниями этих систем. Среди методов математического моделирования наибольшее распространение получили методы аналитического и имитационного моделирования.
Случайный характер условий функционирования ПСЗИ, сложность их структуры, а также незначительная глубина проработки вопросов формализации процессов функционирования ПСЗИ обусловили ограниченное число аналитических и имитационных моделей. Недостатком имитационных моделей ПСЗИ является ограниченные возможности применения классических методов математического анализа, что приводит к противоречивости получаемых результатов. Значения характеристик ПСЗИ можно получить при исследовании процессов ее функционирования, что требует моделирования функций такой системы.
Оценка статических показателей осуществляется с помощью экспертных оценок. Наибольшую трудность вызывает оценка динамического показателя эффективности ПСЗИ, который, непосредственно связан с процессом функционирования ПСЗИ. Оценка этого показателя, наиболее весомого по вкладу в общую эффективность ПСЗИ [17, 33, 52-54, 75-77, 85], осуществляется с помощью моделирования функций защиты ПСЗИ.
Показатель, оценивающий вероятность успешного выполнения ПСЗИ своих функций в автоматизированных системах управления от НСД является одной из важнейших составляющих комплексных показателей эффективность ПСЗИ, рассмотренных в ряде работ [40, 58, 73, 84]. Методы и алгоритмы оценки этого показателя эффективности ПСЗИ от НСД во многом определяют содержание методологической базы анализа, синтеза и управления ПСЗИ. В связи с этим, к методам, оценки рассматриваемого показателя эффективности ПСЗИ от НСД предъявляются наиболее жесткие требования по адекватности заложенных в них моделей, точности получаемых результатов и трудоемкости в использовании.
Разработанный метод позволяет получить частные независимые оценки вероятности успешного выполнения ПСЗИ своих функций по отдельным этапам действий злоумышленника. Однако, для детального исследования эффективности ПСЗИ, метод оценивания должен обеспечивать «сквозной» расчет показателей эффективности ПСЗИ с учетом взаимозависимости частных оценок, получаемых для различных этапов действий злоумышленника, на основе детального описания порядка его взаимодействия с ПСЗИ в процессе НСД.
В качестве динамического показателя принята вероятностная конструкция (1.1). При этом задача защиты информации от НСД считается выполненной, если величина Ts не превышает некоторой максимально допустимой величины TN, обусловленной стратегией НСД к информации в АС, принятой злоумышленником.
По своей сути показатель (1.1) является количественной оценкой относительной оперативности решения своих задач двумя противоборствующими сторонами - злоумышленником, осуществляющим НСД к информации, и ПСЗИ.
Для математического описания и исследования подобных задач используется модель динамического конфликта, которая в сочетании с теорией случайных процессов позволяет разрабатывать математические модели динамики функционирования сложных иерархических систем, отвечающие требованиям по адекватности и точности получаемых результатов.
Для описания динамики взаимодействия злоумышленника с ПСЗИ, целесообразно использовать методы полумарковских процессов, которые позволяют получить наиболее адекватные модели случайных процессов с последействием и произвольными законами распределения переходных характеристик .
Основной идеей построения вероятностной модели динамического конфликта, представленной на рис. 2.2, заключается в переходе от независимого описания функционирования противоборствующих сторон безусловными вероятностно-временными характеристиками (ВВХ) к описанию- их взаимодействия конфликтно-обусловленными ВВХ, отражающими выигрыш одной из сторон в случае опережающего выполнения ею своей задачи. В качестве ВВХ динамического конфликта используются конфликтно - обуслов 41 ленные плотности распределения вероятности (ПРВ) выигрыша конфликтующих сторон.
В соответствии с технологией использования методов динамического конфликта и теории полумарковских процессов [8, 95], разработка аналитических моделей реальных процессов осуществляется в три этапа:
1. Разработка вербальной модели исследуемого процесса, отражающей его наиболее существенные с точки зрения решаемых задач стороны.
2. Разработка динамического графа случайного полумарковского процесса, эквивалентного вербальной модели, а также исходной системы интег-ро-дифференциальных уравнений, описывающей ПРВ перехода процесса из начального в конечные состояния.
3. Выбор табулированных ПРВ, наиболее точно аппроксимирующих ВВХ моделируемых процессов и разработка способа вычисления выходного показателя по исходной системе интегро - дифференциальных уравнений.
Аппроксимация выборки времен реализации уровня обеспечения зашиты информации типовыми законами распределения вероятностей
В качестве объекта исследования в данной работе использовалось широко распространенная ПСЗИ «Спектр-Z», которая соответствует требованиям руководящих документов.
Для оценки динамического показателя-эффективности ПСЗИ «Спектр-Z» рассмотрим ситуацию предотвращения попытки НСД к ПСЗИ с целью уничтожения информации в ее базе данных. Содержание алгоритма вычислительного эксперимента следующее.
