автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.11, диссертация на тему:Компьютерные модели и алгоритмы управления безопасностью информационных систем
- доктора технических наук
- Лукинова, Ольга Васильевна
- город
- Москва
- год
- 2013
- специальность ВАК РФ
- 05.13.11
- цена
- 450 рублей
Автореферат диссертации по теме "Компьютерные модели и алгоритмы управления безопасностью информационных систем"
федеральное государственное бюджетное учреждение науки институт проблем управления
им. В.А. ТРАПЕЗНИКОВА РОССИЙСКОЙ АКАДЕМИИ НАУК
На правах рукописи
ЛУКИНОВА Ольга Васильевна
компьютерные модели и алгоритмы управления безопасностью информационных систем
Специальности: 05.13.11 - Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
05.13.19 — Методы и системы защиты информации, информационная безопасность
автореферат
диссертации на соискание ученой степени доктора технических наук
з я едя 2014
005544611
Москва 2013
005544611
Работа выполнена в Федеральном государственном бюджетном учреждении науки Институте проблем управления им. В.А. Трапезникова Российской академии наук
доктор технических наук, профессор, главный научный сотрудник ИЛУ РАН Трахтенгерц Эдуард Анатольевич
доктор технических наук, профессор кафедры информационной безопасности Государственного университета гражданской авиации Иванилов Евгений Леонидович
доктор физико-математических наук, профессор, действительный член Академии криптографии РФ Кузьмин Алексей Сергеевич
доктор технических наук, профессор кафедры информационных систем Тверского
государственного технического университета, Семенов Николай Александрович
Ведущая организация - Санкт-Петербургский Национальный исследовательский университет информационных технологий, механики и оптики, кафедра проектирования и безопасности компьютерных систем
Защита состоится « 3 » марта 201^ г. в 11 час. на заседании диссертационного совета №3 (Д 002.226.03) Института проблем управления по адресу: 117977, г. Москва, ул. Профсоюзная, 65.
С диссертацией можно ознакомиться в библиотеке Института проблем управления им. В.А. Трапезникова
Автореферат разослан « /г » шЬе 2о# г.
Научный консультант
Официальные оппоненты
Ученый секретарь диссертационного совета кандидат технических наук
А. А. Кулинич
Актуальность. "Защита информационных технологий, реализованных в виде информационных систем (ИС), в настоящее время становится одной из критических проблем. Она требует системного подхода к организации защиты, целостного систематизированного представления об объекте защиты, комплексного непрерывного управления информационной безопасностью (ИБ) ИС в интересах предприятия. Однако существующая практика разработки систем защиты, которые должны обеспечивать безопасность ИС, основана на том, что комплекс защитных мер выбирается исходя из возможных потенциально-опасных угроз (атак), свойственных используемой ИС (на основе типизированных списков уязвимостей и неформализованных представлений нарушителя) и соображений приемлемости ущерба (риска).
Развитие существующего подхода видится в более комплексном и системном взгляде на организацию защиты посредством решения следующих задач: выборе средств защиты (СЗ) с учетом архитектурно-функциональной специфики ИС, т.е. ориентироваться на обеспечение безопасности ИС, а не на противодействие угрозам; введение для системы защиты целевой функции, измеряющей безопасность; обеспечения и контроля заданного уровня безопасности процессов, происходящих в ИС; формализованного представления ИС как объекта защиты, на основе которого можно было бы построить технологию выбора защитных средств и механизмов с учетом функциональных особенностей компонент ИС. Эффективность методологической базы защиты информационных технологий предприятий связана с рациональной организацией управления жизненным циклом (ЖЦ) системы защиты, как основы для построения компьютерной системы поддержки управления безопасностью информационных систем. Сегодня ИС и системы защиты разрабатываются разными специалистами. Инструментальные средства и технологии, которые активно используются в практике проектирования ИС, не содержат поддержки решений по безопасности, т.к. последние напрямую не влияют на выполнение основных функций ИС. Фактически, система защиты достраивается к уже спроектированной ИС. В результате такие наложенные средства защиты могут контролировать только результат процесса функционирования ИС, но не могут обеспечить контроль и защиту самого процесса.
Обобщение характера названных задач определило необходимость создания методологических положений, которые позволили бы придать системность, органичность и законченность процессу проектирования и сопровождения защиты ИС.
В работе предлагается «бизнес-процессный» подход, позволяющий встроить вопросы защиты корпоративной информационной системы в современную методологию управления ИТ-средой в интересах предприятия. В результате многие вопросы, связанные с определением необходимого уровня безопасности информационных ресурсов, оценкой величины ущерба от вторжений, планированием достаточности средств защиты решаются на качественно другом уровне. Важным фактором, влияющим на эффективность управления средствами защиты, является отсутствие прямых доходов от их использования. Поэтому степень защищенности данных, обрабатываемых информационными системами, и, следовательно, расходы на поддержание этого обеспечения обычно стараются соразмерить с их ценностью (экономической, государственной, военной и т.п.) и
рисками потери этой ценности. Эта ценность не всегда определяется в денежном выражении. Поэтому сопоставление расходов на информационную безопасность с ценностью охраняемых данных является нетривиальной и весьма актуальной задачей. Рассмотрение вопросов защиты с точки зрения интересов бизнес-процессов позволит использовать методы, существующие в теории управления предприятием, для оценки и сопоставления возможного ущерба с затратами на безопасность.
Базовым инструментом предлагаемого подхода является методология открытых систем (функциональной стандартизации), основывающаяся на унифицированном представлении информационной системы., которое дает возможность совместить характеристики жизненного цикла (ЖЦ) системы защиты и жизненного цикла ИС.
Разработанный подход является методологической базой для непрерывного управления безопасностью ИС в течение жизненного цикла системы защиты, которое предлагается строить на основе:
1. Представления ИС и системы защиты как единого целого;
2. Интеграции в единый процесс технологий сбора и анализа данных о состоянии защищаемого объекта, планирования и контроля за функционированием средств защиты, восстановления работоспособности объекта защиты после несанкционированных вторжений.
3. Формализации методов формирования и принятия решений, их оценки с учетом субъективных предпочтений лиц, принимающих решения (ЛПР).
Трудность задачи заключается в отсутствии формализмов, описывающих такие слабо формализуемые понятия процесса проектирования системы защиты, как качество информационной безопасности, угроза, возможности злоумышленника, механизмы и объект защиты, поэтому сегодня выбор защитных средств производится вручную. Разработка компьютерных систем поддержки проектированием систем защиты и ее управлением в течение ЖЦ является весьма актуальной проблемой.
Указанные факторы определили направление диссертационного исследования, заключающегося в разработке методологических положений обеспечения безопасности ИС на основе бизнес-процессного подхода, моделей и алгоритмов управления ЖЦ комплексной системы защиты (КСЗ) от процедур поддержки принятия решений при формировании требований к КСЗ до ее сопровождения в рамках предлагаемого подхода.
Степень разработанности темы на концептуальном уровне является полной, что подтвер-ждается тем, что разработаны не только методологические основы проектирования и управления безопасностью ИС, но и их поддержка в виде модельно-алгоритмического обеспечения.
Целью диссертационной работы является разработка методологических основ, моделей и алгоритмов создания компьютерных систем управления безопасностью информационных комплексов, в том числе, концептуального проектирования комплексной системы защиты, принципов создания защищенных ИС с учетом их функционального назначения.
Основными задачами работы являются:
А). Разработка и исследование принципов и положений защиты информационных систем с учетом их функционального назначения (бизнес-
процессный подход)* а также принципов проектирования программных средств, обеспечивающих безопасность вычислительных комплексов.
Б). Развитие функциональной логической (референсной) модели открытой среды в части вариантов конкретизации ее компоненты защиты, что позволит совместить ЖЦ ИС и ее защиты и явится основой для концептуального и детального проектирования системы защиты.
В). Разработка комплекса моделей и алгоритмов принятия решений для компьютерного управления безопасностью ИС в течение ЖЦ системы защиты ИС в том числе:
1. поддержки принятия решений при формировании требований к системе защиты:
• компьютерное формирование целевых векторов безопасности для объекта защиты на основе оценок значимости информационных ресурсов и угроз среды ИС,
• компьютерный выбор различных стратегий защиты (политики безопасности), задающих условия выбора вариантов системы защиты;
2.поддержки принятия решений при проектировании системы защиты:
• компьютерный выбор рациональных вариантов системы защиты в соответствии с вариантами конкретизации защитной компоненты модели открытой среды и стратегией защиты,
• компьютерное прогнозирование развития атаки и осуществление апробации вариантов системы защиты на списке возможных угроз (сценарный анализ вариантов);
3. принятия решений при эксплуатации/сопровождении системы защиты:
• идентификация и оценка целей нарушителя, фазы атаки и возможных последствий атаки для бизнес-процессов с целью определения режима восстановления бизнес-процессов;
• прогноз развития атаки с целью контроля состояния среды;
• выявление ситуаций, когда необходима модификация системы защиты;
• определение параметров оперативного реагирования для сдерживания атаки, ликвидации ее следов, восстановления ресурсов.
Г). Разработка формализованного представления понятий предметной области «проектирование систем защиты ИС», которое позволяет автоматизировать процесс управления ЖЦ системы защиты.
Д). Разработка функциональной архитектуры системы поддержки управления безопасностью (СПУБ), а также итерационного алгоритма функционирования СПУБ на протяжении ЖЦ системы защиты.
Методы исследования. В процессе исследования использовались методы инженерии и представления знаний, поиска и принятия решений, теории выбора и многокритериальной оптимизации, структурного и системного анализа.
Объектом исследования является безопасность защищаемых информационных систем.
Предметом исследования являются модели, компьютерные методы и алгоритмы обеспечения безопасности информационных систем на протяжении их жизненного цикла.
Научная новизна результатов:
A). Разработаны принципы и положения бизнес-процессного подхода к защите информационных систем, на основе которых представлена методология проектирования программных комплексов управления безопасностью информационных систем.
1. Предложен подход, в рамках которого целевым защищаемым активом являются бизнес-процессы предприятия и их непрерывное функционирование с точки зрения угроз информационной безопасности. ИС, как объект защиты, является средством реализации автоматизированных бизнес-процессов предприятия. Поэтому защиту предложено строить исходя из интересов функционирования этого актива. Это дает возможность: рассматривать организацию безопасности информационной системы комплексно с учетом ее архитектурно-функциональных особенностей; оценить достаточность планируемых к использованию механизмов и средств защиты; определить метрики и целевой уровень безопасности для защищаемого актива; соотнести жизненные циклы ИС и системы ее защиты; оценить ущерб вследствие нарушения безопасности актива.
2. Предложен вид целевой функции системы защиты в виде основных свойств безопасности (конфиденциальности, целостности, доступности и т.п.), которые могут быть измерены в лингвистических шкалах.
3. Предложено использовать для представления ИС функциональную референсную модель открытой среды, что позволяет рассматривать ИС а) как систему, интегрирующую функциональность нескольких аспектов информационной технологии, в частности: прикладную, административную, защитную, б) как единый объект защиты. Единое представление объекта защиты является методологической основой совмещения ЖЦ ИС и системы ее защиты, что позволяет рассматривать проектирование ИС и системы ее защиты как органичный процесс, учитывающий функциональные особенности и взаимосвязи обеих систем.
Б). Разработаны варианты конкретизации модели открытых систем стандарта 180/1ЕС ТЯ 14252 (в части защитной компоненты), которые создают основу для концептуального и детального проектирования системы защиты. Разработана структурная процессная модель, которая позволяет формировать концептуальное (межкатегорийное в смысле указанного стандарта) представление системы защиты, и описана связь между бизнес-процессами предприятия и процессами защиты.
B). Разработаны процедуры и алгоритмы поддержки принятия решений при формировании концептуального представления системы защиты в том числе:
1. Модель влияния факторов безопасности, отражающая генеральные стратегии политики безопасности, которые определяют критерии рационального выбора вариантов системы защиты.
2. Процедуры формирования целей безопасности (требований) на основе алгоритмов оценок ценности бизнсс-процессов и выбора рациональных вариантов проектируемой системы защиты в соответствии с генеральными стратегиями, целями безопасности и межкатегорийным представлением системы защиты.
3. Алгоритм сценарного анализа на основе прогноза целей нарушителя и развития атаки для компьютерной апробации вариантов системы защиты
Г). Разработаны процедуры и алгоритмы поддержки принятия решений при эксплуатации/сопровождении системы защиты, в том числе для:
1. Анализа инцидента безопасности (атаки) с целью выявления режима и очередности восстановления бизнес-процессов: прогнозирование целей нарушителя, оценка возможности их реализации и выявление фазы атаки, идентификация нарушенного критерия безопасности и оценка серьезности нарушений.
2. Анализа ситуации с целью принятия решения о необходимости модификации системы защиты.
3. Определения параметров оперативного реагирования для решения задач сдерживания атаки, ликвидации ее следов, восстановления ресурсов.
Д). Предложен комплекс семантических моделей, представляющих концептуальную основу баз знаний и данных факторов, связанных с информационным обеспечением разработки и сопровождения системы защиты.
Е). Разработана функциональная архитектура программного обеспечения системы поддержки управления безопасностью (СПУБ) информационных систем, которая включает: 1) инструментальное средство в виде системы поддержки принятия решений (СППР) при проектировании комплексной системы защиты (КСЗ), 2) целевые компоненты: комплексная система защиты, обеспечивающая безопасность ИС, система управления (СУ) комплексной системой защиты при ее эксплуатации и сопровождении, система мониторинга (СМ) функционирования бизнес-процессов, база данных и знаний,' система администрирования компонентами СПУБ.
Представлен итерационный алгоритм функционирования компонент СПУБ, который осуществляет непрерывное управление безопасностью ИС посредством процедур поддержки процессов ЖЦ системы защиты.
Положениями, выносимыми на защиту являются:
1. Методологические принципы бизнес-процессного подхода к обеспечению безопасности информационных систем с учетом их функционального назначения, включая модели формирования комплекса средств противодействия нарушениям безопасности ИС.
2. Методологические основы концептуального проектирования программных систем непрерывного управления безопасностью ИС, включая модели и процедуры создания и сопровождения комплексов средств защиты ИС.
3. Компьютерные модели и алгоритмы поддержки принятия решений для управления безопасностью ИС в течение всего ЖЦ системы ее защиты.
Достоверность. Достоверность научных положений и результатов, полученных в работе, обосновывается анализом разработанных методов и алгоритмов, непротиворечивостью современным представлениям в области обеспечения безопасности ИС, систематизацией и развитием в части: использования апробированных подходов в области поддержки принятия решений, широтой применения семантических и концептуальных моделей, многолетним опытом модельных представлении ИС, а также результатами практического использования предложенных в диссертационной работе моделей, алгоритмов и механизмов.
Теоретическая и практическая ценность. Полученные в диссертационной работе результаты позволяют:
1. Внести существенный вклад в решение важной народнохозяйственной проблемы создания компьютерных технологий поддержки управления безопасностью информационных систем.
2. Разработать методологические основы создания защищенных ИС.
3. Разработать ряд теоретических положений, развивающих теорию управления безопасностью ИС.
4. Разработанные в работе методологии и модели использованы при создании защищенной ИС в Пенсионом фонде РФ.
5. Полученные результаты легли в основу учебного курса по основам проектирования систем защиты базовой кафедры №252 компьютерной безопасности МГТУ МИРЭА.
Диссертационная работа выполнена в рамках плановой тематики Института проблем управления им. В.А. Трапезникова РАН. Часть результатов диссертации получена в рамках НИР, выполнявшихся в Академии криптографии РФ (в интересах ФСБ России).
Апробация работы. Основные положения и результаты диссертационной работы докладывались и представлялись на следующих конференциях: IV Российской научно-методической конференции «Совершенствование подготовки ГГ-специалистов по направлению «Прикладная информатика» для инновационной экономики» (Москва, 2008), XII научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий» (Москва, 2009), международных научно-практических конференций «Интеллектуальные системы» (А18'09) и "Интеллектуальные САПР" (СЛВ-2009), (Дивноморск, 2009), 3-й международной конференции «Управление развитием крупномасштабных систем» (Москва, 2009), международной научно-практической мультиконференции «Управление большими системами-2009» (Москва, 2009), научной сессии НИЯУ МИФИ (Москва,2010), ХШ научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий» (Москва, 2010), международных научно-практических конференций «Интеллектуальные системы» (АК'Ю) (Дивноморск, 2010), 12-й Национальной конференции по искусственному интеллекту с международным участием (Тверь, 2010), XIV научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий» (Москва, 2011), 5-й международной конференции «Управление развитием крупномасштабных систем» (Москва, 2011), конгрессе по интеллектуальным системам и информационным технологиям, (Дивноморск, 2011), Международной научно-практической конференции «Управление большими системами 2011» (Москва, 2011), Конгрессе по интеллектуальным системам и информационным технологиям, (Дивноморск, 2012), XVIII Всероссийской школе-коллоквиуму по стохастическим методам и XII Всероссийскому симпозиуму по прикладной и промышленной математике (Сочи, 2011), ТХХ Всероссийской школе-коллоквиуму по стохастическим методам и ХШ Всероссийскому симпозиуму по прикладной и промышленной математике (Сочи, 2012), 7-й Международной научно-практической конференции «Интегрированные модели и мягкие вычисления в искусственном интеллекте» (Коломна, 2013), 3-й научно-практической конференции «Актуальные проблемы системной и программной инженерии», (Москва, 2013).
