автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.16, диссертация на тему:Метод и модель оценки уровня защищенности информации в автоматизированных системах обработки данных

1АНКТ-ГЕТЕРБУГРСКИЙ ИНСТИТУТ ИНФОРМАТИКИ И АВТОМАТИЗАЦИИ РОССИЙСКОЙ АКАДЕМИИ НАУК

На правах рукописи Экз.N__

МАКСИМЕНКО Светлана Владимировна

, УДК 681.3.51./б.42

МЕТОД И МОДЕЛЬ ОЦЕНКИ УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ ОБРАБОТКИ ДАННЫХ

Специальность 05.13.16.-" Применение вычислительной техники., математических моделей и математических методов в научных исследованиях"

АВТОРЕФЕРАТ диссертации на соискание ученой степени: кандидата технических наук

Санкт-Петербург

1995

Работа выполнена в Санкт-Петербургской государственной академии аэрокосмического приборостроения.

Ведущая организация:

Санкт-Петербургский государственный университет Научный руководитель:

д.т.н., профессор Осовецкий Леонид Георгиевич Официальные оппоненты:

д.т.н., профессор Татарников Юрий Алексеевич, к.т.н., профессор Зегзкда Петр Дмитриевич

Защита состоится _"__ 1995 г в _ «асов на

заседании специализированного Совета ............... при

Санкт-Петербургском институте информатики Российской академии наук.

С диссертацией можно ознакомиться в архиве института. Автореферат разослан "__"___ 1995 г.

Ученый секретарь специализированного совета к.т.н., с.н.с.

Марлей В.Е.

АННОТАЦИЯ Целью работы является разработка метола анализа, оценки и контроля уровня защищенности информации в автоматизированных системах обработки данных для повышения качества функционирования системы -защиты и сокращения затрат на ее создание и использование .

В соответствии с поставленной целью в работе долины быть решены следующие основные задачи:

- произвести анализ современных методов защиты информации з автоматизированных системах обработки данных (АСОД);

- произвести уточнение характеристик элементов защиты и классификацию угроз защищенности информации;'

- разработать уточненную модель оценки вероятности воздействия угроз на элементы задиты;

- разработать модель взаимодействия объектов, элементов защиты и воздействия угроз;

- разработать методику оценки текущего состояния системы защиты АСОД;

- разработать программные средства поддержки метода и методики оценки уровня защищенности информации А.СОЛ.

Автор запутает метод сценки защищенности информации в АСОД. построенный на основе динамической модели взаимодействия объектов, элементов защиты и угроз защищенности и целостности данных.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность темы. В настоящее время в области научных исследований по созданию баз данных критических вычислительных систем сложилась ситуация, когда существенно изменилось существующее поле угроз защищенности и целостности информации АСОД. Нарушение .защищенности и целостности информации лригоди? к существенным экономическим потерям. Зез использования средств задать! информация б АСОД является абсолютно уязвимой. -Защитить информацию от действия всего поля угроз практически невозможно. Необходим анализ поля угроз с учетом динамического его изменения. привязки к конкретным вычислительным установкам и характеру хранимой информации, который должен показать , какие угрозы существенно влияют на уровень защищенности информации, действие

каких угроз сказывается на защищенности информации в малой степени.

Для получения более точных количественных оценок защищенности информации должны быть разработаны соответсвующие методы и модели, учитывающие степень опасности всех потенциально возможных угроз в их совокупности при существующих концепциях построения и условиях функционирования АСОД.

В условиях ограниченности ресурсов и денежных средств и повышения требований к качеству информации в АСОД, единственным способом решения проблемы является разработка комплекса методов и средств, позволяющих контролировать, оценивать и обеспечивать требуемый уровень защищенности и обеспечения целостности данных.

Проблеме обоснования методов защиты информации в автоматизированных системах обработки данных посвящены работы В.А. Герасименко, В.В. Липаева, Ю.М. Мельникова, Н.С. Щербакова, H.H. Безрукова, С.П. Расторгуева, а такие ряда зарубежных авторов, в том числе Д. Гроувер, Д. Сяо, Л. Хоффман, Уолкер и другие.

