автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.13, диссертация на тему:Модель оценивания защищенности информации в вычислительных системах и сетях

Пулсуз.

М.Э.РЭСУЛЗАДЭ АДЫНА БАКЫ Д6ВЛЭТ УНИВЕРСИТЕТИ

Зл]азмасы ьугугувда ГАСЫМОВ ВАГИФ ЭЛИЧАВАД ОРЛУ

УДК 681.324

АЧЫГ ТИПЛИ КОМПУТЕР ШЭБЭКЭЛЭРИНДЭ ТЭЫ1УКЭСИЗЛИК ХИДМЭТИ СИСТЕМИНИН ЕФФЕКТИВ СТРУКТУРЛАРЫНЫН ГУРУЛМАСЫ ВЭ РЕАЛИЗЭ ЕДИЛМЭСИ УСУЛЛАРЫ

05.13.14 - Информасруа вэ идарэетмэнин ишлэнмэси системлэри

Техника елмлэри намизэди алимлик дэрэчэси алмаг учун тэгдим едилмиш диссертас^аныи АВТОРЕФЕРАТЫ

БАКЫ - 1998

8661 !Ю:Й О -

ИО 9 ^

На правах рукописи

ШИШКИН Владимир Михайлович

МОДЕЛЬ ОЦЕНИВАНИЯ ЗАЩИЩЁННОСТИ ИНФОРМАЦИИ В ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМАХ И СЕТЯХ

Специальность 05.13.13 - вычислительные машины, комплексы, системы и сети

АВТОРЕФЕРАТ диссертации на соискание ученой степени

кандидата технических наук

Санкт-Петербург - 1998

'¿У

гУ

#

N

Работа выполнена в Санкт-Петербургском институте информатики и автоматизации РАН.

Научный руководитель: д.т.н., с.н.с. Воробьев В.И. Официальные оппоненты: д.ф.-м.н., проф. Хованов Н.В.,

к.т.н., с.н.с. Алексеев A.B.

Ведущая организация: . Санкт-Петербургский государственный

электротехнический университет.

Защита состоится "Л7" /Г^яТ/я* _1998 г. в 70— часов на заседании диссертационного совета Д.003.62.01 при Санкт-Петербургском институте информатики и автоматизации РАН по адресу: 199178, Сашсг Петербург, 14-я линия, д.39.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского института информатики и автоматизации РАН.

Автореферат разослан "/7^' C^'-PF/ZZ 1998 г.

Ученый секретарь диссертационного совета

Копыльцов A.B.

1. ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Проблема обеспечения безопасности информации в вычислительных системах и сетях в аспектах источников и видов угроз, объектов и субъектов воздействий, методов и средств защиты и нападения, их свойств, уровней и т.д. крайне многообразна. Революционные явления в технологиях обработки данных, особенно в связи с развитием компьютерных сетей и лавинообразным ростом количества пользователей в них, распространение идеологии открытых систем порождают качественно новые проблемы, сущность которых с точки зрения обеспечения информационной бггсп^еностп не всегда ясна.

Бесспорно, что факторы, влияющие на безопасность, образуют неразрывный, сложно взаимосвязанный противоречивый комплекс, что признается, но в явном виде не учитывается действующими нормативами по защищенности. Значимость составляющих этого комплекса для защищаемых информационных систем в разных условиях их функционирования и, что часто совсем упускается из виду, с учетом целей защиты, ресурсных ограничений и, соответственно, эффективности зашиты в смысле соотношения затрат и результатов, может существенно изменяться. Действующая нормативная база не потеряла своей актуальности, но она разработана в качественно иных условиях и в классическом виде не способна дать адекватное современным и, тем более, перспективным потребностям методическое обеспечение целенаправленного выбора (проектирования) систем защиты информации (СЗИ) и метрического оценивания интегральной защищенности автоматизированных систем (АС). Хорошие предпосылки для использования в этом направлении дает предложенный Н.В.Ховановым комплекс моделей и методология оценивания сложных объектов в условиях информационного дефицита.

Стало очевидным, что одноуровневые методы и средства защиты информации в вычислительных системах и сетях, пока еще распространенные в настоящее время, способны дать лишь ограниченный эффект при защите от избирательного вида угроз, то есть не исключено, что глобальный эффект от их применения может оказаться нулевым, если средства не сбалансированы по уровням и объектам, выбраны случайным образом или без должного предпро-ектного анализа. Причем сбалансированность следует понимать прежде всего как принцип, реализация которого в конкретных решениях зависит от условий и требований пользователей, тенденций развития защищаемого объекта.

Прогресс в информационных технологиях и сопутствующая ему постоянная модификация поля угроз безопасности информации, а не только простое изменение их номенклатуры, опережают процесс развития концептуальной, методической и нормативной базы обеспечения информационной безопасности, как в широком, так и в узком смысле этого понятия. Ощущается недостаток ис-

следований проблем информационной безопасности с системологических позиций. Здесь следует отметить работы Р.М.Юсупова, в которых они рассматриваются в широком контексте и во взаимосвязи различных аспектов безопасности. Постоянно изменяющиеся условия порождают ситуацию нарастающего хронического отставания в решении вопросов комплексной защищенности информационных объектов, в том числе её оценки.

Наличие указанных проблем следует признать нормальным и постоянно действующим фактором, частным проявлением проблем более общих, вызванных качественными изменениями в информационных технологиях. Поэтому следует искать перспективные подходы к их решению. В связи с этим актуальной задачей является разработка гибких, способных к развитию моделей, не отвергающих классические и частные подходы к оценке защищенности, но увязывающие в единую структуру, замкнутую на цель, все элементы и факторы, имеющие значимость с точки зрения безопасности информации, что позволит настраивать их на решение разнообразных прикладных задач.

Цель работы. Целью диссертационной работы является разработка методического и алгоритмического обеспечения модели комплексного анализа информационных объектов для интегрального оценивания защищенности и целенаправленного выбора эффективной системы защиты или нападения.

Методы исследования. В диссертационной работе использованы методы системного анализа, теории графов, теории матриц, теории вероятностей, математической статистики, теории множеств.

Научная новизна. В работе получены следующие новые научные результаты:

1) показаны концептуальные ограничения возможности развития существующей нормативной базы оценки защищенности информации и необходимость развития наряду с априорным ситуационного подхода к защите информации;

2) разработана модель комплексного целевого анализа интегральной защищенности информационных объектов, не ограниченная древовидной структурой отношений между элементами, объединяющая в единой концептуальной и метрической среде аналитические, оценочные и проектные составляющие с учетом взаимодействия объекта и системы защиты;

3) сформулировано и обосновано необходимое условие экономической эффективности применения системы защиты;

.4) разработана методика практической реализации модели, рассчитанная на использование в современной объектно-ориентированной технологии проектирования;

5) предложена и обоснована содержательная интерпретация арифметизи-рованных экспертных оценок значимости элементов модели защищенности;

6) разработан унифицированный матричный алгоритм, позволяющий производить полный комплекс расчетов на модели.

