автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Модели оценки рисков несанкционированного доступа и утечки информации на основе модели Take-Grant

На правах рукописи

БАРДЫЧЕВ ВАСИЛИЙ ЮРЬЕВИЧ

МОДЕЛИ ОЦЕНКИ РИСКОВ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И УТЕЧКИ ИНФОРМАЦИИ НА ОСНОВЕ МОДЕЛИ TAKE-GRANT

Специальность: 05.13.19 -Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ Диссертации на соискание ученой степени кандидата технических наук

2 6 Я Н В 1Ш

Санкт-Петербург - 2012

005009723

Работа выполнена в Омском государственном университете им. Ф.М.Достоевского.

Официальные оппоненты: доктор технических наук, профессор Гатчин Юрий

Защита состоится 14.02.2012 на заседании диссертационного совета Д 212.227.05 в 14.00 по адресу: 197101, Санкт-Петербург, пр. Кронверкский, д. 49, НИУ ИТМО, ауд. 403.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики.

Автореферат разослан 13 января 2012. г.

Научный руководитель: доктор физико-математических наук, доцент

Белим Сергей Викторович.

Арменакович.

доктор технических наук, профессор Суханов Андрей Вячеславович.

Ведущая организация: Сыктывкарский государственный университет.

диссертационного совета Д 212.227.05

Ученый секретарь

В.И. Поляков

Актуальность проблемы

Одной из важных составляющих информационной безопасности компьютерных систем является оценка рисков несанкционированного доступа. При оценке рисков принято основываться на предполагаемом ущербе от возможной реализации угрозы. При этом для каждой системы необходимо строить свою модель угроз, которая зависит от видов атак, актуальных для заданного типа обрабатываемой информации. Наиболее информативной является численная оценка возможности реализации угрозы, позволяющая не только принять решение о необходимости внедрения средств защиты информации, но и выбрать оптимальный вариант системы защиты, как по цене, так и по возможностям.

На сегодняшний день наибольшее распространение получили два подхода количественной оценки риска реализации угрозы. Первый подход связан с введением стоимости ущерба, нанесенного атакой. В случае несанкционированного доступа оценивается стоимость потерянной информации, либо ущерб от разглашения информации. При таком подходе приходится вводить методику оценки стоимости информации, на которую нацелена атака. Кроме того, приходится решать сложную задачу по определению вероятности реализации угрозы.

Второй подход связан с методом экспертных оценок. Данный подход содержит существенную субъективную составляющую. Метод экспертных оценок подразумевает привлечение группы экспертов, каждый из которых выставляет оценку угрозы исходя из собственного опыта. Финальная оценка формируется из оценок участников экспертной группы с учетом уровня доверия каждого эксперта.

Оба подхода имеют два существенных недостатка, которые приводят к трудностям в их реализации. Во-первых, оба метода подразумевают участие экспертов для оценки либо самой угрозы, либо стоимости ущерба. Во-вторых, оба метода основываются на большом количестве параметров, что существенно снижает ценность полученных результатов.

Одной из трех составляющих информационной безопасности является конфиденциальность информации. Угрозу конфиденциальности составляет несанкционированный доступ. Существует ряд математических моделей для проверки возможности осуществления несанкционированного доступа. К таким моделям можно отнести HRU и Take-Grant. В обеих этих моделях предполагается

получение ответа о возможности доступа, но не проводится оценка его трудоемкости и вероятности осуществления. Некоторые оценки трудоемкости доступа к объекту компьютерной системы позволяет получить расширенная модель Take-Grant. Однако в ней предусмотрена возможность либо прямого доступа субъекта к объекту, либо доступа через одного посредника. Хорошо известно, что большинство атак для осуществления несанкционированного доступа требуют привлечения нескольких процессов, активизирующих друг друга.

Таким образом, актуальной является задача построения модели оценки рисков несанкционированного доступа и утечки информации на основе модели Take-Grant с учетом доступа через нескольких посредников.

Целью диссертационной работы ставится совершенствование методик оценки рисков несанкционированного доступа к объектам компьютерной системы и утечки информации с участием нескольких посредников.

Для достижения поставленной цели были решены следующие задачи:

1. Разработана модель оценки рисков несанкционированного доступа с участием нескольких посредников на основе модели Take-Grant.

2. Разработана модель оценки рисков утечки информации с участием нескольких посредников на основе расширенной модели Take-Grant.

3. Разработан и реализован программный комплекс оценки рисков утечки информации с участием нескольких посредников к файлам для операционной системы Windows.

Методы исследования. При решении поставленных задач использовались модели безопасности, элементы теории графов и теории вероятностей.

Научная новизна результатов исследования:

1. Разработана новая модель оценки рисков несанкционированного доступа на основе модели Take-Grant, позволяющая учитывать доступ с участием нескольких посредников.

2. Разработана новая модель оценки рисков утечки информации на основе расширенной модели Take-Grant.

Практическая ценность заключается в программной реализации разработанной методики и внедрении ее в деятельность организаций,

осуществляющих оценку рисков несанкционированного доступа в компьютерных системах.

Основные положения, выносимые на защиту:

1. Модель оценки рисков несанкционированного доступа к объектам на основе модели Take-Grant.

2. Модель оценки рисков утечки информации между объектами на основе расширенной модели Take-Grant.

Апробация работы. Основные результаты диссертации докладывались и обсуждались в следующих международных научных конференциях: XIII международная научная конференция «Решетневские чтения» (Красноярск, 2009), 8-ая международная заочная научно-практическая конференция «Наука на рубеже тысячелетий» (Тамбов, 2011), а также внедрены в деятельность трех организаций

Публикации. По теме диссертации опубликованы восемь научных работ, в том числе две статьи в изданиях из списка, рекомендованного ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 94 страницы основного текста, 32 рисунков и 20 таблиц. Список литературы включает 95 наименований.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность выбранной темы диссертационной работы и сформулированы основные цели исследований.