Среди общих проблем, характерных для оценки уровня защищенности информации АСОД , выделяются следующие:

- анализ и учет уровня конфиденциальности, обрабатываемой и хранимой информации;

- анализ возможностей технических, программных и организационных средств, предоставляемых АСОД потенциальному нарушителю;

- анализ поля угроз с целью выявления угроз, существенно влияющих на уровень защищенности информации;

- анализ уязвимости данных.

В научно-технической программах "Информатизация России", "Информатизация образования", соответствующих решениях Гостехкомиссии, 'MICK. Мин. науки нашло соответствующее отражение вопросы связанные с анализом, контролем и обеспечением защиты информации.

Актуальной становится задача анализа существующих методов защиты информации и методов оценки уровня защищенности информации с учетом изменившегося поля угроз и разработка метода, позволяющего оценить текущее состояние системы защиты и ее способность противодействовать потенциально возможным угрозам защищенности с учетом уровня конфиденциальности информации АСОД.

Разработка научно обоснованных методов контроля и обеспечения требуемого уровня защищенности на сегодняшний день позволит сократить экономические потери от нарушения защиты информации и в целом повысят качество работы АСОД.

Предметом исследования является комплекс вопросов, связанных с анализом существующего поля угроз защищенности информации, с разработкой метода, модели и средств оценки, контроля и обеспечения требуемого уровня защищенности информации существующих АСОД, а также разработкой методики анализа системы защиты и уровня обеспечения защищенности и целостности информации АСОД.

Методы исследования. При решении поставленных задач использованы теория вероятностей, математическая статистика, теория нечетких множеств, математический аппарат исследования конфликтующих структур, теория игр.

Научная новизна результатов диссертации заключается в разработке метода и модели оценки уровня защищенности информации в АСОД, позволяющего уточнить и контролировать оценки текущего уровня защищенности и включающего :

- новую динамическую модель защищенности информации с использованием критерия оценки нарушения защищенности, позволяющую уточнить оценки уровня защищенности за счет учета динамического взаимодействия потенциально возможных угроз, элементов защиты и средств защиты;

- новую модель оценки вероятности воздействия угроз на элементы защиты, оснозанную на использовании теории нечетких множеств и фактографических данных, позволяющую получать оценки вероятности воздействия угрозы за счет учета собранных статистических данных и детализации оценок эксперта;

- использование новых алгоритмов, учитывающих детализацию характеристик элементов защиты в части уровня конфиденциальности, что позволяет уточнить множество потенциально возможных угроз защищенности и , следовательно, оценки степени защищенности;

- использование новых алгоритмов оценки защищенности, учитывающих детализацию характеристик потенциально возможных угроз в части видов носителей и уровня конфиденциальности информации,

обрабатываемой и хранимой в АСОД, что позволяет уточнить оценки степени защищенности.

Практическая ценность работы состоит в том, что разработанный в диссертации метод позволяет оценивать и контролировать текущий уровень защищенности и обеспечения целостности информации в АСОД и на основе полученных оценок применять необходимые средства защиты, что было подтверждено рядом исследований и практических применений.

Реализация результатов диссертации состоит в создании технологии оценки уровня защищенности информации, комплекса программных средств поддержки метода оценки уровня защищенности.

Разработанный метод и инструментальные средства входят в состав НИР и ОКР " Хиромантия", "Амплитуда", "Лунадром", в ряд работ по программе 11 Информатизация России", " Информатизация Высшей школы", НИР "Сертификация-1", "Регион-1". Материалы работы использованы в Государственной технической комиссии России, Центре сертификации и защиты информации ряде учебных курсов ГААГЕ, РОС НИИ ИТ и АН, Рос НИИ ИС, ряде коммерческих фирм и организаций .

Апробация работы. Результаты работы обсуждались на научно-технических семинарах кафедры " Бортовых вычислитель, ных систем" Санкт-Петербургской государственной академии азрокосмичес-кого приборостроения, на НТО РОС НИИ ИТ и АП, на НТК " Безопасность и защита информации" Санкт-Петербург 1994, " Региональная информатика" Салк-Петербург," Открытые системы" Москва 1994, НТК "Защита и безопасность информации " СПб ГТУ , НТК "Сертификация и защита информации" ЦНИИ МФ Санкт-Петербург 1994г.

