автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.06, диссертация на тему:Модели и методы формирования политик безопасности автоматизированных систем на основе данных активного аудита

На правах рукописи

С^Г-М

Перервенко Александр Вячеславович

МОДЕЛИ И МЕТОДЫ ФОРМИРОВАНИЯ ПОЛИТИК БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ НА ОСНОВЕ ДАННЫХ АКТИВНОГО АУДИТА

Специальности: 05.13.06 - Автоматизация и управление технологическими

процессами и производствами 05.13.19- Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург - 2005

Работа выполнена в Санкт-Петербургском государственном электротехническом университете «ЛЭТИ» им. В.И. Ульянова (Ленина)

Научный руководитель

академик РАО, заслуженный деятель науки и техники РФ, доктор технических наук, профессор Советов Б.Я.

Официальные оппоненты: заслуженный деятель науки РФ, доктор технических наук, профессор Евграфов В. Г. кандидат технических наук, доцент Синюк А. Д.

Ведущая организация - Научный филиал ФГУП «НИИ Вектор» СЦПС «Спектр»

Защита состоится » О^^ОЛ 2005г. в п часов на заседании диссертационного совета 1 Д 212.238.07 Санкт-Петербургского государственного электротехнического университета «ЛЭТИ» им. В.И. Ульянова (Ленина) по адресу: 197376, Санкт-Петербург, ул. Проф. Попова, 5.

С диссертацией можно ознакомиться в библиотеке университета. Автореферат разослан « » 005г.

Ученый секретарь диссертационного совета

10 09 Н

/Г

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы диссертационной работы.

Обеспечение безопасности автоматизированных систем (АС) входит в круг интересов всех участников информационного процесса. Это связано с тем, что функционирование государственных и коммерческих АС становится невозможным без поддержания их безопасности и целостности. Прогресс в области защищенных информационных технологий сопровождается постоянным усилением требований поддержания уровня безопасности. Однако существующая статистика нарушений свидетельствует о продолжающемся кризисе в области информационной безопасности, основными причинами которого являются недостатки проектирования и эксплуатации средств защиты.

Развитие систем защиты информации должно происходить опережающими темпами по отношению к развитию автоматизированных систем, и этому, в первую очередь, должно сопутствовать появление новых идей в сфере формирования политик безопасности. Только это может гарантировать защиту информации от нежелательного распространения, изменения или потери. Поэтому исследование и совершенствование моделей и методов формирования политик информационной безопасности автоматизированных систем является актуальным.

Целью диссертации является разработка комплекса моделей и методического аппарата защиты информации путем формирования политик безопасности и выявления несанкционированных действий (НСД) злоумышленника на основе данных систем активного аудита.

В соответствии с этой целью объектом исследования являются модели и методы защиты автоматизированных систем, а предметом исследования является процесс формирования потока данных активного аудита о действиях, как злоумышленников, так и добросовестных пользователей, математические модели и методы разработки политик безопасности и рекомендаций по защите информации.

Основные задачи. Для достижения поставленной цели в работе решены следующие основные задачи:

1. Разработка теоретико-познавательных моделей, предназначенных для изучения статистических данных систем активного аудита о характеристиках потока событий с признаками НСД.

2. Разработка моделей комплексной оценки потока событий с признаками НСД, которые предназначены для исследования процесса наблюдения и контроля состояния информационной безопасности распределенной автоматизированной системы, с целью получения знаний для управления процессом планирования политик безопасности.

РОС. НАЦИОНАЛЬНАЯ БИБЛИОТЕКА

3. Разработка метода выявления несанкционированных действий злоумышленника, осуществляемых на фоне потока событий с признаками НСД, возникшими по вине добросовестных пользователей.

Методы исследования. В работе использовались методы теории вероятностей, математической статистики, теории систем, теории нечеткой логики, математического моделирования и теории графов.

Основные положения, выносимые на защиту.

1. Теоретико-познавательные модели исследования процессов формирования и комплексной оценки потока событий систем активного аудита с признаками НСД.

2. Метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения.

Научная новизна полученных результатов.

1. Определен и обоснован базовый состав моделей защиты информации от непреднамеренных помех различного происхождения и для оценки характеристик потока событий. В отличие от уже созданных моделей, предлагаемые модели обеспечивают учет результатов обследования состояния и выявленных тенденций изменения наиболее существенных факторов. С этой целью в работе разработаны следующие модели:

• Модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий в автоматизированной системе регистрируется признак НСД.

• Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

• Модель прогнозирования основных тенденций развития методов и средств осуществления угроз автоматизированным системам.

2. Задача управления процессом планирования политики безопасности впервые решается построением модели комплексной оценки потоков событий систем активного аудита и построением нечеткой ситуационной сети, которая представляет собой нечеткий граф переходов по эталонным позициям.

3. Разработан метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения. В отличие от существующих методов выявления злоумышленников предлагаемый метод основан на использовании принципов ситуационного управления процессом, условий реализации метода защиты с учетом возможных возмущений.

Практическая значимость результатов исследований состоит в следующем:

Разработанные модели позволяют обеспечить решение практических задач получения новых знаний о характеристиках потока событий с признаками НСД на основе статистической информации, предоставляемой системами активного аудита.".

Практическая значимость полученных в диссертации результатов определяется возможностью их использования органами управления Российской Федерации при практическом использовании автоматизированных систем. Математические модели и методы оформлены в виде пакета прикладных программ в операционной среде «Windows».

Достоверность научных результатов подтверждается строгостью приведенных математических соотношений, использованных для аналитических моделей формирования политик безопасности и совпадением полученных результатов в частных случаях с известными результатами;

Апробация диссертации осуществлялась на международной конференции "Региональная информатика-2004".

Публикации. По теме диссертации опубликовано 5 работ, из них - 3 статьи и тезисы к двум докладам на всероссийской и международной научно-технических конференциях.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения и списка литературы, включающего 89 наименований. Основная часть работы изложена на 121 странице. Работа содержит 22 рисунка и 13 таблиц.

СОДЕРЖАНИЕ РАБОТЫ

Во введении показана актуальность темы диссертации, определены цели и задачи исследований, отражена научная новизна и значимость полученных результатов.

Первая глава диссертации посвящена анализу тенденций развития автоматизированных систем, методов и средств защиты информации.

В рамках данного исследования выбрана система информационной безопасности, основанная на реализации следующих системных положений:

1. Прогнозирование угроз информационным системам, возникающих как в результате умышленных действий, так и непреднамеренных помех различного происхождения;

2. Формирование пространства адекватных решений по обеспечению информационной безопасности, основанной на технологии обнаружения атак (intrusion detection) и создании необходимого резерва ресурсов защиты информации;

3. Выбор максимально адекватного нападению комплекса методов и средств защиты информации на основе построения модели оценки угрозы и использования динамических моделей защиты.

Целью исследования процессов "атака - отражение нападения" является определение наиболее рациональной системы, в которой должны быть реализованы основные положения политики информационной безопасности.

Решение проблемы достигается путем реализации модельно-системной концепции изучения процессов.