В первой главе, носящей обзорный характер, рассматриваются основные методики оценки рисков несанкционированного доступа, разработанные к настоящему времени, а также основные понятия субъектно-объектной модели разграничения доступа в компьютерных системах.

Вторая глава посвящена разработке модели оценки рисков несанкционированного доступа к объектам компьютерной системы на основе модели Take-Grant.

В начале главы приведены основные положения модели Take-Grant, необходимые для дальнейшего изложения. Вводится понятие графа доступов, правила де-юре преобразования графа доступов и предикат «Возможен доступ».

Приведены основные теоремы о структуре графа доступов, при которой предикат «Возможен доступ» истинен.

При определении стоимости или возможности доступа с использованием правил де-юре модели Take-Grant необходимо учитывать возможность существования нескольких путей получения доступа. Как показано в теореме об истинности предиката «Возможен доступ», передача прав возможна тогда и только тогда, когда существует соответствующий ig-путь, то есть путь в графе, каждая дуга которого помечена правом t или g. Рассмотрим простой случай, когда передача права по одному ребру с меткой t или g имеет одинаковую вероятность а независимо от направления дуги. Тогда передача права по ig-пути длины два будет иметь вероятность а2 и т.д.

Для выявления tg-путей построим новый не помеченный и не ориентированный граф G,g на основе графа G по следующим правилам:

1) Множество вершин графа Gig совпадает с множеством вершин графа G.

2) Если метка дуги в графе G включает в себя t или g, то добавляем в графе G,g дугу между соответствующими вершинами. Граф G,g характеризует связь вершин с помощью tg-путей.

Обозначим множество вершин графа Gtg через V, а множеством дуг через D. Отношение инцидентности будем задавать с помощью матрицы смежности Е. А именно, если существует дуга из вершины V; в вершину vy, то соответствующий элемент матрицы смежности Ejj=l, в противном случае E,f= 0. Также будем считать, что в графе нет петель и полагать £,,= 0.

Сформулируем более строгую постановку задачи. Пусть между вершинами v, и vj некоторого графа существует несколько путей длины к. Обозначим количество таких путей через pk(vj,vj). Пути разной длины дают разный вклад в возможность доступа одного субъекта к другому. Введем соответствующую функцию g (к), которая показывает вклад в возможность доступа по tg-пути длиной к. Введем величину, характеризующую возможность доступа одного субъекта к другому по различным tg-путям:

i.i

Определим матрицу возможностей доступа всех субъектов друг к другу M:

Учитывая, что элементы матрицы показывают количество путей длины к между соответствующими вершинами, можем записать следующее соотношение:

М = ^ё(к)Ек.

к=\

В диссертации проведено исследование зависимости элементов матрицы возможностей доступа от выбора весовой функции g(k). Показано, что наиболее адекватные результаты дает показательная функция.

Функция £(к) в нашем случае будет иметь вид g(k)=a.k~', где 0 < а < 1. В этом случае вероятность доступа одного субъекта к другому можно вычислить по формуле:

к

к-1

Используя выражения для степенных рядов, можем записать матрицу возможностей доступов в следующем виде:

М = £ а "Е" = а((/ - ссЕТ' -1). к= 1

Здесь / - единичная матрица. Коэффициент а имеет двоякий смысл. С одной стороны, он показывает, во сколько раз уменьшается относительное влияние пути при увеличении его длины на единицу. С другой стороны рассмотрим ситуацию, при которой из вершины V, в вершину Vj ведет несколько путей одинаковой длины. В частности, если имеется путей длины 2, то они дают такой же вклад в

вероятность доступа, как и дуга между вершинами. При наличии 1/а путей

длины 3 их вклад будет эквивалентен одному пути длиной 2. Если же имеется р3(у/а2 путей длины 3, то их вклад эквивалентен одной дуге. В общем случае при наличии рп(у^= 1/а"'к путей длины п их вклад будет эквивалентен одному пути длины к. Эти соображения позволяют выбирать коэффициент а из практических соображений.

Построим модель оценки рисков несанкционированного доступа к информации на основе величины стоимости доступа к информации. Очевидно, что чем больше возможность доступа, тем выше риск несанкционированного доступа. То есть риск несанкционированного доступа является монотонно возрастающей

функцией от возможности доступа. Рассмотрим простейший случай линейной зависимости:

Щ8,0)=А к&О).

Здесь ЩБ.О) - риск несанкционированного доступа от субъекта £ к объекту О, w(S,0) — соответствующая возможность доступа, А — нормировочный коэффициент. Выбор нормировочного коэффициента А зависит от шкалы рисков, используемой для оценки уязвимости системы. Пусть оценка рисков производится по шкале от 0 до Максимальный риск будет наблюдаться при полном доступе по любому из каналов, то есть в том случае, когда злоумышленник не затрачивает дополнительных усилий, связанных с воздействием на промежуточные субъекты. Данная ситуация наблюдается при значении параметра а=1. Откуда получаем соотношение:

4=1

Отсюда может быть получено значение нормировочного коэффициента Л:

/ 4-1

Соответственно для оценки величины риска несанкционированного доступа

имеем:

Хл«4^)

к=1

Из этой формулы мы получаем значения элементов матрицы рисков несанкционированного доступа между различными субъектами и объектами. Безусловно, остается сложным вопрос выбора параметра а. Он может быть решен методом экспертных оценок, либо в результате сбора статистической информации. Соответственно возникает вопрос об отличии данного метода от обычных методов оценки рисков. В действительности данный метод обладает большей объективностью по сравнению с традиционным подходом по причине меньшего количества параметров. А именно, определив значение параметра для одного из каналов несанкционированного доступа, можно использовать его для оценки рисков

остальных каналов утечки информации. Тогда как в традиционном подходе для каждого канала оценка производится независимо.