Публикации. Основные результаты диссертации отражены в 7 печатных работах.

Структура и объем работы. Диссертация состоит из введения, шести разделов, заключения, списка литературы, включающего 46 работ и приложения. Объем работы составляет 131 страниц машинописного текста, в том числе 15 страниц иллюстраций, 10 страниц приложений.

СОДЕРЖАНИЕ ДИССЕРТАЦИОННОЙ РАБОТЫ

Требование обеспечения защищенности, целостности и конфиденциальности данных является существенным для АСОД критических информационных технологий, к которым относятся банковские и коммерческие системы обработки данных.

Одной из важнейших проблем при построении системы защиты является учет фактора, связанного с обработкой информации разного уровня конфиденциальности. При этом конфиденциальность информации является динамически меняющейся величиной.

Обеспечение защиты информации является непрерывным процессом, связанным с определением состояния средств защиты и уровня защищенности.

Таким образом, проблема залщты информации может быть эффективно решена лишь при наличии решения целого ряда задач, связанных с детальным анализом уязвимости данных, анализом ресурсов, выделенных на защиту, оценкой возможностей технических, программных, сетевых и организационных возможностей защиты.

В первой главе приведены определения основных терминов, используемых в работе.

Произведен анализ основных требований к уровням защищенности и системам защиты, приведенных в стандартах и руководящих документах, принятых в области залщты информации.

Произведен анализ встроенных инструментальных средств защиты современных АСОД.

В тексте работы приведена сводная таблица анализа встроенных средств защиты, имеющихся в составе рассмотренных систем.

Произведен анализ современного поля угроз информации с их вероятностными характеристиками проявления и вероятностями экономических потерь от их воздействия. Проанализираваны степени уменьшения воздействия угроз на информацию БД при применении конкретных средств защиты.

В соответствии с поставленной задачей исследования рассматриваются существующие модели защиты информации и модели взаимодействия системы с внешней средой.

Рассмотрение этих моделей показало, что ни одна из существующих моделей не учитывает полного поля угроз целостности и достоверности информации. Все эти модели оценивают общую (интегральную) вероятность отражения угроз информации, не рассматривая ее уровень конфиденциальности и вид носителя,а также не

учитывая потенциальные возможности, предоставляемые АСОД для реализации вероятных угроз.

Во второй главе формулируется концепция метода анализа и оценки уровня защищенности.

Метод включает использование следующих моделей взаимодействия объектов защиты, системы защиты и потенциально возможных угроз:

- информационную модель взаимодействия "угроза-элемент защити* система завдты";

- модель оценки вероятности потенциально возможных угроз, основанную на применении теории нечетких множеств и фактографических данных;

- детальную модель оценки характеристик элементов защиты с учетом их уровня конфиденциальности;

- детальную модель оценки характеристик возможных угроз с учетом критерия " Вид носителя информации - уровень конфиденциальности- категория лица, допущенного к работе в АСОД".

Предложенная модель взаимодействия угроза- элемент защиты - система защиты включает следующие исходные предположения:

Система зашиты в своем составе имеет т типов средств защиты. Множество угроз защиты информации А, воздействующих на АСОД, определено и конечно, к - количество угроз в указанном множестве. Производится наблюдение за АСОД с имеющейся системой защиты е течении времени Т. Определяется N4 - количество воздействий на АСОД Ьтой угрозы (1=1..к). Фиксируется количество отражений з'-тым средством защиты (3=1..т) воздействий угрозы 1-того типа - пзь Предполагается, что средства защиты могут отражать разные типы угроз.

Вероятность отражения угрозы 1-того типа з'-тым средством защиты определим как отношение количества отражений З-тым средством защиты воздействий угроз 1-того типа к общему количеству воздействий угроз 1-того типа Пл

- • (2.1)

N1

Обозначим через А1 интенсивность воздействия 1-той угрозы. Требуемая вероятность отражения угроз на зависит от интенсивности воздействия угрозы.

