автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка и исследование алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы

кандидата технических наук
Сушков, Павел Феликсович
город
Воронеж
год
2005
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Разработка и исследование алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы»

Автореферат диссертации по теме "Разработка и исследование алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы"

СУШКОВ Павел Феликсович

РАЗРАБОТКА И ИССЛЕДОВАНИЕ АЛГОРИТМОВ КОМПЛЕКСНОЙ ОЦЕНКИ ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ

СФЕРЫ

Специальность 05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Воронеж 2005

Работа выполнена в Воронежском институте МВД России.

Научный руководитель: доктор технических наук

Заряев Александр Васильевич

Официальные оппоненты: доктор технических наук, профессор Попова Лариса Георгиевна

кандидат технических наук, старший научный сотрудник Толстых Николай Николаевич

Ведущая организация: Московский инженерно-физический институт (государственный университет)

Зашита диссертации состоится 23 июня 2005 г в 14:00 часов на заседании диссертационного совета Д 212.037 08 при Воронежском государственном техническом университете по адресу:

394026, Воронеж, Московский проспект, 14, конференц-зал. С диссертацией можно ознакомиться в библиотеке Воронежского государственного технического университета. Автореферат разослан 21 мая 2005 г.

Ученый секретарь

диссертационного совета ¡Оа.гмл^к^у Батшцев Р.В.

200£г£

щог

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. Интенсивное развитие и совершенствование информационных технологий приводит к необходимости рассматривать в качестве доминирующей тенденцию расширения информационной сферы Это обусловило появление отдельного класса элементов этой сферы, ее так называемых критически важных сегментов - информационных систем, обеспечивающих деятельность органов государственного управления, систем управления инфраструктурой связи, финансов, энергетики, транспорта и чрезвычайных служб. Вместе с тем, расширение информационной сферы привело к появлению различного рода угроз элементам информационной сферы. При этом главным объектом таких угроз стали ее критически важные сегменты. Это обусловило необходимость решения ряда проблем, связанных с организацией защиты информационной сферы с целью предотвращения ущерба от нарушения ее безопасности при наличии различных источников угроз.

Одним из наиболее серьезных источников угроз безопасности информационной сферы являются вредоносные программы - один из основных инструментов противоправного манипулирования информацией в ее компьютерных сетях. Вредоносные программы проектируются высококвалифицированными специалистами как программы вирусного типа, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды. Эти свойства позволяют вредоносным программам реализовывать функции противозаконного манипулирования информацией за крайне короткие периоды времени, что значительно затрудняет возможность их обнаружения и устранения и, как следствие, ставит такие программы в разряд одного из самых совершенных на сегодняшний день инструментов противоправных действий в информационной сфере.

Вредоносные программы влияют, в первую очередь, на временные характеристики элементов информационной сферы, так как результатом их воздействия являются значительные временные потери, связанные с восстановлением корректности информационных процессов.

В связи с этим становится очевидным, что вредоносные программы являются фактором существенного снижения эффективности применения, в первую очередь, критически важных сегментов информационной сферы, так как их деятельность ориентирована на оперативную обработку поступающей информации. Это, в свою очередь, позволяет отнести вредоносные программы к отдельному классу наиболее серьезных угроз безопасности информационной сферы.

Отсюда актуальной становится задача защиты критически важных сегментов информационной сферы от данного вида угроз. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего ис-

следования технологий противодействия вредоносным программам Это предполагает проведение исследования, неправленого на:

проведение системного анализа состояния защищенности от вредоносных программ как информационной сферы в целом, так и ее отдельных критически важных сегментов;

исследование эффективных способов и средств противодействия вредоносным программам;

оценку технологий противодействия вредоносным программам в критически важных сегментах информационной сферы.

Диссертационная работа выполнена в соответствии с Доктриной информационной безопасности Российской Федерации, а также в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации.

Объектом исследования являются технологии противодействия вредоносным программам в критически важных сегментах информационной сферы.

Предметом исследования выступают методы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Целью исследования является совершенствование методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы на основе синтеза комплексного показателя эффективности используемых технологий противодействия.

Для достижения этой цели в работе решены следующие научные задачи:

1. Теоретически обоснованы системные требования к синтезу комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

2. Разработан алгоритм синтеза такого показателя.

3. Построена оптимальная структура частных показателей эффективности используемых технологий противодействия вредоносным программам.

4. Разработан комплекс аналитических и имитационных моделей, обеспечивающих оценку показателей эффективности используемых технологий противодействия вредоносным программам.

5. Экспериментально проверены алгоритмы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Методы исследования. В работе использованы методы теории информационной безопасности, теории множеств, теории графов, математического моделирования, теории вероятности и математической статистики, теории случайных процессов.