Практическая ценность работы. Модель и методика дают инструмент для индивидуального оценивания защищенности информационных систем, с учетом конкретного многообразия и сложных взаимосвязей факторов, способны обеспечить поддержку полного предпроектного анализа и синтеза СЗИ, а также мониторинга защищенности.

Кроме того, учитывая высокие адаптивные возможности модели и способность включать в себя разнородные составляющие, она имеет конструктивное значение для разработки перспективной нормативной базы безопасности информации.

Реализация результатов работы. Разработанная методика анализа защищенности информационных систем, оценки и выбора СЗИ реализована в СПИИРАН и других организациях, а также внедрена в учебный процесс в СПбГЭТУ.

Апробация работы. Результаты работы докладывались на «XXXI Всесоюзной научной сессии, посвященной Дню радио», НТОРЭС им.A.C.Попова, Москва, 24-27 мая 1976 г.; Всесоюзном научно-техническом совещании

«Проблемы автоматического контроля и управления в технологии производства радиоэлектронной аппаратуры и повышении качества продукции», НТОРЭС им.А.С.Попова, Новосибирск, 16-19 ноября 1976 г.; Межвузовской научно-практической конференции «Актуальные проблемы информатизации в образовании», СПб, 3-5 февраля 1995 г.; IV, V, VI Санкт-Петербургских международных конференциях «Региональная информатика», СПб, 15-18 мая 1995 г., 14-17 мая 1996 г., 2-4 июня 1998 г.; Российской научно-технической конференции «Методы и технические средства обеспечения безопасности информации», СПб, 29-31 октября 1996 г.; Санкт-Петербургском научно-практическом семинаре «Информационная безопасность региона», СПб, 13-16 мая 1997 г.

Публикации. По теме диссертации опубликованы 10 печатных работ.

Структура и объём диссертации. Диссертация состоит из введения, трёх глав, заключения, списка литературы (59 названий) и приложения. Общий объём работы 125 страниц с рисунками и таблицами.

2. СОДЕРЖАНИЕ РАБОТЫ

Во введении представлены различные аспекты проблемы информационной безопасности, особенности ее современного состояния. Констатируется, что за последние годы произошли революционные изменения в области информационных технологий, развитие сетевых структур приобрело глобальный масштаб, в результате чего существенно модифицировалось поле угроз безопасности, и данный процесс продолжается. Отмечаются явления, которые не

вполне осознаны с позиций обеспечения защиты информационных систем. Указывается на недостаточность традиционных подходов к решению данной проблемы, отставание концептуальной и нормативной базы и необходимость поиска новых подходов и моделей, как нормативных, так и конструктивных, обеспечивающих целенаправленность анализа безопасности и проектирования систем защиты информации.

В первой главе проводится обзор методов и средств информационного нападения и защиты информации. Отдельно рассматриваются аппаратные и программные средства, при этом отмечается, что четкую границу между ними не всегда можно провести, так как разграничение систем защиты на аппаратную и программную части в большой степени является условным, и практически все системы включают как ту, так и другую. Проведен также анализ программно-аппаратных методов и средств преодоления защиты вычислительных систем, структурированы основные угрозы безопасности информации в них, систематизированы методы и принципы построения средств защиты от этих угроз, и проанализированы слабые места систем защиты.

Отмечается большое разнообразие как средств защиты, так и, особенно, средств информационного нападения, причем номенклатура последних постоянно расширяется; подчеркивается сложность и зачастую опосредованность механизмов воздействий, возможность использования в качестве брешей штатные средства, предоставляемые самой системой. В связи с отмеченными обстоя, тельствами констатируется невозможность абсолютной защищенности.

Рассматриваются сетевые аспекты проблемы, в частности каналы несанкционированного доступа и меры обеспечения безопасности в сетях - безопасность информации в открытых системах. Анализируются «недостатки», сетевых структур повышающие возможность информационного нападения. Однако указывается, что их источники неустранимы, так как являются следствиями фундаментального противоречия между тенденцией к объединению и совместному использованию ресурсов, с одной стороны, и обеспечением защищенности информации, с другой. В данном аспекте рассмотрены стратегии и модели безопасности, взаимосвязь функций обеспечения защиты информации.

С учетом отмеченных тенденций утверждается необходимость изменения подхода к проблеме защиты и оценки защищенности вычислительных систем: от отдельных устройств и методов защиты и измерения некоторых показателей к технологии обеспечения защиты, начиная с этапа проектирования, и к интегральной оценке защищенности при наличии основы - сформулированной и неукоснительно проводимой целенаправленной политики безопасности.

Во второй главе рассматривается нормативная база и существующие подходы к построению и оценке защищенных систем. Проанализированы три базовых документа, представляющие основные подходы, принятые в США (Критерии оценки надежных компьютерных систем - Department of Defense.

Trusted Computer System Evaliation Criteria. - DoD 5200.28-STD, 1983 -«Оранжевая книга»)," Европейском сообществе (Гармонизированные критерии оценки безопасности информационных технологий - Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France - Germany - the Netherlands - the United Kingdom. - Department of Trade and Industiy, London, 1991) и Российской Федерации (РД ГТК - Руководящие документы Гостехкомиссии России по защите от несанкционированного доступа к информации, Москва, 1992). Констатируется, что в указанных документах, несмотря на определенные различия, представлены основы подхода к информационной безопасности, который можно назвать классическим. Существуют развме мнения по поводу практической применимости этого подхода, однако, подчеркивается, в любом случае необходимо владеть базовыми понятиями, введенными в его русле.

Рассмотренные стандарты и рекомендации образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности. В то же время, как следует из их анализа, эти документы ориентированы в первую очередь на производителей и «оценщиков» систем и в гораздо меньшей степени - на потребителей (пользователей). При этом стандарты к рекомендации статичны - по крайней мере в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения. Во-вторых, они не содержат практических рекомендаций по формированию режима безопасности

Если не учитывать частности - классификационные признаки, степень детализации, определения элементов и т д., можно видеть, что указанные системы нормативов на принципиальном уровне эквивалентны. Построены они на обычном для классификационных нормативных систем таксономическом принципе.

БЕЗОПАСНОСТЬ - требования

1 Группы (уровни) 1 D С в . А ,

1 Классы ! 01 Cl 1 С2 B1 1 В2 1 ВЗ АГ

_г

I Функции, механизмы ; M г Элементы (показатели) Р—1—;-~~ Подсистемы "

i

Прлптчстность

L

Разделы

1

2

ГУ|рп>гг-ть

Док

Ус.

* [ БЕЗОПАСНОСТЬ - критерии р^

Рис. 1. Концептуальная схема систем нормативов безопасности.

На рисунке 1 изображена обобщенная концептуальная схема рассмотренных действующих систем нормативов безопасности. В их основе - дерево критериев (показателей) безопасности и встречное дерево требований, специфицируемых в каждом классе для каждой подсистемы или элемента безопасности, при необходимости детализируемых до уровня функций и механизмов.