Рассмотрим простой пример. Пусть граф доступов имеет вид, рисунок 1:

Рисунок 1. Граф доступов в Таблица 1. Матрица доступов графа й:

Б] Б2 53

57 ¥ г

82 ¥ 8

БЗ Р

Б4 1 Р

1£-граф будет иметь вид, рисунок 2:

Рисунок 2.1§-граф графа в

Матрица смежности для tg-гpaфa будет выглядеть так, рисунок 3:

0 1 0 1

1 0 0 1

0 0 0 1

1 1 1 0

Рисунок 3. Матрица смежности дня tg-гpaфa. Матрица возможностей доступа для значения а = 0.5:

M (0,5) =

(2,375 3 1,25 3,25 ^

3 2,375 1,25 3,25

1,25 1,25 0,875 2

l 3,25 3,25 2 3,375

4 1 ' ' ;

Рисунок 4. Матрица возможностей доступа при а = 0.5.

Таким образом, возможность доступа, например, субъекта S1 к субъекту S3 будет равна 1,25. То есть, несмотря на то, что нет дуги между этими субъектами, несанкционированный доступ возможен с большой вероятностью.

Вычислим аналогичную матрицу для значения а = 1, рисунок 5:

'11 11 6 12ч

М(1) =

11 11 6 12

6 6 4 6

^12 12 6 16, Рисунок 5. Матрица возможностей доступа при а = 1.

Производя поэлементное деление первой матрицы на вторую, получаем значения для элементов матрицы рисков несанкционированного доступа, рисунок 6: ГО,216 0,273 0,208 0,27 Л

R =

0,273 0,216 0,208 0,271 0,208 0,208 0,219 0,333 ^ 0,271 0,271 0,333 0,211) Рисунок 6. Матрица рисков несанкционированного доступа.

Третья глава посвящена разработке модели оценки рисков утечки информации на основе расширенной модели Take-Grant.

В расширенной модели Take-Grant кроме правил де-юре, определяющих права доступа, вводятся правила де-факто, определяющие направления перемещения информации. Однако правила де-факто расширенной модели Take-Grant ограничиваются возможными потоками информации либо непосредственно между двумя объектами, либо с одним промежуточным объектом. В реальных же системах с ненулевой вероятностью возможна утечка информации через двух и более объектов посредников. Следует отметить, что чем больше посредников, тем менее вероятна утечка.

Построим алгоритм расчета вероятности утечки информации от объекта * к объекту у через к посредников. Для этого построим на основе графа доступов С не помеченный ориентированный граф информационных потоков С?,., следующим образом:

1) Множество вершин совпадает с множеством вершин О.

2) Если в графе <7 от вершины V к вершине V' присутствует дуга с меткой г, то в графе б/а от V' к V ведет дуга.

3) Если в графе Б от вершины V к вершине V' присутствует дуга с меткой м>, то в графе от V к V' ведет дуга.

Таким образом, дуги графа информационных потоков определяют направления перемещения данных. Пусть возможность перемещения информации по пути длиной один равна 1, по пути длиной два равна а, по пути длиной три - а2 и так далее. Увеличение пути на одну дугу увеличивает возможность перемещения информации в а раз. Если существуют разные пути, то информация по ним перемещается независимо, и возможности будут складываться.

Для определения общей возможности возникновения канала утечки информации может быть применен алгоритм, изложенный в предыдущей главе. Общая матрица возможностей будет иметь вид:

М = ±а1-'Ек.

4-1

В данном случае матрица смежности Е записана для графа

Выберем значение а=0,1 , тогда в элементе матрицы Л/у на к-ом месте после запятой будет стоять количество путей длины к. Введем обозначение для к-ой цифры после запятой с!к(М^. Тогда вероятность утечки по пути длины к может быть найдена как рл<мч\ где р — вероятность утечки по каналу длины 1.

Считая утечки по разным каналам независимыми событиями, можем записать общую вероятность утечки хотя бы по одному из каналов:

р^х-т-р')^,

к=1

где: Ру - матрица вероятностей утечки информации между объектами V, и V,. Матрицу рисков можем найти по формуле

С/Лу.

где Cj - стоимость информации, хранящейся в объекте vj. Для определения стоимости будем использовать подход, при котором стоимость информации пропорциональна количеству информации, хранящейся в объекте. Такой подход оправдан в случае хранения ключевой информации.

Рассмотрим простой пример определения вероятности утечки информации. Рассмотрим пример расчета стоимости доступа для простого случая из четырех субъектов SJ, S2, S3 и S4, которые одновременно будут рассматриваться и как объекты, к которым осуществляется доступ. Такая ситуация вполне реальна, так как субъекты моделируют процессы в операционной системе. Пусть S1 запущен от имени пользователя Userl, S2 от имени User2, S3 от имени User3, S4 от имени User4. Предположим, что списки контроля доступа для них получены с помощью утилиты CACLS (ОС Windows) и выглядят следующим образом, таблица 2:

Таблица 2. Права доступов.

S1 Userl :F User2:R User3:W

S2 User2:F Userl :R User4:W

S3 User3:F User4:R

S4 User4:F Userl :R

Соответствующая матрица доступов будет иметь вид, таблица 3: Таблица 3. Матрица прав доступов.

SI S2 S3 S4

SI F R R

S2 R F

S3 W F

S4 W R F

Граф доступов может быть изображен в следующем виде, рисунок 7:

R

SX

YVj,

S3

Рисунок 7. Граф доступов G

Соответствующий граф направления возможных информационных потоков, рисунок 8.

SJ S4

Рисунок 8. Граф направления информационных потоков, G„.

Соответствующая матрица смежности, рисунок 9: ГО 1 0 0^

Е =

10 0 0 10 0 1 110 0

Рисунок 9. Матрица смежности для графа Gls.

Выберем значение а =0,5 , тогда матрица возможностей доступа будет выглядеть так, рисунок 10:

'0.625 1.25 0 0^

М =

1.25 0.625 0 0 2.125 1.5 0 1 J.875 1.875 0 0,

Рисунок 10. Матрица возможностей доступа при а =0,5.