Степень обоснованности научных положений, выводов и рекомендаций, сформулированных в диссертации, обеспечивается'

• применением апробированного математического аппарата в процессе формализации процессов противодействия вредоносным программам;

• экспериментальной проверкой разработанных математических моделей и соответствием полученных результатов известным из научной литературы случаям.

Научная новизна результатов, полученных в диссертации при решении перечисленных задач, состоит в следующем:

1. Разработан алгоритм комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы, отличающийся от известных способов решения аналогичных задач тем, что интегрирование частных показателей производится на основе учета их влияния на целевую функцию - степень предотвращения ущерба информационной сферы от нарушения ее безопасности.

2. Предложен методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам, который, в отличие от аналогов, дает возможность управлять степенью детализации исследуемых процессов.

3. Предложены новые решения по построению математических моделей противодействия вредоносным программам, основанные на использовании подобия частных показателей используемых технологий противодействия классическому представлению случайных величин.

Основные положения, выносимые на защиту:

1. Постановка и результаты решения задачи синтеза комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы на основе построения оптимальной структуры частных показателей и его применения для оценки эффективности используемых технологий противодействия вредоносным программам.

2. Методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам.

Практическая значимость и результаты внедрения.

Результаты диссертационной работы внедрены в Воронежском институте МВД России, Главном Управлении внутренних дел Воронежской области, Управлении внутренних дел Тамбовской области, Военном ин-

статуте радиоэлектроники Министерства обороны РФ Аюы о внедрении прилагаются.

Апробация работы. Основные методические и практические результаты исследований докладывались и были одобрены на Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью» (Воронеж, 2002 г.), Межрегиональной научно-практической конференции «Информация и безопасность» (Воронеж, 2002г.), IV Всероссийской научно-практической конференции «Охрана, безопасность и связь» (Воронеж, 2003 г.), Всероссийской научно-практической конференции «Современные проблемы борьбы с преступностью», а также на семинарах в Воронежском институте МВД России

Публикации. По теме диссертационной работы опубликовано 12 научно-технических статей.

В работах, опубликованных в соавторстве, приведенных в коние автореферата /1-9, 11-12/, лично автором предложено- классифицировать компьютерные вирусы с учетом комплексного проявления ими свойств ассоциативности, репликативности и изоморфности; использовать функционально-информационное описание информационных процессов как необходимый этап их исследования методами моделирования; систематизация обстоятельств, обусловливающих необходимость сохранения в тайне действий правоохранительных органов; использовать в качестве основополагающего принципа идентификации компьютерных преступлений принцип иерархического описания стратегий несанкционированного доступа к информации в компьютерных системах; иллюстрация использования злоумышленниками различных свойств компьютерных вирусов при реализации этапов обобщенной стратегии несанкционированного доступа к информации в компьютерных системах; идентифицировать противоправные действия в сфере компьютерной информации с помощью двухуровневой системы, первый уровень которой обеспечивает выявление факта противоправного действия, а второй - следов таких воздействий; рассматривать методику оценки защищенности информационно-телекоммуникационных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей, выявлять факты противоправного воздействия на информацию в компьютерных сетях с помощью смыслового контроля информационных параметров вычислительных процессов; рассматривать в качестве доминирующего фактора повышения раскрываемости компьютерных преступлений наличие полного набора идентифицирующих признаков такого рода противоправных действий; рассматривать в качестве основных классифицирующих признаков свойств вредоносных программ их активность и живучесть; формировать комплексный показатель для оценки эффективности противодействия вредоносным программам на основе иерархической структуризации частных показателей

Структура и объем работы. Диссертация изложена на 95 страницах и состоит из введения, четырех глав, заключения, библиографического списка использованной литературы и приложения, содержит 51 рисунок и 19 таблиц.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность темы диссертационного исследования, формулируются цель и задачи исследования, научная новизна и теоретическая ценность, положения, выносимые на защиту, а также практическая значимость и результаты внедрения

В первой главе «Особенности противодействия вредоносным программам в критически важных сегментах информационной сферы» приводится анализ вредоносных программ как источника угроз критически важным сегментам информационной сферы, рассматриваются технологии противодействия вредоносным программам, приводится содержательная и формальная постановки задач исследования.

Для решения задачи комплексной оценки противодействия вредоносным программам в критически важных сегментах информационной сферы сформулирован ряд принципов.

Основополагающим принципом является принцип поэтапной интегрируемости частных показателей используемых технологий противодействия вредоносным программам, в соответствии с которым структура показателей должна обеспечивать последовательное обобщение их групп до тех пор, пока не сформируется единственный комплексный показатель.

Из основополагающего вытекает ряд дополнительных принципов.