Таким образом, оба дерева полностью смыкаются своими оконечными вершинами, и сертификация при таком подходе сводится к подтверждению соответствия этих вершин, то есть проверяемых'с той или иной степенью детализации элементов безопасности и требований, предъявляемых к ним. При этом неявно игнорируется, хотя и не отрицается, взаимосвязь элементов безопасности, принадлежащих разным ветвям дерева, вообще не рассматривается уровень их актуальности, то есть значимости для защищенности, в разных условиях функционирования систем.

Одновременно отмечается, что Европейские критерии обладают одной принципиально важной концептуальной чертой, сближающей их с принципами, заложенными в данной работе: отсутствием априорных требований к условиям, в которых должна работать информационная система (в то время как в «Критериях» Министерства обороны США, равно, как и в РД ГТ России, очевидна привязка к условиям правительственной системы). Заказчик формулирует цель оценки, то есть описывает условия, в которых должна работать система, возможные угрозы ее безопасности и предоставляемые ею защитные функции. Задача органа сертификации - оценить, насколько полно достигаются поставленные цели.

Тем не менее, анализ показывает, что в целом нормативные документы естественным образом в условиях быстрой смены технологий морально устарели и не отражают многообразия и сложности современных потребностей даже на техническом уровне. Необходимы новые модели, способствующие преодолению ограниченности существующей нормативной базы и созданию адекватной методической и инструментальной поддержки обеспечения безопасности на протяжении всего жизненного цикла системы в режиме адаптации к изменяющимся условиям.

В третьей главе приведено описание разработанной автором модели и соответствующей методики комплексного анализа безопасности информационных систем и интегральной оценки результатов применения защиты, включающее основную концептуальную модель и ее математическое представление, алгоритмическое обеспечение расчетов на модели, технологию анализа и оценивания; представлены также результаты практического применения методики.

Как показывает анализ, проведенный в первой главе, в классических моделях безопасности, в том числе Кларка-Вилсона, Белла-Лападула, Лендвера и МакЛина, в работах отечественных авторов В.В.Липаева, П.Д.Зегжды, А.М.Половко и др. основное внимание уделяется формализации политик-безо-

пасности в узком смысле этого слова, безопасности ПО, в частности ОС, надежности аппаратных средств, при этом акцент традиционно делается на проблеме разграничения доступа. Немало работ посвящены вопросам сертификации, являющейся производной от моделей безопасности процедурой. Таким образом, отсутствуют модели, позволяющие одновременно формализовать как процесс многоаспектного анализа безопасности, так и поддержку целенаправленного синтеза систем защиты, ориентированные на получение и оценивание измеряемого конечного результата.

В основу предлагаемой концептуальной модели положена дихотомическая оппозиция: «защищаемый объект», с одной стороны, и, с другой, - считающаяся потенциально враждебной «среда», причем среда может рассматриваться не только как пространственная, физическая сущность. Подчеркивается существование и необходимость фиксации «границы защищаемого объекта» или «границы ответственности» и «внешней границы среды». Соответственно выделяются три причинно последовательных слоя непересекающихся подмножеств множества Мо элементов модели: «источники угроз» - Ми, досягаемостью которых определяется внешняя граница среды; «угрозы безопасности» - Му, порождаемые источниками; «компоненты объекта» - Мк, на которые воздействуют реализованные угрозы. Результатами воздействий угроз на объект определяется г го «состояние защищенности» из множества Ъ, характеризуемое измеримыми показателями безопасности. Источники угроз определяются как «субъекты воздействий», все остальные агенты воздействий на защищаемый объект квалифицируются в качестве угроз, реализации которых определяются как «события», а компоненты - как объекты воздействий. Считается, что на Мо может быть определено бинарное отношение II «быть причиной» со свойством транзитивности, фиксирующее каналы распространения потоков угроз, характеризуемых по файней мере двумя параметрами - интенсивностью реализации событий и их щачймостью («амплитудой»).

Защищенность объекта в том или ином состоянии проявляется как способность противостоять не угрозам вообще, что не достижимо, а именно тем из 1их, которые признаны существенными в заданных условиях относительно тредъявляемых требований по безопасности, выступающих в качестве «цели ¡ащиты». В самом общем виде такой целью всегда является перевод защищаемого объекта из одного, исходного, состояния меньшей защищенности, в хругое, желаемое, состояние большей защищенности, ТвЪ, для показателей соторого задается целевой уровень относительно их уровня в состоянии гс, цшшшаемого за 1. В общем случае перевод системы в состояние И сопровож-;ается дополнением множества элементов Мц до М0, на котором также опреде-хяется отношение Я.

Цель реализуется посредством «системы защиты информации» - СЗИ (в соответствии с РД ГТК), которая с точки зрения результата от ее применения количественно характеризуется ожидаемыми значениями взаимосвязанных относительных показателей уровня «защищенности» и «уязвимости» объекта, «результативности» и «качества» защиты. Последний показатель стандартно понимается, как мера достижения потребительской цели.

Защищаемый объект подвергается воздействию генерируемого источниками совокупного потока реализованных угроз, взвешенного соответственно значимости агентов распространения его составляющих. Интегральная характеристика Бт конечного потока _угроз на некотором интервале времени, являясь по сути показателем уязвимости объекта в абсолютном измерении, отображает его интегральную защищенность в состоянии СЗИ, воздействуя на все агенты возникновения и распространения угроз из Мо, что количественно характеризуется параметрами, имеющими смысл усиливающих или понижающих коэффициентов, изменяя тем самым параметры потоков угроз, всегда решает задачу модификации конечного потока, в результате которой его интегральная характеристика уменьшится до уровня Е/, не выше заданного в качестве цели, а объект перейдет в более защищенное (менее уязвимое) состояние г". (Средства нападения решают противоположную задачу).

Тогда результативность защиты (эффект применения СЗИ) естественно измеряется показателем г2=1-Рт'/Рт, г2<1; относительный, по сравнению с исходным, уровень защищенности объекта - показателем б^Рг/Рт =(1-г2)"', Бг>0; его уязвимость - показателем и^Рт'/Р-г^"1 =1-Гг, и2>0; и качество защиты - показателем Яг=(Рг~Рт*)/(Рт—Р°т)=г2/г°2, г°г>0, (может быть интерпретирован в терминтх показателей надежности), где Р°т - целевой уровень Рт*, г°2 - целевой уровень результативности СЗИ (значение гг, рассчитанное для Рт*=Р°т). При этом отмечается, что не может существовать абсолютной шкалы для измерения защищенности, возможно лишь внутри определенного класса однородных объектов ввести базовое значение, относительно которого и будут вестись расчеты. Подчеркивается, что указанные показатели имеют стохастический характер и могут оцениваться не только в точке, но и интервально.