Публикации. Основные результаты исследований по теме диссертации содержатся в 34 публикациях, в том числе 16 публикаций в журналах перечня Высшей аттестационной комиссии.
Структура и объем диссертации. Работа состоит из введения, пяти глав, заключения, трех приложений, списка литературы из 216 наименований.
СОДЕРЖАНИЕ РАБОТЫ
Во введении к диссертационной работе обосновывается актуальность исследованном тематики, формулируются цели, задачи и направления исследований, излагаются научная новизна, достоверность и практическая ценность полученных результатов.
Первая глава посвящена изложению теоретических и методологических основ обеспечения безопасности информационных систем, основанных на процессном подходе и принципах открытой среды.
В стандартах ИБ подчеркивается, что в качестве защищаемых активов необходимо рассматривать активы, имеющие ценность для организации. Методология управления ресурсами современного предприятия, основанная на процессном подходе, определяет основной ценностью бизнес-процесс, т.к. он, наряду с видами деятельности, интегрирует и ресурсы предприятия (материальные, финансовые, информационные, человеческие) в единый функционирующий комплекс, приносящий какой-либо бизнес-результат (в контексте данной работы речь идет о таких бизнес-процессах, средой реализации которой являются информационные системы). Поэтому в диссертации задача организации защиты информационных ресурсов сформулирована как задача обеспечения безопасного функционирования автоматизированных бизнес-процессов предприятия. Безопасность как качество описывается свойствами целостности (С), доступности (О), конфиденциальности (К) и др., которые могут задаваться лингвистическими значениями.
Привязка к бизнес-процессам позволяет понять, каков вклад бизнес-процесса в совокупный результат, каков его приоритет (Рг) для предприятия. Поэтому ЛПР может и оценить ущерб (Ц), если функционирование бизнес-процесс будет нарушено, и назначить требуемый уровень безопасности = (С,В,К).
Для описания постановки задачи введем следующие понятия, взаимовлияние которых представлено на рис. 1.
A). Объект защиты (ОЗ) - информационная система, ассоциируемая с бизнес-моделью, которая представляется совокупностью бизнес-процессов предприятия {ВММЪ/р,, Ыр2,.... Ь/р3}.
Б). Целевую функцию системы защиты введем как вектор критериев основных свойств безопасности {КБ} = {С, О, К) в нечетком пространстве соответствующих лингвистических переменных. Нарушение уровня вектора {КЯ} является конечной целью любой атаки.
B). Защитные механизмы (Мх), равно как и средства защиты (СЗ), реализующие те или иные Мх, являются управляющими параметрами системы защиты. Они обеспечивают требуемый уровень безопасности (кЩ= {С, й,К}, т.к. обладают свойством стойкости к внешним воздействиям.
Г). Внешние воздействия или атаки, т.е. реализуемые угрозы У(А). Их реализация зависит от наличия уязвимостей программно-аппаратного обеспечения (возможность реализации угрозы), а также нарушителя, который смог воспользоваться уязвимостью (возможность возникновения угрозы).
Тогда система защиты описывается кортежем следующих объектов:
<Б>={{ОУ. {У}, {Мх}}. Таким образом, система <5> представляет собой
комплекс программно-аппаратных механизмы защиты {Мх}. которые обеспечивают целевую функцию]КХ) и противостоя! угрозам {У} . Назовем такую систему комплексной системой зашиты (КСЗ).
Рис. I. Схема сдачи обеспечения бсюпаоюсти ИС.
На рис. 2 представлен цикл проектирования системы <?>, сочетающий традиционного представление и положения предлагаемого подхода.
Рис. 2. Функциональная блок-схема процесса просктнромння КСЗ
10
Далее возникает задача представления объекта защиты в виде некоторой модели, причем модель должна в полной мере отражать функциональность ИС и позволять декомпозировать основные цели по функциональным фуппам ОЗ. Для этой цели была выбрана реферснсная модель среды открыты* информационных систем OSE/RM (Open Systems Environment/Reference Model), предложенная KOMirreroM /REF. POSIX. Данная модель нрсдставляег ИС как сочетание двух компонент: прикладной (приложений, реализующих функции бизнес-процесса) и плашорченной. которая обслуживает запросы приложения, Модель структурируется в виде матрицы компонент («клегок»), отражающих функциональные фуппы ИС (базовая передняя плоскость <ИО) (рис.3).
Трехмерность модели позволяет структурировать не только функциональное гь само"! ИС (плоскость <ИО), но и систем администрирования и защиты (плоскости <А> и <3> соответственно) (к сожалению, в указанных стандартах илоскостьО не проработана).
<ис»
—j У!
внешняя среда уг
гис..». коннетуальиая модель ust/К.Ч Злссь <ИО - плоскость функциональностн ИС. <А> - плоскость Администрирования, <3> - плоскость защити
Таким образом, понятие ИС включает и интегрирует в единую сштсиу функциональность трех iранен информационной технологии (хотя могут быть рассмотрены и другие): прикладной (плоскость <ИС>), административной (плоскость <А>) и защитной (плоскость <3>).
Тогда задача обеспечения безопасности для ИС. представленной моделью OSE/KM. формулируется как обеспечение свойств безопасности {KS\ = [С.П.К\ для реализаций «клеток» тоскостей <ИС>, <А> . <3>. В диссертации описана также интерпретация »тих свойств для всех функциональных компонент.
11
Для решения поставленной задачи обеспечения безопасности 03 в рамках диссертации разработана референсная структурная модель системы защиты, дополняющая функциональное представление ИС. Это означает, что в развитие модели OSE/RM была построена и проработана плоскость защиты <3>, причем в 3-х вариантах.
1. Межкатегорийном, что означает интеграцию «клетками» плоскости <3> совокупности защитных механизмов, обеспечивающих защиту реализаций соответствующих «клеток» плоскостей <ИС>, <А> и самое себя. Для построения межкатегорийной плоскости <3>: а), разработана классификация множества Мх, б), определены принципы их взаимосвязи, в), построены онтология внутренней структуры механизма и экземпляры основных Мх, г), разработана референсная процессная модель защиты (BZj (на примере приложения плоскости <ИС>). Она позволяет производить сборку межкатегорийной плоскости <3> с учетом реализации конкретного бизнес-процесса. В ее основу положена структуризация по модели OSE/RM типовых информационных операций 10,„к, над данными, осуществляемых в информационной системе и реализующих операции бизнес-процесса. Здесь к- номер операции, m - номер функции s-ro бизнес-процесса, которому принадлежит операция. Рассмотрены следующие операции: хранение, обработка данных в системе, передача данных, реализуемая через съемные носители, локальную или внешнюю сеть. Тогда модель защиты ,?-го бизнес-процесса
представляет собой кортеж {В7/ } = (b/z'u,b/z'2,.....b/z\,K), гдеА/z^- процесс защиты, т.е.
последовательность «клеток», реализующая информационную операцию и «закрытая» защитными механизмами.
Кроме того, показана связь бизнес-процессов предприятия и процессов защиты. Обозначим модель OSE/RM в виде матрицы М. Тогда УЮтк, реализуемая последовательностью «клеток» модели OSE/RM, представляется матрицей М" =\\тц ||, i=l+4,j=1*4, К, К -количество операций, реализующих т-ю функцию, такой что:
1. тэт/ -1, если «клетка» задействована в операции,
2. /я/ =0, если «клетка» не задействована в операции.
Тогда матрица М" представляет собой отдельный бизнес-процесс защиты b/z'rk.
Таким образом, семейство матриц ||М"'|| определяет модель защиты m-ой функции
Мт =vM" = vmf., i=l+4, j=I*4, m=l+M. Матрица BZ'=vMm, s=l,2,...,S - модель к i.j ,J
защиты s-го бизнес-процесса, a BZ =vBZ, = v(y(ymkQ)) - процессная модель защиты,
построенная в соответствии с бизнес-процессами предприятия {BM}={b/pi, b/p2,.... b/ps}.
Таким образом, речь идет о разработке технологии сборки комплекса Мх, обеспечивающих защиту «клеток» и их реализаций в соответствиями с целевым вектором JKS}, т.е.о технологии формирования функциональной архитектуры КСЗ. Проработка технологии на уровне различных алгоритмов: оценки уровня защищенности и потребности в дополнительных средствах защиты, формирования целей и значений критериев безопасности и др. представлены в главах 4, 5.
2. Поскольку система защиты также является информационной системой, то ее функциональность, в свою очередь, должна быть структурирована в соответствии с принципами базовой плоскости <ИС> с поправкой на контекст (рис.4). Это означает, что система защиты должна иметь прикладную компоненту в виде
различных приложений, реализующих межкатегорийное представление, платформенную, удовлетворяющую потребности приложений, а также матричную структуризацию, отражающую исходную. Такое представление дает понимание принципов технической проработки КСЗ, базу для выполнения проекта по ее созданию, потому, что выбранные в соответствии с целевыми критериями программно-аппаратные СЗ должны иметь программный API-интерфейс, совпадающий с платформенным.
3. Третий аспект заключается в возможности структуризации по «клеткам» модели факторов, связанных с деятельностью нарушителя в системе: идентификации атаки, моделирования распространения атаки, прогнозирования целей нарушителя и т.п. Таким образом, представленная модель OSE/RM, явилась основой, относительно которой строились алгоритмы, приведенные в последующих главах, и структурировались параметры, снимаемые в ходе мониторинга.
Во второй главе исследованы и разработаны состав и функциональная структура СПУБ ИС и ее компонент. Приведен обзор различных типов систем поддержки решений, а также анализ возможностей систем обнаружения вторжений, которые в своем составе содержат технические средства и используются для защиты ИС. Отмечается, что несмотря на интеграцию многих защитных механизмов в рамках единой системы, они не решают всех задач, связанных с управлением безопасностью в контексте ЖЦ системы защиты.
Управляющие механизмы
Арр : Мх акр. . формам Appl Мх х бизнес-лотке Мх к запросам Мх к клиентам пр.прот. Мх к объектам Арр
Мх « процессам MW ■Мхи высо-коур. данным Мх к при т. протоколам Мх t обьеятам MW
Мх жр. формам ОС Мх к ядру ОС Мх к ннзкоур, данным • Мх сисгемн. протоколам Мх к объектен OW
АР
MW Процессы системно-прикладного слоя КСЗ Высоюуроен еваи органи- Прикладной Platform
зация Данных КСЗ, Презентаци о
форматы Сессионный
ow Оконный, Низкоуроеме вая орган и- Транспортны
командный интерфейс Ядро ОС кых КСЗ, Сетевой
Драйвера, контроллеры
HW Устройства вводэ\ Системная процессор/ АМх Все виды аппаратной Канальный/ АМх ■
выиода/ЛМх па м яти/А Мл Физический/ АМх
Рис. 4. Ппоектное ппелставление плоскости зашиты
Подход, описанный в главе 1, позволяет совместить ЖЦ ИС и КСЗ. ЖЦ ИС, в соответствии со стандартами ЖЦ ИС и программных систем, состоит из трех стадий, включая «нулевой» этап консалтинговых работ. Тогда стадии ЖЦ системы защиты представляются следующим образом:
1. Формирование требований (ТР). Здесь в рамках консалтинга ЛПР определяет стратегические приоритеты организации в области политики безопасности; строится модель бизнес-процессов {ВМ}. Эта модель служит основанием для выявления
13
целей безопасности {К8} = {С.О,К} к бизнес-процессам и детализации их по «клеткам» ИС.
2. Проектирование. Включает а), разработку функциональной архитектуры КСЗ, которая моделируется межкатегорийной плоскостью <3>, б), детальное проектирование, т.е. сборку проектной плоскости <3> из СЗ согласно механизмов межкатегорийной плоскости, интеграцию различных компонент системы с учетом АР1-интерфейсов.
3. Эксплуатация и сопровождение КСЗ. На стадии эксплуатации осуществляется мониторинг функционирования бизнес-процессов, результаты которого являются (при необходимости) входом для стадии сопровождения (модификации, модернизации). Сопровождение заключается в том, чтобы в случае, если КСЗ пропустила атаку, оценить обстановку и сдержать развитие атаки, восстановить работоспособность бизнес-процессов, модифицировать КСЗ.
Таким образом, под управлением ЖЦ системы защиты понимается комплексное решение задач, обозначенных в п. 1-3. На рис. 5 изображено детализированное соответствие стадий ЖЦ ИС и КСЗ, приведена «раскладка» задач, моделей и алгоритмов, которые разработаны в рамках, предлагаемого в диссертации подхода и составляют основу программного обеспечения СПУБ. На рис.6 изображен компонентный состав СПУБ:
1. Система поддержки принятия решений (СППР), инструментальная система, ориентирована на задачи стадии формирования требований к КСЗ и ее проектирования. Она осуществляет выбор и оценку вариантов КСЗ, предлагает их ЛПР и экспертам для согласования и окончательного решения.
2. Система управления (СУ) решает задачи, связанные с сопровождением КСЗ, если произошел инцидент безопасности, зафиксированный системой мониторинга. Комплекс задач сопровождения приведен в главе 5.
3. Система мониторинга (СМ) осуществляет сбор данных о функционировании бизнес-процессов и действиях нарушителя в системе, их анализ с точки зрения выявления нарушений (инцидента) безопасности, контроля управляющих воздействий и запись данных в соответствующие базы. Данные мониторинга и анализа нужны для принятия решений и в СППР, и в СУ. Алгоритмы анализа представлены в главах 4,5.
4. Информационное обеспечение СПУБ включает БД и БЗ долговременного и оперативного характера. БД хранят накопленные данные о состоянии объекта защиты, инцидентах безопасности, результатах расчетов; данные об экспертах, включая их «веса», и предпочтениях ЛПР; предварительно сформированные списки критериев оценки для различных алгоритмов и их измерительные шкалы. Базы знаний включают информацию по различным факторам проектирования: средствам и механизмам защиты, компонентам модели угроз, для их построения разработан комплекс семантических моделей, описанный в главе 3.
5. Система администрирования, осуществляет взаимодействие, контроль и управление всеми составными компонентами СПУБ.
Таким образом, СПУБ осуществляет контроль, управление и поддержку основных этапов ЖЦ системы защиты.
ФОРМИРОВАНИЕ ТРЕБОВАНИЙ Консалтинг Требования(ТР)
Г
ПРОЕКТИРОВАНИЕ Концептуальное Детальное
ЭКСПЛУАТАЦИЯ И
СОПРОВОЖДЕНИЕ
Рис.5. Представление ЖЦ ИС и КСЗ
Рис. 6. Компоненты СПУБ
Принятие решений на этапе консалтинга предполагает учет многих аспектов безопасности ИС. Для этого разработана концептуальная карта (КК) влияния факторов информационной безопасности в процессе проектирования (формирования) вариантов КСЗ (рис.7).
Здесь вершины графа имеют следующую интерпретацию:
1. ЫР - потенциал нарушителя, оцениваемый на основании его возможностей. Модель нарушителя и алгоритмы оценки его потенциала описаны в главе 3.
2. ЩХ) - рейтинг уязвимости «клетки», вычисляется на основе оценок частоты использования уязвимости нарушителем и трудности ее обнаружения (алгоритм приведен в главе 4ЛП). Рейтинг влияет на возможность осуществления угрозы.
3. МЫ — мотивация нарушителя, оценивается экспертами.
4. Р(А) - возможность осуществления угрозы (атаки) нарушителем, который обладает потенциалом ИР и смог воспользоваться уязвимостью с рейтингом ЩХ).
5. Р(А) - сила атаки (угрозы), ассоциируемая с ресурсами (усилиями), затрачиваемыми на преодоление стойкости защитных механизмов.