Основная идея создания комплекса моделей заключается в их функциональном разделении по горизонтали на две группы (два взаимосвязанных уровня иерархии):

1. На первом (нижнем) уровне разрабатываются и группируются математические модели, предназначенные для оценки показателей, характеризующих различные свойства систем, для выявления закономерностей, определяющих основное содержание изучаемых процессов.

2. На втором (верхнем) уровне создаются модели для определения такой структуры системы, в рамках которой процесс регистрации нарушений доступа к информации протекает при оптимальном значении его частных параметров, либо достигается экстремальное значение его целевой функции.

На нижнем уровне иерархии создаваемой системы происходит дополнительное вертикальное разделение комплекса моделей по их функциональному назначению и применяющимся математическим методам исследований.

Во второй главе проанализированы особенности и область применения задач математической статистики для исследования процессов формирования политик безопасности. Использование существующих математических моделей в исследуемой области позволяет проводить оценку показателей динамики процессов с графическим отображением полученных результатов.

Основным результатом исследований, проведенных в данной главе, является создание комплекса теоретико-познавательных моделей оценки и анализа статистических данных для формирования политики безопасности информационных систем. К ним относятся следующие модели:

• модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий регистрируется признак НСД;

• модель исследования однородности выборок о ситуациях с признаком НСД методом однофакторного дисперсионного анализа;

• модель прогнозирования основных тенденций развития методов и средств осуществления угроз информационным системам.

Для построения модели прогнозирования используются адаптивные схемы скользящего среднего. В зависимости от полученных результатов содержательного анализа накопленных статистических данных могут быть приняты для практического применения базовые модели Брауна, Хольта, Тейла-Вейджа.

1. Модель нулевого порядка формализует развитие процессов в соответствии с гипотезой «будет, как было».

= О (1)

где Ур(1,к) . прогнозируемая оценка значения целевой функции, вычисляемая в момент времени / на к шагов вперед;

А0(г) - оценка текущего значения целевой функции на момент времени /.

2. Модель первого порядка, в которой развитие процессов представлено линейным изменением целевой функции с постоянно изменяющимися параметрами, основана на использовании функциональной зависимости

У,(и) = Л(')+л,(/Ж (2)

где - оценка текущего изменения значения целевой функции,

начиная с момента времени /.

В модели Брауна корректировка параметров производится на каждом шаге с учетом полученной величины расхождения в текущем и прогнозируемом значении целевой функции (к = 1):

в(/ + 1)=Г(*+1)-Г,(М) (3)

Значения параметров модели уточняются по формулам:

Гр(1,к) = А0(О + А,(О + (1-Р2М'+1) (4)

А1(1+1) = Л,(0+а,а2е((+1) (5)

где р - коэффициент дисконтирования данных, изменяющийся в пределах от 0 до 1;

а = 1 - р - коэффициент сглаживания;

е(/+1) - ошибка прогнозирования значений целевой функции, вычисленная при получении фактических данных в момент времени /+1 с использованием прогнозируемых оценок на момент времени г.

В модели Хольта параметры корректируются по следующим формулам: Л('+1) = /Ш + 4(') + а,*(') (6)

^(г + 1) = ^,(0+а,а2е(/) (7)

где а, а2 - коэффициенты адаптации, изменяющиеся в пределах от 0 до 1.

В этих моделях коэффициенты адаптации определяют степень сглаживания наблюдаемых значений целевой функции: более высокий коэффициент выбирается для устойчивых процессов, когда оперативная реакция модели на изменения в развитии прогнозируемого показателя является оправданной.

В методах эволюции и симплекс-планирования параметры адаптации меняются на каждом шаге. В методе Тейла-Вейджа в явном виде учитывается погрешность определения параметра.

3. Модель второго порядка, отражающая развитие процесса в виде параболической тенденции с изменяющейся скоростью и ускорением, предполагает использование функциональной зависимости

1,,(/,*) = Л<0 + 4(0*+4<0*' (8)

где Л2(/) - оценка текущего значения скорости изменения функции, начиная с момента времени /.

При выборе модели главным требованием является выявление существенной закономерности исследуемого процесса.

Ниже приводятся результаты прогнозирования дальнейшего развития потока событий с признаками НСД спустя промежуток времени А Т после его возникновения. Результаты расчетов проводились на различных статистических моделях экстраполяции временного ряда.

На рисунке 1 представлены результаты прогнозирования значений динамического ряда на адаптивной модели Брауна.

21 19 17 15 13

" ~ " ® Г? до 20 инциден-гов "через каждые

Н * ■ 10 мин - результат прогноза на модели

9 Ш II — -- Браун»

" ----

7 —----------------------------------- -...........

, »Т Г „_______

5 15 25 35 45 55 5 15 25 35 45 55

мин мин мин мин мин мин мин мин мин мин мин мин

Рис. 1. Результаты прогнозирования на модели Брауна процесса развития событий на начальном этапе "всплеска активности" ситуаций с признаками НСД

Результаты прогноза процесса с использованием модели Брауна

ШШ

11 „»^

л**

I

а| = 0,1

ЧЗтТУдо ЗО инцидентов черезкшклые" 10 мин - результат прогноза на модели Брауна-

При коэффициенте сглаживания а = 0.1 для заданного временного ряда предлагается линейная модель экстраполяции вида + г) = 3.651152-0.681818тф.

80 — ------ - — - - . --

70 Ог 20 до 50 инцидентов через каждые \ <Х| = а2 в 0,

5 мин - результат прогноза на модели \

Хольта взависимости от заданных

60 _ условий у . — - -

= аг = 0,15

50

40 -

30

20 ---и ■ -1 1 щ - ~г а = а2 = 0,2 ---- .

ю г_. „| 1 - -

0 ■ 1-

5 мин

15 мин

25 мин

35 мин

45

мин

55

15 мин

25 мин

35 мин

45 мин

55 мин

Рис. 2. Результаты прогнозирования на модели Хольта процесса развития событий на начальном этапе "всплеска активности" ситуаций с признаками НСД

Линейная модель прогноза была выбрана в режиме анализа, так как расчеты показали (табл. 1), что эта модель обеспечивает более высокую точность.

Таблица 1

Резюме прогноза Рассчитанные значения

Средняя ошибка Средняя квадратическая ошибка Средняя абсолютная ошибка

3,651152+0,681818хТ 0,0000 4,20328 1,53788

1,97727+1,39935хТ-0,0551948хТ2 0,0000 3,86445 1,58929

Модель Хольта является более общей адаптивной моделью скользящего среднего с двумя коэффициентами сглаживания. Указанные коэффициенты определяют скорость реакции модели на изменения, происходящие в развитии исследуемого показателя. Наилучшее значение коэффициентов определяется методом подбора. На рисунке 2 приводятся результаты прогнозирования процесса на модели Хольта при двух вариантах значений коэффициентов: си = а2 = 0,1; а! = а2 = 0,15 и а) = а2 = 0,2.

Коэффициенты сглаживания характеризуют степень адаптации модели к изменению ряда наблюдений. Они определяют скорость реакции модели на

изменения, происходящие в развитии исследуемого показателя. Чем коэффициент сглаживания больше, тем быстрее реагирует модель на изменения.

Статистики для проверки прогностической способности модели, указаны в таблице 2.