Определяется полезный для сравнения и выбора вариантов СЗИ показатель эффективности защиты е2=г2/С2 или, эквивалентно, - ег—<\г!Сг, где С2 - «цена» СЗИ (не обязательно в стоимостном выражении). В качестве простейшего удовлетворительного критерия эффективности принимается та\{ег|С2<С°7; гг>г°г} на множестве вариантов СЗИ, где С"г - верхняя граница допустимой «цены» СЗИ, с учетом содержательных априорных ограничений, задаваемых условиями применения СЗИ, например, требований тех или иных нормативов по защите информации. Предложен также и обоснован чисто экономический критерий: 1тпп {тгАг'-Г;. | тс2<г280; К2<К°2}, где 7сг - приведенные затраты по варианту СЗИ;

>о - прямой ущерб в стоимостном выражении от отсутствия СЗИ; К2 - капитальнее затраты на создание варианта СЗИ (учитываются в лг); К°2 - верхний допус-

имый уровень К2. Поскольку 5ир{г2}=1, из данного критерия следует важное [еобходимое условие экономической эффективности для любого варианта СЗИ:

Значения параметров потоков в данной модели, условно называемой в [альнейшем Б-моделью, в полной мере трудно определимы. Но в этом'нет не-|бходимости, если найдется ее гомоморфный образ, допускающий для своего юстаточного определения использование доступной информации, включая кспертные оценки. Такая модель (С-модель) предложена, и показано одно-начное соответствие ей выше описанной Р-модели. Основой ее является орг->аф 0(Х,и), в котором множество вершин X эквивалентно множеству Мо, до-юлненному единственной конечной вершиной хг, являющейся отображением остояния защищенности объекта, а множество дуг и задается бинарным отно-иением Я с соответствующей их ориентацией.

Приписав входящим в каждую из вершин множества X, имея ввиду их со-[ержательные прообразы из Мо, дугам некоторые числовые значения, отображающие меру непосредственного участия смежных вершин в существовании (анной, и, полагая его аддитивным и линейным, допустимо произвести взвеши-■анне всех дуг нормированными коэффициентами \Уу, сумма которых для каж-юго ] равна 1 и рассматривать их в качестве элементов матрицы смежности УУ рафа в. На рисунке 2 представлена данная матрица в блочном виде, показы-ающая его структурные свойства.

1 2 3 4

1 Источники угроз \У12 0 0

2 Угрозы 0 ЛУ23 0

3 Объект ЛУ32 0 ЛУ34

4 Защищённость 0

Рис. 2. Матрица смежности для С-модели.

Определяются аналогичные по смыслу \уч метрики Уу показателей удален-:ого влияния для любой пары элементов (вершин), а не только для непосредст-енно связанных между собой, как суммы по всем путям из ¡-ой в .¡-ую вершину роизведений оценок дуг каждого пути. Полученные значения позволяют целе-аправленно ориентировать функциональную структуру СЗИ, выбирая элемен-ы системы для наиболее результативного воздействия. Если \У приводима к реугольному виду, то показатели Уу определяются как элементы матрицы ^^-ЛУ)"1-!, где I - единичная матрица. В общем случае V рассчитывается еле-

дующим образом. Из W исключается левый блок нулевых столбцов, пустых входов в источники, выделяются верхний горизонтальный блок источников в виде матрицы WH и остальная нижняя часть, квадратная матрица Wy. Тогда, обозначив I-Wy=Dy, определятся соответствующие блоки V: VH=WHDy"' и Vy=det(Dy)(Dy'!-I) или Vy=Dy\Vy=WyD*y, где D*y - присоединенная матрица.

СЗИ влияет на состояние защищенности объекта в образе вершины xz опосредованно, путем прямых воздействий на агентов угроз безопасности, которым соответствуют вершины из X, повышая или понижая их количественный статус, и через их взаимодействие. В таком случае СЗИ характеризуется коэффициентами rç или и„ щ=\-г\, г,<1, ^¡>0, аналогичными по смыслу определенным выше показателям результативности rz и уязвимости uz, но не по отношению к объекту в целом, а для любого i-ro агента - вершины - за счет непосредственного воздействия средств СЗИ.

Общий показатель результативности применения СЗИ rz определяется как сумма по всем i представляющих частичный эффект от воздействия СЗИ через i-ых агентов возникновения и распространения угроз показателей г[Ь каждый из которых на G определяется произведением коэффициента /•„ на расчетный показатель Уц из последнего столбца матрицы V, и на сумму по всем путям из всех вершин, соответствующих источникам угроз, в i-ую вершину произведений оценок дуг каждого пути с учетом воздействий СЗИ на агентов, предшествующих данному. В матричном представлении воздействия СЗИ достаточно представить вектором г=[п] или дополняющим его и=[«,], состоящим из двух частей, содержащих в качестве компонент показатели щ для множества источников угроз - ни, и остальных элементов из М0 - //>. Тогда вектор rz=[rj и общий показатель rz рассчитываются следующим образом: во-первых, определяется вектор Vii="KWR(I-diag(i/y)Wy)'1, где diag(Hy) - диагональная матрица с компонентами вектора в качестве диагональных элементов; далее, используя композицию v={e„;v„}, где еи - вектор порядка, соответствующего количеству источников угроз, все компоненты которого равны 1, получаем вектор rz=diag(v)diag(r)vz> где v2 - последний столбец матрицы V. Сумма компонент rz дает общий показатель результативности применения СЗИ rz, или же он определяется прямо: r2=vdiag(r)vz.

Если в результате применения СЗИ, модификация системы приводит к необходимости дополнения множества М0 новыми элементами до М0\ исходный граф соответственно расширяется до G*(X ,U*), имеющего ту лее структуру, что и G, но с расширенными подмножествами вершин и дуг или, по крайней мере, только дуг. Данный вариант рассмотрен, и, хотя для такого случая имеют место определенные особенности, но алгоритмическая основа расчета и содержательный смысл рассчитываемых показателей при этом сохраняются. Процедура

формально проста, так как в значительной мере повторяет анализ исходного состояния системы на графе О и воздействия СЗИ без модификации М0.

Полученная таким образом расчетная оценка г2 отображает сложное взаимодействие элементов моделируемой системы, учитывая трудно предсказуемые мультипликативные эффекты удаленных косвенных влияний и циклических СЕязей, являясь одновременно оценкой реального изменения интегральной характеристики конечного потока угроз в Р-модели.

На рисунке 3 дана схема представленной модели и взаимодействия ее элементов, где 1 - параметры интенсивности генерируемых потоков - характеристики источников угроз, а - параметры значимости угроз, {к^к*} и {р\р'{ - коэффициенты преобразования параметров потоков угроз.

X (мГ Источники

а (му Угрозы

4ЛУ» "\у32

{к\к?}(мГ Объект ]

Защищенность

г

Рис. 3. Схема взаимодействия элементов модели.

Между элементами в Р-модели имеют место скалярные потоки угроз, так или иначе определенные, характеризуемые, как указывалось, по крайней мере интенсивностью возникновения и значимостью (амплитудой) событий, и, даже не идентифицированные, они должны быть признаны объективно сущгствую-щими. В таком случае Р-модель в исходном состоянии стационарно функционирующей системы, в которой каждому 1-му элементу ставится в соответствие два вектора V и аГ параметров выходящих потоков, представима матрицами А и А, где V и аГ задают ¡-ые строки. Тогда Л и А однозначно преобразуются в матрицу УУ: \уу=/1у«1/(АДа.+), где А/ и си - вектора, содержащие параметры входящих в ььш элемент потоков угроз, или _)-ые столбцы Л и А. Непосредственные воздействия СЗИ на элементы системы (в исходном или модифицированном состояниях), определенные в р-модели наборами коэффициентов рх и ра, также легко отображаются в параметры О-модели: г=е-р' *ра (здесь * - символ векторной операции покомпонентного умножения), где е - вектор согласованного порядка, все компоненты которого равны 1.