6. КХ - вектор критериев, которые оценивают уровень безопасности.
7. Рг(11) - оценка ценности тех информационных ресурсов ИС, которые используются пользователем при решении своих бизнес-задач. Ценность ресурсов определяет и ущерб £/ в случае, если эти ресурсы пострадают от атаки. То и другое может быть выражено как в денежном измерении (например, недополучение дохода), так и неденежном (заметим, что если речь вести относительно бизнес-процесса, то существуют методики и методы, позволяющие это сделать).
8. й - риски, получения ущерба Рг(11) в случае осуществления атаки и нарушения критериев КБ.
9. Мх(СЗ) - защитные механизмы, реализуемые программно-аппаратными средствами. Тот или иной набор СЗ образует вариант КСЗ.
Анализ КК позволяет выделить несколько контуров, отражающие различные парадигмы в управлении безопасностью. СППР выводит КК на экран и предоставляет ЛПР возможность выбирать разные стратегии организации защиты (генеральные стратегии), которые определяют те или иные критерии рационального выбора вариантов системы защиты.
|'ис.7. Когнитивная карт« ми» ЧлесЦ / | - входные данные
«поров безопасности ИС - расчетные параметры
расчетный, но ггрсдсльное значение может быть задано
/
Контур /. Включает вершины F(A), KS, Мх(СЗ). Если JII1P выбирает вершину F(A), то выбор защитных средств CÍI11P производит только исходя из стандартных угроз, и будет осуществлен традиционный способ управления, по базовому (минимальному) уровню, когда мероприятия по оценке рисков не производятся, а уровень безопасности оценивается постфактум. Ясли целью выбирается вершина KS, то, даже для базового набора угроз, производится более гонкий подход с назначением руководителем определенного уровня безопасности по алгоритму главы S.
Контур 2. Вершины F(A), R. Мх(СЗ) отражают политику, требующую разработки повышенных требований к безопасности, основанную на управлении рисками.
Контур 3. Вершины KS. R. Мх(СЗ). Здесь реализуется идея управления исходя из оптимального баланса стоимости КСЗ, рисков и уровня безопасности.
Каждый контур образован двунаправленными отношениями. Это означает, что пронехо-дит взаимовлияние факюров и, стало быть, выбор той или иной вершины в качестве цели определит направление стрелок и генеральную стратепло политики безопасности предприяшя. Во 2-й главе приводятся расчетные алгоритмы следующих стратс1т1й третьего контура:
1. Стратегия наибольшей безопасности • выбор вариантов КСЗ на основе обеспечения по максимуму целевого уровня критериев Безопасности/Af.v /. 'Этот уровень определяется исходя из ишересов бизнеса, нормативных документов ti оценок угроз. Тогда можно ожидать, что риски в большинстве нейтрализуются затребованной стойкостью Мх, но стоимость такой системы - немалой: KS' => Si~ => (здесь и далее символ «*» означает выбранное, фиксированное значение.
2. Стратегия пороговой стоимости 5/"*"*" - выбор вариантов КСЗ, когда приоритетом организации является экономия, тогда надо быть готовым к невысокому уровню безопасности и значительному риску: Si i Si=» KS" » .
3. Стратегия приемлемой стоимости - когда выбираются такие защитные средства, чтобы их стоимость 57 не превосходила возможного ущерба и". Очевидно, что уровень безопасности получим в пределах от минимально до максимально возможных: Л7 <{/*=> .
4. Стратегия приемлемого риска и приемлемой стоимости - когда уровень безопасности определяется из уровней ущерба и и риска II, который организация готова допустить при нарушении безопасности 57 < и* => К5 <= Я < Я*.
На основе моделей и алгоритмов, реализуемых в рамках ЖЦ, СГ1ПР выполняет многовариантные расчеты, производит оценки, формирует, выбирает варианты решений и т.д. Взаимосвязь задач, которые решает компьютерная система, в виде структуры функциональных блоков, изображена на рис.8.
Рис. 8. Функциональная структура СППР
Блок 1. Служит для выявления предпочтений ЛПР в вопросах организации защиты ИС, т.е. выбора генеральной стратегии защиты. Для этого СППР выводит на экран концептуальную карту, по которой ЛПР отмечает предпочитаемые контур управления и вершину. Тем самым идентифицируется та или иная генеральная стратегия, алгоритм которой будет реализовывать СППР.
Блок 2. На экран выводится список критериев, на основании которых СППР проводит оценку ценности данных, обрабатываемых бизнес-процессом и определяет приоритет Pr(Si) каждого бизнес-процесса с точки зрения бизнеса. Алгоритм процедуры описан в главе 4.
Блок 3. СППР выявляет предпочтения ЛПР по вопросам безопасности, строится дерево целей и критериев безопасности {KSj = {C,D,K}, определяется значения целевого вектора безопасности KS"''* ( К(Т*),С(Т*), D(T")), где Т* означает фиксированное значение, т.е. тре-буемый уровень защиты для ресурсов S—х бизнес-процессов. Алгоритм приведен в главе 5.
Блоки 4, 7. Эти блоки выполняют следующие действия СППР:
1. Выявление данных и занесение их в БЗ модели угроз. Онтологические классы уязвимостей, возможностей нарушителя, потенциально-опасных атак для этой модели разработаны и представлены в главе 3.
2. Прогноз и оценку осуществимости атаки (стратегии нападения). Для этого разработаны: алгоритм развития атаки по «клеткам» модели OSE/RM,
использующий метод порождающей грамматики, алгоритмы идентификации целей нарушителя и оценки их осуществимости (главы 4,5).
3. Прогноз того, насколько выбранные защитные механизмы и средства смогут противостоять атаке. В главах 4,5 описаны алгоритмы, основанные на сравнении стойкости Мх и силы атаки в каждой р-н «клетке» модели.
Блоки 5,6. Решают следующие задачи:
1. Выбор стратегий защиты, т.е. вариантов КСЗ в виде набора (Мх],Мх2.....Мхц)
(сборка межкатегорийной плоскости <3> в соответствии с процессной моделью ВТ) и их оценка на соответствие критериям КЗ';™"(К(Т*),С(Т*),В(Т*)).
2. Выбор вариантов КСЗ в виде наборов из плановых средств защиты
р: = ,р22.....ргп), реализующих Мх межкатегорийной плоскости и их оценка на
соответствие вектору локальных критериев {КР2}: функциональных издержек на инфраструктурное оборудование ИС; стоимости; эксплуатационных характеристик. Здесь осуществляется сборка проектной плоскости защиты <3>.
Задача рационального выбора вариантов описана в главе 5.
Блок 8. Осуществляется в диалоге между ЛПР и СППР, заключается в следующем: ЛПР предлагается список вариантов КСЗ, отранжированных компьютерной системой в соответствии с векторами {КЗ}, {КРг}. Если ЛПР выбирает один из вариантов -алгоритм окончен, иначе ЛПР может произвести следующие действия:
a. запросить вывести характеристики варианта: оценочные критерии, их веса и базовые шкалы - изменить их, перейти к блоку!,
b. поменять процедуру ранжировки и перейти к блоку 1,
c. поменять и процедуру ранжировки, и характеристики варианта и перейти к блоку 1.
Блоки 9, 10 реализуют известные методы согласования и ранжирования, поэтому описывать их нецелесообразно.
На этапе эксплуатации КСЗ оперативный контроль и анализ ситуации осуществляют система мониторинга (СМ) и система управления (СУ). Если злоумышленник осуществил некоторое действием* аХ, которое не обнаруживается
плановыми средствами защиты {РТ}, из которых состоит КСЗ, будем говорить что произошел инцидент безопасности. Под инцидентом безопасности будем понимать вектор X = (ХК (Т*),Ха(Т*),Хс(Г*)), нарушающий уровни Т* критериев К5;*"(К,С,й), заданных для данного бизнес-процесса.
Задача оперативного управления возникает в случае, если КСЗ не смогла нейтрализовать очередную атаку злоумышленника на ИС и, в терминологии ЖЦ, возникает необходимость перейти к стадии сопровождения. Задача заключается в том, чтобы идентифицировать данный инцидент, понять, каковы могут быть его последствия, выбрать методы борьбы с инцидентом, модифицировать КСЗ согласно новой обстановке.
Для решения задачи меры и средства, используемые на практике, были классифицированы по категориям:
1. Средства оперативного сдерживания атаки {02}, их назначение — не позволить распространиться негативному воздействию, пока не будут приняты соответствующие меры.
2. Ликвидационные меры {Ь2}, т.е. те, с помощью которых можно устранить инцидент, например, переустановить ОС, запустить антивирусную программу в режиме поиска и ликвидации.
3. Меры восстановления функционирования бизнес-процесса {У!}. Сюда относятся средства резервного копирования программных ресурсов, инсталляции прикладных и системных приложений и т.п. .
4. Плановые средства защиты {Р2}, которые в контуре оперативного управления используются для перепланирования КСЗ после устранения последствий атаки.
Охарактеризуем указанные меры и средства следующими параметрами:
• время использования Тж„. При этом семантика данного параметра для каждого метода разная. Для оперативных мер - это время сдерживания атаки Тиа,~ТсМ'1>ж, для ликвидационных - время, необходимое для устранения инцидента Т,нп~Тшке; для восстановительных — время восстановления /-м средством у'-го ресурса Тис„~Т'^тщ; для плановых - время планирования Тм„~Т„_,а„. Эти параметры являются управляющими при осуществлении оперативных мероприятий. Они определяются в ходе решения задач, описанных в главе 5.
Оперативное управление с помощью мер 1-4, которое осуществляет СУ, заключаются в решении задач, взаимосвязь которых представлена на рис.9.
Рис. 9. Функциональная структура и схема взаимодействия блоков СУ
Блок мониторинга реализован отдельной системой, в ее состав включаются сетевые и хостовые датчики событий, датчики состояния среды бизнес-процессов и контроля безопасности компонент защиты.
Блок I. В блоке работают процедуры идентификация инцидента, алгоритмы которых описаны в главе 4. Создано три процедуры:
1. Выбор механизмов обнаружения (Мо) инцидента в зависимости от характеристик бизнес-процесса.
2. Идентификации непосредственного объекта атаки, которым всегда является какая-либо «клетка» среды.
3. Идентификация критерия безопасности, который был нарушен для объекта атаки.
Блок 2. Работают алгоритмы выбора таких оперативных мер {ОТ.}, которые позволят сдержать развитие атаки на время Та)е1,ж, в течение которого СУ будет ликвидировать
факт атаки, восстанавливать пораженные ресурсы и модифицировать КСЗ. Задача для выбора рационального набора мер {OZ} ~{oz/ oz2,,.... nzK} описана в главе 5.
Блоки 3,5. Среда, в которой действует нарушитель в ходе атаки, представляется моделью OSE/RM, которая имеет три плоскости: плоскость <ИС>, администрирования <А>, защиты <3>. В связи с этим атаку предложено представить двумя фазами:
1 -я фаза: нарушитель действует только в «клетках» плоскостей <А> и <3>; это значит, что бизнес-процесс будет обрушен далеко не сразу.
2-я фаза: нарушитель поражает «клетки» <ИС> и, стало быть, степень уверенности в обрушении бизнес-процесса велика.
Поэтому СУ здесь решает следующие задачи (их алгоритмы описаны в главе 4,5):
Задача 1. Определение фазы атаки. Если фаза 1 (развитие), то решается задачи 2 и переход к блоку 5, если фаза 2 (реализация), то переходим к блоку 4.
Задача 2. Оценка возможности перехода от фазы 1 к фазе 2.
Блок 4. На фазе реализации режим восстановления зависит от значимости поражений ресурсов и оценки реализуемости возможных целей нарушителя. Здесь реализованы две процедуры(глава 4):
1. оценки значимости нарушений критериев {А'5'| ;
2. прогнозирования целей нарушителя с учетом взаимосвязи между стратегическими, тактическими целями и стратегиями их реализации (атак), а также моделирование развития атаки (стратегии нападения) по «клеткам» системы, на основании чего оценивается реализуемость целей нарушителя.
Блок 5. В зависимости от фазы атаки стратегии восстановления бизнес-процесса будут разные. Если идет фаза развития и возможность перехода к фазе реализации низкая, то мероприятия по ликвидации инцидента, восстановлению ресурсов, перепланированию системы защиты СУ может делать без остановки бизнес-процесса, в фоновом режиме. Если возможность перехода высокая, то бизнес-процесс придется останавливать, режим с остановкой. Если возможность перехода средняя - решение за ЛПР. Поэтому СУ инициирует стратегию восстановления В1 (фоновый режим), останавливает бизнес-процесс (стратегия В2) или обращается к ЛПР. При этом восстановительные мероприятия проводятся так, чтобы выполнялось соотношение M(TeoccJ < ТсАерж - M(T„UJ , где М( ) -среднее значение соответствующего критерия.
Блок 6. Произошедшая атака говорит о том, что при проектировании КСЗ была выбрана неадекватная политика безопасности (генеральные стратегии), либо сформированы неточные требования к безопасности, либо модель угроз построена некорректно. Поэтому следует перепроектировать систему защиты в соответствии с новыми приоритетами и оценками, т.е. СПУБ должна инициировать СППР.
Блок 7. Осуществляется ранжирование поврежденных бизнес-процессов с точки зрения серьезности повреждений и СППР формирует рекомендации по очередности восстановления бизнес-процессов.
В последней части главы 2 представлен общий итерационный алгоритм функционирования СПУБ, который осуществляет управление ЖЦ системы защиты: формирование требований -> проектирование -» эксплуатация —> модификация КСЗ. Он заключается в следующем.
Формирование требований
Шаг 1. ЛПР должен определиться с приоритетами в политике безопасности. Для этого СГШР выдает на экран концептуальную карту и ЛПР должен выбрать контур управления и вершину в контуре, т.е.для СППР задается генеральная стратегия, которую ей надо рассчитать.
Шаг 2. Определение требований безопасности к КСЗ, т.е. целевого вектора критериев безо-пасности бизнес-процессов {ATS1}. Для этого из БД «Бизнес-модель» СППР запрашивает данные по компонентам критериев безопасности. Здесь же происходит назначение уровня безопасности, СППР определяет значения критериев ¡KSJ и получает целевые вектора KS"""(K(T' ), С(Т' ),D(T' )) по i-му бизнес-процессу, где Т -значения критериев по соответствующим измерительным лингвистическим шкалам).
Параллельно экспертами формируется модель угроз, т.е. СППР в режиме опроса и согласования ответов вносит данные в БЗ по уязвимостям, возможностям нарушителя, атакам.
Шаг 3. Детализация целевых векторов KS,"'" по «клеткам» модели ИС. Для этого отрабатывается алгоритм формирования целей, описанный в главе 5. В результате СППР формирует дерево целей и критериев в виде матриц сопоставлений MS. Таким образом, здесь происходит сборка межкатегорийной плоскости функциональных требований к защитным механизмам.
Проектирование
Шаг 4 - концептуальное проектирование. На этом шаге СППР решает две задачи:
Задача 1. Оценивает, нужны ли, помимо встроенных, дополнительные средства. Для этого работает алгоритм главы 4, п.4.1.5.
Задача 2. Выбирает набор защитных механизмов Мх = (Мх/, Мх2,.... Мхр ) которые будут обеспечивать безопасность в соответствии с генеральной стратегией: либо /KS"""}, либо некоторый уровень {KS }, т.е. происходит сборка межкатегорийной плоскости защиты <3> с учетом специфики реализаций «клеток».
Шаг 5 - детальное проектирование. Этот шаг заключается в сборке проектной плоскости <3> (рис.4). Здесь выбираются программно-аппаратные СЗ, реализующие механизмы межкатегорийной плоскости, в соответствии с вектором локальных критериев {KPZ} и с учетом совмещения программных интерфейсов прикладных и платформенных компонент СЗ.
Эксплуатация и сопровождение
Шаг 6. Здесь функционируют:
- КСЗ,
- система мониторинга, которая отслеживает функциональные нарушения бизнес-процессов и анализирует инциденты безопасности,
- система управления, которая применяет меры оперативного сдерживания, ликвидирует факт атаки, восстанавливает работоспособность бизнес-процессов так, чтобы М(Ттсст) + М(Т,икЛ)£ Тсдерж•
Шаг 7. Модификация КСЗ, происходит в случаях, если:
А). Произошло вторжение, пропущенное КСЗ:
- вследствие того, что нарушитель оказался умнее и смог найти уязвимость,
не учтенную при проектировании КСЗ; - из-за неточности экспертных оценок компонент модели угроз (уязвимостей, возможностей нарушителя, возможных атак) или целевых векторов {KS""" }.