Принцип однородности показателей эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы определяет время как наиболее целесообразную форму описания функциональных возможностей используемых технологий противодействия.

В соответствии с принципом иерархии показателей эффективности противодействия вредоносным программам предполагается в качестве основы для нх систематизации существующая иерархия возможностей соответствующих технологий.

Принцип оцениваемости показателей предполагает использование единой шкалы для их оценки В качестве таковой должна быть использована только количественная шкала, позволяющая реализовать оценку с наибольшей точностью.

Принцип унификации математического аппарата определяет необходимость формирования математических моделей для анализа всей

структуры показателей эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

В соответствии с принципом оптимальной структурированности совокупность показателей противодействия вредоносным программам должна представляться минимальным набором математических моделей для их оценки.

В качестве основы для конструирования комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы на множестве:

Е = {ей}, к = 1, 2, ...,К частных показателей будем использовать набор из X математических моделей. Этот набор должен обеспечивать адекватное отражение этих показателей в комплексном показателе Е(к).

Обозначим через Е(и) = {е|и)}, 1=1, 2,..., Ь - множество исходных показателей, через Е(п) = {е}"^}, т=1, 2,..., М - множество промежуточных

показателей, а через - правило оптимизации структуры показателей Е(и) при формировании комплексного показателя Е°°. Тогда задачу комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы можно рассматривать как задачу минимизации набора из X математических моделей:

Сформулированную задачу целесообразно решать в виде следующей последовательности:

• формирование иерархической структуры показателей эффективности противодействия вредоносным программам;

• унификация формальных методов оценки эффективности противодействия вредоносным программам на основе обоснованного минимального набора математических моделей исследования показателей;

• проведение экспериментов по исследованию адекватности комплексного показателя при оценке противодействия вредоносным программам критически важным сегментам информационной сферы.

Во второй главе «Формирование показателей эффективности противодействия вредоносным программам в критически важных сегмента* информационной сферы» предлагаются алгоритмы оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Основными правилами формирования системы показателей эффективности противодействия вредоносным программам являются следующие.

Правило 1. Обобщение показателей эффективности противодействия вредоносным программам должно осуществляться на основе систематизации этих показателей Это правило является следствием необходимости представления подобного рода показателей не простой совокупностью, а в виде системы определенным образом взаимосвязанных элементов оценки количественных характеристик процесса противодействия вредоносным программам.

Правило 2. Система показателей эффективности противодействия вредоносным программам при их обобщении должна представляться в виде иерархической структуры. Это правило базируется на предположении, в соответствии с которым обобщение показателей эффективности такого рода представляет собой поэтапный процесс, начиная с множества частных показателей, отражающих отдельные количественные характеристики конкретных средств противодействия, и заканчивая одним, обобщенным показателем.

Правило 3. Иерархическая структура показателей эффективности противодействия вредоносным программам представляет собой многоуровневую систему с отношениями «один ко многим» Структурные уровни иерархии показателей формируются, исходя из двух основных условий:

1) соответствие конкретному классу возможностей по противодействию вредоносным программам;

2) соответствие определенной степени обобщения возможностей средств противодействия.

В такой структуре показателями нижнего уровня является множество в частных показателей эффективности противодействия вредоносным программам, показатели следующих уровней, за исключением верхнего, формируются множеством О промежуточных показателей, причем показатели на один уровень выше нижнего уровня имеют самую низкую степень обобщения, а показатель верхнего уровня является комплексным показателем О

Правило 4. Многоуровневой структуре системы показателей эффективности противодействия вредоносным программам соответствует унифицированная форма их представления. При этом количественная шкала представления соответствующих показателей может видоизменяться от абсолютной - для оценки показателей нижнего уровня иерархии, до относительной - для оценки показателей верхних уровней иерархии. Следующие два правила конкретизируют данное правило

Правило 5. Оценка исходного множества частных показателей эффективности противодействия вредоносным программам осуществляется при помощи абсолютной шкалы в форме временных характеристик средств противодействия.

Правило 6. Оценка промежуточных и результирующего (обобщенного) показателей эффективности противодействия вредоносным программам осуществляется при помощи относительной шкалы Данное пра-

вило определяет круг показателей, оценку которых целесообразно осуществлять в вероятностной форме. К таким показателям следует отнести показатели, которые, в результате обобщения свойств соответствующих средств, непосредственно определяют цель противодействия вредоносным программам в критически важных сегментах информационной сферы.

При построении иерархической структуры показателей эффективности противодействия вредоносным программам элементы их множества представляются в виде:

где: - идентификатор ./' - го показателя;

• к ¡ - класс возможностей средств противодействия, относящийся к данному показателю;

• У уровень иерархии в структуре показателей, соответствующий данному классу возможностей средств противодействия;

• ф ] - форма представления показателя, соответствующая данному классу возможностей средств противодействия.