Таблица 2

Статистики для проверки прогностической способности модели Хольта

Значения коэффициентов сглаживания Рассчитанные значения

Средняя ошибка Средняя квадратическая ошибка Средняя абсолютная ошибка

а, = а2 = 0,1 -17,2601 418,677 17,2601

а! = а2- 0,15 -13,6458 250,689 13,6458

= а2 = 0,2 -10,4550 145,592 10,4550

В процессе проведения исследований выявлены признаки формирования ситуаций, в которых при отсутствии злоумышленных действий регистрируется признак НСД:

• возникновение "всплесков активности" процессов, в которых ситуации с признаками НСД в течение ограниченного временного отрезка возникают как с незначительной, так и с очень высокой интенсивностью;

• однородность потока формирования ситуаций, в которых при отсутствии злоумышленных действий регистрируется признак НСД;

• концентрация инцидентов по АРМ пользователей подчиняется экспоненциальному закону.

Результаты исследования статистических данные о развитии и затухании процесса формирования ситуаций с признаками НСД показали возможность использования линейного тренда для определения характера формирования потока событий. Полученные результаты расчетов подтверждаются результатами сглаживания временных рядов с помощью простой скользящей средней.

Третья глава посвящена созданию системы анализа информации и разработки рекомендаций при планировании политики информационной безопасности для адекватного ответа на прогнозируемые угрозы.

Вводится понятие ситуации, которая характеризуется набором базисных факторов:

1) ситуация 81, в которой факт регистрации НСД определяется непреднамеренными действиями пользователей в процессе работы;

2) ситуация 82, в которой возникший инцидент с признаками НСД связывают с действиями злоумышленника.

Для решения задачи оценки ситуаций, характеризующихся всплеском активности инцидентов с признаками НСД, предлагается построить нечеткую ситуационную сеть (НСС). Ее создание позволяет достигнуть более полного описания и учета всех факторов, имеющих отношение к данной задаче и не поддающихся точному количественному описанию.

Вариант построения причинно-следственной схемы моделирования потока инцидентов с признаками НСД для принятия решения по классификации ситуации (S1VS2) на основе выявленных признаков, показан на рис. 3. После оценки взаимовлияния всех связанных причинными связями факторов, знаковый орграф преобразуется во взвешенный орграф.

Интенсивность потока инцидентов -нарастает

Кол-во инцидентов с признаками НСД превышает

установленный уровень

Корректировка механизма обнаружения вторжений

Концентрация инцидентов по АРМ пользователей подчиняется . экспоненциальному закону

Инциденте признаками НСД -как следствие действий злоумышленника

Инцидент с признаками НСД - как следствие непреднамеренных действий пользователя

Рис.3. Причинно-следственный граф, как обобщенная функциональная модель структуры наблюдаемого потока инцидентов с признаками НСД для проведения исследований и преобразований.

Для моделирования поведения системы рассматриваются изменения значений признаков во времени по знаку производной: сЫ сЬ

~<0=> "-",_= 0 => "0",—=>0=> " + " . (9)

Л л л

На области определения А вводится качественная алгебра 5Л=<Л,Ф,®>, сигнатуру которой образуют замкнутые всюду определенные бинарные операции сложения Ф и умножения а также строится качественное исчисление. Система уравнений в этой алгебре, определяющих суперпозицию источников воздействия на каждую вершину, задает математическое описание графа.

Динамика процессов, определяющих изменения в ситуации, описывается системой уравнений типа «если XI V Х2 V... V Хк, то ... ».

В матричном виде эта система уравнений записывается в следующем виде:

г(1+1)=ИЪ(1) (10)

где, 2(0=(г,(1)) - начальный вектор приращений значений факторов в момент времени V,

2(1+ 1)-(г,(1+1)) - вектор приращений значений факторов в момент времени г,0) е[-1,1];

ИН1^! ~ матрица смежности, м/ие[-1,1] - характеризует силу причинной связи.

Для определения характера влияния вводится терм-множество {"-","0","+"}:"+" означает, что увеличение признака ъх влечет увеличение признака г2,"—" — обратную зависимость, "0" - оставляет без изменений.

Понятие признака и воздействия связаны между собой следующими постулатами:

1. Изменение значения признака Х\ (возмущение) порождает воздействие

2. Воздействие IV, 1 вызывает изменение значения признака г,.

3. Характер воздействия изменяется в зависимости от значений других признаков.

Приращения значений факторов в последовательные дискретные моменты времени 2(1+1), ... , вычисляются с применением

следующего правила композиции:

2,(^тах(г;(1),2;т, (11)

где = тах^Дг-!)-^) - максимальное положительное приращение

значения фактора-следствия,

х,"(0 = тах|2Д/-1)^у | - максимальное по модулю отрицательное

приращение значения фактора-следствия.

Приращение значения фактора 2,(0 е VI, представляется парой: (г/У, с,(ф, где, с,(0 - консонанс значения фактора, 0<с,($ <1,

1(^(0^,"(О)) (12)

,и 12,401 + 1 г,-(01 '

Консонанс фактора характеризует уверенность субъекта в приращении значения 2,(У фактора/. При с,({)«1, т.е. 2*(г)»\г',(1)\ или (I)

уверенность субъекта в значении фактора г,^) максимальна, а при с/^- 0, т.е. »\z~ft)} минимальна.

Сформулируем задачу комплексного анализа ситуации в следующем виде: определить процедуру ф (функцию или алгоритм), связывающую набор показателей с комплексным показателем V. Для этого введем функцию принадлежности {ц}, которому соответствует пятерка нечетких Т-чисел { Р }, например, следующего вида:

Ь ) = (0.0,0.0,0.15,0,25), Ь 2 = (0.15,0.25, 0.35, 0,45), Ь з = (0.35,0.45, 0.55,0,65), Ь 4 = (0.55, 0.65, 0.75, 0,85),

Ь3 = (0.75, 0.85, 1.0,1,0). (13)

Терм-множество лингвистической переменной "ситуация по инцидентам с признаками НСД" состоит из пяти компонентов. Каждому из подмножеств А]... А5соответствуют свои функции принадлежности ц [(V) ... ц з(У), где V - комплексный показатель ситуации. Качественный вид функций ц ¡(V) представлен на рис. 4.

Рис. 4. Графическое отображение функции принадлежности лингвистической переменной "ситуация по инцидентам с признаками НСД"

Из данного описания следует, что комплексный показатель состояния V должен принимать значения от нуля до единицы (табл. 3).

Таблица 3

Правило распознавания ситуации для формирования политики безопасности

Классификация уровня параметра V Интервал значений Степень оценочной уверенности (функция принадлежности)

Не опасная ситуация 0 < У:£ 0.15 1

0.15 йУй 0.25 И, = 10 х (0.25 - V)

Относительно благополучная ситуация 0.25 <У<0.35 1

0.35 <, У< 0.45 ц2 = Ю х (0.45 - V)

Средний уровень сложности ситуации, в пределах опыта 0.45 5 У^ 0.55 1

0.55 <У< 0.65 ц з = 10 х (0.65 - V)

Сложная ситуация, сравнимая с встречавшимися ранее ситуациями. 0.65 <У <10.75 1

0.75 <;у< 0.85 И4= 10 х (0.85 -V)

Предельная ситуация, не имеющая аналогов в прошлом 0.85 < У^ 1 1

Уровень относительного вклада каждого показателя г5 на

формирование итоговой величины комплексного показателя V является различным.