Б). Изменились условия ведения бизнеса или требования к безопасности. В любом случае, необходимо перепроектирование системы защиты, причем оно должно осуществляться так, чтобы M(T„mnii)£ Тсдерж.
Третья глава посвящена семантическому описанию факторов безопасности ИС. В главе 2 показана концептуальная карта (КК) влияния факторов информационной безопасности ИС, которая является основой для принятия решений при проектировании КСЗ. Для алгоритмической реализации КК в диссертации разработан комплекс моделей, которые служат для вычисления данных к расчету генеральных стратегий.
Для моделирования был использован формализм семантических сетей на основе онтологии, под которой понимается эксплицитная спецификация концептуализации предметной области. Структура рассматриваемой онтологии представляется кортежем О = < Оя, Ос >. Здесь Оя —" онтология верхнего уровня, которая включает понятия, относящиеся к процессу разработки системы защиты. Каждый из объектов верхнего уровня представляют собой сложные понятия, которые нетривиальным образом соотносятся с другими объектами и понятиями предметной области, поэтому для их детализации разработаны онтологии нижнего уровня Ос .
Каждая из онтологий описывается формализмом О - <С, R, F, Р>. Здесь С = {C¡, ... , С„ }, }, С =СТр и См и СМг и Су - конечное непустое множество понятий предметных классов, где
Стр - конечное множество понятий, составляющих таксономии онтологий по
отношениям партономии и родовидовым;
СЛ1г- конечное множество атрибутов онтологий,
Су - конечное множество значений атрибутов онтологий,
СА - конечное множество понятий, не вошедших ни в одно из множеств СТР , СА,Г, Су , и вступающих в отношения ассоциации.
R = { R¡ , ... , Rm} . R¡ с С х С, R = Rt и Rp и Ra и RAtr - конечное множество бинарных отношений, где
Rt - антисимметричное, транзитивное, нерефлексивное бинарное отношение между понятиями, задающее таксономию (класс-подкласс) на множестве С и обладающее свойством наследования. Это означает, что потомкам передаются атрибуты и ассоциации всех концептов-предков, стоящих выше по иерархии, а также их отношения;
Rp - транзитивное отношение партономии (часть-целое), также обладающее свойством наследования;
Ra - конечное множество ассоциативных наследуемых отношений между понятиями С, которые отражают специфику данных предметных классов;
Rao-- конечное множество атрибутов, описывающих свойства понятий С и отношений
R;
Ry- конечное множество значений атрибутов СА1Г.
F - конечное множество описательных интерпретаций понятий. Р — конечное множество аксиом и правил, определяющих семантику понятий и отношений, которые представляются в виде продукций if < посылка> then <действие> .
Указанные отношения обладают следующими свойствами RT Г) Rp = 0 , Rt о Ra = 0, Rr п Ra„. = 0 ,RTn Rv = 0, RP n Rv =■ 0, RP n RA = 0, RP n RAlr = 0, RA n RA„■ = 0, '
RA Г) Ry = 0, RÂirn Ry='0, т.е. отсутствует пересечение множеств Rh
Взаимосвязь понятий и отношений онтологий описывается следующим образом R 7 сг Стрх Сгр, Rpçz СтрХ Стр, Ra £ cjpx Стр, Rv S Са„х Су, RAu с" СтрХ CAlr
Были выделены следующие классы понятий, относящиеся к процессу проектирования системы защиты:
1. {Бизнес-модель} - множество автоматизированных бизнес-процессов, подлежащих защите.
2. Критерии безопасности {KS}, описывают качество безопасности, которым должна обладать информационная система. Их перечень и значения определяются исходя из интересов бизнеса и возможных угроз безопасности.
3. {Модель угроз}, т.е. совокупность условий и факторов, которые могут привести к возможному нарушению уровня безопасности бизнес-процессов, задаваемого критериями {А'5}.
4. Комплексная система защиты {КСЗ'}, представляет собой комплекс защитных средств.
5. {Средства и меры защиты}, т.е. некоторые меры процедурного характера, а также программно-аппаратные продукты, реализующие защитные механизмы.
6. Защитный механизм {Мх}, обеспечивает какое-либо свойство безопасности н соответствии с определенным уровнем критериев {/й>}.
7. {Риски}, которые несет предприятие в случае, если будет нарушена безопасность его бизнес-процессов вследствие реализации угроз.
На верхний уровень онтологии вынесены следующие концепты С ^{Бизнес-модель, Модель угроз, Риски, КСЗ, KS}, между которыми введены горизонтальные ассоциативные отношения RA = {«Определяет уровень», «Обеспечивает», «Противостоит», «Определяет угцерб», «Определяет возможность наступления»}, {Соотносится}. Указанные концепты представляют собой иерархии вида «целое-часть» и «класс-подкласс», что подчеркивается транзитивным отношением «Включает» и «Это есть».
Глава содержит детальное описание онтологических классов Og, Oq .
Концепт {Бизнес-модель} в соответствии с моделью {ВМ}, идеология построения которой описана в 1-й главе, включает: а) объект {Среда}, который интерпретируется как среда функционирования бизнес-процесса, т.е., на основании модели OSE/RM плат<1юрмеиная и прикладная составляющие. С точки зрения информационной безопасности среда определяет компоненты модели угроз: уязвимости, объекты и каналы атак. б), концепт {Бизнес-логика}, ассоциированный с видами деятельности и их взаимосвязью. Концепт, представляет шраничения Ацп накладываемые на защиту в интересах эффективного исполнения бизнес-процессов, ущерб, наносимый бизнес-процессу вследствие 1 гроизошедшего компьютерного вторжения и цели безопасности (требования). ,
Рис. 10. Онтология верхнего уровня
Отношением {Определяет уровень} {Бизнес-модель} связана с концептом критериев безопасности {KS}, измеряющих цели. Критерии {KS} = {C,D,K} задаются как термы лингвистических переменных. Уровни критериев (значение терма) определяются на основании семантики бизнес-процесса, его значимости с точки зрения бизнеса, предпочтенйй ЛПР (только ЛПР может сказать, что для него важнее, обеспечить, например, конфиден-циальность данных, «лежащих» на сервере или доступность к нему), а также оценок возможных угроз. Процедура формирования целей и назначения значений оценочных критериев описана в главе 5. Концепт включает иерархию целей (требований безопасности) на верхнем уровне - относительно бизнес-процессов, на следующих уровнях - декомпозицию их по клеткам модели OSE/RM в соответствии с глубиной референсности.
Современная теория управления предприятием обладает разными методами оценки материального и нематериального ущерба от нарушения функционирования бизнес-процессов, поэтому концепт {Риски}, как функция от величины ущерба также связан с бизнес-моделью (отношение {Определяет ущерб}). Концепт представляет классификацию рисков информационной системы.
Следует заметить, что концепт {KS} имеет отношение с объектом {Риски}. Эта связь дает возможность реализовать идею управления рисками информационной безопасности. Семантика связи заключается в том, чтобы после выбора варианта системы защиты, обеспечивающей требуемый уровень {KS}, произвести оценку будущего риска при данном наборе защитных средств и сделать вывод о его приемлемости. Если риск неприемлем, берется другой набор средств защиты и производится сближение оценок и по рискам, и по уровню безопасности.
Реализация угроз возможна лишь в том случае, если информационная система имеет соответствующие уязвимости в технических и программных средствах, позволяющие реализовать ту или иную угрозу, и найдется нарушитель, который использует уязвимость. Тогда угроза переходит в категорию атаки. Таким образом, уязвимость определяет возможность реализации атаки, а нарушитель - возможность возникновения атаки.
Таким образом, модель угроз включает:
• класс уязвимостей, который содержит представление понятий, связанных с уязвимостями среды бизнес-процесса,
• класс нарушителя, включающий объекты, характеризующие возможности потенциального нарушителя,
• класс атак, представляющий экземпляры потенциально-опасных атак.
Класс {Модель угроз} содержит иерархию концептов {Уязвимости среды б-п},
{Нарушитель}, {Потенциально-опасные атаки}, которые, в свою очередь, также представляются онтологиями. Взаимосвязь указанных понятий представлена онтологией на рис. 11.
В диссертации разработаны также онтологии модели угроз уровня Ос —({Уязвимость среды б/п}, {Нарушитель}, {Потенциально-опасные атаки}).
Комплексная система защиты (рис.12) - концепт {КСЗ} — представляет собой набор программно-технических средств защиты, функционирование которых обеспечивает заданный уровень безопасности бизнес-процессов {/Л?} = {С,О,К) (отношение верхнего уровня {Обеспечивает}). С другой стороны, система защиты служит для нейтрализации угроз посредством отношения верхнего уровня {Противостоит}.
Защитные свойства того или иного средства реализуются комплексом механизмов (Мх), таким образом, класс {КСЗ} описывается иерархией указанных концептов, каждый из которых имеет собственное представление.
Рис. 11 . Онтология модели угроз
ксз ^
Рис. 12. Онтологический класс КСЗ
Разработанный и предложенный в третьей главе комплекс структурных моделей указанных понятий, их полнота:
- представляют модельную основу для разработки алгоритмов логического вывода данных для расчета параметров концептуальной карты при проектировании КСЗ, которое осуществляет СППР, а также процедур анализа стадии сопровождения;
- обеспечивают целостное и комплексное представление предметной области, имеющее самостоятельное значение, которое может быть использовано при разработке информационно-поисковых и экспертных системы в области ИБ.
В четвертой главе излагаются алгоритмы и процедуры анализа, которые используются на всех стадиях ЖЦ системы защиты. Изложенные в этой главе алгоритмы составляют программное обеспечение системы мониторинга СПУБ.
В результате этапа консалтинга СППР оценивает ценность для бизнеса ресурсов (данных и приложений), включаемых в состав бизнес-процесса и назначает каждому S,-му бизнес-процессу параметр приоритета Pr(Sj), который измеряется лингвистической или балльной шкалой: «высокий-4», «средний-3», «низкий-2», «очень низкий-1», «отсутствует-О». При этом, ценность информационных ресурсов и ущерб от компрометации этих ресурсов - это две стороны одной медали. Например, если клиентская БД страховой компании лопала в руки к конкурентам, компания понесет ущерб в объеме недополученных страховых, сборов. Поэтому оценка ценности ресурсов одновременно влечет и оценку ущерба от компрометации этих ресурсов (на основании приоритетов Pr(SJ формируются требования к КСЗ, т.е. вектор {АГ5( = {C,D,K} по алгоритму главы 5).
Информационные ресурсы в виде различных по семантике БД, хранилищ, отдельных файлов привязаны как внешние сущности к бизнес-процессам и, стало быть, включаются в состав соответствующих «клеток» плоскости <ИС> OSE/RM.
Алгоритм оценки ценности/ущерба состоит в следующем.
1. СППР предъявляет экспертам список оценочных критериев, которые хранятся в БД: К1. Нормативные акты, которые регламентируют актив (этот критерий имеет свою лингвистическую шкалу, но она волне согласуется с общей: «закон РФ-4», «ГОСТ-3», «РД-2», «внутренние документы-1» «отсутствует-О»).
К2. Конкурентные преимущества.
КЗ. Объем недополученного дохода.
К4. Степень личной ответственности ЛПР.
К5. Степень юридической ответственности.
Кб. Стоимость восстановления кодов.
К7. Стоимость восстановления аппаратных средств.
К8. Потери от компрометации брэнда.
К9. Стоимость восстановления данных и т.д.
2. Согласование или модификация экспертами списка критериев К1-К9. Здесь используются известные методы согласования, система мониторинга предоставляет возможность их выбора.
г
3. Определение и согласование веса критерия а = как нормированной
суммы рангов. Для этого система предлагает заполнить каждому эксперту таблицу рангов (значимости), которая отражает ранг s-го критерия для р-ой «клетки»
(табл.1), на основании которой определяется гЛе гр - Раиг л'"г0
м
критерия, определенный j-м экспертом для р-ой «клетки», я, - число экспертов, давших данную оценку критерию.
Таблица 1.
Идентификатор «клетки» бизнсс-процссса sif содержащей ресурс Важность критерия
Нормативные акты Конкурентные преимущества Объем недополученного дохода
к, Высокая-3 Низкая -1 Средняя -2
Низкая -1 Средняя -2 Очень высокая -4
4. Определение и согласование экспертами по р-м «клеткам» 5,-го бизнес-процесса значений хр5 - оценок ресурсов «клетки» по каждому из критериев К1-К9 и Рг(Кр)= ~~ совокупной оценки р-ой «клетки». Для этого система
мониторинга предлагает заполнить таблицу, аналогичную табл.1, но по всем критериям К1-К9.
5. Определение совокупной оценки приоритета всего бизнес-процесса Рг(Б-)=
±£рг(К„). Здесь Рг(Кр)= ^ар>хр ' пРи0Ритет ресурсов р-ой «клетки» по я-ому Р
критерию, где ар,- вес критерия, ^-значения критерия.
На стадии проектирования требуется определить, необходимо ли к встроенным в программные продукты ИС, дополнительные наложенные средства защиты. Для ответа на этот вопрос в диссертации разработана алгоритмическая процедура, которая состоит из трех блоков:
Блок]. Оценка осуществимости угрозы ¡=14, в среде реализации бизнес-процесса (в платформенной компоненте ИС). Угрозы характеризуются наличием нарушителя, обладающего определенным потенциалом ИР, чтобы воспользоваться уязвимостями среды Х(х,,х2,...,х„).
Перечень уязвимостей Х(х,,хг,...,х„), свойственных «клеткам» бизнес-процесса, выявляется экспертами предварительно и хранится в БЗ онтологического класса {Уязвимость среды б/п}. Для характеристик возможностей нарушителя и определения его потенциала ИР разработан онтологический класс {Нарушитель}, где на основе продукционных правил определяются оценки ЫР" предполагаемых нарушителей.
Алгоритм блока 1.
1. Вычисление оценки V*,, ее рейтинга К"' с точки зрения идентификации уязвимости нарушителем, а затем ее использования. Эти действия характеризуются следующими критериями:
a. временем, которое необходимо для совершения этих действий,
b. необходимой квалификацией нарушителя,
c. уровнем знаний о среде,
й. характером и продолжительностью доступа к среде, е. необходимыми аппаратно-программными ресурсами. Для каждого критерия в системе мониторинга имеются согласованные экспертами оценочные балльные шкалы (в табл. 2 приведен пример шкалы но критерию а).
Таблица 2
Время Идентификация уязвимости Использование уязвимости
< 0,5 часа 0 0
< суток 2 3
< месяца 3 5
> месяца 5 8
2. Для V*, система мониторинга получает рейтинг /?'- уязвимости, принадлежащих р-й «клетке» как аддитивную функцию, т.е. выбранные значения по обоим действиям по всем таблицам суммируются. Если уязвимость можно идентифицировать\использовать несколькими способами, для каждого из них вычисляется рейтинг и из полученных значений выбирается минимальное, т.е. уязвимости ставится в соответствие самый простой метод успешного нападения.
3. По этому же правилу по всем х, «клетки» вычисляется общий рейтинг ^клетхи^ те = ц-г^ ^ и оценивается системой мониторинга по шкале табл.3.
__Таблица 3
Диапазон я*7"'!*н Рейтинг уязвимости
< 10 Низкий-]
10-17 Умеренный-2
18-24 Высокий -3
>24 Нереально высокий -4
4. На основании потенциалов каждого предполагаемого нарушителя ЫР\ которые выбираются по запросу из БЗ {Модель нарушителя} вычисляется совокупный потенциал нарушителя N1' = тах(ЫР', Л7/'2,..., \'Р") по правилу: из нескольких сценариев нападения выбирается худший вариант, с наибольшим потенциалом.
5. Условие успешного нападения заключается в том, что существует
ЫР=1тах(ЫР1) такой, что р_к,етки < ЫР, где у - типы нарушителя. Такие сравнения
1
система мониторинга проводит по каждой «клетке». В результате получает распределение оценок осуществимости угрозы но р-ым «клеткам» среды Ур, р=1,...,Р.
Блок 2. Оценка стойкости механизмов защиты Мх, встроенных в платформу ИС. 1. Система мониторинга в интерактивном режиме опрашивает экспертов, сопоставляет каждой «клетке» реализованные в ней механизмы и просит заполнить столбцы 2 + к таблицы 4 по шкале«Стойкость»: «базовая-1», «средняя-2», «высокая-3», после чего согласовывает их ответы и заполняет закрашенные ячейки таблицы окончательно.