Оценка коэффициентов {\уу} в О-модели представляет самостоятельную задачу, и допускает для своего решения различные методические подходы, но, если отсутствует представительный статистический материал, неизбежно применение экспертных методов. Для такого случая адекватной и наиболее предпочтительной в условиях заведомого дефицита априорной арифметизированной информации, необходимой для полной идентификации в-модели, признана процедура рандомизированной оценки весовых коэффициентов, применяемая в методе сводных показателей (МСП) в рамках так называемой методологии АСПИД (анализ и синтез показателей при информационном дефиците), как одна из наиболее корректных и хорошо обоснованных, позволяющая использовать разнообразную, сводимую к ординальным оценкам информацию.

МСП в контексте в-модели имеет разные уровни применения: от простейшего - последовательного определения векторов (^ых столбцов \У) на основании ординальной оценки их компонент, или, учитывая возможности МСП, без таковой (для грубого определения XV достаточно будет структурной информации, задаваемой лишь топологией графа в), до поддержки синтеза самой модели, а в частных случаях в качестве ее эквивалента. В последнем варианте применения МСП математические ожидания расчетных показателей совпадут с получаемыми на основе алгоритма О-модели значениями, но при этом дополнительно будут получены дисперсии показателей и вероятностные оценки достоверности предпочтения по математическим ожиданиям. Однако, принимая во внимание отображенность оценок и расчетных показателей в ней, независимо от способа их получения, подчеркивается, что для большей точности следует определить и учесть зависимость распределения рандомизированных параметров от моделей потоков угроз в Р-модели.

Представленный формально процесс анализа моделируемой системы и оценивания СЗИ практически выполняется согласно следующей укрупненной технологической последовательности работ и операций.

А1. Спецификация защищаемого объекта, включая условия его функционирования.

А2. Определение содержательной цели защиты и значений целевых показателей, ограничений, показателя и критерия эффективности СЗИ.

АЗ. Спецификация среды.

А4. Спецификация источников угроз - М„.

А5. Спецификация угроз - М„->МУ, Му->Му.

А6+А1. Спецификация направленности угроз на объект и индуцируемых угроз - Му->Мц, МК->МУ.

Е1. Оценка значимости источников - \У12.

Е2. Оценка значимости угроз -

ЕЗ. Оценка значимости компонентов объекта - \\'32, \У34.

С1. Расчет показателей влияния на защищенность объекта - V.

Р1+А2. Анализ V, проектирование (спецификация) СЗИ.

Р2. Модификация объекта - Мо*. Если модификация происходит, повторение цикла с А4 на множестве Мо .

А7. Спецификация воздействий СЗИ.

Е4. Оценка значимости воздействий СЗИ - г.

С2+А2. Расчет показателей применения СЗИ - {Гг^и^}.

СЗ+А2. Расчет эффективности СЗИ - ег.

РЗ. Выбор конфигурации СЗИ.

В последней части главы 3 представлена практическая реализация данной ехнологии, в том числе приведены результаты синтеза в-модели, комплекс ¡асчетов на ней по анализу вычислительной системы и оцениванию СЗИ в со-тветствии с разработанным матричным алгоритмом.

В заключении формулируются основные результаты работы:

1. Проведено исследование различных аспектов современного состояния фоблемы информационной безопасности в вычислительных системах и сетях, [оказывающее необходимость изменения подхода к проектированию систем ащиты и оцениванию защищенности: от отдельных устройств и методов защи-ы и измерения отдельных показателей к технологии обеспечения зашиты и »бъективно обоснованным интегральным оценкам защищенности.

2. Проведен анализ нормативной базы и существующих подходов к построению и оценке защищенных систем, подтверждающий важность ггонятий-юго базиса, определяемого действующими нормативами, но показывающий фи этом, что они морально устарели и требуют для своего развития преодолена концептуальной ограниченности.

3. Предложена концептуальная модель «объект-среда-защита», основанная ш причинной обусловленности связей между ее элементами.

4. Разработана модель комплексного целевого анализа безопасности информационных объектов, поддержки проектирования, оценки и выбора СЗР1.

5. Предложен комплекс объективно обусловленных показателей и крите-)ил эффективности применения СЗИ, сформулировано и обосновано необходимое условие его экономической эффективности.

6. Разработан унифицированный матричный алгоритм, позволяющий проводить полный комплекс расчетов на модели.

7. Разработана методика и технология применения модели, рассчитанная 1а использование в современной объектно-ориентированной среде проектиро-!ания.

Основные публикации по теме диссертации:

1. Шишкин В.М. Причинно-следственная модель системы и её использование для синтеза оптимального целенаправленного воздействия на систему. //«XXXI Всес. научная сессия, поев. Дню радио», НТОРЭС им.А.С.Попова. Сб.тез.докл. М., 1976. - С.93-95.

2. Шишкин В.М. Технология целенаправленного выбора средств информатизации в сфере образования. //Межвуз. научно-практ. конференция «Актуальные проблемы информатизации в образовании». Сб.тез. докл. СПб, 1995. - С.73-74.

3. Шишкин В.М. К вопросу об оценке защищённости вычислительных систем. //IV Санкт-Петербургская межд. конф. «Региональная информатика-95» //Семинар «Информационная безопасность», Сб.тез.докл. СПб, 17-18 мая 1995 г. - С.47.

4. Афанасьев C.B., Воробьёв В.И., Шишкин В.М. Угрозы безопасности информации и проблема защищённости вычислительных систем. //IV Санкт-Петербургская межд. конф. «Региональная информатика-95».Труды конф. СПб, 15-18 мая 1995 г. - Ç.118-120.

5. Шишкин В.М. Компьютеризация и альтернативное образование: к проблеме выбора средств. // «Информационная культура современной школы». Тезисы работ российских педагогов. СПб, 1996. - С.89.

6. Воробьёв В.И., Шишкин В.М. Новые информационные технологии и информационная безопасность. //V Санкт-Петербургская межд. конф. «Региональная информатика-96». Сб.тез.докл. СПб, 13-16 мая 1996 г. - С.126-127.

7. Воробьёв В.И., Шишкин В.М. К проблеме выбора средств защиты информационных объектов. //Российская научно-техническая конференция «Методы и технические средства обеспечения безопасности информации». Сб.тез.докл. СПб, 29-31 октября 1996 г. - С.35-36.

8. Шишкин В.М. Нормативная оценка защищенности и эффективность защиты информационных систем. //Санкт-Петербургский научно-практический семинар «Информационная безопасность региона». Сб.тез.докл. и сообщ. СПб, 13-16 мая 1997 г. -С.79-81.

9. Шишкин В.М. К вопросу оценки безопасности программного обеспечения зарубежного производства. //Санкт-Петербургский межведомственный семинар «Проблемы безопасности программного обеспечения зарубежного производства». Сб.тез.докл. и сообщ. СПб, 2-4 декабря 1997 г. - С.48-49.