В процессе функционирования нечеткой ситуационной сети моделируется множество показателей оценки У = ,гп} . Значения

этих показателей в совокупности характеризуют каждую ситуацию и позволяют по их величине оценить уровень развития ситуации 81. Оценка ситуаций осуществляется при сочетании методов нечеткой логики с методами аналитического моделирования. На этапе аналитического моделирования математические выражения (модели) могут быть уточнены с использованием методов структурно-параметрической идентификации динамических объектов и математической статистики. Построенный согласно заданным требованиям критерий ц(г) является показателем степени принадлежности параметров ситуации к подмножеству реальных режимов формирования инцидентов НСД.

В четвертой главе предлагается метод решения задачи обеспечения информационной безопасности путем создания математического аппарата, предназначенного для выявления злоумышленных действий на фоне инцидентов с признаками НСД. Поведение пользователей и злоумышленников оценивается функцией полезности базы данных.

Введем гипотезу, что при выполнении несанкционированных действий злоумышленник стремится получить максимальное количество информации.

Будем считать, что при считывании сведений из базы данных функция общей полезности (ТЦ) информации вначале возрастает, имеет точку максимума (в), после которой она становится убывающей.

Предельная полезность (МЦ) представляет собой прирост общей полезности набора сведений при увеличении объема считывания данного вида информации на единицу:

<*Увл)

Предельная полезность падает и в точке максимума становится равной нулю, а далее является величиной отрицательной.

Рассмотрим варианты хранения в базе данных только двух сведений: информации х, которая характеризует деятельность одного подразделения, и информации у, которая относится к деятельности другого подразделения.

Предполагается, что сравнительная оценка различных наборов данных может быть выражена при помощи бинарного отношения слабого

предпочтения х > у. На базе отношения слабого предпочтения вводится отношение безразличия (равноценности): два набора данных х и у безразличны для злоумышленника, если одновременно выполняются условия

х>у и у>х . Факт равноценности двух массивов данных обычно записывается при помощи у~х . Понятие строгого (сильного) предпочтения определяется

следующим образом: х>у тогда и только тогда, когда х~>у, а соотношение

у>х не имеет места.

Рассматриваемое отношение является совершенным, транзитивным и рефлексивным. Совершенность отношения означает, что для любых двух наборов сведений из множества X обязательно имеет место либо

соотношение х>у, либо у>х , либо оба вместе х~у. Это означает, что не существует таких информационных массивов, которые пользователь или злоумышленник не мог бы сравнить с другими.

Количество информации каждого типа в массиве х=(х\, х2) выражено в единицах объема (байт) и злоумышленник строит свою сравнительную оценку следующим образом: массив х предпочтительнее массива у или равноценен ему, если его суммарный объем больше или равен объему второго массива.

Отсюда следует, что существует непрерывная скалярная функция и (х), определенная на связном множестве X информационных массивов и являющаяся индикатором предпочтения, поскольку она обладает следующим

характеристическим свойством: х>у тогда и только тогда, когда и (х)>и(у).

Массивы А и В равноценны с точки зрения считывания одного и того же объема информации и лежат на одной и той же кривой безразличия. Для злоумышленника любой массив данных, лежащий на кривой II , предпочтительнее любого массива, лежащего на кривой I , и т.д. Кривые безразличия на рис. 5 графически отражают систему предпочтений злоумышленника.

Кривые безразличия

У=

для функции полезности а Ь

и = х у

и ха

1

Т"

Кривые безразличия линейного типа у -

для функции полезности и = ах + Ьу

Рис.5. Семейство кривых безразличия при считывании фиксированного объема двух видов информации (х и у).

В зависимости от функций полезности различают следующие типы кривых безразличия:

1. Кривые безразличия линейного типа соответствуют функции полезности с полным взаимозамещением информации (сведения, размещенные в одном массиве, дублируют сведения другого массива) и=ах+Ьу, где а ,Ь — параметры функции; и — полезность; х, у - виды информационных сведений.

2. Кривые безразличия классического типа соответствуют функции полезности и=хахуь

Естественно злоумышленник стремится скачать перечень информации, принадлежащий наиболее удаленной от начала координат кривой безразличия. Однако это не всегда возможно, так как его возможности ограничивается средствами и временем, которыми он располагает.

Если обозначать через ^ среднее время, которое необходимо злоумышленнику для считывания единицы информации типа х а через ^ -

среднее время для считывания единицы информации типа у, то соответственно суммарное время, ограничивающее выполнение несанкционированных действий можно записать в виде уравнения

Т = 1хх+1уу (15)

Преобразуем уравнение 15 и получим уравнение прямой линии, которое на рис. 6 представлено в графическом виде:

Рис.6. Графическое отображение области информационных ресурсов базы данных, в рамках которой злоумышленник стремится действовать наиболее рациональным образом.

Чем выше временные и интеллектуальные ресурсы злоумышленника, тем дальше от начала координат находится линия, характеризующая накладываемые на них ограничения.

В общем случае возможности злоумышленника ограничиваются неравенством:

(г,Х) = £ГЛ<7\./ = 1...п (16)

В терминах, применяющихся для описания функции полезности, оптимальный набор считываемой информации соответствует наибольшему значению и(х), т.е. является решением задачи:

ф:) = и(*,х„)=>тах (17)

Неформальные правила злоумышленных действий, и динамика их исполнения является важнейшим ограничивающим фактором.

Функция полезности представляет собой интегральный критерий, который позволяет упорядочить одну из двух альтернатив (пользователь/злоумышленник) по рассчитанной величине функции и выделить благодаря этому наилучшую альтернативу (в смысле принятого критерия).

В заключении приведены основные полученные результаты.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ

В ходе проведения диссертационных исследований были получены следующие результаты:

1) Выполнена концептуализация знаний о предметной области -составлен список базисных (основных) понятий, выявлены отношения между ними, определены стратегии принятия решений в данной предметной области. В результате декомпозиции сложная система была разделена на группу более мелких подсистем с такой взаимосвязью, чтобы глобальная задача преобразовалась в группу взаимосвязанных между собой локальных задач.

2) Разработан комплекс моделей для получения знаний о параметрах потока событий с признаками НСД.

В рамках созданной структуры комплекса моделей приведено математическое описание следующих моделей:

1. Модель исследования временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий регистрируется признак НСД.

2. Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

3. Модель прогнозирования основных тенденций развития методов и средств осуществления угроз информационным системам.

Все вышеизложенное позволило создать систему анализа информации и разработать модель оценки развития ситуаций с признаками НСД методом нечеткой логики.

3) Разработан метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Перервенко A.B. Анализ распределенных систем атак. // V Всероссийская научная конференция студентов и аспирантов 12-13.10.2000. Изд. ТРТУ 2000. - С. 10

2. Перервенко A.B. Анализ проекта профиля защиты «Меточная защита» (ПЗ МЗ), разработанного на основе методологии национального стандарта ИСО/МЭК 15408-2002. // IX Санкт-Петербургская международная конференция "Региональная информатика-2004". Труды конференции. 22-24 июня 2004. Изд. СПОИСУ 2004. - С. 147

3. Перервенко A.B. Определение наиболее эффективной политики безопасности с учетом результатов прогнозирования изменений модели угроз. // Сборник трудов научно-практической конференции. - СПб: ВИТУ, 2005.-С. 58

Подписано в печать 27.09.05. Формат 60*84 1/16. Бумага офсетная. Печать офсетная. Печ. л. 1,0. Тираж 100 экз. Заказ 88.