___ Таблица 4
Идентификатор «клетки» бизнес-процесса , содержащей Мх Стойкость механизмов
Мх, Мхк
1 2 к к+1
к, Высокая -3 Базовая -1 умеренная
КР Средняя -2 Механизм отсутствует средняя
Средняя стойкость 5(Мхк ) Средняя-2 Базовая -1 И(Мх)
Здесь хр
— стойкость к-то защитного механизма.
2. Вычисляет величину средней стойкости к-то механизма S(Mxt) =
3. Просит заполнить оценки совокупной стойкости механизмов, соответствующих />ой «клетке» S(Mxp). Они представляет собой суждения экспертов о величине синергетического защитного эффекта от влияния механизмов друг на друга. Например, туннелирование по протоколу IPv6 над стандартным TCP/IP дает достаточно низкую безопасность по конфиденциальности при передаче данных, но вкупе с механизмом шифрования уровень конфиденциальности резко повышается, а, если на концах канала передачи установить межсетевой экран, получим одно из самых надежных средств защиты - виртуальную частную сеть VPN. Ее оценки проставляются экспертами по шкале «Совокупная стойкость»: «низкая-1», «умеренная-2», «высокая-3», «очень высокая-4». В результате система имеет распределение оценок стойкости защитных механизмов по «клеткам».
4. Вычисляет величину средней совокупной стойкости механизмов бизнес-
процесса как среднее по столбцу (k+1) S(Mx) =
j^Mx,,)
Блок 3. Оценка защищенности встроенными средствами, оценки осуществимости угроз в «клетках» среды.
1. В результате алгоритма блока 2 система получает распределение стойкости механизмов по «клеткам». С учетом распределений оценок осуществимости угроз Ур каждая «клетка» среды может оказаться в одном из четырех состояний, рис. 13, где У* означает, что угроза для «клетки» существует, У0 - угрозы нет, - механизмы в «клетке» есть, Б0 - механизмов нет.
Y+ Y+ Yo Yb
So St So
Рис.13. Состояния «клетки» среды по угрозам и стойкости механизмов
2. Состояние (У°,8+) из дальнейшего рассмотрения выбрасываются, остальные требуют уточнений. При этом система мониторинга рассматривает девять ситуаций, представленных на рис.14. Эти оценки угроз Ур система мониторинга выдает на экран и эксперты принимают окончательное решение о необходимости привлекать дополнительные защитные средства.
3. В дополнение к полученным оценкам, система мониторинга осуществляет оценку рисков, которые ожидают компанию, если угроза реализуется с уверенностью Ур. На основании оценок ущерба/ и угроз подсистема мониторинга реализует алгоритм расчета оценки риска среды для р-х «клеток»
Я /хкр =Рг(Кр) * Ур, (2)
где Рг(Кр) - оценка ущерба, Ур - оценка угрозы, р=1, ...,Р.
Вычисленное значение Шхкр отображается на шкалу «Риск клетки», которая формируется из следующих соображений. Произведение оценок Рг на У может дать 20 возможных значений: 0, 1, 2, 3, 4, 6, 8, 9, 10, 12, 14, 15, 16, 18, 20, 21, 24, 28, которые СППР автоматически разносит по, например, 5-и балльной шкале, отнеся 0, 1, 2, 3 к уровню риска «очень низкий»; 4, 5, 6, 7 - к уровню «низкий»; 8,9, 10, 12 - к «средний»; 14, 15, 16, 18 - к «выше среднего»; 20, 21, 24, 28 - к «высокий». Если
такое разнесение экспертов не устроит, в системе предусматривается процедура ручного формирования шкалы риска и разнесения по ней возможных значений Шзкр.
Б). В).
/Л"—"
ГГТ
_ np
* j | ,—^ у' ~k Скорее BCCI □
■У А/*,)
I I 1*1 Y Очень
ВОЗМОЖНО
_ s(mx.)
1 |* | | Пограничная ситуации
Y 1— Возможно нет
/г™
3). И)-
у ' Скорее вис го пет
1 I "Г "1 I—) Y j [ОЧГИ нег < S/MfJ,.
Рис.14. Возможные ситуации при реализации угроз и их оценки
Совокупный по бизнес-процессу риск Risk система мониторинга предлагает ЛПР двумя способами (хотя могут быть заложены и другие алгоритмы): как среднее
значение по «клеткам» Risk =—J^Risk р или как
" р
мультипликативная функция Risk = Y\aPRiskР с
р
учетом важности риска для «клетки». Процедура назначения и согласования весов «клеток» ар с точки зрения риска осуществляется по алгоритмам, описанным ранее.
4. Пусть Risk/* - некоторый порог риска по /-му бизнес-процессу, приемлемого для компании с точки зрения ЛПР. Тогда, если Risk > Risk,*, то к защитным встроенным средствам необходимы дополнительные.
Вторая часть 4-й главы посвящена алгоритмам стадии эксплуатации. Здесь мониторинг осуществляется с целыо сбора и анализа данных по алгоритму рис. 15:
Блок1. Пусть{Т'1 } = {рЧ,рг2.....рГг }- вектор
эталонных функциональных характеристик бизнес-процесса. Они выявляются на основе связи с Рис.15. Общий алгоритм
техническими характеристиками загрузки среды мониторинга пои эксплуатации КСЗ
вектора {p's,}. Значения {р\} снимаются на этапе внедрения и вводятся в БД. 11араметры {1'1 } известны и отслеживаются программами администрирования ИС. В диссертации предложено их структурировать в соответствии с плоскостью модели OSE/RM. Перечень характеристик приведен в Приложении. Система мониторинга (СМ) производит оценку отклонений параметров вектора {Рs, } от эталонных. Для этого по каждому р* вводятся однородные шкалы оценки степени критичности (Kp(Si)) нарушения по шкале: «Степень критичности»: «критическое-3» «среднее-2», «слабое-1», «норма-0». Пример такой шкалы приведен в табл. 5. Подобные шкалы должны быть сформированы и согласованы экспертами на этапе предпроектного проектирования по каждому параметру р[, подлежащему мониторингу и оценке.
Если нарушение среднее, система выводит предупредительное сообщение администратору и продолжает наблюдение. Если нарушение критическое - система производит дальнейший анализ.
'Герм Критическое Среднее Слабое Норма
Диапазон 0- 100 100-500 500-700 700- 1000
Блок 2. Здесь выявляются аномалии, связанные с нарушением критериев {KS}, т.е. выявляются инциденты безопасности, пропущенные КСЗ. Подчеркивается, что аномалии можно классифицировать на сетевые и локальные в зависимости от принадлежности к той или иной «клетке» OSE/RM. Приведен обзор механизмов обнаружения сетевых и локальных аномалий, их структуризация по «клеткам» модели. Решена задача выбора механизма обнаружения (Mo) аномалий в зависимости от характеристик бизнес-процесса (типу бизнес-процесса TSi , его приоритета Рг, критичности нарушений Кр), для этого:
1. Сформулированы (и детализированы) критерии оценки механизмов по:
a. функциональной пригодности,
b. функциональной приемлемости (правильности) (Prieml),
c. эффективности использования (Efj),
d. нагрузки на пользователя
2. Разработан 2-х этапный алгоритм выбора механизма.
/ этап. Вначале выбираются Mo по критериям функциональной приемлемости и эффективности, т.е. выбор осуществляется исходя из интересов выполнения бизнес-процесса. Эти критерии определяют ограничения на выбор Mo, которые приемлемы по количеству пропущенных (О IP), ложных (02Р) срабатываний, надежности детектирования (Nd), нагрузке на систему (Ngr) и временным затратам {Time). Таким образом, решающие правила представляет собой продукции вида
if Кр=<значение> & Рг=<значение > & = <значение>
then Eff {[ Ngr=< зпачепие/диапазоп >] & [Time=< значение/диапазон >}] &
Prieml {[Nd~< значение/диапазон >] & (*)
[01P=< значение/диапазон >] & [02P=< значение/диапазон > ]}.
Например, если система мониторинга для Srго основного бизнес-процесса (TSi), обладающего высокой ценностью для предприятия (Рг), зафиксировала критические функциональные нарушения (Кр), ясно, что должны быть использованы Mo аномалий с оптимальными характеристиками по эффективности и приемлемости:
If Кр= 'Критическая ' & Рг= 'высокий ' & Tsi= 'осиовной_процесс ' then Eff { Ngr= min & Time^minj &
Prieml { Nd=max & 01P=min & 02P=min).
Если же требования по Кр, Рг, и Ts, не столь критичны, можно задействовать и Mo с более слабыми характеристиками, задаваемыми диапазоном значений.
Множество таких продукций составляет продукционную систему, которая представляется тройкой вида: PS={F,P,l), где F - рабочая память (РП), содержащая текущие данные; Р - база знаний (БЗ), содержащая множество продукций, т.е. правил вывода вида (*). Система, перебирая множество правил типа (*), формирует набор из k механизмов обнаружения {Mo,, Мо2,..., Mo/,}, функционально приемлемых для каждой «клетки» OSE/RM, включенной в информационные операции Ю, по 5гму бизнес-процессу.
2 этап. На втором этапе из набора {Mo,, Мо2.....Мок} экспертами выбираются
те Mo, которые окажутся приемлемыми по функциональной пригодности.
Блок 3. Анализ обнаруженных аномалий (инцидента безопасности) с целью принятия решения о режиме восстановления работоспособности бизнес-процесса. Режим может быть фоновый - без остановки (стратегия В1), либо с остановкой (стратегия В2). Это зависит от характера нарушений. Общий алгоритм анализа и принятия решений при различных последствиях представлен на рис.20 и заключается в следующем.
А). Выявлении фазы атаки и определении вероятности перехода из одной фазы в другую. Предполагается, что атака имеет две фазы: фазу развития, когда атакой поражаются «клетки» плоскостей <А> и <3>, т.е. нарушаются характеристики
и фазу реалии-
зации, и тогда ущерб наносится непосредственно функциям бизнес-процесса, т.е. характеристики {Р?-<ИС>} = (к"с ,..к"с)х{с"с ,..d"c) принимают аномальные
значения. Важность задачи выявления фазы определяется тем, что от фазы зависит выбор стратегии восстановления бизнес-процесс: либо стратегия блока В1, либо стратегия блока В2 (рис. 16).
Для решения указанных задач разработано две процедуры.
Процедура определения фазы атаки
Обозначим (pi, р2, ... , рО - вектор аномальных параметров, зафиксированных СМ. Каждый из них относится к перечню характеристик V/>, е iР.\ (, 1=1,2,.,.,L. Этот перечень, структурированный по плоскостям и «клеткам» модели OSE/RM, приведен в Приложении № 3.
1. Если СМ обнаружила, что значения всех параметров ph отнесенных к
—ks <ис>
«клеткам» плоскости <ИС> Vpe{Pp ' }, выходят за пределы штатных, то осуществляется фаза реализации,
* „ —KS <Л> , . ,— KS <3>
2. Если все аномальные параметры \/р е {Р,, } | {!', }, то осуществляется фаза развития.
3. Если значения некоторых параметров />„ отнесенных к «клеткам» плоскости <ИО Эре ""' (, выходят за пределы шташых. то осуществляется фаза реализации.
4. Если некоюрые аномальные параметры р, относятся к «клеткам» столбца С то ;1ля определения фазы следует искать подтверждение на локальном компоненте. Это значит, что
¡. если Эр, е \Р" г) и Р" т) , ¡**% то осуществляется фаза
реализации;
П. если Зр,€[Р" ') и '") , у то фаза/хеишгпия;
ш. если Эр, *{Р" '). и ни один р, не принадлежит «клеткам» локального компонента, т.е. V/». с {?" *)| (?" <Л>>1 (К' ''>, у*/, то происходит фаза развития;
Процедура определения возможности перехода к <!>азе реализации Алгоритм вюрой процедуры основан на модельном прогнозе целей нарушителя и оценке возможности их реализации.
Множество целей нарушителя {С'} подразделяется на стратегические цели /5/СУ. когда обьектом атаки являются «клетки» плоскости <ИС>, и тактические ¡Тк(}}, т.е. нарушитель действует на плоскостях <А> и <3>. Для достижения цели
.91(7, необходимо реализовать набор тактических целей ЛС, «• ('ЛС/.7К?2'.....ТкС{),
поэтому чтобы понять, каковы намерения нарушителя в будущем его стратегическая цель, необходимо понять, какую цель он осуществляет в данный момент.
Алгоритм процедуры следующий.
1. Каждой тактической цели шгсзавлен в соответствие набор признаков
g'íJ}, т.е реакций ОС, которые фиксируются системой мониторинга. Например, если Ткй-, - выявление пароля пользователя, то набор признаков (¿'/.Й2>--,ёо)может быть следующим: отключение механизма аутентификации, обращение к файлу паролей, блокировка 1Р-адреса, с которого осуществлялось воздействие, количество попыток подбора пароля и.т.п. Идентификация ТкС, происходит по признакам (в1,^!,...^^) но следующему правилу:
- если система мониторинга зафиксировала 0-30% нарушенных признаков от их общего числа, будем считать, что данная ТкС, осуществляется слабо,
- если 31 -70% признаков - осуществляемость средняя,
- диапазон нарушений в 71-100% говорит о высокой степени осуществляемое™.
Разумеется, границы диапазонов могут быть пересмотрены и согласованы экспертами. Дальше оценка осуществимости целей рассмотрена на примере.
Пусть системой мониторинга получены оценки тактических целей, приведенные в табл. 6 (столбцы 4, 5, 6).
______Таблица, б.
Стратегическая цель Тактическая цель Значимость 3| Оценка с»
Слабо Средняя Высокая
1 2 3 4 5 6
5101 - Деструктивный вред <3> Получить доступ к файлу паролей 0,7 1
Получить учетную запись 0,6 1
51С2 - Деструктивный вред <А> Получить список открытых портов, незащищенных модемов 0,4 2
Получить карту сети 0,7 2
Получить сведения об ОС, ПО 0,7 3
2. Далее СМ предлагает экспертам список критериев для оценки значимости цели, который сформирован предварительно и хранится в БД:
- предположение о важности реализуемой тактической цели для нарушителя,
- уверенность экспертов в стойкости механизмов защиты, которые противостоят нарушителю,
- предположение экспертов о возможностях нарушителя, которые помогут ему реализовать данную цель до конца,
- оценка опасности, которую повлечет данная реализованная цель функционированию бизнес-процесса,
- оценка опасности, которую повлечет данная реализованная цель для защиты ИС в целом.
Пусть был выбран 1-й критерий «Важность реализуемой цели для нарушителя».
2.2. Каждую тактическую цель эксперты оценивают с точки зрения выбранного крите-рия. Пусть эта оценка выражается весовыми коэффициентами а„ = 1
(столбец 3 табл. 6).
3. Тогда предполагаемую реализуемость стратегических целей Р(8Ю:)г
точки зрения важности для нарушителя тактических целей можно вычислить как
= с, =0.7 + 0.6 = 1.3, = =0.4*2+0.7*2 + 0.7*3 = 4.3.
' 1
Таким образом, СМ делает вывод: поскольку цель «Получить доступ к файлу паролей» оценена как «слабая», хотя и с высокой значимостью, то стратегическую цель «Нанесение деструктивного вреда плоскости <3>» нарушитель вряд ли ставил перед собой (степень уверенности Также, поскольку в данном примере
не реализовывались тактические цели, связанные с плоскостью <ИС>, то вряд ли злоумышленник хочет нанести прямой вред- бизнес-процессу, т.е. фазы реализации атаки не произойдет. А вот реализация цели БЮ2 («Нанесение деструктивного вреда объектам плоскости ' <А> (системе администрирования ИС)») произойдет с уверенностью 4.3.
Таким образом, восстанавливать ИС после действий нарушителя можно без остановки бизнес-процесса в фоновом режиме (стратегия В1).
Б). Анализе и определения того критерия из множества; АЗ), нарушение которого привело к проблемам функционирования бизнес-процесса. Здесь разработаны:
1). процедура идентификации нарушенного критерия, которая производит анализ принадлежности параметров (р,, р2, ... , рО к множествам {Р„}, {РР}, {РР }, описывающим принадлежность к критериям безопасности {К5}.
2). процедура оценки нарушений, которая также проводится с целью выявления режима восстановления бизнес-процессов: с остановкой (стратегия В2) или фоновый (стратегия В1). Она основана на том, что: а), по критерию С: на основании критериальных оценок, например, объема поврежденных данных, времени, в течении которого приложение будет работать в ненарушенном виде и т.п. СМ сама принимает решение о режиме восстановления; б), по критерию И: на основе таблицы, приведенной в диссертации в п.4.2.3.3; по критерию К: на основании решения ЛПР.