С учетом изложенных теоретических положений произведем структуризацию соответствующих свойств. При этом в качестве базовых, используем следующие правила.

Правило 7. Одному уровню структуры соответствует один конкретный класс возможностей средств противодействия вредоносным программам.

Правило 8. Для произвольных уровней ук и у, справедливо усло-

если свойство к будет более обобщенно, чем свойство I характеризовать степень достижения целей противодействия вредоносным программам в критически важных сегментам информационной сферы. При этом исходное множество в частных показателей эффективности средств противодействия имеет уровень, равный единице, а комплексный показатель О, непосредственно характеризующий цель противодействия, самый высокий уровень.

Правило 9. Для произвольных уровней У к и У/ справедливо ус-

множество показателей уровней У к и УI соответственно

Возможности соответствующих технологий противодействия вредоносным программам проявляются при решении соответствующих задач по

вие:

Ук>Уи

обеспечению защищенности информационной сферы. Существующая в теории информационной безопасности классификация таких возможностей предполагает их деление на четыре класса.

Первый класс характеризует возможности элементов информационной сферы, связанные с введением избыточности в средства обработки информации с целью реализации функций своевременного обнаружения воздействий вредоносных программ, а также функций их подавления и автоматического восстановления информационных процессов, подвергнутых воздействию вредоносных программ.

С учетом принципа унификации показателей эффективности противодействия вредоносным программам в качестве основы для конструирования частных показателей первого уровня условимся использовать время реализации соответствующими средствами противодействия своих функций. При этом под временем г,(1> обеспечения ¡-ой возможности средств противодействия вредоносным программам условимся понимать время с момента начала выполнения функций данными средствами до момента окончания.

С точки зрения влияния средств противодействия вредоносным программам на обеспечение защищенности информационной сферы, показатели данного уровня отражают самую низкую степень, что позволяет использовать их в качестве исходных при синтезе структуры показателей эффективности противодействия. В этой связи будет справедливым равенство: ЫЬЫ-

Второй класс задач характеризует возможности, связанные с предупреждением условий применения вредоносных программ, их поиском, обнаружением и обезвреживанием, а также с восстановлением информационных процессов, подвергшихся воздействию вредоносных программ.

Возможности средств противодействия вредоносным программам по выполнению собственных функций считаются реализованными своевременно, если время Т^ реализации т-ой возможности по противодействию не превышает активного периода действия вредоносной программы т{а„)т, обусловленной спецификой ее применения, т.е. при выполнении неравенства: г*^¿т(<т)„. (1)

Следует заметить, что время г^ представляет собой функцию от временных характеристик соответствующих возможностей средств противодействия вредоносным программам применительно к видам обрабатываемой информации, т.е. от показателей первого уровня структуры показателей эффективности противодействия. То обстоятельство, что времена

представляют собой случайные величины, приводит к необходимости

рассматривать времена $ каких композицию. В этом случае имеет место выражение: =

А-1

в котором {г)^} Л = 1,2,...,Я, # - множество временных харак-

теристик (показателей эффективности) противодействия вредоносным программам уровня обеспечения ими возможностей применительно к видам обрабатываемой информации, которые могут быть обобщены показателем у2 уровня обеспечения возможностей применительно к отдельным

н

воздействиям вредоносных программ (здесь и далее операция о означа-

Нш 1

ет композицию Н случайных величин). Максимальное

время ^пщх )т обусловлено активным периодом воздействия угрозы и определяется конкретным вариантом ее реализации.

(2)

Входящая в (1) величина Тт является случайной. Вероятность события Л!2'!7»1 ^ г(<т)т) представляет собой среднее количество ситуаций, когда средства противодействия вредоносным программам своевременно реализуют свои возможности по обеспечению -безопасности информационной сферы в течение временного интервала

А Т относительно общего числа таких ситуаций, т.е. имеет место соотношение:

= где

1, при г!у„ 2 „

О, прит^1>гЫтг„

• Тт}л - время реализации га-ой возможности средств противодействия вредоносным программам по противодействиюп-ому, п=1Д,...,Ы, воздействию;

• *(т)т,„- активный период п-го воздействия вредоносных программ при использовании т-ой возможности по противодействию;

14- общее число воздействий вредоносных программ на элементы информационной сферы на временном интервале АТ.

С учетом изложенного можно сделать вывод о том, что вероятности ^'(г?1 £ /я = 1,2,.. .,|{у21 достаточно полно характеризуют возможности средств противодействия вредоносным программам по их поиску, обнаружению и подавлению, а также возможности по восстановлению информационных процессов, подвергшихся воздействию. Это позволяет использовать указанные вероятности в качестве обобщенных показателей у2

второго уровня, что соответствует выражению:

Третий класс характеризует возможности, связанные с предотвращением нарушения конфиденциальности, доступности и целостности информации в информационной сфере. Показатели данного уровня обобщают возможности средств противодействия вредоносным программам, связанные с поиском, обнаружением и обезвреживанием вредоносных программ, а также с восстановлением информационных процессов, подвергшихся воздействию.