Отпечатано с готового оригинал-макета в типографии Издательства СПбГЭТУ "ЛЭТИ"

Издательство СПбГЭТУ "ЮТИ" 197376, С.-Петербург, ул. Проф. Попова, 5

118285

РНБ Русский фонд

2006-4 15387

Введение.

Глава 1. Исследование проблемы формирования политики безопасности в автоматизированных системах управления технологическими процессами.

1.1. Постановка задачи на разработку алгоритмов моделирования и анализа политик безопасности автоматизированных систем.

1.2. Исследование тенденций развития автоматизированных систем для управления технологическими процессами.

1.3. Исследование процессов развития методов и средств формирования угроз автоматизированным системам.

1.4. Исследование основных направлений и тенденций развития методов и средств защиты информации.

1.5. Методологические основы формирования политики безопасности путем моделирования процессов развития автоматизированных систем и их анализа.

Выводы по первой главе.

Глава 2. Теоретико-познавательные модели оценки и анализа статистических данных для формирования политики безопасности автоматизированных систем.

2.1. Обоснование и выбор статистических моделей исследования процессов формирования политики безопасности автоматизированных систем.

2.2. Группировка статистических данных, содержащих сведения о параметрах модели угроз автоматизированным системам.

2.3. Модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий регистрируется признак несанкционированных действий.

2.4. Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

2.5. Модель прогнозирования основных тенденций развития методов и средств осуществления угроз автоматизированным системам.

Выводы по второй главе.

Глава 3. Система моделей комплексной оценки потока событий активного аудита для планирования политик информационной безопасности.

3.1. Обоснование метода планирования политики информационной безопасности.

3.2. Ситуационное моделирование процессов управления политикой безопасности автоматизированных систем.

3.3. Постановка и решение задачи» оценки развития ситуаций с признаками несанкционированных действий методом нечеткой логики.82.

Выводы по третьей главе.

Глава 4. Формирование и реализация, политики безопасности при; возникновении условий, благоприятных; для злоумышленных несанкционированных действий.

4.1. Постановка задачи выявления злоумышленных действий на фоне: потока событий, классифицируемых как несанкционированные действия.

4.2. Модель планирования политики безопасности и активизации профилактических мероприятий в условиях, являющихся благоприятными для злоумышленных действий.

4.3. Моделирование злоумышленных действий методом временной логики предикатов.

Выводы по четвертой главе.

Проблема диссертационного исследования является весьма актуальной — в наши дни обеспечение безопасности автоматизированных систем (АС) входит в круг интересов всех участников информационного процесса. Это связано с тем обстоятельством, что функционирование государственных и коммерческих АС становится невозможным без поддержания их безопасности и целостности. Прогресс в области защищенных информационных технологий сопровождается постоянным усилением требований поддержания безопасности. Однако существующая статистика нарушений свидетельствует о продолжающемся кризисе в области информационной безопасности, основными причинами которого являются недостатки проектирования и эксплуатации средств защиты. Функции АС должны выполняться при опережающих темпах развития систем защиты информации, и, прежде всего, появления новых идей в сфере формирования политик безопасности. Только это может гарантировать защиту информации от нежелательного распространения, изменения или потери. Для задания политики безопасности (ПБ) потребители вынуждены использовать стандартные решения* предлагаемые производителем. Отсутствие у потребителя гарантий, кроме утверждений разработчиков, что в используемой системе ПБ выполняется корректно, является одной из основных причин нарушений безопасности. Эта проблема особенно остро стоит в АС, к которым предъявляются повышенные требования гарантированности защиты: в системах управления технологическими процессами, движением транспорта, проведения банковских операций, обработки секретной информации.

Различные вопросы создания теоретической и методологической базы, моделирования правил политики безопасности рассматриваются в работах таких ученых как Герасименко В.А., Грушо А.А., Расторгуев С. П., Щербаков А.Ю., Деннинг Д.Е., МакЛин Д., Сандху Р., Самарати П. Специалисты Гостехкомиссии и ее подведомственных организаций разрабатывают средства автоматизации анализа защитных свойств (например, НКВД, АИСТ). Новое научное направление, изучающее методы предотвращения случайного или преднамеренного раскрытия, искажения или уничтожения информации в автоматизированных системах управления, создано сравнительно недавно. Это может служить некоторым оправданием наличия ряда важных нерешенных научных проблем. Эти проблемы являются достаточно сложными не только в теоретическом, но и методологическом плане.

Если рассматривать проблему в целом, то следует отметить, что в нашей стране отсутствует даже общепринятая терминология. Официальным единственным стандартом в России являются документы, подготовленные Гостехкомиссией РФ. Теория и практика зачастую действуют в разных плоскостях, поэтому основными причинами системного кризиса являются недостатки проектирования и эксплуатации средств защиты.

Следствием этого является то, что практически все системы защиты основаны на анализе результатов успешно состоявшейся атаки, что предопределяет их отставание от текущей ситуации. В качестве примера можно привести распространенную практику закрытия «внезапно» обнаружившихся пробелов в системе защиты.

Существующие публикации на эту тему в основном ограничиваются перечислением моделей угроз и аналитическими обзорами.

Проблема выявления действий злоумышленника значительно усложняется, когда они происходят в условиях периодического срабатывания системы защиты в результате таких непреднамеренных действий добросовестных пользователей, которые классифицируются как несанкционированные действия.

Несмотря на очевидную актуальность задача анализа и прогнозирования данных о наиболее вероятных действиях злоумышленника на фоне регистрируемых фактов несанкционированных действий (НСД) по вине добросовестных пользователей, а также комплексной оценки ситуации на основе полной и достоверной информации не получила должного решения.

Проблема наиболее полного учета всей накопленной статистической информации, управление системой защиты информации на основе прогнозирования развития ситуации при выявлении несанкционированных действий представляет собой сложную научно-производственную проблему государственного масштаба, одной из составных частей которой является проблема создания системы организационно-технических мероприятий защиты информации в процессе разработки правил политики безопасности. Актуальность этой темы определила цель диссертационного исследования.

Целью данной диссертации является разработка комплекса моделей и методического аппарата защиты информации путем формирования политик безопасности и выявления несанкционированных действий злоумышленника на основе данных систем активного аудита.

В соответствии с этой целью объектом исследования являются модели и методы защиты автоматизированных систем, а предметом исследования является процесс формирование потока данных активного аудита о действиях, как злоумышленников, так и добросовестных пользователей, математические модели и методы разработки политик безопасности и рекомендаций по защите информации.

Достижение поставленной в диссертации цели предопределило постановку и решение следующих основных задач исследований:

1. Разработка теоретико-познавательных моделей, предназначенных для изучения статистических данных систем активного аудита о характеристиках потока событий с признаками НСД.