3). процедура ранжирования бизнес-процессов Б,. Цель ранжировки - оценить значимость повреждений с разных точек зрения и тем самым установить порядок восстановления бизнес-процессов. В табл.7 приведен пример оценки по различным критериям, а табл.8 демонстрирует переход к семантически единой шкале, на основании которой вычисляются ранги.
__Таблица 7.
Наименование 5/-го бизнес-процесса Сколько критериев {/^5} нарушено Совокупная значимость критерия {А^} Приоритет бизнес- процесса Тип бизнес-нроцесса
Один Средняя Высокий Обеспечивающий
в, Все Средняя Низкий Вспомогательный
Два Высокая Средний Основной
Таблица 8.
Наименование Лг>ч> бизнес-процесса Сколько критериев безопасности нарушено Совокупная значимость критерия {А^} Приоритет бизнес- процесса Тип бизнес-процесса Оценка Ранг
я, Удовл.-! Плохо-2 Очень плохо-З Плохо-2. 8 2
я, Очень плохо-З Плохо-2 Удовл.-! Удовл.-1. 7 3
я* Плохо-2 Очень плохо-З Плохо-2 Очень плохо-З 10 1
В). В процедуре оценки нарушений был выявлен режим восстановления по каждому бизнес-процессу^/, ...,Бц), поэтому СМ в качестве рекомендованного плана действий выдает на экран для модификации, согласования или утверждения, например, следующую табл.9.
__Таблица 9.
Наименование Л'гго бизнес-процесса Ранг Режим восстановления
1 Фоновый
2 Остановка
ЛЬ 3 Фоновый
В пятой главе описаны задачи, процедуры и алгоритмы формирования целей, стратегий защиты и нападения. Эти алгоритмы работают на всех стадиях и этапах ЖЦ КСЗ.
Для этапа консалтинга в СППР задействован алгоритм выбора генеральной стратегии. Они отражают приоритеты ЛПР в области безопасности ИС и определяют критерии цикла проектирования, их алгоритмы описаны в главе 2. Алгоритм выбора стратегий реализован в трех вариантах:
- автоматически, на ■ основе оценок риска, производимых системой мониторинга;
- на основе выбора вершин концептуальной карты, которая выводится на экран;
- в автоматизированном режиме на основе опроса и согласования мнений экспертов в соответствии со списком критериев, который представлен в 5-й главе.
При реализации любой из стратегий выбор защитных механизмов (Мх;, Мх2, ...,Мхк) СППР осуществляет в соответствии с целевым вектором безопасности КЗ','"(К,С,0)> алгоритм
формирования которого
Г Формирование списка целей безопасности завершено
5
представлен на рис. 17. Алгоритм построен на сочетании опросов экспертов и оценок, полученных в системе мониторинга. В результате СППР сформирует списки целей безопасности для бизнес-процессов и для «клеток» среды ИС, которыми реализуются
информационные операции бизнес-процессов (см. процессную модель защиты, глава 1).
Рис. 17.Алгоритм формирования детализированного списка целей
Далее СТТПР реализует процедуру определения целевых значений векторов кя""ь(к,с,п). Пе алгоритм построен на основе эвристик, которые могут быть модифицированы, дополнены или заменены прямым вводом экспертных оценок. В тексте диссертации этот алгоритм показан на примере. Он работает и для бизнес-процессов, и для «клеток» информационных операций и состоит из следующих шагов:
Шаг1. Определение базового уровня критериев в соответствии с оценками ценности бизнес-процесса и ценности ресурсов, сопоставленных «клеткам»
Рг(Кр), полученных в системой мониторинга (алгоритм главы 4).
Шаг 2. Определение предпочитаемого уровня. Базовые значения критериев подправляются за счет субъективной значимости критериев для эксперта.
Шаг 3. Определение ожидаемого уровня. Здесь предпочитаемые значения подправляются оценками угроз среды Ур, полученными в системой мониторинга. Задейст-вованы следующие эвристики:
1. Поднять предпочитаемые уровни на величину оценки угрозы (тогда сознательно допускаем некоторую «дырку» в защите, если полученная сумма окажется меньше максимально возможного значения критерия),
3. Поднять оценки К, С, О до максимального уровня.
2. Если оценка опасности нулевая, то уровень защиты для этого бизнес-процесса по данному критерию снизить также до 0.
Если 5,-ый бизнес-процесс обменивается данными с , то целевые значения должны быть выровнены: если входящий в -ый бизнес-процесс информационный поток имеет больший уровень по некоторому критерию, то значение 5/-го бизнес-процесса по этому критерию надо увеличить. Таким образом, СППР получает набор целевых векторов для 5,-ых бизнес-процессов К^""{К{Т*)Си*)ЦР)]. Если описанный алгоритм отработает в детализиро-ванном режиме, то СППР будет иметь наборы векторов безопасности по «клеткам» КЗ1*" {К(Т*),С(Т*),0{Т*)).
Вторая часть 5-й главы посвящена описанию задач рационального выбора стратегий защиты или вариантов КСЗ. Согласно онтологическому классу {КСЗ}, описанному в главе 3, формирование вариантов идет в два этапа:
А). В рамках одной из генеральных стратегий, в соответствии межкатегорийной плоскостью функциональных требований {ку(7>')}, 1-К/С/О, выбираются механизмы защиты Мх, удовлетворяющие критериям безопасности КЗ!"1"(К(Т*),С(Т*),0(Т*)). Здесь, для выбора (Мх/, Мх ?,..., Мх^ целесообразно использовать метод идеальной точки, в качестве которой выступает вектор {КЗ""" } = {С,И,К}, а онтология БЗ по Мх включает атрибут {Уровень критерия}. Это означает, что каждый экземпляр механизма Мх, представленного в БЗ, предварительно оценен по соответствующему критерию К, С, Э. Тогда вектор оценок набора Мх ранжируется на основе
евклидовой метрики с/= С- С""" )г +(В- С™ / + (К - К"""")5 по отношению к идеальной точке {АХ""" } = {С"'" ,0""" ,К""Ь}. Ранжированные наборы (Мхи
Мх2.....Мх*) предъявляются экспертам, которые выбирают один или несколько
вариантов.
Б). На втором этапе под выбранные наборы механизмов (Мг/, Мхг.....Мх„)
подбираются реализующие их средства защиты. Назовем такие СЗ плановыми и
обозначим PZ = (p:(?pz'2.....p-'j, I = KJC/D. Выбор здесь идет по критериям
KPZ = (Fi.SiZ, Mod.E), т.е. V pz' i--1.....n, I = K/C/D ставится в соответствие
следующие оценочные критерии (назовем их локальными): _
1. Влияние функциональных издержек на работу бизнес-процесса (FI), которое задается лингвистической переменной «Функциональные издержки» и определяется для каждого pz] такими параметрами как: оценка изменения производительности аппаратных средств бизнес-процесса, оценка изменения уровня загрузки серверов бизнес-роцесса, оценка изменения объема трафика бизнес-процесса, оценка изме?1ения скорости транзакций к БД бизнес-процесса и т.д.
2. Оценка стоимости (SlZ),
3. Возможность модификации соответствующих pz' при изменении требований к защищаемой системе (Mod), _
4. Оценка эксплуатационных характеристик средства, (£).
Оценки V pz\ по этим критериям также отражены в онтологии БЗ по средствам защиты. Но решение здесь заключается в формировании Паре го-оптимального множества недоминируемых альтернатив, которые также предъявляются экспертам и ЛПР для окончательного выбора.
Для контроля описанный алгоритм может быть реализован в двух режимах: в виде прямой и обратной задачи:
Прямая задача:
Какой уровень безопасности бизнес-процесса можно обеспечить, если средства защиты обладают заданным качеством ~KS = KS(Fl',StZ'.Mod',E*) и будет ли этот уровень достаточен, чтобы защита соответствовала приоритету бизнес-процесса Рг при угрозах Y и уязвимостях xKS (символ «*» означает выбранное значение).
Обратная задача:
Какими средствами защиты pz,», отвечающими необходимым технологическим, финансовым и прочим ограничениям, можно обеспечить определяемый приоритетом Рг уровень безопасности KS бизнес-процесса, описываемый требованиями безопасности с учетом уязвимостей и угроз, существующих в среде функционирования?
В третьей части главы представлены алгоритмы для проведения сценарного анализа вариантов КСЗ (Мх,, Мх2,...,Мхк), выбранных в соответствии с целями {KS] = {C,D,K}, на потенциальных атаках в соответствии со схемой рис.2. Сценарный анализ заключается в осуществлении следующих шагов.
Шаг1. Формирование списков предполагаемых целей нарушителя и реализующих их стратегий нападения, т.е. атак.
Цели, которые ставит перед собой нарушитель, планируя атаку на ИС, могут быть различны. Это может быть, например:
-обрушение какого-либо вида деятельности предприятия (например, электронного магазина); это значит, что бизнес-процессы (и соответствующие приложения ИС), моделирующие эту деятельность - в зоне риска;
-кража или модификация каких-либо данных; —обрушение ОС или ее подсистем;
-взлом механизмов системы зашиты;
-использование сервера для организации DDOS-атак («зомби», Smarf-усилитсль);
-желание продемонстрировать свое умение, амбиции и т.п.
Анализ списка говорит о том, что цели нарушителя с точки зрения нанесения вреда бизнсс-процсссу далеко не равнозначны. Исследования, проведенные в диссертации, позволили классифицировать цели нарушителя на стратегические SfGh
/"/,...,/„ тактические TkG„ sal.....S и стратегии нападения fStr'}, а также
установить взаимосвязи между ними. Например, чтобы постоянно подправлять данные в БД клиентов банка (бизнсс-процссс: расчетно-кассовое обслуживание физических лиц) (StG/), нарушитель должен получить доступ в сеть банка (TkG,) и скрыть свое присутствие там (TkGJ. Стратегии реализации тактических целей могут быть самые разные. Таблица взаимосвязей целей и стратегий представлена в тексте главы 5. Таким образом, цели StG, всегда предполагают нанесение прямого вреда функционированию бизнес-процессов (приложению НС), они направлены на нарушение критериев К.Ч"( K.C.D)b «клетках» плоскости <ИО модели OSE/RM. в то время как реализация тактических целей TkGa нарушает критерии в «клетках» <А>, <3>, поэтому влияет на безопасность бизнес-процесса опосредованно.
Поэтому разработанный алгоритм формирования списка атак, основан на учете взаимосвязи целей и стратегий нападения и специфики представления плоскостей <ИО, <А>, <3>. Его концептуальная схема приведена на рис. 18. Алгоритм заключается в следующем:
1. CIIIIP выводит на экран дерево стратегических целей нарушителя, чтобы эксперты вы брат и те цели, которые им кажутся актуальными и проставляют оценки актуальности по 4-х балльной шкале: «неактуальна»-1, «малоактуальна»-2, «актуальна»-3, «весьма актуальна»-4.
2. СППР проводит процедуру согласования актуальных целей, выбранных экспертами и оценок актуальности по известным алгоритмам.
3. CIIIIP выбирает из КЗ модели угроз необходимые данные или предлатаег ввести недостающие:
- возможности нарушителя N (тип. используемые средства, время действия, характер -¡пиний, место действия, степень информированности);
- возможные каналы проникновения КА (носитель информации, фтическая среда, канал свят);
- уязвимости, свойственные «клеткам» л"**..
Рис. 18. Схем« алгоритма прогнозировании ртрвтегий) при проектировании, где входные концепты.
- выходные концепты
4. Аналогично нп.1, 2 СППР проводит процедуры выбора и согласования тактических целей {TkG'J, но с учетом их взаимосвязей со стратегическими { StGJ.
5. СППР запускает блок логического вывода стратегий нападения (атак) для каждой стратегической цели из списка, сформированного в пп.1,2,3. Алгоритм логического вывода реализован в виде продукционной системы, на множестве правил вида: if (<посылка>) then <действие>. Примеры указанных продукций для достоверных утверждений:
if (NP='аутсайдер') then КА= 'визуальный' if (КА= 'визуальный ' & NP= 'аутсайдер ')
then ОА= 'экранные формы ' if (StG= 'бизнес-процесс ' & ОА ='экранные формы')
then TkG~- ' кража данных if ( TkG= ' кража данных ' & ОА= 'экранные формы ') then Str= ' просмотр экрана компьютера через окно помещения '
6. СППР выводит полученный список атак на экран для просмотра экспертами. Если они согласны, то утверждают список. Если нет, система дает возможность поступить двумя способами:
- модифицировать список атак вручную и, затем, согласовывать;
— изменить исходные данные и запустить блок логического вывода снова.
Шаг 2. Моделирование атак по «клеткам» модели OSE/RM.
Следующая задача, которая поставлена и решена в диссертации, это моделирование атак из сгенерированного перечня {Str'} с учетом особенностей конкретной ИС, которые отражаются на модели OSE/RM. Пусть {Str'¡ = {StrJ,Str'2,...,StrH - множество возможных стратегий, соответствующих тактической цели TkG[. Достичь цель ТкО[ в рамках str," означает, что нарушитель должен осуществить некоторые действия в определенных «клетках», направленные на нарушение критериев безопасности KS4""(K,C,D), т.е. преодоление Мх, установленных в «клетке». Назовем последовательность таких «клеток» цепочкой реализации Ак атаки Str". Таким образом, каждая цепочка представима кортежем
Ak(ai,a2.....ац), где а/„ h=l+H, - номер «клетки», входящей в цепочку. В свою
очередь каждую стратегию Stf нарушитель может осуществить несколькими способами, т.е. V Str" можно поставить в соответствие одну или несколько цепочек Ак: VStr' —> (А/ А2,..., Ак). Для автоматической генерации цепочек Л* т.е. номеров включенных в цепочку «клеток» предлагаются алгоритмы анализирующих грамматик G—{T, V, N, Р, S, F}, где Т - множество терминальных символов, т.е. номеров «клеток» 1-И 6, V -переменные грамматики. Начальный символ Л' определяется номером «клетки», соответствующей каналу проникновения (КА) в систему. F=\[fij ||, ij-I-^16 - матрица переходов, определяющая возможность
перехода из «клетки» в «клетку», ¡=1+16, 1=1.....L - матрица стратегий,
которая содержит экспертные оценки возможности использования i-й «клетки» при реализации /-й стратегии, Р- правила вывода, определяют правила формирования цепочек Ак: из «клеток» в соответствии с матрицами S, F.
Определение. Совокупность {Str'} = {Str],Strj.....Str[}, в которой VStr' (А/ А2,...,
A,j назовем моделью атак (MA) или моделью стратегий нападения.
41
Такая модель атак позволит решать задачи прогнозного и оперативного характера, задействованные в контуре управления СПУБ (в 5-й главе эти задачи сформулированы и определены алгоритмы их решения):
Задача 1. Осуществлять контроль «клеток», задействованных во всей цепочке Аь если в одной из «клеток» зафиксировано действие нарушителя.
Задача 2. Оценить возможность реализации атаки (стратегии (А, Аг.....
Ак)).
Задача 3. Оценить интервал времени до того момента, когда, вследствие реализации той или иной стратегии нападения, бизнес-процесс «рухнет».
Задача 4. Оценить возможность того, насколько бизнес-процесс защиты (цепочка защитных механизмов Ь/ггя, см. главу 1) сможет противостоять Лгой цепочке атаки, т.е. оценить возможность (вероятность) противодействия механизмов Ь/ггго бизнес-процесса защиты цепочке Ак-ой.
Шаг 3. Оценка возможности противодействия
Здесь решаются задачи 2 и 4.
Шаг 4. Оценка реализуемости целей, соответствующих атаке Ак-ой.
Осуществляется с помощью алгоритмов, приведенных в главе 4.
В результате сценарного анализа эксперты делают вывод о том, насколько эффективно будут срабатывать выбранные варианты КСЗ и, если выводы их устроят, проектирование заканчивается, иначе, согласно схемы рис.2, надо пересмотреть исходные требования и идти на следующую итерацию.
На стадии эксплуатации, когда атака произошла, система мониторинга фиксирует нештатные значения параметров, ассоциированные с какой-либо «клеткой» плоскостей <ИС>, <А>, <3>. Тем самым становится известен объект атаки (ОА) - «клетка». Дальше СУ запускает алгоритм вывода стратегий и целей нарушителя и решает задачи 1-4. Он заключается в следующем:
1. По ОА с помощью описанного ранее алгоритма грамматик СУ моделирует цепочки развития атаки Ак(а1,а2,...,ан), в которые входит пораженная «клетка». Пусть это будут цепочки А^а,, а6, а,0), А?(а,з, а5, аб,а12, а7), А3(а5, а|0, аЛ, а7, а3), а пораженная «клетка» (зафиксированный в ходе мониторинга ОА) - это «клетка» а6 (она присутствует в каждой цепочке).