По формуле

/Ы

рассчитываем матрицу вероятностей утечки информации при р = 0,01, рисунок 11.

'0,000602 0,010203 0 0 "

0,010203 0,000602 0 О

0,02 0,010495 0 0,01

ч0,010799 0,010799 0 0 ,

Рисунок 11. Матрица вероятностей утечки информации при р = 0,01.

Матрицу рисков находим по формуле:

где ^ - стоимость информации хранящейся в объекте V,. В нашем случае стоимость информации будет определяться по объему файлов, в которых хранятся данные процессов, таблица 4.

Таблица 4. Размер файлов.

Процесс Размер исполняемого файла, байт

S1 115

S2 100

S3 139

S4 180

Произведя поэлементное умножение матрицы вероятностей на вектор стоимостей, получаем матрицу рисков утечки информации, рисунок 12.

'0,06923 1.173345 0 0 s R_ 1,0203 0,0602 0 1,39 2,78 1,458805 0 0 J,94382 1,94382 0 0 , Рисунок 12. Матрица рисков утечки информации.

Четвертая глава посвящена программной реализации модели оценки рисков утечки информации для файлов операционной системы Windows. Программный комплекс реализован средствами языка программирования JAVA.

Программный комплекс реализован для операционной системы Microsoft Windows Vista. Он представляет собой практическую реализацию алгоритма утечки информации и может быть использован для любой директории текущей

операционной системы. Другими словами, программный комплекс отвечает на вопрос: есть ли возможность, у какого либо пользователя, зарегистрированного в рамках данной операционной системы, получить доступ к файлу из текущей директории, используя ресурсы только текущей директории.

Для расчета рисков утечки информации необходимы следующие данные об информации, содержащейся в исследуемой папке:

1. матрица прав доступов всех пользователей операционной системы к информации;

2. данные о владельцах информации;

3. вероятность прямого доступа к информации;

4. стоимость информации.

Матрицу прав доступов пользователей операционной системы к информации получаем с помощью встроенной в ОС средством, icacls.exe. Полученный набор прав представляем в терминах расширенной модели Take-Grant.

Данные о владельцах информации получаем с помощью встроенного в ОС средства, subinacl.exe. Необходимость использовать дополнительное средство обусловлена отсутствием данных о владельцах информации в результате работы программы icacls.exe. Полученные данные о владельцах также представляем в терминах расширенной модели Take-Grant.

Алгоритм работы программы можно пояснить следующим образом:

1. программный комплекс начинает работу с запроса всех необходимых данных у пользователя;

2. получение списка всех файлов в исследуемой папке, а также всех подпапок данной папки до последнего уровня вложенности;

3. для всех файлов из списка выполняются программы: icacls.exe и subinacl.exe;

4. построение матрицы по правилам:

4.1. строки матрицы состоят из множества пользователей;

4.2. столбцы матрицы состоят из множества пользователей и множества файлов;

4.3. на пересечении строк и столбцов расположены права доступов, а также права доступов владельцев к файлам;

Дополнение в столбцы матрицы пользователей обусловлено необходимостью учета влияния пользователей друг на друга посредством файлов.

Понятие «влияние» необходимо для описания возможности получения прав доступа одним субъектом от другого субъекта путем внесения изменений в файл, даже если он не является исполняемым. То есть Субъект 1 может внести вредоносный код в файл и тем самым может нарушить работу другого субъекта, имеющего любой из видов прав доступа к данному исполняемому файлу.

Преобразование множества пользователей, множества файлов и множества прав доступов в термины расширенной модели Take-Grant выполняется по следующим правилам, таблица 5:

Таблица 5. Отображение множества всех возможных прав доступов операционной системы Microsoft Windows Vista в терминах расширенной модели Take-Grant.

Множество Отображение

Множество пользователей ОС {S,...Sn}

Множество файлов исследуемой папки {0,...0„}

Права доступов вида: Р, М, АЭ, МА, ОА RW

Права доступов вида: XV, О, БЕ, \VDAC, W

Права доступов вида: ЛХ, Л, ЛС, 011, СЕ, R

Матрица прав доступов с учетом влияния субъектов друг на друга, представленная в терминах расширенной модели Take-Grant, выглядит следующим образом, рисунок 13:

S, s, 0, o„

rw rlwlrw r /w/rw г/w/rw

S. г/w/rw rw r/w/rw r /w/rw

Рисунок 13. Матрица прав доступов с учетом влияния субъектов друг на друга.

5. на основе расширенной матрицы доступов по правилам, указанным в третьей главе, строится матрица информационных потоков;

6, с использованием формул, указанных в третьей главе, вычисляются последовательно матрица связности, матрица вероятностей и матрица рисков. Вероятность прямого доступа к информации, необходимая для вычисления, вводится пользователем. В качестве стоимости информации используется размер файла в байтах.

В результате работы программного комплекса мы получаем величину риска утечки информации для каждого отдельно взятого ресурса заданной папки.

16

В заключении приведены основные результаты диссертационной работы. ОСНОВНЫЕ РЕЗУЛЬТАТЫ

1. Разработана модель оценки рисков несанкционированного доступа на основе модели Take-Grant. Преимущества разработанной модели:

1.1. вводится числовая характеристика возможности несанкционированного доступа;

1.2. введенная числовая характеристика возможности несанкционированного доступа учитывает доступ через неограниченное количество посредников;

1.3. введенная числовая характеристика оценки рисков несанкционированного доступа существенно сокращает количество параметров для определения величины рисков НСД и, как следствие, повышает объективность результатов.

2. Разработана модель оценки рисков утечки информации на основе расширенной модели Take-Grant. Преимущества разработанной модели:

2.1. разработанная модель учитывает риски утечки информации через неограниченное количество посредников;

2.2. вводится числовая характеристика оценки риска утечки информации от несанкционированного доступа;

2.3. разработанная модель может быть использована для определения величины рисков утечки информации в реально существующих системах, использующих дискреционную модель разделения доступа;

3. Реализован программный комплекс, определяющий риски утечки информации для файлов и папок операционной системы Windows, исходя из списков контроля доступа (DACL), на основе предложенных моделей.