2. Разработка моделей комплексной оценки потока событий с признаками НСД, которые предназначены для исследования процесса наблюдения и контроля состояния информационной безопасности распределенной автоматизированной системы, с целью получения знаний для управления процессом планирования политик безопасности.

3. Разработка метода выявления несанкционированных действий злоумышленника, осуществляемых на фоне потока событий активного аудита с признаками НСД, возникшими по вине добросовестных пользователей.

Решение этих задач в процессе диссертационных исследований позволило разработать и обосновать ряд положений, которые выносятся на защиту. К ним относятся следующие положения:

1. Теоретико-познавательные модели исследования технологических процессов формирования и комплексной оценки потока событий с признаками НСД.

2. Метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения.

Научная новизна полученных результатов:

1. Определен и обоснован базовый состав моделей защиты информации от непреднамеренных помех различного происхождения и для оценки характеристик потока событий. В отличие от уже созданных моделей, предлагаемые модели обеспечивают учет результатов обследования состояния и выявленных тенденций изменения наиболее существенных факторов. С этой целью в работе разработаны следующие модели:

• Модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий в автоматизированной системе регистрируется признак НСД.

• Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

• Модель прогнозирования основных тенденций развития методов и средств осуществления угроз автоматизированным системам.

2. Задача управления процессом планирования политики безопасности впервые решается построением модели комплексной оценки потоков событий систем активного аудита и построением нечеткой ситуационной сети, которая представляет собой нечеткий граф переходов по эталонным позициям.

3. Разработан метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения. В отличие от существующих методов выявления злоумышленников предлагаемый метод основан на использовании принципов ситуационного управления процессом, условий реализации с учетом возможных возмущений.

Практическая значимость результатов исследований состоит в следующем:

• Разработанные модели позволяют обеспечить решение практических задач получения новых знаний о характеристиках потока событий с признаками НСД на основе статистической информации, предоставляемой системами активного аудита.

• Практическая значимость полученных в диссертации результатов определяется возможностью их использования органами управления Российской Федерации при практическом использовании автоматизированных систем. Математические модели и методы оформлены в виде пакета прикладных программ в операционной среде «Windows».

Основное содержание и результаты исследований опубликованы в печати.

Полученные научные результаты непосредственно связаны с научно-практической деятельностью автора в процессе выполнения им соответствующих заданий НИР. В процессе выполнения диссертационных исследований использовалась оперативная статистическая информация, накапливаемая в учреждениях Главного Управления Банка России по Ленинградской области (ГУ БР по ЛО).

Диссертационная работа включает введение, 4 главы, заключение, список литературы. Объем диссертации 129 страниц, из них список литературы на 8 листах, 35 рисунков и таблиц.

Выводы по четвертой главе.

1. Преимущество систем обнаружения вторжений, основанных на поведении, состоит в том, что они могут обнаруживать попытки использования новых и непредвиденных уязвимостей, а также могут (частично) автоматически обнаруживать новые атаки. Они менее зависимы от специальных механизмов операционных систем. Высокий процент ложных сигналов тревоги обычно считается главным недостатком систем обнаружения вторжений, основанных на поведении, поскольку все аспекты поведения пользователей автоматизированной системы не могут быть учтены на этапе обучения.

2. Предлагается поведение пользователей и злоумышленников оценивать функцией полезности базы данных. Принципиальное отличие в их действиях определяется отличием целей осуществляемого доступа в базу данных. Злоумышленник стремится получить максимум наиболее ценной информации, которая хранится в информационных элементах разных пользователей. Добросовестный пользователь работает с информацией в пределах предметной области, которая определяется его функциональными обязанностями. Различие целей доступа проявляется в рассчитанных значениях функции полезности: целевая функция злоумышленника стремится к ее максимальному значению, значения целевой функции добросовестного пользователя находятся в пределах его среднестатистического уровня.

3. Разработана функция полезности, представляющая собой интегральный критерий, который позволяет упорядочить одну из двух альтернатив (пользователь/злоумышленник) по рассчитанной величине функции и выделить благодаря этому наилучшую альтернативу (в смысле принятого критерия). Выбор аддитивной функции полезности позволяет определять вклад каждого частного критерия/ в интегральный критерий. Функция полезности системы зависит только от функций полезности элементов и монотонно возрастает по каждому аргументу.

4. Построена система линейных решающих правил, которые обеспечивает необходимую степень адекватности предметной области, минимальные вычислительные трудности расчета интегрального критерия для разных альтернатив, устойчивость результатов от малых изменений исходных данных.

5. Использование линейной временной логики предикатов для моделирования действий злоумышленника является наиболее обоснованным в связи с тем, что в настоящее время практически во всех автоматизированных системах используется реляционная база данных. Линейная временная логика позволяет моделировать смену ситуаций, которые происходят в результате эволюции действий злоумышленника с течением времени при несанкционированном доступе к автоматизированной системе.

Заключение

Защита информации в автоматизированной системе требует последовательного решения двух задач: достоверного выявления действий злоумышленника и применение комплекса организационно-технических мероприятий, адекватных степени угрозы.

Существующие тенденции проектирования автоматизированных систем, развитие методов и средств несанкционированного доступа ужесточают требования к системам защиты. Цена ошибки является достаточно высокой: необоснованное применение системы защиты информации снижает производительность автоматизированной системы, неприменение системы защиты связано с риском потери или утечки информации.

Актуальность проблемы, связанной с разработкой алгоритмов моделирования и анализа политик безопасности автоматизированных систем, предопределила выбора темы исследования.

В большинстве проблемных областей, связанных с достоверной и точной оценкой состояния и развития автоматизированных систем, невозможно создание формальных традиционных количественных моделей. Системный анализ требует исследования содержания потока событий с признаками НСД по показателям, связанным со смысловым аспектом накопленной статистической информации. Для проблем подобного типа характерно наличие неопределенности, описания отдельных параметров процесса на качественном уровне.

Поэтому первая глава посвящена анализу этой сложной проблемы.

При решении первой научной проблемы была выполнена концептуализация знаний о предметной области - составлен список базисных (основных) понятий, выявлены отношения между ними, определены стратегии принятия решений в данной предметной области. В результате декомпозиции сложная система была разделена на группу более мелких подсистем с такой взаимосвязью, чтобы глобальная задача преобразовалась в группу взаимосвязанных между собой локальных задач.

Практическим результатом выполненного во второй главе исследования предметной области явилась разработка системы моделей для получения знаний о параметрах потока событий с признаками НСД.

Комплекс моделей представляет собой инструмент, позволяющий любому исследователю адаптировать выбранную систему оценки качества информации (набор оцениваемых параметров) таким образом, чтобы эта система была максимально адекватна конкретной заданной цели действия. Другими словами, в выполненной работе реализован такой подход, при котором в каждом конкретном случае строится определенная конфигурация математических моделей, характеризующих количественную оценку качества от набора оцениваемых показателей (параметров).

В рамках созданной структуры комплекса моделей приведено математическое описание следующих моделей:

1. Модель исследования динамики временных рядов формирования ситуаций, в которых при отсутствии злоумышленных действий в автоматизированной системе регистрируется признак НСД.

2. Модель исследования однородности выборок методом однофакторного дисперсионного анализа.