Перечисленные возможности определяются степенью обеспечения средствами противодействия вредоносным программам устойчивости информационной сферы к нарушению состояния информации Возможности этих средств по обеспечению устойчивости информационной сферы к нарушению конфиденциальности, доступности и целостности информации оцениваются вероятностью Р}3^ противодействия нарушению п-го уровня состояния информации, которая является функцией от вероятностных характеристик соответствующих возможностей противодействия вредоносным программам применительно к их действиям, т е. от показателей второго уровня структуры показателей эффективности противодействия вредоносным программам. В этом случае имеет место выражение:

Р„<»=1-П(1 -Я«),

»-I

в котором {р^2^ ё = 1,2,...,(?, Ст - множество вероятностных

характеристик (показателей эффективности) противодействия вредоносным программам уровня обеспечения возможностей применительно к действиям (этапам проявления), обобщаемые показателем уу уровня обеспечения возможностей применительно к нарушениям состояния информации.

Четвертый класс описывает свойство средств противодействия вредоносным программам, характеризующее степень достижения целей функционирования этих средств - предотвращение ущерба информационной сфере от нарушения безопасности ее критически важных сегментов. Оно выступает в качестве свойства, обобщающего возможности по обеспечению защищенности основных состояний информации.

Соответствующий четвертому уровню структуры показателей эффективности противодействия вредоносным программам показатель является комплексным и оцениваются вероятностью ./^обеспечения возможностей противодействия вредоносным программам в критически важных сегментах информационной сферы.

Вероятность Р является функцией от вероятностных характеристик возможностей средств противодействия вредоносным программам применительно к нарушениям состояния информации, т.е. от показателей третьего уровня структуры показателей эффективности противодействия и определяется в соответствии с выражением:

<1-1

в котором и = 1,2,3 - множество вероятностных характеристик

(показателей эффективности) средств противодействия вредоносным программам, соответствующих уровню обеспечения возможностей применительно к нарушениям состояния информации.

Результаты проведенной структуризации показателей эффективности противодействия вредоносным программам, с учетом изложенных * правил, наглядно представлены на рис. 1.

Уровень 4 _

Уровень 3

Возможности по предотвращению ущербе информационной сфере ог нарушении безопасности ее критически важных элементов

Возможности по

лредотмрщеншо нарушения конфиденциальности (утечки) информации

Возможности по предотваршению нарушении целостности информации

Возможности по предотваршению нарушения доступности (блокированию) информации

Уровень 2 [

Возможност

НПО

предупреждению воздействий вредоносных

программ , +

Возможносг

И ПО обнаружению вредоносных программ

Уровень 11

Возможност

и по обнаружению воздействий вредоносных

программ ♦

Возможност

и по нейтрализации вредоносных программ

Возможности

по

восстановлению информации, подвергшейся воздействию вредоносных программ

Возможности по оценке Угроз воздействия вредоносных программ

Возможности по регистра*

ции сведений о функционировании ПО с точки зрения ЗИ

Возможности по контролю элементов

ПО

Возмож-

Возмож- ности ло

ности по реагиро-

сигна- ванию на

лизации о воздейст-

воздейст- вия вредо-

вии вредо- носных

носных программ

программ (их подав-

ление)

]_[

Возмож- Возмож-

ности по ности по

поддержа- контролю

нию послед-

целост- ствий

ности воздейст-

вычисли- вия вредо-

тельной носных

среды программ

Рис. 1. Иерархия показателей эффективности противодействия вредоносным программам

В третьей главе «Математическое моделирование процессов противодействия вредоносным программам в критически важных сегментах информационной сферы» дается описание математических моделей, используемых для оценки частных показателей эффективности противодействия вредоносным программам.

Для оценки временных свойств процессов противодействия разработана имитационная модель функционирования соответствующих средств В основу модели положено представление функциональной структуры этих средств в виде описаний соответствующих функций. Результаты моделирования аппроксимируются одним из эталонных законов распределения (нормальным, экспоненциальным или равномерным) методом Колмогорова-Смирнова.

Для оценки вероятностных свойств процессов противодействия разработаны алгоритмы, позволяющие на основе соотношений между временными характеристиками средств противодействия вредоносным программам получать соответствующие аналитические модели.

В четвертой главе «Вычислительные эксперименты по оценке эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы» приводится описание вычислительных экспериментов с целью обобщенной оценки эффективности противодействия. При этом типовые варианты использования средств противодействия представлены в таблице 2, а результаты оценки эффективности противодействия - в таблице 3.