2. Тогда ясно, что «клетки», стоящие в цепочках до а6, могут быть поражены и СУ должна (задача 1):
a. включить механизмы проверки состояния ресурсов данных «клеток»,
b. оценить степень и причины поражения,
c. или выдать предупреждающее сообщение администратору о необходимости проведения проверки состояния ресурсов данных «клеток» и принятия соответствующих мер.
3. «Клетки», стоящие в цепочке после а6, это путь дальнейшего развития атаки. При этом, каждая «клетка» защищена тем или иным Мх. СУ запускает алгоритм задачи 4, чтобы оценить степень противодействия установленных Мх атаке. В результате каждая цепочка получает оценочное число г„ характеризующее возможность дальнейшей осуществимости цепочки, т.е. А/(г,), А/г^), А}(г}).
4. СУ идентифицирует стратегии из списка возможных по цепочкам А ¡(г,), А2(гг), Аз (г,), для этого в БД хранятся соответствия цепочек и стратегий, выявленных ранее, и оценивает их реализуемость (задача2).
42
5. На основании'известных стратегий Strf СУ прогнозирует тактические TkG't и стратегические StGt цели нарушителя. СУ может это сделать двумя способами:
a. по таблице взаимосвязи целей и стратегий,
b. по алгоритмам, описанным в главе 4, п.4.2.3.
При этом, каждая тактическая и стратегическая цель получает оценочное число г,.
6. СУ выводит на экран список стратегий, тактических и стратегический целей, ранжированных по оценочным числам г,-. Для критических целей решается задача 3.
Тем самым ЛПР получает компьютерную оценку ситуации при вторжении нарушителя.
В четвертой части главы разработан цикл оперативного управления СУ в рамках стадии сопровождения КСЗ. Он реализует стратегии автоматического восстановления функционирования бизнес-процессов, которые на рис.20 представлены блоками В1 и В2. Сформулированы критерии оценки, ограничения и задачи, позволяющие производить компьютерную оценку возможности восстановления в рамках цикла управления сопровождением КСЗ. Данные для решения задач поступают из БЗ но средствам и мерам защиты. Для решения задач выбора альтернатив по многим критериям здесь используется метод главного критерия, когда ЛПР объявляет, какой критерий важный, а какие перевести в ограничения.
Атаку (инцидент безопасности), нарушающую уровни Г* критериев безопасности, заданных для данного бизнес-процесса, будем описывать вектором Х = (ХК(Т*),Х"(Т*),ХС(Т*У). Для ее устранения и восстановления штатного режима работы бизнес-процессов СУ выполняет цикл из задач, описанных ниже.
Задача 1. Управление оперативными мерами для сдерживания атаки.
Обозначим OZ = (oz,,oz2)...,oz„) - оперативные меры, предотвращающие распростра-нение атаки или ее вредоносных последствий, которые надо применить с целью выиграть время для восстановления ресурсов и модификации системы защиты;
ТсдерЖ- время сдерживания атаки оперативными мерами {52};
У,оценка ущерба, наносимого бизнесу при использовании экстренных мер {OZ}.
Тогда задача формулируется следующим образом: какое время Та)ерж можно обеспечить мерами OZ = (oz, soz2 , если эти меры сдерживают дальнейшее распространение атаки X = (Хк (Т*),Х°(Т*),ХС(Г*)) и причиняют ущерб У„г = Tr,vP.„ (X(oz,,oz2.....ozJ.ym).
Очевидно, минимизация может идет либо по времени, либо по ущербу, либо двухкритериальная оценка.
Задача 2. Ликвидация факта атаки (инцидента безопасности).
Пусть LZ = (k,,lz2,...,!:„)- ликвидационные меры,
Тт,ке- время ликвидации инцидента средствами {Tz },
Tiz - временные характеристики средства lzh например, время развертывания
средства,
S,ech - технологические параметры сервера в данный момент (например, объем файловой системы и т.п.).
Кроме того, V/z,- поставим в соответствие оценку инцидента по шкале: «полная_ ликвидация», «возможная_ ликвидация», «неопределенность».
Задача заключается в том, чтобы определить такой рациональный набор ликвидационных мер {к]} , что Тмрж - М(ТЮК, (k'.SMJ) >0 , при максимально полном
устранении инцидента X = (ХК(Т*),Х"(Т*),ХС(Т*)), если Г„ №,')-> min.
При этом, если такого {!z'} не найдется, т.е. тсерж <,М(ТШ„ (Iz'.S^J), то
возможны два варианта действий:
1. ослабить требования по устранению инцидента X = (Х* (Т*),Х°(Т*),Х'(Т*)), т.е. перейти к значению «возможная ликвидация»,
2. пересмотреть решение задачи 1 при ослабленном значении требований по ущербу оперативными мерами yoz(Tj) < Уиг(Т )■
Если решение завершилось успешно, то определяется время т im=Tcdepjc-\f(Tmm(k',Sltck)), которое необходимо, чтобы успеть восстановить
нарушенную работоспособность бизнес-процесса.
Задача 3. Восстановление ресурсов бнзнес-процессов после ликвидации инцидента.
Обозначим FZ = (vzi,vz1.....) - средства и действия, предпринимаемые для
восстановления штатной работоспособности элементов бизнес-процесса. Т„ - время восстановления ресурса средствами^,
- затраты на восстановление ресурса. Задача состоит в том, чтобы выбрать такие средства {vz',},i = 1,2,-, Р,Р ^ s, чтобы при восстановлении ресурсов можно было уложиться в отведенное время, а стоимость восстановления всех ресурсов не превосходила бы понесенных ущербов, т.е. max(T„(vz-JJ < Т„,,„,,, , и при этом где г - все ресурсы,
подлежащие восстановлению, УЛ-ущерб от атаки.
Если такой набор средств не находится, то необходимо:
1. либо оптимизировать затраты и график выполнения восстановительных работ,
2. либо пересматривать условия оптимизации задач 1 и 2. Задача 4. Перепроектирование системы защиты.
Для этого решается задача рационального выбора таких плановых средств
Tz = (pzi ,pz2.....pzn) с учетом модифицированного вектора уязвимостеп X, чтобы
успеть перепроектировать КСЗ в течение времени сдерживания атаки Т„шн < Тс0ерж. При этом среднее время развертывания этих средств (pzl,pz'2,...,pz'„), I = K,C,D, было
меньше допустимого интервала ЩТ^рг',))< Т„а„.
Если такого (pz[,pz[,...,pz'„) не найдется, т.е. U(Tp,„(pz[)) > Tma„, то необходимо последовательно возвращаться к задачам 3, 2 ,1 для ослабления условий оптимизации
Таким образом, описанные задачи составляют цикл управления восстановлением работоспособности бизнес-процессов и их защиты.
В заключении сформулированы основные результаты проведенных исследований и разработок, выполненных в соответствии с заявленными целями.
ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИОННОЙ РАБОТЫ
В рамках диссертационной работы на основе проведенных автором исследований проведено теоретическое обобщение и получено решение важной научно-технической проблемы создания методологических основ, моделей и алгоритмов компьютерной поддержки проектирования н сопровождения программных средств, обеспечивающих непрерывное управление безопасностью информационных систем.
Цели, поставленные в работе, выполнены полностью, в рамках решения указанной проблемы автором получены следующие основные результаты:
1. Разработана методология проектирования систем защиты вычислительных комплексов, реализующая предложенные принципы обеспечения безопасности информационных систем и основанная на принципах открытой среды и процессном подходе.
2. Предложена технология работы с референсной моделью открытых информационных систем, которая дает основу концептуальному и детальному проектированию системы защиты
3. Предложен механизм, позволяющий совместить представления жизненных циклов ИС и системы защиты. Разработанный модельно-алгоритмический ряд позволяет осуществить компьютерную реализацию управления ЖЦ системы защиты:
a. разработаны концептуальная модель и алгоритмы поддержки принятия управленческих решений по выбору стратегий политики безопасности предприятия и формированию целей и требований для системы защиты, основанные на эвристических предпочтениях экспертов и объективных данных;
b. разработана структурная процессная модель защиты, позволяющая выстроить для бизнес-процессов предприятия соответствующее обеспечение их безопасности при концептуальном проектировании;
c. разработаны компьютерные процедуры и алгоритмы анализа и оценки результатов мониторинга функционирования бизнес-процессов при различных последствиях несанкционированных вторжений на стадиях эксплуатации и сопровождения системы защиты;
(1. разработаны компьютерные процедуры и алгоритмы поддержки принятия решений при оперативном управлении восстановлением работоспособности бизнес-процессов после вторжений, а также принятия решений по модификации системы защиты.
4. Предложен комплекс семантических моделей, структурирующих факторы процесса проектирования, составляющий концептуальную основу базы знаний для обеспечения необходимой информацией процедур проектирования системы защиты.
5. Разработана функционально-структурная архитектура компьютерной системы управления безопасностью ИС, включающей как инструментальное средство поддержки проектирования системы защиты, так и целевые, обеспечивающие компьютерную поддержку итерационного управления безопасностью на протяжении ЖЦ системы защиты.
Систематизированное представление функциональности защитного аспекта ИС (п.2 перечисленных результатов) позволяет (на основе методологии функциональной стандартизации): а) специфицировать систему защиты в виде профилей стандартов и/или спецификаций, регламентирующих как ее проектирование, так и эксплуатацию; б) приобрести системе защиты свойства открытости: расширяемости, масштабируемости, переносимости приложений и пользователей, интероперабельности.
ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИОННОЙ РАБОТЫ В ИЗДАНИЯХ
ИЗ СПИСКА ВАК
1. Лукинова, О.В. Чего не хватает российским предприятиям? / О.В. Лукинова,
B.П. Разбегин // Автоматизация в промышленности. - 2004 . - № 3. - С. 14-18.
2. Лукинова, О.В. Онтологически ориентированный подход к выявлению типовых моделей деятельности бизнеса / О.В. Лукинова, В.П.Разбегин // Обозрение прикладной и промышленной математики. - 2006. - Т.14. Вып. 1. -
C. 127-128.
3. Лукинова, О.В. Подходы, стандарты и методы экономического обоснования принятия решений при инвестировании в 1Т / О.В. Лукинова // Обозрение прикладной и промышленной математики. Т.Н. - Вып. 5. - 2008. - С. 1108-1109.
4. Лукинова, О.В. Формализация задачи планирования защиты распределенной компьютерной сети на основе бизнес-процессного подхода / О.В. Лукинова // Надежность». -№1. - 2009. - С.72-80.
5. Лукинова, О.В. Задачи управления защитой активов распределенной компьютерной сети при обнаружении атаки / О.В. Лукинова //Надежность. №2. -2009. - С.30-39.
6. Лукинова, О.В. Методы компьютерного управления защитой распределенной корпоративной сети / О.В. Лукинова // Обозрение прикладной и промышленной математики. 2009. -Т. 16. - Вып.4. - С.678-679.
7. Лукинова, О.В. О семантической формализации понятий процесса проектирования систем защиты / О.В. Лукинова // Обозрение прикладной и промышленной математики. - 2010. - Т.П. - Вып.4. - С.578-580.
8. Лукинова, О.В. Компьютерные методы мониторинга и анализа защищенности при функционировании автоматизированных бизнес-процессов компании / О.В. Лукинова //Открытое образование. - 2011. - №4. - С.37-47.
9. Лукинова, О.В. Компьютерная поддержка формирования целей при проектировании защиты информационной систем / О.В. Лукинова // Проблемы управления. - 2012.-№4. - С.52-59.
10.Лукинова, О.В. Компьютерный мониторинг состояния среды бизнес-процессов при эксплуатации системы защиты / О.В. Лукинова // Открытое образование. -2012. - №4. - С. 37-47.
11 .Лукинова, О.В. Методология проектирования систем защиты, построенных на основе референсной модели Р081Х ОЯЕ/1Ш / О.В. Лукинова // Системы высокой доступности. - 2012. - №3. - С.38-45.
12.Лукинова, О.В. Представление информационных угроз на основе модели
46
открытой среды /-B.C. Кузнецов, О.В. Лукинова // Научно-технический вестник информационных технологий механики и оптики. 2013. - №4 . - С. 138-143.
13.Лукинова, О.В. Компьютерное формирование целей и стратегий нарушителя безопасности информационной системы / О.В. Лукинова // Открытое образование. 2013. - №4. - С.83-90.
14. Лукинова, О.В. Семантическое описание факторов безопасности информационных систем при проектировании систем защиты / О.В. Лукинова // Системы высокой доступности. 2013. -№ 3 . - С. 149-156.
15.Лукинова, О.В. Методологические предпосылки к совмещению жизненных циклов информационной системы и системы ее защиты / О.В. Лукинова // Информационное общество. 2013. - № 5 . - С.44-55.
16.Лукинова, О.В. Метод конструирования бизнес-процессов, обеспечивающих безопасность информационной системы, на основе межкатегорийного представления плоскости защиты модели OSE/RM / О.В. Лукинова // Надежность. - 2013. - №4. - С. 118-127.
ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИОННОЙ РАБОТЫ
1. Лукинова, О.В. Задача планирования защиты РКС / О.В. Лукинова // Труды IV Российской научно-методической конференции «Совершенствование подготовки IT-специалистов по направлению «Прикладная информатика» для инновационной экономики». Москва. - 2008. - С. 136-139.
2. Лукинова, О.В. Формирование модели угроз безопасности компьютерной сети при бизнес-процессном подходе / О.В. Лукинова // Труды XII научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий». 2009. - С. 170-176.
3. Лукинова, О.В. Схема управления защитой компьютерной сети / О.В. Лукинова, В.П Разбегтн // Труды Международных научно-практических конференций «Интеллектуальные системы» (AIS'09) и "Интеллектуальные САПР" (CAD-2009). Т. 2. - 2009. - С.439-441.
4. Лукинова, О.В. Обобщенная схема принятия компьютерных решений для защиты автоматизированных бизнес-процессов предприятия / О.В. Лукинова // Материалы 3-й международной конференции «Управление развитием крупномасштабных систем». MLSD'2009 - 2009. - Т.2. - С.265-268.
5. Лукинова, О.В. Вопросы построения системы защиты компьютерной сети / О.В. Лукинова // Труды международной научно-практической мультикопференции «Управление большими системами- 2009». 2009. - С.247-251.
6. Лукинова, О.В. Принятие решений при планировании защиты компьютерной сети на основе бизнес-процессов / О.В. Лукинова // Труды научной сессии НИЯУ МИФИ-10. Т.5. - С. 49-52.
7. Лукинова, О.В. Вопросы автоматизации разработки политики информационной безопасности компании на основе онтологий / О.В. Лукинова // Труды XIII научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий». - 2010. -С.194-199.
8. Лукинова, O.B. Применение модели POSTX OSE/RM при построении подсистем информационной безопасности / О.В. Лукинова, A.B. Бойченко // Труды Международных научно-практических конференций «Интеллектуальные системы» (AIS'10) и "Интеллектуальные САПР" (CAD-2010). Т. 2. - 2010. - С.473-476.
9. Лукинова, О.В. Семантический подход к проектированию системы защиты информационной системы на основе бизнес-процессов / О.В. Лукинова // Труды 12-й Национальной конференции по искусственному интеллекту с международным участием КИИ-10. -2010. -Т.4. - С. 180-185.
10. Лукинова, О.В. Задачи компьютерного мониторинга бизнес-процессов при проектировании системы защиты / О.В. Лукинова // Труды XIV научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий». -2011. - С. 184-190.
11 .Лукинова, О.В. Структуризация механизмов защиты и отображение их на модель OSE/RM / О.В. Лукинова // XII Всероссийский симпозиум по прикладной и промышленной математике.-2011. - Т. 18. - Вып.З. - С.450-452.
12.Лукинова, О.В. Анализ защищенности автоматизированных бизнес-процессов компании встроенными средствами / О.В. Лукинова // Материалы 5-й международной конференции «Управление развитием крупномасштабных систем». MLSD'2011, M., ИПУ РАН, 2011. - Т.2. - С.262-266.
13.Лукинова, О.В. Отображений механизмов защиты на модель OSE\RM / О.В. Лукинова, A.B. Бойченко // Труды Конгресса по интеллектуальным системам и информационным технологиям. 2011. - Т. 2. -С. 372-377.