На рис.2.1. показана теоритическая зависимость интенсив-ностей воздействия двух угроз. График показывает уменьшение вероятности отражения угрозы при увеличении ее интенсивности воздействия. График построен для случая, когда рассматривалось воздействие на систему только одной угрозы. Темп уменьшения вероятности отражения для каждой угрозы различен и зависит отряда факторов.

Формулируется критерий нарушения защищеннности информации:

Пусть на АСОМ воздействуют угрозы, определенные в множестве А. Воздействие калдой угрозы характеризуется интенсивностью А«. Защищенность информации считается нарушенной, если интенсивность воздействия хотя бы одной угрозы достигает своего критического значения, при котором вероятность отражения угрозы средствами защиты становится меньше Ртр.

Обозначим через ни- интенсивность отражения з"-тым средством защиты воздействия Ьтой угрозы. Средства отражения обрабатывают воздействие угрозы в течении некоторого интервала времени. Среднее время обработки воздействия в этом случае определяется выражением: 1

Тоб=- • (2.2)

Дд I

Надежность средств защиты характеризуется ее спосоюностью осуществлять контроль за защищаемым вычислительным процессом и данными. Вводится параметр - интенсивность котроля, осуществляемого системой защиты.

Среднее время между точками контроля з-того средства защиты определяется выражением : 1

Тк = - • (2.3)

V,

Приняв интенсивность воздействия угрозы Ьтого типа среднее время воздействия угрозы определяется выражением:

1

Т> - . (2.4)

Интенсивность нарушения защищенности информации определяется соотношением:

Хн= 1- Рот) . (2.5)

Среднее время между фактами нарушения защищенности .' 1 1

Тн= - = - . (2.6)

\ц ( 1- Рот)

Вероятность того, что информация АСОД защищена в произвольный момент времени , т.е. коэффициент защищенности в этом случае определяется выражением: Тн

К3=- . (2.7)

Тн+Тоб+Тк

Для вероятности защищенности АСОД в произвольный момент времени вводится выражение:

Р3=- . (2.8)

В результате построенных моделей и сформулированного метода получены алгоритмы для получения более точных оценок и анализа степени защищенности, чем позволяют существующие методы и модели за счет введения детализации характеристик элементов защиты и угроз.

В третьей главе приведены результаты экспериментльных исследований. Анализ точности оценок вероятности воздействия угрозы, полученных методом, основанном на применении теории нечет-

- 11 - ' ких множеств показал, что расчетная дисперсия отличия полученных данных составляет 0.12 на рассматриваемой выборке.

На рис. 3.1. приведены данные для выборки проведенных оценок в 17 других вариантах. Дисперсия составляет 0.18.

Б - Нечеткая одежа

0.0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0

Статистическая оценка

Рис.3.2. Данные по 17 опытам.

Приведенные исследования показывают, что в пределах точности 15 процентов метод получения оценок на основе нечеткой логики может быть использован при анализе защищенности АСОД.

В разделе 3.2. показаны результаты моделирования, выявления и исследования закономерностей изменения показателей залщ-щенности информации АСОД.

Анализ полученных результатов показал, что при Фиксированном значении интенсивности воздействия угрозы отределенного типа, для борьбы с которой в составе системы защиты имеются соот-вествующие средства защиты, значение которой было определено при проведении статистических наблюдений, коэффициент защищенности системы можно увеличить за счет увеличения интенсивности контроля и увеличения времени диагностирования.

Существует оптимальные значения показателей интенсивности контроля и интенсивности обработки воздействия угроз при кото-

рых коэффициент защищенности системы достигает своего максимального значения без особого ущерба для непосредственного выполнения функциональной задачи.

При проведении моделирования были получены численные результаты зависимостей введенных в предлагаемой моделе параметров, что позволяет дальнейшее использование модели и полученных зависимостей при построении систем защиты с обоснованием их характеристик, при проведении сертификации систем защиты, при анализе степени защищенности АСОД с определением критических значений характеристик защищенности, приводящих к нарушению статуса защищенности информации.