3. Модель прогнозирования основных тенденций развития методов и средств осуществления угроз автоматизированным системам.

Все вышеизложенное позволило создать систему анализа информации и разработать модель оценки развития ситуаций с признаками НСД методом нечеткой логики.

Проведенные в третьей главе расчеты и последующая апробация результатов исследования подтвердили адекватность принятого описания физической сущности процесса.

Введение в состав целевой функции дополнительного фактора, характеризующего логику поведения злоумышленника, потребовало создания более сложной модели. Формализация проблемы выявления злоумышленника на фоне инцидентов НСД и активизация профилактических мероприятий для противодействия обнаруженной угрозе рассматривается в четвертой главе.

Реализация новых наукоемких технологий в практической деятельности позволяет решать задачи защиты информации от несанкционированного доступа. Решение всех перечисленных задач в процессе диссертационных исследований позволило разработать и доказать ряд положений, которые выносятся на защиту. К ним относятся следующие положения:

1. Теоретико-познавательные модели исследования технологических процессов формирования и комплексной оценки потока событий с признаками НСД.

2. Метод выявления действий злоумышленника в условиях непреднамеренных помех различного происхождения.

Реализация полученных научных результатов в практической деятельности ГУ БР по Л О наглядно демонстрируют возможность их использования другими государственными организациями и ведомствами, а также коммерческими предприятиями.

На основании вышеизложенных результатов диссертационной работы можно сделать общий вывод о достижении основных задач, поставленных на проведение исследований.

122

1. Бешелев С.Д., Гурвич Ф.Г. Математико-статистические методы экспертных оценок. М.: Статистика, 1980, 263 с.

2. Борисов А. Н., Крумберг О. А., Федоров И. П. Принятие решений на основе нечетких моделей. — Рига: Зинатне, 1990.

3. Брагг Р. Система безопасности Windows 2000. М.: Изд. Дом "Вильяме", 2001, 592 с.

4. Вентцель Е.С. Теория случайных процессов и ее инженерное применение. -М.: Высшая школа, 2000, 383 с.

5. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, кн. 1 и 2, 1994.

6. Герасименко В.А., Малюк А.А., Основы защиты и нформации. — М.: МИФИ, 1997.

7. Глотов В. А., Павельев В. В. Векторная стратификация. — М.: Наука, 1984.

8. Глушков В.М., Иванов В.В. Моделирование развивающихся систем. М.: Наука, 1983.

9. Грушо А. А., Тимонина Е.Е. Теоретические основы защиты информации. —М.: Яхтсмен, 1996.

10. Грушо А.А., Тимонина Е.Е. Двойственность многоуровневой политики безопасности //Методы и технические средства обеспечения безопасности информации: Тез. докл. СПб: Изд-во СПбГТУ, 2000, с. 40-41.

11. Заварыкин В. М., Житомирский В. Г., Лапчик М. П. Численные методы. М.: Просвещение, 1991.

12. Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976.

13. Защита от несанкционированного доступа к информации. Термины и определения. Руководящий документ. М.: Гостехкомиссия России, 1992, 13с.

14. Зегжда П.Д. Способы защиты информации. — М.: Яхтсмен, 1996.

15. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему. СПб: НПО "Мир и семья-95", 1997, 312 с.

16. Зегжда Д.П., Калинин М.О. Моделирование политик безопасности для исследовательских и обучающих целей //Проблемы информационной безопасности. Компьютерные системы, 2000, №2, с. 105-111.

17. Зима В.М., Молдовян А.А. Компьютерные сети и защита передаваемой информации. СПб: Издательство СПбГУ, 1999, 328 с.

18. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. СПб: СПбГУ, 1999, 368 с.

19. Зима В.М., Молдовян А.А., Молдовян Н.А. Защита компьютерных ресурсов от несанкционированных действий пользователей. Учебное пособие. — СПб: ВИКА им. Можайского, 1997, 257 с.

20. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО 15408-1-99: В 3 ч. Ч. 1: Введение и общая модель. Первая редакция. М.: Госстандарт России, 1999, 51 с.

21. Информационная технология Методы и средства безопасности -Критерии оценки безопасности информационных технологий. ISO/IEC 154081,2,3:1999.

22. Каста Дж. Большие системы: связность, сложность и катастрофы: Перевод с англ. яз. М.: Мир, 1982, 216 с.

23. Керниган Б.В., Пайк P. UNIX — универсальная среда программирования. М.: Финансы и статистика, 1992, 304 с.

24. Комментарий к международному стандарту ISO 15804 "Общие критерии оценки безопасности информационных технологий" для финансовых организаций. Научно-технический Центр Ассоциации Российских Банков.

25. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. Руководящий документ. М.: Гостехкомиссия России, 1992, 9 с.

26. Логическое программирование //Сборник. М. Мир, 1988, 368 с.

27. Макеев С. П., Шахнов И. Ф. Упорядочение объектов в иерархических системах // Известия АН СССР. Техническая кибернетика. — 1991,-№3.

28. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. — М: Горячая линия-Телеком, 2004, 280 с. ил.

29. Математические основы информационной безопасности /Баранов А.П., Борисенко Н.П., Зегжда П.Д. и др. Орел: ВИПС, 1997, 354 с.

30. Мельников Д.А. Информационные процессы в компьютерных системах. М.: Кудиц - образ, 1999, 256 с.

31. Нечеткие множества и теории возможностей. / Под редакцией P.P. Ячера. Пер. с англ. М.: Радио и связь, 1986.

32. Общие критерии оценки безопасности информационных технологий: Учебное пособие. Перевод с английского Е.А. Сидак/Под ред. М.Т. Кобзаря, А.А. Сидака. М.:ЦБИ, 2001, 81 с.

33. Общая методология оценки безопасности информационных технологий Часть 1: Введение и общая модель, СЕМ-97/017 версия 0.6, январь 1997.

34. Общая методология для оценки безопасности информационных технологий — Часть 2: Методология оценки, СЕМ-99/045 версия 1.0, август 1999.

35. Перервенко А.В. Определение наиболее эффективной политики безопасности с учетом результатов прогнозирования изменений модели угроз. // Сборник трудов научно-практической конференции. — СПб: ВИТУ, 2005. — с. 58.

36. Петров В.А., Пискарев А.С., Шеин А.В. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1995.

37. Поспелов Д.А. Большие системы (ситуационное моделирование). — М.: Наука, 1979.

38. Просихин В.П. Формализация условий безопасности и моделирование действий нарушителя в системах, построенных на основе модели Белла-ЛаПадула //Проблемы информационной безопасности. Компьютерные системы. 2000, №2, с. 57-64.

39. Ракитин В. И., Первушин В. Е. Практическое руководство по методам вычислений с приложением программ для персональных компьютеров. М.: Высш. шк., 1998.

40. Расторгуев С.П. Введение в теорию информационного противоборства. СПб.: Изд-во СПбГТУ, 2000, 74 с.

41. Робачевский A.M. Операционная система UNIX. СПб.: БХВ-Петербург, 2000, 528 с.

42. Романов А.Н., Одинцов Б.Е. Советующие информационные системы в экономике. М.: ЮНИТИ - ДАКА, 2000, 487 с.