Основное содержание диссертации опубликовано в следующих работах: В научных журнала, из списка рекомендованного ВАК:

1. Белим С.В., Бардычев В.Ю. Поиск связей в информационных структурах // Наука и образование: электронное научно-техническое издание Х»2, 2011, С. 1-12 URL: http://technomag.edu.ru/doc/167060.html

2. Белим С.В., Бардычев В.Ю. Численная характеристика возможности доступа к информации в расширенной модели Take-Grant //Проблемы информационной безопасности. Компьютерные системы. 2011, В.1, С.17-23.

В других изданиях:

3. Белим С.В., Бардычев В.Ю. Построение поисковой машины на основе алгоритмов выявления силы связи вершины графа // Материалы XIII Международной научной конференции «Решетневские чтения», Красноярск, 2009, с.401

4. Белим С.В., Бардычев В.Ю. Метрическая связность вершин графа // Математические структуры и моделирование, 2010, в. 21, С.5-10

5. Белим С.В., Бардычев В.Ю., Сорокин А.В. Моделирование связи между частями web-сайтов на основе теории графов // В кн. Проблемы обработки и защиты информации. Книга 2. Анализ графической и текстовой информации. Коллективная монография. Омск: ООО «Полиграфический центр КАН», 2010.-114 с, С.75-93.

6. Белим С.В., Бардычев В.Ю. Оценка возможности утечки информации в модели Take-Grant // Актуальные инновационные исследования: наука и практика №1, 2011, С. 1-9 URL: http://actualresearch.ru/nn/2011_l/Article/science/bardichev.htm

7. Бардычев В.Ю. Расчет метрической связности в ориентированном графе между двумя вершинами // Фонд алгоритмов и программ ФАП СО РАН URL: http://fap.sbras.ru per. номер: PR11038

8. Бардычев В.Ю. Расчет числовой характеристики возможности )течки информации // Фонд алгоритмов и программ ФАП СО РАН URL: http://fap.sbras.ru, per. номер: PR11046

9. Бардычев В.Ю. Метод оценки рисков НСД на основе модели Take-Grant // Материалы 8-ой международной заочная научно-практической конференции «Наука на рубеже тысячелетий», Тамбов, 2011

Подписано в печать 10.01.2012. Формат 60x84/16. Бумага писчая. Оперативный способ печати. Усл. печ. л. 1,0. Тираж 100 экз. Заказ № 006.

Отпечатано в «Полиграфическом центре КАН» тел.: (3812) 24-70-79, 8-904-585-98-84.

E-mail: pc_kan@mail.ru 644050, г. Омск, ул. Красный Путь, 30 Лицензия ПЛД № 58-47 от 21.04.97

Введение.

1. Методы оценки рисков несанкционированного доступа.

1.1. Методы оценки рисков несанкционированного доступа.

1.1.1. Метод CRAMM.

1.1.2. Метод RiskWatch.

1.1.3. Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак и оценки рисков.

1.1.4. Метод Гриф.

1.1.5. Метод, используемый в Microsoft Security Assessment Tool.

1.2. Оценка надежности систем защиты информации.

1.3. Субъектно-объектная модель компьютерной системы.

2. Оценка рисков несанкционированного доступа в рамках модели Take-Grant.

2.1. Модель дискреционного разграничения доступа Take-Grant.

2.2. Стоимость доступа в рамках модели Take-Grant.

2.3. Метрическая связность вершин графа.

2.4. Модель оценки рисков несанкционированного доступав рамках модели Take-Grant.

2.5. Выводы.

3. Модель оценки рисков утечки информации на основе расширенной модели Take-Grant.

3.1. Расширенная модель Take-Grant.

3.2. Модель оценки рисков утечки информации на основе дополненной расширенной модели Take-Grant.

3.2. Выводы.

4. Программная реализация алгоритма для оценки риска утечки информации.

4.1. Описание интерфейса работы программного комплекса.

4.2. Описание работы алгоритма для расчета риска утечки информации на примере.

4.2.1. Первый этап.

4.2.2. Второй этап.

4.2.3. Третий этап.

4.2.4. Четвертый этап.

4.2.5. Пятый этап.

4.2.6. Шестой этап.

4.2.7. Седьмой этап.

4.2.8. Восьмой этап.

4.3. Интерпретация полученных результатов.

4.4. Выводы.

Актуальность проблемы

Одной из важных составляющих информационной безопасности компьютерных систем является оценка рисков несанкционированного доступа [46,51]. При оценке рисков принято основываться на предполагаемом ущербе от возможной реализации угрозы. При этом для каждой системы необходимо строить свою модель угроз, которая зависит от видов атак, актуальных для заданного типа обрабатываемой информации. Наиболее информативной является численная оценка возможности реализации угрозы, позволяющая не только принять решение о необходимости внедрения средств защиты информации, но и выбрать оптимальный вариант системы защиты, как по цене, так и по возможностям.

На сегодняшний день наибольшее распространение получили два подхода количественной оценки риска реализации угрозы. Первый подход связан с введением стоимости ущерба, нанесенного атакой. В случае несанкционированного доступа оценивается стоимость потерянной информации, либо ущерб от разглашения информации. При таком подходе приходится вводить методику оценки стоимости информации, на которую нацелена атака. Кроме того, приходится решать сложную задачу по определению вероятности реализации угрозы.

Второй подход связан с методом экспертных оценок [42]. Данный подход содержит существенную субъективную составляющую. Метод экспертных оценок подразумевает привлечение группы экспертов, каждый из которых выставляет оценку угрозы, исходя из собственного опыта. Финальная оценка формируется из оценок участников экспертной группы с учетом уровня доверия каждого эксперта.

Оба подхода имеют два существенных недостатка, которые приводят к трудностям в их реализации. Во-первых, оба метода подразумевают участие экспертов для оценки либо самой угрозы, либо стоимости ущерба. Во-вторых, оба метода основываются на большом количестве параметров, что существенно снижает ценность полученных результатов.