В четвертой главе приведена методика оценки уровня защищенности информации в АСОД, основанная на использовании предложенного в работе метода оценки и анализа уровня защищенности.

Методика включает следующие основные этапы:

1. Определение объектов, элементов и субъектов защиты.

1.2. Построение информационно-функциональной модели обработки данных.

1.3. Определение состава и функциональных задач программного обеспечения, используемого для автоматизированной обработки информации:

1.4. Определение для каждого АРМ переченя имеющихся технических, аппаратных и программных средств.

1.5. Определение полномочий сотрудников: к какой информации должен иметь доступ конкретный сотрудник.

2. Построение модели нарушителя.

3. Анализ уязвимости информации

4. Анализ ресурсов, выделенных на защиту.

4.1. Анализ возможностей организационной защиты.

4.2. Анализ возможностей технической защиты.

4.3. Анализ возможностей программной защиты.

5. Локализация наиболее вероятных мест и объектов нарушения защищенности.

тода и опробована на двух АСОД, позволив получить объективные результаты оценки уровня защищенности информации.

В пятой главе приведена стратегия использования стандартных технологических средств с совмещением их со средствами выполнения специфических функций для процесса анализа защищенности. С учетом указанной стратегии в пределах данной работы были разработаны средства поддержки процесса моделирования и нечеткого анализа параметров угроз - СМАК.

В разделе 5.2. описаны основные подходы и средства поддержи сертификации.

В разделе 5.3. описан комплекс моделирования, анализа и

нечеткой логики СМАК.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ

В работе были рассмотрены вопросы оценки уровня защищенности системы обработки данных. В ходе работы автором были решены следующие задачи:

- проведен анализ современных методов защиты информации в •автоматизированных системах обработки данных;

- уточнение характеристики элементов защиты и на основе этого уточнения новое разбиение на классы угроз защищенности информации;

- разработана новая модель оценки вероятности воздействия угроз на элементы зашиты, основанная на использовании теории нечетких множеств и фактографических данных;

- разработана новая динамическая модель взаимодействия объектов, элементов защиты и воздействия угроз, использующая критерий защищенности АСОД;

- разработана методика оценки текущего состояния системы защиты АСОД;

- разработаны программные средства поддержи метода и методики оценки уровня защищенности информации АСОД.

В ходе работы над диссертацией автором получены следующие результаты:

1. Произведен анализ российских и зарубежных нормативных документов в области обеспечения защищенности автоматизированных систем обработки информации. Существующие требования к системам защиты и уровню защищенности содержат требования яо перечню необходимых мер защиты, не учитывающие качество функционирования средств защиты. Отсутствуют количественные оценки функционирования системы защиты.

2. Произведен анализ соответствия "встроенных" средств защиты классам защищенности по РД современных СУБД и Операционных систем. Анализ показал, что АСОД, применяемые в критических областях ( военные, банковские, медицинские, коммерческие и т.п.) и разработанные с применением проанализированных средств, требуют использование дополнительных средств защиты для приведения их систем защиты к требуемому классу защищенности.

3. Произведен анализ существуют методов и моделей оценки уровня защищенности вычислительных систем, их достоинств, недостатков, границ их использования при оценке уровня защищенности системы. Анализ показал, что практически все рассмотренные модели и методы являются вероятностными, что затрудняет их практическое применение в связи с отсутствием статистических данных о вероятностях проявления угроз с привязкой к конкретным типам вычислительных, установок и имеющимися на них программными средствами.

4. Произведен анализ современного поля угроз. Анализ производился на различных типах вычислительных установок, обрабатывающих информацию разного уровня конфиденциальности. Анализ показал, что развитие компьютерных средств привело к изменению номенклатуры угроз, потенциальное воздействие которых существенно определяет функционирование, характеристики и параметры системы защиты.