С целью исследования ПСЗИ в распределенную вычислительную сеть АС в обход подсистемы закрытия внедряется компьютерный вирус-закладка типа «троянский конь». Этим вирусом осуществляется контроль прерываний устройств ввода паролей при инициировании пользователями работы с подсистемами обеспечения, санкционированного доступа, детального разграничения полномочий доступа, разграничения доступа к ресурсам АС и регистрации доступа.
Для предотвращения попытки исследования подсистем организации доступа к АС на первом уровне защиты ПСЗИ «Спектр-Z» с помощью подсистемы закрытия реализуются операции закрытия доступа к ресурсам АС через системную дискету, а также на втором уровне защиты ПСЗИ при помощи подсистем обеспечения санкционированного доступа, детального разграничения полномочий доступа, разграничения доступа к ресурсам АС и регистрации доступа осуществляются операции идентификации и аутентификации. В случае обнаружения этими подсистемами некорректных состояний ПСЗИ подсистема поддержания целостности рабочей среды ПЭВМ производит обнаружение несанкционированных изменений в рабочей среде ПЭВМ, искажений в программах и ключевой информации АС, поиск, с помощью антивирусных средств, вредоносных программ и их подавление.
Если цели злоумышленника на первом этапе достигнуты и в его распоряжении находятся идентификационные пароли ПСЗИ, то при помощи разработанных программ контроля основных подсистем ПСЗИ осуществляется проникновение в АС с целью исследования механизма шифрования программ и данных АС подсистемой преобразованием информации ПСЗИ.
Для предотвращения попытки исследования основных подсистем ПСЗИ на втором уровне ее защиты ПСЗИ при помощи подсистемы обеспечения целостности рабочей среды осуществляется обнаружение вирусных программ злоумышленника и их подавление.
Если цели злоумышленника на втором этапе достигнуты и в его распоряжении находятся как идентификационные пароли ПСЗИ, так и шифры программ преобразования информации, то при помощи разработанных программ манипулирования информацией осуществляется вскрытие ПСЗИ и проникновение в АС с целью определения (вызова) интересующих злоумышленника файлов и уничтожения (стирания) информации в них.
Если программы злоумышленника обнаруживаются подсистемой обеспечения целостности рабочей среды, то они уничтожаются.
В качестве злоумышленника выбирается один или несколько специалистов наивысшей квалификации в области ИБ данной АС. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению уязвимых мест в ПСЗИ (например, максимальное время выполнения ПСЗИ защитных функций). При этом могут моделироваться действия злоумышленников, соответствующие различным моделям нарушителей: от неквалифици 61 рованного злоумышленника, не имеющего официального статуса в исследуемой АС, до высококвалифицированного сотрудника службы безопасности [38, 88].
В таблице 3.1 представлены результаты эксперимента по оценке статистических характеристик времени реализации выполнения функций и обеспечения уровней защиты ПСЗИ "Спектр-Z", рассматриваемой в качестве типовой на этапе исследования злоумышленником ее подсистемы доступа.
Такой подход к оценке эффективности позволяет получать объективные данные о возможностях существующих ПСЗИ, но требует высокой квалификации исполнителей и больших материальных и временных затрат. Для проведения экспериментов необходимо иметь самое современное оборудование (средства инженерно-технической разведки, аппаратно-программные и испытательные комплексы (стенды) и т. п.) [38, 88]. 3.2. Аппроксимация выборки времен реализации уровня обеспечения зашиты информации типовыми законами распределения вероятностей
На рис. 3.1 представлена схема алгоритма определения времени реализации уровней обеспечения зашиты информации. Содержание блоков схемы алгоритма состоит в следующем: Блок 1. Ввод данных описывающих функциональную структуру частного информационного процесса.
Временные характеристики выполняемых функций представляются одномерными массивами Z, А и В размерностью N, соответствующих векторам переходов системы. Элементы zn массива Z могут содержат одно из трех возможных значений: «Р», если закон распределения равномерный; «Э», если закон распределения экспоненциальный и «Н», если закон распределения нормальный. Элементы ап массива А содержат значения математического ожидания времени выполнения функций (для равномерного закона - минимальное значение). Элементы Ъп массива В содержат значения дисперсий времени выполнения функций (для равномерного закона - максимальное значение). Структура графа, описывающего уровень обеспечения зашиты информации, представляется в виде двумерного массива G.
Каждая и-ая строка (G„i, G„2, . . . , G„j, . . . , G„J) этой матрицы содержит значение номеров функций, следующих непосредственно после выполнения я-ой. Если число переходов і функции меньше J, то последние 1-і элементов строки заполняются нулями. Структура массива G представлена на рис.3.2.
Оценка количественного показателя эффективности типовой программной системы защиты информации
Анализ полученных результатов показывает, что при увеличении времени, которое отводится для успешной реализации защитных функций ПСЗИ, увеличивается защищенность АС - вероятность P(rs rN) (рис. 4.3 4.5).