10. Шишкин В.М. Методика предпроектного анализа и оценки систем защиты информации. //VI Санкт-Петербургская межд. конф. «Региональная ин-форматика-98». Сб.тез.докл. СПб, 2-4 июня 1998 г. - С.133-134.

Введение.

Глава 1. Методы и средства информационного нападения и защиты информации.

1.1. Аппаратные средства.

1.2. Программные средства.

1.3. Информационная безопасность в открытых системах.

1.4. Стратегии и модели безопасности.

Выводы.

Глава 2. Нормативная база и существующие подходы к построению и оценке защищенных систем.

2.1. Стандарты и рекомендации по оценке надежных компьютерных систем. Американский подход.

2.2. Нормативы и показатели защищенности, принятые в РФ.

2.3. Критерии оценки защищенности европейский стран.

2.4. Анализ существующей нормативной базы.

Выводы.

Глава 3. Методика анализа защищенности информационных систем и оценки результативности защиты.

3.1. Основная модель.

3.2. Алгоритмическое обеспечение расчетов на модели.

3.3. Технология анализа и оценивания.

3.4. Результаты применения методики.

Выводы.

Наиболее значимой, после угроз, связанных с биологическим выживанием человечества, в условиях современного мира представляется проблема информационной безопасности. Ее необеспеченность способна оказать негативное влияние на все ключевые аспекты деятельности человека, сводя на нет усилия по достижению безопасности в широком ее понимании. При этом информационная безопасность неразрывно связана с вопросами обеспечения безопасности информации в вычислительных системах.

Проблема обеспечения безопасности информации в различных своих аспектах крайне многообразна, при этом бесспорно, что факторы, влияющие на безопасность, образуют неразрывный, сложно взаимосвязанный и, к тому же, противоречивый комплекс, что признается, но в явном виде не учитывается действующими нормативами по защищенности. Значимость составляющих этого комплекса с точки зрения обеспечения и оценки защищенности информационных систем в разных условиях их функционирования и, что часто совсем упускается из виду, с учетом целей защиты, ресурсных ограничений и, соответственно, эффективности защиты может существенно изменяться. Действующая нормативная база не потеряла своей актуальности, но она разработана в качественно иных условиях и в классическом виде не способна дать адекватное современным и, тем более, перспективным потребностям методическое обеспечение целенаправленного выбора (проектирования) систем защиты информации (СЗИ) и метрического оценивания интегральной защищенности автоматизированных систем (АС).

Стало очевидным, что одноуровневые методы и средства защиты информации в вычислительных системах, распространенные в настоящее время, способны дать лишь ограниченный эффект при защите от избирательного вида угроз, то есть не исключено, что глобальный эффект от их применения может оказаться нулевым, если средства не сбалансированы по уровням и объектам защиты, выбраны случайным образом или без целенаправленного анализа источников и видов угроз. Причем сбалансированность следует понимать прежде всего как принцип, реализация которого в конкретных решениях зависит от условий и требований пользователей, тенденций технического развития и потому не имеет окончательного вида. Обеспечиваться она должна в гармоничном сочетании мер и средств на организационном, пользовательском, программном и аппаратном уровнях.

Становится очевидным, что динамика развития информационных технологий, технических и программных средств их поддержки, с одной стороны, и, как следствие, постоянная модификация поля угроз безопасности информации, а не только простое изменение номенклатуры угроз, с другой стороны, опережают процесс развития концептуальной и методической базы обеспечения информационной безопасности, как в широком, так и в узком смысле этого понятия. Ощущается недостаток исследований проблемы информационной безопасности с системологических позиций. В результате, с учётом постоянно изменяющихся условий, имеет место ситуация нарастающего хронического отставания решения проблем интегральной защищенности информационных объектов, в частности, ее оценивания.

Ведущим источником возникновения новых факторов при рассмотрении проблемы информационной безопасности стало фундаментальное противоречие между тенденцией к объединению и совместному использованию ресурсов, с одной стороны, и обеспечением защищенности информации, с другой. Противоречие это неустранимо, и пути решения возникающих отсюда проблем безопасности, как представляется, связаны прежде всего с гармоничным сочетанием централизации и децентрализации контроля в сети. Такое сочетание невозможно без адекватной оценки ситуации, разработки концептуальных основ существования в конфликтном, но уже неразрывно связанном, информационном пространстве, и создания необходимой материальной базы, способной обеспечить равноправные отношения субъектов информационных процессов.

Новейшие технологии обработки данных, глобализация компьютерных сетей и лавинообразный рост количества пользователей в них, распространение идеологии открытых систем способствуют возникновению качественно новых проблем, сущность и значимость которых с точки зрения обеспечения информационной безопасности не всегда ясна, тем более, что открытость нередко имеет односторонний характер. В то же время большинство коммерческих фирм применяют многоуровневые системы защиты, причём многие из них внутреннюю сеть строят по своим протоколам, что входит в противоречие с указанной идеологией. Например, DEC имеет сложную систему защиты SEAL, включающую идентификационный сервер, CRAY - защиту корпоративной сети, подобную Kerberos [39]. Следует также упомянуть среди получивших наибольшее распространение средств защиты в сети системы анализа трафика Firewall (брандмауеры) [45].

Множество используемых средств свидетельствует о том, что проблема безопасности в сети требует тщательного исследования как в каждом конкретном случае, при построении систем обработки данных, так и в общем, методологическом, плане. При этом важно отметить тот факт, что все перечисленные средства защиты через некоторое время подвергаются массированному "взлому", и рано или поздно защита может оказаться прёодолённой.

Интенсивный процесс включения России в мировое информационное пространство при отсутствии соответствующего нашим информационных ресурсам развитого технологического сервиса территориального уровня при очевидной полезности несёт в себе многочисленные угрозы безопасности, поскольку такое включение носит неравноправный характер [41]. Возникает возможность и соблазн информационной агрессии в той или иной форме, так что понятие "информационная война" перестаёт быть принадлежностью исключительно политической фразеологии и вполне обоснованно входит в научное употребление. Анализ имеющихся тенденций свидетельствует, что в XXI веке информационные конфликты громко заявят о себе [29].

Современный этап в развитии вычислительной техники и информационных технологий в целом отличается противоречивостью своего характера, и наиболее значимо данное обстоятельство проявляется в вопросах информационной безопасности, как многоуровневой и многоаспектной, понимаемой системно, причём это касается не только технических аспектов. Проблема "защиты от информации", уже назревшая, являясь пока скорее организационной или гуманитарной, должна будет найти свое решение и на техническом уровне. Наоборот, технические средства в открытых системах могут быть регламентированы международным правом или иными гуманитарными нормативами. Во всяком случае, становится актуальным рассмотрение правовых, психологических, политических и других нетрадиционных аспектов, при этом важность традиционных программно-технических и коммуникационных - не уменьшается, но изолированно они уже не обеспечивают полноты решения проблемы. Глобальные сетевые структуры, объединяющие большое количество локальных сетей, начинают проявлять свойства живых саморазвивающихся образований, эволюционируя по законам открытых биологических систем, поэтому чисто аналитические, одноуровневые подходы, являясь полезными, проблему защищенности в целом решить не способны, требуются адекватные подходы.