Одной из трех составляющих информационной безопасности является конфиденциальность информации [26,34]. Угрозу конфиденциальности составляет несанкционированный доступ. Существует ряд математических моделей для проверки возможности осуществления несанкционированного доступа. К таким моделям можно отнести HRU и Take-Grant [16,17,27,29]. В обеих этих моделях предполагается получение ответа о возможности доступа, но не проводится оценка его трудоемкости и вероятности осуществления. Некоторые оценки трудоемкости доступа к объекту компьютерной системы позволяет получить расширенная модель Take-Grant [18,40]. Однако в ней предусмотрена возможность либо прямого доступа субъекта к объекту, либо доступа через одного посредника. Однако хорошо известно, что большинство атак для осуществления несанкционированного доступа требуют привлечения нескольких процессов, активизирующих друг друга.

Таким образом, актуальной является задача построения модели оценки рисков несанкционированного доступа и утечки информации на основе модели Take-Grant с учетом доступа через нескольких посредников.

Целью диссертационной работы ставится совершенствование методики оценки рисков несанкционированного доступа к объектам компьютерной системы и утечки информации с участием нескольких посредников.

Для достижения поставленной цели были решены следующие задачи:

1. Разработана модель оценки рисков несанкционированного доступа с участием нескольких посредников на основе модели Take-Grant.

2. Разработана модель оценки рисков утечки информации с участием нескольких посредников на основе расширенной модели Take-Grant.

3. Разработан и реализован программный комплекс для оценки рисков утечки информации с участием нескольких посредников к файлам для операционной системы Windows.

Методы исследования. При решении поставленных задач использовались модели безопасности, элементы теории графов и теории вероятностей.

Научная новизна результатов исследования:

1. Разработана новая модель оценки рисков несанкционированного доступа на основе модели Take-Grant, позволяющая учитывать доступ с участием нескольких посредников.

2. Разработана новая модель оценки рисков утечки информации на основе расширенной модели Take-Grant.

Практическая ценность заключается в программной реализации разработанной методики и внедрении ее в деятельность организаций, осуществляющих оценку рисков несанкционированного доступа в компьютерных системах.

Основные положения, выносимые на защиту:

1. Модель оценки рисков несанкционированного доступа к объектам на основе модели Take-Grant.

2. Модель оценки рисков утечки информации между объектами на основе расширенной модели Take-Grant.

Апробация работы. Основные результаты диссертации докладывались и обсуждались в следующих международных научных конференциях: XIII международная научная конференция «Решетневские чтения» (Красноярск, 2009), 8-ая международная заочная научно-практическая конференция «Наука на рубеже тысячелетий» (Тамбов, 2011), а также внедрены в деятельность трех организаций.

Публикации. По теме диссертации опубликованы девять научных работ, в том числе две статьи в изданиях из списка, рекомендованного ВАК.

Структура и объем работы. Диссертационная работа состоит из введения, четырех глав, заключения и списка литературы. Работа содержит 94 страницы основного текста, 32 рисунка и 20 таблиц. Список литературы включает 95 наименований.

Основные результаты

1. Разработана модель оценки рисков несанкционированного доступа на основе модели Take-Grant. Преимущества разработанной модели:

1.1. вводится числовая характеристика возможности несанкционированного доступа;

1.2. введенная числовая характеристика возможности несанкционированного доступа учитывает доступ через неограниченное количество посредников;

1.3. введенная числовая характеристика оценки рисков несанкционированного доступа существенно сокращает количество параметров для определения величины рисков НСД и как следствие, повышает объективность результатов.

2. Разработана модель оценки рисков утечки информации на основе расширенной модели Take-Grant. Преимущества разработанной модели:

2.1. разработанная модель оценки рисков утечки информации учитывает риски утечки информации через неограниченное количество посредников;

2.2. вводится числовая характеристика оценки риска утечки информации от несанкционированного доступа;

2.3. разработанная модель оценки рисков утечки информации может быть использована для определения величины рисков утечки информации в реально существующих системах, использующих дискреционную модель разделения доступа;

Реализован программный комплекс, определяющий риски утечки информации для файлов и папок операционной системы Windows исходя из списков контроля доступа (DACL), на основе предложенных моделей.

Заключение

В заключении приведем основные результаты диссертационной работы.

1. Белим С.В., Бардычев В.Ю. Поиск связей в информационных структурах // Наука и образование: электронное научно-техническое издание №2, 2011, С. 1-12 URL: http://technomag.edu.ru/doc/167060.html

2. Белим С.В., Бардычев В.Ю. Численная характеристика возможности доступа к информации в расширенной модели Take-Grant //Проблемы информационной безопасности. Компьютерные системы. 2011, В.1, С.17-23.

3. Белим С.В., Бардычев В.Ю. Построение поисковой машины на основе алгоритмов выявления силы связи вершины графа // Материалы XIII Международной научной конференции «Решетневские чтения», Красноярск, 2009, с.401

4. Белим С.В., Бардычев В.Ю. Метрическая связность вершин графа // Математические структуры и моделирование, 2010, в. 21, С.5-10

5. Белим С.В., Бардычев В.Ю. Оценка возможности утечки информации в модели Take-Grant // Актуальные инновационные исследования: наука и практика №1, 2011, С. 1-9 URL: http://actualresearch.ru/nn/201 ll/Article/science/ bardichev.htm

6. Бардычев В.Ю. Расчет метрической связности в ориентированном графе между двумя вершинами // Фонд алгоритмов и программ ФАП СО РАН URL: http://fap.sbras.ru per. номер: PR11038

7. Бардычев В.Ю. Расчет числовой характеристики возможности утечки информации // Фонд алгоритмов и программ ФАП СО РАН URL: http://fap.sbras.ru, per. номер: PR11046

8. Бардычев В.Ю. Метод оценки рисков НСД на основе модели Take-Grant // Материалы 8-ой международной заочная научно-практической конференции «Наука на рубеже тысячелетий», Тамбов, 20111. Цитированная литература

9. Анин Б.Ю. Защита компьютерной информации. СПб.:БХВ Санкт-Петербург, 2000. 376 с.