Таблица 2

Вариант Используемые средства противодействия угрозам безопасности

1 Антивирусная система АУР

2 Распределенная антивирусная система

Таблица 3

Наименование показателя Значение

Вариант 1 Вариант 2

Возможности по предотвращению ущерба информационной сфере от нарушения безопасности ее критически важных сегментов 0.47 0.62

В заключении обобщены основные теоретические и практические результаты, приведены выводы и рекомендации, полученные в работе.

В приложении приводятся акты внедрения результатов исследования.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ РАБОТЫ И ВЫВОДЫ Основные научные результаты, полученные в диссертационной работе, состоят в следующем:

1. Теоретически обоснован и практически реализован метод обобщенной оценки эффективности системы противодействия вредоносным программам в критически важных сегментах информационной сферы на основе структуризации частных показателей средств противодействия.

2. Разработан метод оптимизации структуры частных показателей противодействия вредоносным программам. В соответствия с ним предложено:

•совокупность показателей противодействия представлять в виде иерархической структуры с последовательным обобщением свойств средств противодействия;

•уровни иерархической структуры представлять в виде множеств показателей, соответствующих основным классам возможностей средств противодействия по обеспечению защищенности компьютерных сетей, составляющих материальную основу информационной сферы;

•в качестве аппарата для исследования показателей эффективности противодействия вредоносным программам использовать имитационно-аналитические модели, описывающие процессы функционирования средств противодействия.

3. Разработана методика оценки различных вариантов оснащения компьютерных сетей антивирусными средствами, основанная на положениях теории вычислительных экспериментов с применением разработанных в диссертации математических моделей.

В диссертации получены следующие новые практические результаты.

1. Исследования, выполненные с помощью разработанных математических моделей противодействия вредоносным программам в критически важных сегментах информационной сферы, дают основания утверждать, что:

• применение разработанных в диссертации методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы позволяет снизить на 50% номенклатуру используемых математических моделей.

• точностные характеристики предложенной в диссертации иерархической структуры показателей, за счет применения вероятностной

шкалы, как минимум на два порядка превосходят точностные характеристики известных интегрированных структур показателей.

Практическая значимость этих результатов состоит в том, что они позволяют количественно оценить целесообразность проведения мероприятий по противодействию вредоносным программам в критически важных сегментах информационной сферы.

2. Разработанные методики, модели и алгоритмы в совокупности представляют собой методическое обеспечение решения практической задачи оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы. Оно может быть -> использовано при решении аналогичных задач при оценке защищенности

объектов информатизации от подобного рода угроз их информационной безопасности.

^ ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Исследование воздействий вирусных программ на информационно-телекоммуникационные системы / A.A. Ильин, П.Ф. Сушков, С.С. Кочедыков, В В. Киселев, Р.Н. Тюнякин, И.А. Сбродова // Информация и безопасность. - Вып. 2. - Воронеж: ВГТУ, 2001. - С.68-69.

2. Принципы структурированного моделирования процессов обеспечения безопасности информационных систем специального назначения. / П.И. Асяев, В Н. Асеев, А.Р. Можаитов, В.Б Щербаков, П.Ф Сушков // Радиотехника (журнал в журнале). - 2002,- №11. - С. 91-96.

3. Организационно-правовые аспекты ограничения доступа к информации в деятельности органов внутренних дел / П.И. Асяев, И.А. Бело-усова, К.А. Разинкин, В.А. Пожилых, И.В. Потанина, П Ф. Сушков // Информация и безопасность. - Вып. 1. - Воронеж: ВГТУ, 2002. - С. 43-47.

^ 4 Принципы идентификации компьютерных преступлений на ос-

' нове дифференцирования многоуровневого описания стратегий несанк-

ционированного доступа к защищенным компьютерным сетям / И.А Бело-усова, Р.В. Гулин, П.Ф. Сушков, Р.Н. Тюнякин, И.В Филиппова, А.В Хау-Ч стович // Информация и безопасность - Вып. 1. - Воронеж: ВГТУ, 2002. -

С. 71-74.

1 5. Технологии разработки вредоносных программ на основе компь-

ютерных вирусов // Е.Г Геннадиева, К А. Разинкин, Ю.М. Сафонов, П.Ф Сушков, Р.Н. Тюнякин // Информация и безопасность. - Вып.1 - Воронеж' ВГТУ, 2002. - С. 79-85.

6 Способ идентификации противоправных действий в сфере компьютерной информации / Г.А. Остапенко, ПФ Сушков, Р.Н Тюнякин, 1 Н.В. Филиппова // Современные проблемы борьбы с преступностью: Ма-

териалы Всероссийской научно-практической конференции. - Часть 2. -Воронеж: ВИ МВД России. 2002,- С.143-144.