С увеличением значений параметров времени выполнения защитных функций ПСЗИ, увеличивается среднее время выполнения задач ПСЗИ (стороной В, рис. 4.3-4.5), то есть увеличивается время реакции системы защиты на атаки злоумышленника, снижается эффективности функционирования ПСЗИ (рис. 4.5 б, в), таким образом ухудшается защищенность АС.
При этом степень снижения P(TS Гд,) зависит от соотношения времени затрачиваемого злоумышленником и ПСЗИ на реализацию своих процессов. Если значения среднего времени выполнения задач ПСЗИ (стороной В) меньше среднего времени выполнения задач злоумышленником (стороной А), то снижение P(TS TN), из-за увеличения значений параметров стороны В, незначительно (рис. 4.4). При превышении среднего времени выполнения задач ПСЗИ (стороной В) среднего времени выполнения задач злоумышленником (стороной А), вероятность P(rs rN) резко уменьшается (рис. 4.5 в).
Таким образом, при значительных временных затратах на выполнение защитных функций ПСЗИ, превышающих временные затраты на НСД злоумышленника, у последнего появляется возможность успешно осуществить НСД к информации в АС. В случае уменьшения времени выполнения защитной функции, ПСЗИ становится более эффективным, что и подтверждается графическими зависимостями, показанными на рис 4.5.
В качестве дополнения к вышесказанному можно констатировать тот факт, что полученные графические зависимости, приведенные на рисунках 4.3-4.5 не противоречат здравому смыслу и говорят о том, что разработанные модели и алгоритмы адекватны реальным процессам защиты.
Основные направления совершенствования программных систем защиты информации на основе комплексной оценки эффективности при их разработке
Предложенные в работе математические модели, алгоритмы, процедуры и программные средства применялись при выполнении ряда НИР («АСУ-2007», «Босфор-УТС» и др.) в ФГНИИЦ РЭБ ОЭСЗ Минобороны России, посвященных разработке автоматизированных систем в защищенном исполнении. Результаты работы в форме математических моделей, алгоритмов и программных средств моделирования и расчета показателей эффективности ПСЗИ, внедрены в ВАИУ Минобороны России и Воронежском институте МВД России при подготовке курсантов и слушателей по специальности «Защищенные телекоммуникационные системы» и «Информационная безопасность». Акты внедрения приведены в приложении 1. При проведении учебного процесса разработанный программно-моделирующий комплекс позволяет на наглядных примера, а именно графических зависимостях показать насколько вероятность P(TS г )может меняться при изменении тех или иных параметров. Комлекс позволяет так же оценивать относительное изменение эффективности функционирования системы в целом в зависимости от эффективности на отдельно взятом этапе, то есть, делая предположения о возможностях повышения быстродействия системы защиты, например, на этапе проверки целостности рабочей среды , мы получим наглядное отражение предпринятых мер на графиках. Следовательно, для разработчика или для обучаемого это дает возможность оценить насколько необходимы те или иные мероприятия, и какой прирост в эффективности даст применение, например более дорогостоящей вычислительной базы, или наоборот насколько усложнение алгоритма работы ПСЗИ понизит производительность системы, в целом.
Все это позволит экономить значительные средства при разработке ПСЗИ. Как правило, при проектировании АС в защищенном исполнении, учитывается максимально допустимое время, которое при имеющихся вычислительных ресурсах АС отводится на защиту от НСД (например не более 5 с) - это время фиксировано - Ттах. Если время выполнения системой защитных функций превышает это пороговое значение, необходимо оптимизировать соотношение между вычислительными ресурсами выделяемыми на выполнения основных функций АС и соответственно защитных. Основной недостаток ПСЗИ, то что при инсталляции в систему она отбирает значительную часть вычислительной мощности, и как следствие снижает оперативность выполнения задач АС вплоть до полной остановки системы. Разработанный программно-моделирующий комплекс позволяет определять оптимальное соотношения между функциями защиты информации и основными целевыми функциями АС. ПМК не призван заменить сертификационные испытания и т.д., а применяется на предварительном этапе для экономии финансовых и временных ресурсов разработчиков и позволяет оценить вероятность P(TS rN ) с заранее определенными заказчиком параметрами на определенной вычислительной базе, что, безусловно, имеет различное значение в зависимости от предназначения АС: от низкобюджетных коммерческих проектов до стратегических систем безопасности военного назначения.
Применение рассмотренного подхода к комплексной оценке показателей эффективности при проектировании ПСЗИ может быть использовано при принятии решении о необходимости, объеме и направлениях ее доработки. При этом объем такой доработки определяется в зависимости от полученных оценок комплексного показателя эффективности, а ее направление и содержание - с учетом результатов оценки статических и динамического показателей эффективности ПСЗИ.