Следует отметить, что смысл открытых систем класса моделей ISO/OSI и открытых систем в биологии совпадают, так как и те, и другие являются неравновесными. В противоположность им полностью защищенные - закрытые - системы становятся равновесными, то есть теряют возможность развития и быстро устаревают, что делает опасным и бесперспективным использование технической и информационной изоляции в качестве средства защиты. Подобно биологическим открытым системам компьютерные системы защиты должны строиться согласно объектно ориентированной стратегии [25].

Для построения научно обоснованной системы защиты необходим глубокий объективный анализ поведения таких сложных систем как Internet. Однако информационная безопасность в сети никоим образом не может быть сведена, как это часто делается, лишь к рассмотрению криптографической защищённости трафика. Например, замечено, что при атаках, использующих чужое имя, могут происходить так называемые "ICMP-взрывы" (ICMP - протокол, используемый в Internet для ведения таблиц рассылки), которые при продуманной системе взлома приводят к лавинообразному выходу из строя сетевых компьютеров, так как при этом таблицы рассылки портятся, и часть машин в них будут помечены как недостижимые. Оказывается, что подобным образом ведут себя многие сложные системы различной природы [23]. Такое явление предлагается описывать в терминах теории "самоорганизованной критичности" [43]. В соответствии с этой теорией безопасность в сети должна оцениваться, исходя из её рассмотрения как целого объекта со сложной внутренней динамикой, а не как набора отдельных защищаемых элементов.

Предугадать поведение такой сложной системы на основе регламентированных средств обеспечения безопасности оказывается за пределами человеческих возможностей, то есть предвидеть слабые места в этой системе чрезвычайно трудно, но через них как раз и будет действовать потенциальный взломщик, и успешность его действий будет статистически закономерна, поскольку идеология средств защиты не учитывает такого рода эффекты.

Необходимо строить такую стратегию защиты, которая базировалась бы не на применении мощных средств для каждого узла, а на выработке индивидуальной концепции защиты узла, как неразделимого элемента всей сети. В дополнение к концепции сбалансированной защиты [2] в условиях открытых систем необходимо строить взаимосвязанную систему обеспечения безопасности, ключевым звеном которой должен быть объект, имеющий механизмы защиты, связанные с сетевой структурой в целом [25].

Существует разрыв между уровнями декларативной постановки проблем интегрального характера и конструктивных решений, имеющих частную значимость, который необходимо преодолеть. Реализация этого требования неизбежно предполагает создание адекватных по сложности и обладающих прогностическими свойствами моделей защищенности, для чего, возможно, требуется не только увеличение количества или детализация уровней в стандартных моделях, но и усложнение их структуры, поиск принципиально новых подходов, рассчитывать обойтись простыми моделями неправомерно. Тем не менее, пока не выработана концептуальная база опережающих разработок по защите информационных объектов, методов получения интегральной оценки их защищенности, следует приветствовать многообразие подходов и моделей, если они дают конструктивные результаты.

Владельцы и разработчики информационных систем должны принять уже как бесспорное требование, что концепция защиты в них должна разрабатываться по крайней мере синхронно с самой информационной системой, являясь её органической составляющей, а в особо критичных случаях быть ведущей, определяя системотехнические решения. При этом предварительно и однозначно должны определяться цель и критерии оценки защищенности, а модель защиты следует сделать по возможности полной и связной.

Очевидно, назрела потребность в наличии и использовании инструментальных средств, позволяющих автоматизировать процесс выбора средств и конфигурации систем защиты информации и оценки защищенности объектов как в терминах стандартных моделей классификации уровня защищённости, так и индивидуализированных показателей. В связи с этим актуальной задачей является разработка гибких, способных к развитию моделей, не отвергающих классические и частные подходы к оценке защищенности, но увязывающие в единую структуру, замкнутую на цель, все элементы и факторы, имеющие значимость с точки зрения безопасности информации, что позволит настраивать их на решение разнообразных прикладных задач.

Выводы.

1. Конструктивный анализ защищенности невозможен без хорошо структурированной модели, в которой должны быть определить принципы, порождающие классы объектов, субъектов и событий воздействий, что следует из классических представлений, позволяющей определить принадлежность элементов моделируемой системы к тому или иному классу и отношения между ними. Одним из необходимых принципов следует считать разделение системы на защищаемый объект и среду и их противопоставление.

2. Анализ системы и синтез СЗИ должны быть целенаправленны, оценка защищенности, произведенная без учета цели защиты и конкретных условий функционирования защищаемого объекта, которые отражаются на значимости всех элементов, не может считаться обоснованной.

3. На основе предложенных принципов разработана модель, способная отобразить при анализе и оценке результативности СЗИ сложное взаимодействие элементов моделируемой системы, учитывающая трудно предсказуемые мультипликативные эффекты удаленных косвенных влияний и циклических связей между элементами.

4. Представленная методика анализа защищенности, поддержки синтеза СЗИ и оценки результативности защиты, включающая разработанную модель, расчетный алгоритм и технологию применения, рассчитана на использование в современной объектно-ориентированной среде проектирования и показала на практике свою применимость и целесообразность.

Заключение

1. Проведено исследование различных аспектов современного состояния проблемы информационной безопасности в вычислительных системах и сетях, показывающее необходимость изменения подхода к проектированию систем защиты и оцениванию защищенности: от отдельных устройств и методов защиты и измерения отдельных показателей к технологии обеспечения защиты и объективно обоснованным интегральным оценкам защищенности.

2. Проведен анализ нормативной базы и существующих подходов к построению и оценке защищенных систем, подтверждающий важность понятийного базиса, определяемого действующими нормативами, но показывающий при этом, что они морально устарели и требуют для своего развития преодоления концептуальной ограниченности.

3. Предложена концептуальная модель «объект-среда-защита», основанная на причинной обусловленности связей между ее элементами.

4. Разработана модель комплексного целевого анализа безопасности информационных объектов, поддержки проектирования, оценки и выбора СЗИ.

5. Предложен комплекс объективно обусловленных показателей и критерии эффективности применения СЗИ, сформулировано и обосновано необходимое условие его экономической эффективности.

6. Разработан унифицированный матричный алгоритм, позволяющий производить полный комплекс расчетов на модели.

7. Разработана методика и технология применения модели, рассчитанная на использование в современной объектно-ориентированной среде проектирования.

1. Акофф Р., Эмери Ф. О целеустремленных системах. М.: Советское радио, 1976. - 272 с.

2. Афанасьев С.В., Воробьёв В.И., Шишкин В.М. Угрозы безопасности информации и проблема защищённости вычислительных систем.// IV Санкт-Петербургская меж д. конф. "Региональная ин-форматика-95".Труды конф. СПб, 15-18 мая 1995 г., с.118-120.

3. Афанасьев С.В., Солнцев Ю.А. Объектно-ориентированный подход в безопасности INTRANET. //VI Санкт-Петербургская межд. конф. «Региональная информатика-98». Сб.тез.докл. СПб, 2-4 июня 1998 г. С.109-111.