43. Саати Т., Керне К. Аналитическое планирование, организация систем. М.: Радио и связь, 1991, 223 с.

44. Саати Т. Принятие решений. Метод анализа иерархий. — М.: Радио и связь, 1989.

45. Себеста Р.У. Основные концепции языков программирования. М.: Издат. дом "Вильяме", 2001, 672 с.

46. Сидак А.А. Формирование требований безопасности современных сетевых информационных технологий. Серия "Безопасность информационных технологий". М.:МГУЛ, 2001.

47. Советов Б .Я. Информационные технологии. М.: Высшая школа, 1994, 368 с.

48. Советов Б.Я., Цехановский В.В. Автоматизированное управление современным производством. — Л.: Машиностроение, Ленинградское отделение, 1988, 168 с.

49. Справочник по теории вероятностей и математической статистике/ под ред. Королюка B.C. Киев: Наукова думка, 1978, 584 с.

50. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники от несанкционированного доступа к информации. Руководящий документ. М.: Гостехкомиссия России, 1992, 25 с.

51. Таненбаум Э. Современные операционные системы. СПб: Питер, 2002, 1040 с.

52. Тей А., Грибомон П., Луи Ж., Снийерс Д. и др. Логический подход к искусственному интеллекту: от классической логики к логическому программированию. М. Мир, 1990, 432 с.

53. Фишберн П. С. Теория полезности для принятия решений. — М.: Наука, 1977.

54. Хопкрофт Д.Э., Мотвани Р., Ульман Д.Д. Введение в теорию автоматов, языков и вычислений. М.: Изд. дом "Вильяме", 2002, 528 с.

55. Щербаков А.Ю. К вопросу о гарантированной реализации политики безопасности в компьютерной системе //Безопасность информационных технологий, 1997, №1, с. 15-26.

56. Allan H., Maimone M.W., Tygar J.D, Wing J.M., Moormann Zaremski A. Miry: Visual Specification of Security. IEEE Transactions on Software Engineering (TSE), 16(1), 1990. P. 1185-1197.

57. Beitino E., Jajodia S., Samarati, P. A flexible authorization mechanism for relational data management systems. ACM Transactions on Information Systems 17(2), 1999. P. 101-140.

58. Bell D.E., LaPadula L J. Secure Computer Systems: Mathematical Foundations. MITRE Technical Report 2547, Vol. II, MITRE, Bedford, MA, 1973. 31 p.

59. Bell D.E., LaPadula L.J. Secure computer systems: Unified exposition and Multics interpretation. MITRE Technical Report 2997, MITRE, Bedford, MA, 1975. 134 p.

60. Bertino E. Buccafurri F.; Ferrari E., Rullo P. An authorizations model and its formal semantics. Proc. of the 5th European Symp. on Research in Computer Security (ESORICS'98), number 1485 in LNCS,, Louvain-la-Neuve, Belgium, 1998. P. 127-142.

61. Bonatti P., De Capitani Di Vimercati S., Samarati P. An Algebra for Composing Access Control Policies. ACM Transactions on Information and System Security (TISSEC), 5(1), 2002. p. 1-35.

62. Castano S., Fugini M.G., Martella G., Samarati P. Database Security. Addison-Wesley, 1995. 456 p.

63. Cholvy L., Cuppens F. Analyzing Consistency of Security Policies. Proc. of the 1997 IEEE Symposium on Security and Privacy. Oakland, С A, USA: IEEE Press, 1997. P. 103-112.

64. Curry D.A. Unix System Security. Addison-Wesley, Reading, MA, 1992.296р.

65. Damianou N., Dulay N., Lupu E., Sloman M. The Ponder Policy Specification Language. Proc. Policy 2001: Workshop on Policies for Distributed Systems and Networks, Bristol, UK, 2001. P. 29-31.

66. Denning D.E. Cryptography and Data Security. Addison-Wesley, 1982.400 p.

67. Goguen J. A., Meseguer J. Security Policies and Security Models. Proc. 1982 IEEE Symposium on Security and Privacy, IEEE Computer Society Press, 1982. p. 11-20.

68. Gollmann D. Computer Security. John Wiley and Sons, 1999. 320 p.

69. Gray J. W., Ill, Syverson P. F. A Logical Approach to Multilevel Security of Probabilistic Systems /Proc. of the 1992 IEEE Symposium on Security and Privacy, Oakland, CA, 1992. P. 164-176.

70. Haigh J. T. A Comparison of Formal Security Models. Proc. 7th National Computer Security Conference, Gaithersburg, MD, 1984. p. 88-111.

71. Harel D. On Visual Formalisms. Comm. of the ACM, 31(5), 1988. P. 512-530.

72. Harrison M.A., Ruzzo W.L., Ullman J.D. Protection in operating systems. Comm. of the ACM, 19(8), 1976. p. 461-471.

73. Hoagland J.A. Security Policy Specification Using a Graphical Approach. The University of California, Davis Department of Computer Science, Davis, CA, 1993. 2 p.

74. Hoagland J.A., Pandey R., Levitt K.N. Security Policy Specification Using a Graphical Approach. Technical Report CSE-98-3, The University of California, Davis Department of Computer Science, Davis, CA, 1998. 17 p.

75. Jajodia S., Samarati P., Subrahmanian V.S. A Logical Language for Expressing Authorizations. Proc. of the 1997 IEEE Symposium on Security and Privacy. Oakland, CA, USA, IEEE Press, 1997. P. 31-42.

76. Jajodia S., Samarati P., Subrahmanian V., Beitino E. A unified framework for enforcing multiple access control policies. In Proc. ACM SIGMOD International Conference on Management of Data, Tucson, AZ, 1997. P. 474-485.

77. Li N., Feigenbaum J., Grosof B. A logic-based knowledge representation for authorization with delegation. Proc. of the 12th IEEE Computer Security Foundations Workshop, Mordano, Italy, 1999. P. 162-174.

78. McLean J. The specification and modeling of computer security. IEEE Computer, 23(1),. 1990. p. 9-16.

79. McLean J. A Comment on the 'Basic Security Theorem of Bell and LaPadula / Information Processing Letters, Vol. 20(2), 1985. P. 67-70.

80. McLean J. Security models and information flow. In Proceedings of the 1990 IEEE Symposium on Research in Security and Privacy. IEEE Computer Society Press, 1990. p. 180-187.

81. McLean J. A Formal Method for the Abstract Specification of Software. Journal of the ACM, 31(3), 1984. p. 600-627.

82. McLean J. Proving noninterference and functional correctness using traces /Journal of Computer Security, 1(1), 1992. p. 37-57.

83. Miller D.V., Baldwin R.W. Access control by Boolean Expression Evaluation. Proc. 5th Annual Computer Security Applications Conference. Tucson, AZ, USA: IEEE Computer Society Press, 1990. P. 131-139.

84. Morgan R., McGilton H. Introducing UNIX System V. McGraw-Hill Book Company, 1987. 612 p.

85. Schultz E.E. Windows NT/2000 Network Security. Macmillan Technical Publishing, 2000. 437 p.

86. Tidswell J. E., Jaeger T. An Access Control Model for Simplifying Constraint Expression. Proc. of the 7th ACM conference on Computer and Communications Security, 2000. P. 154-163.