7 Основные направления совершенствования методологии оценки защищенности информационно-телекоммуникационных систем от угроз их информационной безопасности // Е Б Жаданова, Ю В Дмитриев, И В Пеньшин, ПФ Сушков, В.Б Щербаков // Информация и безопасность-Материалы межрегиональной научно-практической конференции. - Вып. 2. - Воронеж: ВГТУ, 2002. - С. 103-105.

8. К вопросу о возможности идентификации противоправных действий в компьютерных сетях // П.Ф. Сушков, Н.В. Филиппова, В.В. Жаркой, И В. Потанина // Охрана, безопасность и связь («Охрана - 2003»): Материалы IV Всероссийской научно-технической конференции. - Воронеж: ВИ МВД России, 2003. - С. 114-115.

9. Повышение раскрываемости компьютерных преступлений // Бо-гачев С.Ю, А.Н. Обухов, П.Ф. Сушков // Информация и безопасность. -Вып 2. -Воронеж: ВГТУ, 2004. - С.114-115.

10. Компьютерно-технические экспертизы противоправных действий. //Сушков П.Ф // Вестник Воронежского института МВД России. - Т 4(19). - 2004.-№4(19) - С. 52-55.

11. Вирусологическая типизация вредоносных программ //Л.В Чаги-на, К .С Скрыль, П.Ф. Сушков // Наука производству, -2005,- Выпуск 6. -С. 12-17.

12. Комплексная оценка эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы //А В Заряев, П.Ф Сушков // Современные проблемы борьбы с преступностью" Материалы Всероссийской научно-практ. конф, «Информационная безопасность в деятельности органов внутренних дел» - Воронеж- Воронежский институт МВД России, 2005. - ""

Подписано в печать 19.05.05. Формат 60x84 7|6 Усл. печ. л. 1,0. Уч. изд. л. 1,0 Тираж экз. Заказ №

Типография Воронежского института МВД России 394065, Воронеж, просп. Патриотов, 53

P11035

РНБ Русский фонд

2006-4 14202

Оглавление автор диссертации — кандидата технических наук Сушков, Павел Феликсович

Введение.

Глава 1. ОСОБЕННОСТИ ПРОТИВОДЕЙСТВИЯ ♦ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ

ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

1.1. Вредоносные программы как источник угроз критически важным сегментам информационной сферы.

1.2. Противодействие вредоносным программам в критически важных сегментах информационной сферы.

1.3. Постановка задачи комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

1.4. Выводы.

Глава 2. ФОРМИРОВАНИЕ ПОКАЗАТЕЛЕЙ

ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

2.1. Методика структуризации показателей эффективности противодействия вредоносным программам.

2.2. Методика синтеза иерархической структуры показателей эффективности противодействия вредоносным программам.

2.3. Унифицированное описание структуры показателей эффективности противодействия вредоносным программам

2.4. Выводы.

Глава 3. МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ

ПРОЦЕССОВ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

3.1. Особенности синтеза математической модели для оценки показателей эффективности противодействия вредоносным программам.

3.2. Формальное представление процессов функционирования средств противодействия вредоносным программам.

3.3. Имитационная модель для оценки временных показателей эффективности противодействия вредоносным программам

3.4. Аналитические модели для оценки вероятностных показателей эффективности противодействия вредоносным программам. ^

3.5. Представление исходных данных для оценки вероятностных показателей эффективности противодействия вредоносным программам.

3.6. Выводы.

Глава 4. ВЫЧИСЛИТЕЛЬНЫЕ ЭКСПЕРИМЕНТЫ ПО ОЦЕНКЕ ЭФФЕКТИВНОСТИ ПРОТИВОДЕЙСТВИЯ ВРЕДОНОСНЫМ ПРОГРАММАМ В КРИТИЧЕСКИ ВАЖНЫХ СЕГМЕНТАХ ИНФОРМАЦИОННОЙ СФЕРЫ.

4.1. Методика планирования вычислительных экспериментов по оценке эффективности противодействия вредоносным программам

4.2. Результаты вычислительных экспериментов.

4.3. Анализ эффективности предложенного способа оценки противодействия вредоносным программам.

4.4. Выводы.