14. Лукинова, О.В. Формирование СППР целей обеспечения безопасности информационной системы / О.В. Лукинова // Труды Международной научно-практической конференции «Управление большими системами 2011». 2011. -Т.З.-С. 90-95.
15.Лукинова, О.В. Двойственное представление плоскости функций защиты в модели OSE/RM / О.В. Лукинова, A.B. Бойченко // Труды Конгресса по интеллектуальным системам и информационным технологиям. 2012. - Т. 2. - С. 379-383.
16.Лукинова, О.В. Структуризация функций защиты в соответствии с моделью OSE/RM / О.В. Лукинова // XIII Всероссийский симпозиум по прикладной и промышленной математике. 2012. - Т. 9. - Вып.З. - С. 450-452.
17. Лукинова, О.В. Когнитивный подход к анализу влияния факторов информационной безопасности / О.В. Лукинова, A.B. Бойченко // Труды 7-й Международной научно-практической конференции «Интегрированные модели и мягкие вычисления в искусственном интеллекте». 2013. - Т. 2. - С. 583-586.
18.Лукинова, О.В. Итерационный алгоритм управления жизненным циклом системы защиты / О.В. Лукинова, A.B. Бойченко // Сборник трудов 3-й научно-практической конференции «Актуальные проблемы системной и программной инженерии». 2013. - С. 40-45.
Научное издание
ЛУКИНОВА Ольга Васильевна
КОМПЬЮТЕРНЫЕ МОДЕЛИ И АЛГОРИТМЫ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ИНФОРМАЦИОННЫХ СИСТЕМ
Автореферат диссертации на соискание ученой степени доктора технических наук
В печать от 14.01.2014 Формат 60x90/16. Уч.-изд. л. 2,4 Тираж 100. Заказ I
117997, Москва, Профсоюзная, 65 Федеральное государственное бюджетное учреждение науки Институт проблем управления им. В.А.Трапезникова Российской академии наук
Текст работы Лукинова, Ольга Васильевна, диссертация по теме Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ НАУКИ
ИНСТИТУТ ПРОБЛЕМ УПРАВЛЕНИЯ им. В.А. ТРАПЕЗНИКОВА РОССИЙСКОЙ АКАДЕМИИ НАУК
На правах рукописи
0520145Ф656
ЛУКИНОВА Ольга Васильевна
КОМПЬЮТЕРНЫЕ МОДЕЛИ И АЛГОРИТМЫ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ
ИНФОРМАЦИОННЫХ СИСТЕМ
Специальности: 05.13.11 - Математическое и программное обеспечение вычислительных
машин, комплексов и компьютерных сетей 05.13.19 - Методы и системы защиты информации, информационная безопасность
ДИССЕРТАЦИЯ
на соискание ученой степени доктора технических наук
Научный консультант доктор технических наук, профессор Э.А. Трахтенгерц
Москва, 2013
СОДЕРЖАНИЕ
Введение................................................................................................................................................................................................................4
Глава 1. Описание подхода к безопасности информационных систем (ИС), основанного
на процессном подходе и принципах открытой среды....................................................................................................14
1.1. Особенности, понятия и модели безопасности ИС в новом подходе..............................................14
1.1.1. Предмет защиты..............................................................................................................................................................................16
1.1.1.1. Информация как предмет защиты..............................................................................................................................16
1.1.1.2. Бизнес-процесс как предмет защиты [ 104,106]................................................................................................18
1.1.1.3. Свойства безопасности предмета защиты................................................................................................................24
1.1.2. Референсность целей, критериев и управляющих параметров
(защитных механизмов) системы защиты ИС................................................................................................25
1.1.3. Объект защиты................................................................................................................................................................................29
1.1.3.1. Постановка задачи обеспечения безопасности 03........................................................................................31
1.1.3.2. Представление функциональности ИС в открытой среде....................................................................35
1.1.3.2.1. Определение и свойства открытой среды......................................................................................................35
1.1.3.2.2. Эталонная модель открытой среды OSE/RM..............................................................................................38
1.1.4. Формулировка общей задачи обеспечения безопасности для ОЗ, представленного
в виде модели OSE/RM........................................................................................................................................................42
1.1.5. Референсное представление плоскости защиты модели
открытой среды [128,134]....................................................................................................................................................43
1.1.5.1. Межкатегорийное представление плоскости <3>........................................................................................44
1.1.5.2. Представление плоскости <3> в виде базовой функциональности..............................................48
1.1.6. Референсное описание базовых процессов защиты..................................................................................49
1.1.6.1. Классификация распределенности бизнес-процессов предприятия
с точки зрения обмена данными с учетом модели OSE/RM............................................................49
1.1.6.2. Референсное описание базового подмножества процессов защиты,
реализуемых КСЗ [125,134]............................................................................................................................................51
1.1.6.3. Переход от ВМ к модели защиты BZ [125]......................................................................................................56
Выводы по 1-й главе....................................................................................................................................................................................57
Глава 2. Задачи и архитектура компьютерной системы поддержки управления
безопасностью информационных систем................................................................................................................................60
2.1. Особенности современных программно-аппаратных средств защиты и жизненного цикла ИС и системы ее защиты............................................................................................................................................60
2.2. Типы компьютерных систем управления и их задачи......................................................................................66
2.3. Компьютерная система поддержки управления безопасностью ИС....................................................68
2.3.1. Состав и структурная схема СПУБ............................................................................................................................68
2.3.1.1. Описание системы поддержки принятия решений при проектирования КСЗ..................69
2.3.1.1.1. Влияние факторов ИБ на принятие решений при проектировании КСЗ........................69
2.3.1.1.2. Алгоритмы генеральных стратегий управления....................................................................................74
2.3.1.1.3. Функциональная структура СППР................................................................................................................78
2.3.1.1.4. Состав и структура СППР при проектировании КСЗ......................................................................87
2.3.1.2. Описание системы управления эксплуатацией КСЗ..................................................................................91
2.3.2. Итерационный алгоритм ЖЦ КСЗ, реализуемый в СПУБ....................................................................98
Выводы по 2-й главе....................................................................................................................................................................................101
Глава 3. Семантическое описание факторов безопасности ИС
при проектировании КСЗ........................................................................................................................................................................103
3.1. Описание семантической модели [127...]......................................................................................................................104
3.2. Описание онтологических классов 0С/........................................................................................................................¡06
3.2.1. Классы {Бизнес-модель}, {KS}, {Риски}............................................................................................................106
3.2.2. Класс {Модельугроз}............................................................................................................................................................107
3.2.3. Класс {Уязвимости среды бизнес-процесса}....................................................................................................108
3.2.4. Класс { Нарушитель}..............................................................................................................................................................112
3.2.5. Класс {Потенциально-опасные атаки}..................................................................................................................115
3.2.6. Класс {КСЗ}....................................................................................................................................................................................117
3.2.7. Класс {Средства и меры защиты}..............................................................................................................................118
3.2.8. Класс механизмов защиты {Механизм}................................................................................................................120
3.3. Схема алгоритма вывода вариантов КСЗ....................................................................................................................125
Выводы по 3-й главе....................................................................................................................................................................................127
Глава 4. Компьютерный мониторинг и анализ состояния бизнес-процессов......................................129
4.1. Компьютерный мониторинг и анализ обстановки
при проектировании КСЗ [117,120]....................................................................................................................................130
4.1.1. Оценка ценности информационных ресурсов, обрабатываемых бизнес-процессом.. 131
4.1.2. Оценка загрузки вычислительных ресурсов бизнес-процесса....................................................................135
4.1.3. Оценка уязвимостей среды бизнес-процесса..................................................................................................136
4.1.4. Оценка защищенности встроенными средствами........................................................................................138
4.1.5. Анализ параметров мониторинга [119]..................................................................................................................140
4.2. Компьютерный мониторинг состояния среды бизнес-процессов
при эксплуатации КСЗ [ 123 ]..........................................................................................................................................................145
4.2.1. Мониторинг аномалий безопасности среды бизнес-процесса..........................................................146
4.2.1.1. Механизмы мониторинга сетевых аномалий....................................................................................................148
4.2.1.2. Механизмы мониторинга локальных аномалий..............................................................................................153
4.2.2. Выбор механизмов обнаружения..................................................................................................................................154
4.2.3. Анализ инцидента безопасности [108,111]........................................................................................................158
4.2.3.1. Выявление фазы атаки [107]..............................................................................................................................................160
4.2.3.2. Анализ и определение возможности перехода от фазы развития атаки
к фазе реализации......................................................................................................................................................................164
4.2.3.3. Анализ нарушений критериев безопасности......................................................................................................167
Выводы по 4-й главе........................................................................................................................................................................................171
Глава 5. Компьютерная поддержка формирования целей, стратегий и атак
при проектировании и эксплуатации системы защиты......................................................................................................173
5.1. Формирование целей обеспечения безопасности при проектировании КСЗ [ 122]....................173
5.1.1. Выбор генеральной стратегии проектирования..............................................................................................173
5.1.2. Детализация целей, обеспечивающих безопасность бизнес-процессов..................................175
5.1.3. Формирование значений критериев безопасности........................................................................................179
5.2. Компьютерное формирование стратегий защиты (вариантов КСЗ) [ 106,112]............................183
5.2.1. Формирование требований к защитным средствам и механизмам..............................................184
5.2.2. Задача рационального выбора вариантов КСЗ................................................................................................186
5.3. Компьютерное формирование целей и стратегий нарушителя..................................................................191
5.3.1. Компьютерное прогнозирование списков целей нарушителя и стратегий, реализующих эти цели (атак)........................................................................................................................................192
5.3.1.1. Описание алгоритма вывода списка атак для этапа концептуального проектирования КСЗ [126]................................................................................................................................................200
5.3.1.2. Моделирование развития атаки [94,126]..............................................................................................................202
5.3.2. Описание алгоритма вывода целей при эксплуатации КСЗ................................................................208
5.4. Компьютерная поддержка цикла оперативного управления безопасностью ИС....................211
5.4.1. Задачи блока восстановления работоспособности ресурсов ИС с остановкой бизнес-процесса (блок В2)..................................................................................................................................................212
5.4.2. Задачи блока восстановления работоспособности ресурсов ИС без остановки бизнес-процесса (блок В1)................................................................................................................................................217
Выводы по 5-й главе....................................................................................................................................................................................217
Заключение............................................................................................................................................................................................................219
Литература..............................................................................................................................................................................................................223
ПРИЛОЖЕНИЕ 1..........................................................................................................................................................................................233
ПРИЛОЖЕНИЕ 2..........................................................................................................................................................................................240
ПРИЛОЖЕНИЕ 3..........................................................................................................................................................................................243
Введение
Актуальность. Защита информационных технологий, реализованных в виде информационных систем (ИС), в настоящее время становится одной из критических проблем. Она требует системного подхода к организации защиты, целостного систематизированного представления об объекте защиты, комплексного непрерывного управления информационной безопасностью (ИБ) ИС в интересах предприятия. Однако существующая практика разработки систем защиты, которые должны обеспечивать безопасность ИС, основана на том, что комплекс защитных мер выбирается исходя из возможных потенциально-опасных угроз (атак), свойственных используемой ИС (на основе типизированных списков уязвимостей и неформализованных представлений нарушителя) и соображений приемлемости ущерба (риска).
Развитие существующего подхода видится в более комплексном и системном взгляде на организацию защиты посредством решения следующих задач: выборе средств защиты (СЗ) с учетом архитектурно-функциональной специфики ИС, т.е. ориентироваться на обеспечение безопасности ИС, а не на противодействие угрозам; введение для системы защиты целевой функции, измеряющей безопасность; обеспечения и контроля заданного уровня безопасности процессов, происходящих в ИС; формализованного представления ИС как объекта защиты, на основе которого можно было бы построить технологию выбора защитных средств и механизмов с учетом функциональных особенностей компонент ИС. Эффективность методологической базы защиты информационных технологий предприятий связана с рациональной организацией управления жизненным циклом (ЖЦ) системы защиты, как основы для построения компьютерной системы поддержки управления безопасностью информационных систем. Сегодня ИС и системы защиты разрабатываются разными специалистами. Инструментальные средства и технологии, которые активно используются в практике проектирования ИС, не содержат поддержки решений по безопасности, т.к. последние напрямую не влияют на выполнение основных функций ИС. Фактически, система защиты достраивается к уже спроектированной ИС. В результате такие наложенные средства защиты могут контролировать только результат процесса функционирования ИС, но не могут обеспечить контроль и защиту самого процесса.
Обобщение характера названных задач определило необходимость создания методологических положений, которые позволили бы придать системность, органичность и законченность процессу проектирования и сопровождения защиты ИС.
В работе предлагается «бизнес-процессный» подход, позволяющий встроить вопросы защиты корпоративной информационной системы в современную методологию управления
ИТ-средой в интересах предприятия. В результате многие вопросы, связанные с определением необходимого уровня безопасности информационных ресурсов, оценкой величины ущерба от вторжений, планированием достаточности средств защиты решаются на качественно другом уровне. Важным фактором, влияющим на эффективность управления средствами защиты, является отсутствие прямых доходов от их использования. Поэтому степень защищенности данных, обрабатываемых информационными системами, и, следовательно, расходы на поддержание этого обеспечения обычно стараются соразмерить с их ценностью (экономической, государственной, военной и т.п.) и рисками потери этой ценности. Эта ценность не всегда определяется в денежном выражении. Поэтому сопоставление расходов на информационную безопасность с ценностью охраняемых данных является нетривиальной и весьма актуальной задачей. Рассмотрение вопросов защиты с точки зрения интересов бизнес-процессов позволит использовать методы, существующие в теории управления предприятием, для оценки и сопоставления возможного ущерба с затратами на безопасность.
Базовым инструментом предлагаемого подхода является методология открытых систем (функциональной стандартизации), основывающаяся на унифицированном представлении информационной системы., которое дает возможность совместить характеристики жизненного цикла (ЖЦ) системы защиты и жизненного цикла ИС.
Разработанный подход является методологической базой для непрерывного управления безопасностью ИС в течение жизненного цикла системы защиты, которое предлагается строить на основе:
1. Представления ИС и системы защиты как единого целого;
2. Интеграции в единый процесс технологий сбора и анализа данных о состоянии защищаемого объекта, планирования и контроля за функционированием средств защиты, восстановления работоспособности объекта защиты после несанкционированных вторжений.
3. Формализации методов формирования и принятия решений, их оценки с учетом субъективных предпочтений лиц, принимающих решения (ЛПР).
Трудность задачи заключается в отсутствии формализмов, описывающих такие слабо формализуемые понятия процесса проектирования системы защиты, как качество информационной безопасности, угроза, возможности злоумышленника, механизмы и объект защиты, поэтому сегодня выбор защитных средств производится вручную. Разработка компьютерных систем поддержки проектированием систем защиты и ее управлением в течение ЖЦ является весьма актуальной проблемой.
Указанные факторы определили направление диссертационного исследования, заключающегося в разработке методологических положений обеспечения безопасности ИС
на основе бизнес-процессного подхода, моделей и алгоритмов управления ЖЦ комплексной системы защиты (КСЗ) от процедур поддержки принятия решений при формировании требований к КСЗ до ее сопровождения в рамках предлагаемого подхода.
Степень разработанности темы на концептуальном уровне является полной, что подтверждается тем, ч
-
Похожие работы
- Разработка интеллектуальной системы поддержки принятия решений по управлению безопасностью химических производств
- Задачи моделирования и управления экологической безопасностью предприятий нефтегазового комплекса
- Адаптивное управление безопасностью информационных систем на основе логического моделирования
- Методическое и алгоритмическое обеспечение организационно-технического управления комплексной безопасностью высшего учебного заведения
- Интегральная информационно-измерительная система управления промышленной безопасностью распределительных станций топливно-энергетических отраслей
-
- Системный анализ, управление и обработка информации (по отраслям)
- Теория систем, теория автоматического регулирования и управления, системный анализ
- Элементы и устройства вычислительной техники и систем управления
- Автоматизация и управление технологическими процессами и производствами (по отраслям)
- Автоматизация технологических процессов и производств (в том числе по отраслям)
- Управление в биологических и медицинских системах (включая применения вычислительной техники)
- Управление в социальных и экономических системах
- Математическое и программное обеспечение вычислительных машин, комплексов и компьютерных сетей
- Системы автоматизации проектирования (по отраслям)
- Телекоммуникационные системы и компьютерные сети
- Системы обработки информации и управления
- Вычислительные машины и системы
- Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях (по отраслям наук)
- Теоретические основы информатики
- Математическое моделирование, численные методы и комплексы программ
- Методы и системы защиты информации, информационная безопасность