10. Ахо А., Хопкрофт Дж., Ульман Дж. Построение и анализ вычислительных алгоритмов., М.: Мир, 1979.

11. Багаев, М. А. Методические основы управления доступом пользователей к информационным ресурсам автоматизированных систем // Информация и безопасность, 2003, № 2. с. 156-158.

12. Баранский В.А. Введение в общую алгебру и ее приложения: Учебное пособие. Екатеринбург: УрГУ, 1998.

13. Басакер Р., Саати Т. Конечные графы и сети., М.: Наука, 1975.

14. Безбогов A.A., Яковлев A.B., Мартемьянов Ю.Ф. Безопасность операционных систем. М.: Машиностроение-1, 2007. 220 с.

15. Белов В.В., Воробьев Е.М., Шаталов В.Е. Теория графов. , М.: Высш. шк., 1976.

16. Березина Л.Ю. Графы и их применение. М.: Просвещение, 1979.

17. Берж К. Теория графов и ее применения. М.: ИЛ, 1962

18. Ю.Варпаховский Ф.Л., Солодовников A.C. Алгебра. 4.1. М.: Просвещение,1988.11 .Гайдамакин H.A. Разграничение доступа к информации в компьютерных системах. Е.: Издательство Уральского Университета, 2003. 328 с.

19. Галатенко В.А Стандарты информационной безопасности: курс лекций: учебное пособие. Второе издание. М.: ИНТУИТ.РУ «Интернет-университет информационных технологий», 2006. 264 с.

20. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2-х кн.:Кн.1. М.: Энергоатомиздат, 1994. 400 с.

21. Горбатов В.А. Основы дискретной математики. М.: Высш. школа, 1986.

22. Гордеев A.B., Молчанов А.Ю. Системное програмное обеспечение. Учебник. СПб.: Питер, 2001. 736 с.

23. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. М.: Яхтсмен, 1996. 192с.

24. Девянин П.Н. Модели безопасности компьютерных систем: Учебное пособие для студентов высших учебных заведений. М.: Издательский центр «Академия», 2005. 144 с.

25. Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для вузов. М.: Радио и связь, 2000. 192 с.

26. Дейтел Г. Введение в операционные системы. Том 1. М.: Мир, 1987. 216 с.

27. Джамса Крис. JAVA. Библиотека программиста // Попурри. ~ Минск, 1996.

28. Дидюк Ю.Е., Дубровин A.C., Макаров О.Ю., Мещеряков Ю.А., Марков A.B., Рогозин Е.А. Основные этапы и задачи проектирования систем защиты информации в автоматизированных системах // Телекоммуникации. 2003. № 2. 29-33.

29. Духан Е.И., Синадский Н.И., Хорьков Д.А. Применение программно-аппаратных средств защиты компьютерной информации. Екатеринбург: УГТУ-УПИ, 2008. 182 с.

30. Евстигнеев В.А. Применение теории графов в программировании. , М.: Наука, 1985.

31. Евстигнеев В.А., Касьянов В.Н. Теория графов: алгоритмы обработки деревьев., Новосибирск: Наука, 1994.

32. Зыков A.A. Теория конечных графов., Новосибирск: Наука, 1969.

33. Игошин В.И. Математическая логика и теория алгоритмов. М.: Академия, 2008. - 448 с.

34. Кристофидес Н. Теория графов. Алгоритмический подход. , М.: Мир, 1978.

35. Куприянов А.И., Сахаров A.B., Швецов В. А. Основы защиты информации: учеб. пособие для студ. высш. уч. Заведений. М.: Академия, 2006. 256 с.

36. Лавров И. А., Максимова Л. Л. Задачи по теории множеств, математической логике и теории алгоритмов. М.: Физматлит, 1995.

37. Лекции по теории графов. В.А.Емеличев, О.И.Мельников, В.И.Сарванов, Р.И.Тышкевич., М.: Наука, 1990.

38. Майника Э. Алгоритмы оптимизации на сетях и графах., М.: Мир, 1981.

39. Мальцев А.И. Алгоритмы и рекурсивные функции, М.: Наука, 1965.

40. Марков A.A., Нагорный Н.М. Теория алгоритмов. М.: Наука, 1984. - 432 с.

41. Математические основы информационной безопасности. Пособие. / Баранов А.П.и др. Орел: ВИПС, 1997. 354 с.

42. Мейнджер Джейсон. JAVA: Основы программирования / Пер. с англ. С.Бойко под ред. Я.Шмидского.-- К.: BNV, 1997.

43. Мельников В.В. Защита информации в компьютерных системах. М.: Финансы и статистика; Электроинформ, 1997. 368 с.

44. Методы и средства защиты информации. В.А. Хорошко, A.A. Чекатков. Киев «Издательство «Юниор», 2003г.

45. Минаси M, Мюллер Д П Windows Vista Business. Редакции Ultimate, Business и Enterprise: Пер с англ.

46. Нечепуренко М.И., Попков В.К., Майнагашев С.М. и др. Алгоритмы и программы решения задач на графах и сетях, Новосибирск: Наука, 1990.

47. Новик И.Б. Абдулов А.Ш. Введение в информационный мир. М.: Наука, 1991.228 с.

48. Новиков Ф.А. Дискретная математика для программистов. Спб.: Питер, 2001.304 с.

49. Носов В.А. Основы теории алгоритмов и анализа их сложности. Курс лекций. М.: МГУ, 1992. 140 с.

50. Ope О. Теория графов., М.: Наука, 1968

51. Основы информационной безопасности. Учебное пособие для вузов. / Белов Е.Б. и др. М.: Горямая линия-Телеком, 2006. 554 с.