5. Произведено уточнение характеристик -элементов защиты путем введения следующих параметров:

- возможные объемы обрабатываемой информации;

- продолжительность пребывания информации в обработке;

- возможные каналы получения информации;

- имеющиеся средства защиты;

- уровень конфиденциальности обрабатываемой информации;

- вид носителя, место нахождения;

- кому предоставлены права доступа,

позволяющее по-новому производить построение подмножеств потенциально возможных угроз, и б следствии этого, более эффективно производить анализ функционирования системы защиты. Уточнение характеристик элементов защиты позволяет производить более обоснованный выбор средств и режимов функционирования разрабатываемой системы защиты.

6. Произведено построение подмножеств угроз защищенности и целостности информации с учетом критерия " Вид носителя - уровень конфиденциальности - потенциальные возможности, предоставляемые системой", позволявший более точно оценивать вероятность воздействия угрозы при использовании экспертного метода оценки вероятности воздействия угрозы, основанного на применении теории нечетких множеств, а также позволяющий более точно определять

текущие характеристики и параметры системы зашиты за счет уточнения характеристик объектов защиты с соответствующими элементами защиты.

7. Разработана модель взаимодействия " угроза - средства защиты - объект защиты", позволяющая при помощи введенного критерия нарушения системы защиты информации оценить критические значения факторов ( математических ожиданий объемов обрабатываемой, обновляемой, уничтожаемой или модифицируемой информации, вероятности отражения угрозы средствами защиты, вероятности воздействия угрозы), приводящие к нарушению статуса защищенности информационной системы.

8. Разработан метод оценки вероятности воздействия угрозы, использующий экспертные нечеткие оценки в терминах лингвистических переменных при наличии фактографических данных об объектах защиты, элементах защиты, режимах Функционирования АСОД, имеющихся средствах защиты и регламентах их использования и их обработку на аппарате нечетких множеств, позволяющий производить оценку вероятности воздействия угрозы на систему при невозможности сбора и использования для оценки вероятности воздействия угрозы статистических данных.

9. Разработана методика оценки уровня защищенности информации в АСОД, позволяющая оценить возможности организашоныых, аппаратных, программных мер защиты, произвести анализ уязвимости данных и получить локализацию наиболее вероятных мест нарушения статуса защищенности АСОД.

10. На основе предложенных модели и метода разработаны инструментальные средства поддержки . технология и методика использования автоматизировавши средств оценки, контроля и обеспечения требуемого уровня защищенности информации АСОД позволяющие:

- проводить оценку текущего урозня степени защищенности информации и обеспечивать требуемый уровень защищенности;

- определять требования по защищенности, предъявляемые к структуре и алгоритмам АСОД;

- определять требуемый уровень защищенности информации, распределенный и локализованный по компонентам элементов защиты и взвешенный по видам и типам угроз.

Изложенные в диссертации принципы сценки, контроля и обеспечения требуемого уровня защищенности информации позволяют

сократить затраты на обеспечение защиты информации и получать более достоверные ее оценки.

ОСНОВНЫЕ ПОЛОЖЕНИЯ РАБОТЫ ОТРАЖЕНЫ В СЛЕДУЮЩИХ РАБОТАХ -

1. Осовецккй Л.Г., Максименко C.B., Скворцов A.B., Воронин A.B. "Инструментальные методы и средства защиты информации". Региональная информатика -94. Материалы НТК СПИИРАН.

2. Осовецкий Л.Г., Максименко C.B., Скворцов A.B., Воронин A.B. "Вопросы сертификации программных средств защиты информации". - Сертификация, конверсия, рынок. - Москва, 1, 1995.

8..Максименко C.B. "Достоверность информации баз данных". - Сертификация, конверсия, рынок. - Москва, 1, 1995.

4. Максименко C.B. "Угрозы защиты и достоверности информации". Сборник материалов НТК. СПБГТУ. 1994.

5. Осовецкий Л.Г., Максименко C.B. "Технологические средства защити информации КИТ". Сборник материалов НТК. ЦНИИ Mî. 1994.

6. Максименко C.B. "Достоверность и защита информации КИТ". Сборник материалов НТК. ЦНИИ МФ. 1994.

7. Осовецкий Л.Г., Максименко C.B. "Технология создания сертифицированных программных средств критических информационных технологий". Сборник материалов семинара "Открытые системы". 8-9 декабря 1994 г. Москва, МДНТП.