4. Беллман Р. Введение в теорию матриц. М.: Наука, 1969. -368 с.

5. Вовченко В.В., Степанов И.О. Проблемы защиты информации от экономическогно шпионажа. // «Защита информации», №1, СПб.: "Конфидент", 1994. С.48-64.

6. Воеводин В.В., Кузнецов Ю.А. Матрицы и вычисления. М.: Наука, 1984. - 320 с.

7. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Военное издательство, 1992. -36 с.

8. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Военное издательство, 1992. -12 с.

9. Дейтел Г. Введение в операционную систему. М.: Мир, 1986 г., том.1,2. - 546 с.

10. Дружинин В.В., Конторов Д.С. Проблемы системологии. -М.: Советское радио, 1976. 296 с.

11. Зарубежная радиоэлектроника. №12, 1989 г.

12. Защита информации в компьютерных системах. Теоретические аспекты защиты от вирусов. /Под редакцией проф. Шмакова Э.М. СПБ.: Изд. СПбГТУ, 1993 г. 102 с.

13. Защита программного обеспечения. /Под редакцией Д.Гроувера. М.: Мир, 1993 г. - 285 с.

14. Иванов В., Залогин Н. Активная маскировка побочных излучений вычислительных систем. // КомпьютерПресс. № 10, 1993 г.

15. Карпов А.Г. Нормативно-правовое обеспечение защиты информации. // «Защита информации», № 1, СПб.: "Конфидент", 1994. С.6-12.

16. Кемени Дж., Снелл Дж. Конечные цепи Маркова. М.: Наука, 1970. - 337 с.

17. Кристофидес Н. Теория графов. Алгоритмический подход. -М.: Мир, 1978. 432 с.

18. Кузнецов О.П., Адельсон-Вельский Г.М. Дискретная математика для инженера. М.: Энергоатомиздат, 1988. - 480 с.

19. Липаев В.В. Программно-техническая безопасность информационных систем. М.: Изд. МИФИ, 1996 г. - 248 с.

20. Малинецкий Г.Г., Митин Н.А. Нелинейная динамика в проблеме безопасности. // Новое в синергетике. Загадки мира неравновесных структур. М.: Наука,1996. 196 с.

21. Математика в социологии: моделирование и обработка информации. Часть 1, Причинный анализ, структура и динамика. -М.:Мир, 1977. 551 с.

22. Митчел Дж., Гиббоне Дж. и др. Система Spring.// Открытые системы, № 1, 1995, с.40-46.

23. Моисеенков И. Компьютер Пресс, № 12, 1991, с.64.

24. Новожилов В.В. Проблемы измерения затрат и результатов при оптимальном планировании. М.: Наука, 1972. - 354 с.2 8. Панфилов И. В., По ловко A.M. Вычислительные системы. /Под ред. проф. Половко A.M. М.: Советское радио, 1980. - 304 с.

25. Папикян В.М. Информационная война и региональная безопасность.// V Санкт-Петербургская межд. конф. "Региональная ин-форматика-96", Сб.тезисов докл. СПб, 14-17 мая 1996 г. С.118-119.

26. Першин А. Организация защиты вычислительных систем. // КомпьютерПресс. №№ 10,11, 1992 г.31 .Политехнический словарь. М.: Советская энциклопедия, 1977. - С.124.

27. Президент Российской Федерации. Указ от 3 апреля 1995 г. № 334 "О мерах по соблюдению законности в области разработки,производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации".

28. Спесивцев А.В., Вегнер В.А. и др. Защита информации в персональных ЭВМ. М.: Радио и связь, 1992 г. - 190 с.

29. Теория и практика обеспечения информационной безопасности. /Под ред. П.Д.Зегжды. М.:Изд.Агенства «Яхтсмен», 1996 г.-192 с.

30. Тихонов В.П., Миронов В.А. Марковские процессы. М.: Советское радио, 1977. - 488 с.

31. Толковый словарь по вычислительным системам. /Под ред.

32. B.Иллингуорта и др.: Пер.с англ. М.: Машиностроение, 1991.1. C.505.

33. Федеральный Закон "Об информации, информатизации и защите информации". // "Российская газета", 22 февраля, 1995.

34. Хованов Н.В. Анализ и синтез показателей при информационном дефиците. СПб: Изд СПбГУ, 1996. - 196 с.

35. Храмцев П. Лабиринт Internet. М.: Электроинформ, 1996.

36. Хэйс Д. Причинный анализ в статистических исследованиях. /Пер.с англ. М.: Финансы и статистика, 1981. - 255 с.

37. Юсупов P.M. и др. Безопасность информационных ресурсов региона при интеграции в международные телекоммуникационные сети. //V Санкт-Петербургская межд. конф. «Региональная инфор-матика-96». Сб.тез.докл. СПб, 13-16 мая 1996 г. С.131-132.

38. Abrams Marshall D. and Podell Harold J. Computer and Network Security, 1991.

39. Bak P., Tang C., Wiesenfeld K. Self-Organized Criticality.// Phys.Rev.A., 1988, Vol.38, № 1, p.364-374.

40. Bell D.E. and LaPadula L.J. Secure Computer Systems: Unified Exposition and Multics Interpretation. // MTR-2997 Review, Vol 1, MITRE Corp., Bedford, Mass., March 1976.

41. Cheswick W.R., Bellovin S.M. Firewalls and Internet Security: Repelling the Wily Hacker. Addison-Wesley, 1994.

42. Clark D., Wilson D. A Comparison of Commercial and Military Computer Security Policies. //Proceedings of the IEEE Symposium on Research in Security and Privacy, 1990.

43. Denning D.E. A Lattice Model of Secure Information Flow. // Communications of the ACM, Vol. 19, № 5, 1976.

44. DoD 5200.28-STD Trusted Computer System Evaluation Criteria, CSC-STD-001-83.

45. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France Germany - the Netherlands - the United Kingdom. - Department of Trade and Industry, London, 1991.

46. Lampson B.W. Protection. // ACM Operating Systems Review, Vol 8, №1, 1974.

47. Landwehr C.E. Formal Models for Computer Security. // ACM Computing Surveys, Vol. 13, № 3, 1984.

48. McLean J. Security Models. // Enciclopedia of Software en-geneering, 1994.

49. Millen J.K. Security Kernel Validation in Practice. //Communications of the ACM, Vol 19, № 5, 1976.

50. Saltzer J.H. and Shroeder M.D. The Profection of Information in Computer Systems. //Proceedings of the IEEE, Vol 63, № 9, 1975.

51. Seawright L.H.and MacKinnon R.A. :VM/370 A Study of Multiplicity and Usefulness". //IBM Systems Journal, Vol 18, № 1, 1979.

52. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800. CCITT, Geneva, 1991. 57.Sobell Mark Ct. A Practical to the UNIX System, 1994.

53. The Generally Accepted System Security Principles (GSSP). Exposure Draft. GSSP Draft Sub-committee, 1994.

54. Trusted Computer System Evaliation Criteria. // Department of Defense. DoD 5200.28-STD, 1983.