52. Основы организационного обеспечения информационной безопасности объектов информатизации. / Семкин С.Н. и др. М.: Гелиос АРВ, 2005. 187 с.

53. Петер Р. Рекурсивные функции. М., 1954.

54. Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в теоретические основы компьютерной безопасности : Учеб-ное пособие. М.: Изд. Моск.гос. ин-та электроники и математики, 1998. 184 с.

55. Проскурин В.Г., Крутов C.B., Мацкевич И.В. Защита в операционных системах: Учебное пособие. М.: Радио и связь, 2000. 168 с.

56. Радько Н.М., Скобелев И.О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа, М.: РадиоСофт, под ред. Борисова В.И., 2010. 168 с.

57. Рейнгольд Э., Нивергельт Ю., Део Н. Комбинаторные алгоритмы. Теория и практика. , М.: Мир, 1980.

58. Роман Клименко, Windows Vista. Для профессионалов, Санкт-Петербург:, Питер, 2008 г., 656 с.

59. Руссинович М. Соломон Д. Внутреннее устройство Microsoft Windows: Windows Server 2003, Windows XP и Windows 2000. Мастер-класс. Пер. с англ. 4-е изд. М.: Издательско-торговый дом «Русская редакция», 2005. 992 с.

60. С. В. Глушаков, Т. С. Хачиров, Windows Vista, Москва:, ACT, 2008 г., 464 с.

61. Свами М., Тхуласираман К. Графы, сети и алгоритмы. М. : Мир, 1984. 455 с

62. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. 320 с.

63. Станек У.Р. Microsoft Windows XP Professional. Справочник администратора, пер. с англ. 2 изд. М.: Издательско-торговый дом «Русская редакция», 2003. 448 с.

64. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.: Яхтсмен, 1996. 298 с.

65. Уилсон Р. Введение в теорию графов., М.: Мир, 1977.

66. Уолкер Б. Дж. Безопасность ЭВМ и организация их защиты, перевод с англ. М. : Связь, 1980.

67. Успенский В.А., Семенов A.JI. Теория алгоритмов: основные понятия и приложения., М.: Наука, 1987.

68. Хоффман J1. Современные методы защиты информации: Пер с англ./ Под ред. В.А. Герасименко. М.: Сов. Радио, 1980. 264 с.

69. Цирлов В. JI. Основы информационной безопасности. Краткий курс. М.: Феникс, 2008. 256 с.

70. Чипига А. Ф. Информационная безопасность автоматизированных систем. М.: Гелиос АРВ, 2010. 336 с.

71. Шаньгин В.Ф. Защита компьютернй информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. 544 с.

72. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: Наука и техника, 2004. 384 с.

73. Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности М.: Молгачева С. В., 2001. 352 с.

74. Эббинхауз Г.-Д., Якобе К., Ман Ф.К., Хермес Г. Машины Тьюринга и вычислимые функции. М.: Мир, 1972. - 264 с.

75. Community structure in directed networks, E. A. Leicht and M. E. J. Newman, Phys. Rev. Lett. 100, 118703 (2008).

76. Cooper R.B. Introduction to queueing theory; M.: Наука, 1981. 967 с.

77. Detecting community structure in networks, M. E. J. Newman, Eur. Phys. J. В 38,321-330(2004)

78. E. A. Leicht, Petter Holme, and M. E. J. Newman Vertex similarity in networks // Department of Physics, University of Michigan, Ann Arbor, MI 48109, U.S.A.

79. Fast algorithm for detecting community structure in networks, M. E. J. Newman, Phys. Rev. E 69, 066133 (2004)

80. Finding and evaluating community structure in networks, M. E. J. Newman and M. Girvan, Phys. Rev. E 69, 026113 (2004)

81. Finding community structure in very large networks, Aaron Clauset, M. E. J. Newman, and Cristopher Moore, Phys. Rev. E 70, 066111 (2004)

82. Girvan M., Newman M.E.J. Community structure in social and biological networks // arXi v: cond-mat/01121 lOv 1.(2001)

83. Greene D.H., Knuth D.E. Mathematics for the analysis of algorithms; СПб. и др. : Питер, 1990. 510 с.

84. Hopcroft J.E., Motwani R., Ullman J.D. Introduction to Automata Theory, Languages, and Computation; СПб. и др. : Питер, 2001. 677 с.

85. Mahmoud Н.М. Evolution of random search trees; M. : РГГУ, 1992. 540 c.

86. McLean J. The Specification and Modeling of Computer Security. // Computer, 23(1), 1990. p. 9-16

87. Networks: An Introduction, M. E. J. Newman, Oxford University Press (2010)

88. Newman M.E.J. Mixing patterns in networks // Phys. Rev. E. 2003. V.67. P. 026126-1 -026126-13.

89. Random graph models for directed acyclic networks, Brian Karrer and M. E. J. Newman, Phys. Rev. E 80, 046110 (2009).

90. Random graphs as models of networks, M. E. J. Newman, in Handbook of Graphs and Networks, S. Bornholdt and H. G. Schuster (eds.), Wiley-VCH, Berlin (2003)

91. Random graphs containing arbitrary distributions of subgraphs, Brian Karrer and M. E. J. Newman, Phys. Rev. E 82, 066118 (2010).

92. Random graphs with clustering, M. E. J. Newman, Phys. Rev. Lett. 103, 058701 (2009).

93. Ravi S.S., Coyne E.J., Feinstein H.L., Youman C.E. Role-Based Access Control Models. // IEEE Computer, V.29, Number 2, February 1996, p. 38-47.

94. Ruskey F. Combinatorial generation; M. : РГГУ, 2003. 834 c.

95. Russell D., Gangemi Sr. G.T., Computer Security Basics. CA.: O'Reilly & Associates, Inc., 1991. 301 p.

96. Subgraphs in networks, R. Milo, N. Kashtan, S. Itzkovitz, M. E. J. Newman, and U. Alon, Phys. Rev. E 70, 058102 (2004).