Введение 2005 год, диссертация по информатике, вычислительной технике и управлению, Сушков, Павел Феликсович

Актуальность темы исследования. Интенсивное развитие и совершенствование информационных технологий приводит к необходимости рассматривать в качестве доминирующей тенденцию расширения информационной сферы. Это обусловило появление отдельного класса элементов этой сферы, ее так называемых критически важных сегментов - информационных систем, обеспечивающих деятельность органов государственного управления /1/, систем управления инфраструктурой связи /2/, финансов /3/, энергетики /4/, транспорта 151 и чрезвычайных служб 161. Вместе с тем, расширение информационной сферы привело к появлению различного рода угроз элементам информационной сферы 111. При этом, главным объектом таких угроз стали ее критически важные сегменты. Это обусловило необходимость решения ряда проблем, связанных с организацией защиты информационной сферы с целью предотвращения ущерба от нарушения ее безопасности при наличии различных источников угроз /8 - 13/.

Одним из наиболее серьезных источников угроз информационной сферы являются вредоносные программы /14 - 16/ - один из основных инструментов противоправного манипулирования информацией /17/ в ее компьютерных сетях /18/. Вредоносные программы проектируются высококвалифицированными специалистами /19/ как программы вирусного типа /20 - 26/, что дает возможность использовать такие преимущества компьютерных вирусов как изоморфность структуры, способность создавать собственные копии и проявлять себя лишь при определенных параметрах вычислительной среды /27 - 28/. Эти свойства позволяют вредоносным программам реализо-вывать функции противозаконного манипулирования информацией за крайне короткие периоды времени, что значительно затрудняет возможность их обнаружения и устранения, и как следствие - ставит такие программы в разряд одного из самых совершенных, на сегодняшний день, инструментов противоправных действий в информационной сфере /29/.

Вредоносные программы влияют, в первую очередь, на временные характеристики элементов информационной сферы, так как результатом их воздействия являются значительные временные потери, связанные с восстановлением корректности информационных процессов.

В связи с этим становится очевидным, что вредоносные программы являются фактором существенного снижения эффективности применения, в первую очередь, критически важных сегментов информационной сферы, так как их деятельность ориентирована на оперативную обработку поступающей информации. Это, в свою очередь, позволяет отнести вредоносные программы к отдельному классу наиболее серьезных угроз безопасности информационной сферы.

Отсюда актуальной становится проблема защиты критически важных сегментов информационной сферы от данного вида угроз. Очевидно, что ее решение должно осуществляться системно, на основе всестороннего исследования технологий противодействия вредоносным программам. То обстоятельство, что такие технологии характеризуется множеством разнородных параметров, относит вопросы их исследования к числу сложных как в научном, так и в практическом плане.

Подобные исследования предполагают:

• проведение системного анализа состояния защищенности от вредоносных программ как в целом информационной сферы и ее отдельных критически важных сегментов;

• исследование эффективных способов и средств противодействия вредоносным программам;

• оценку технологий противодействия вредоносным программам в критически важных сегментах информационной сферы.

Все это обусловило необходимость поиска таких подходов в оценке эффективности противодействия вредоносным программам, которые системно учитывали бы все множество свойств используемых технологий.

Как показывает анализ состояния вопроса /30/, одним из наиболее перспективных путей решения данной задачи является синтез комплексного показателя, характеризующего возможности используемых технологий противодействия вредоносным программам. Вместе с тем, синтез комплексного показателя имеет ряд особенностей, связанных с наличием множества направлений как в классификации возможностей различных технологий противодействия вредоносным программам, так и в использовании для исследования математических средств.

Это позволило предложить принципиально новый подход к решению задачи комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Суть данного подхода состоит в разработке обоснованных правил синтеза комплексного показателя эффективности противодействия вредоносным программам, форма которого будет оптимальной с точки зрения отражения возможностей применяемых технологий противодействия.

Несмотря на то, что совершенствование теории и практики обеспечения информационной безопасности стало чрезвычайно актуальной проблемой, специальные исследования применительно к задачам комплексной оценки эффективности противодействия вредоносным программам в информационной сфере вообще и противодействия вредоносным программам в ее критически важных сегментах, в частности, не проводились.

В связи с тем, что предлагаемый способ оценки эффективности противодействия вредоносным программам в доступной литературе не освещен, а известные методы не позволяют осуществлять всестороннюю оценку возможностей средств противодействия вредоносным программам, дает основания утверждать, что задача разработки методов комплексной оценки эффективности этих средств является чрезвычайно актуальной, а связанные с этим направлением вопросы нуждаются в серьезной проработке как в методическом, так и в прикладном плане. Все это свидетельствует об актуальности темы настоящей диссертационной работы, выполненной в соответствии с Доктриной информационной безопасности Российской Федерации 111, а также в соответствии с научным направлением Воронежского института МВД России, связанным с обоснованием требований к средствам и системам защиты информации.

Объектом исследования являются технологии противодействия вредоносным программам в критически важных сегментах информационной сферы.

Предметом исследования выступают методы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Целью диссертационной работы является совершенствование методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы на основе синтеза комплексного показателя эффективности используемых технологий противодействия.

Для достижения цели в работе решаются следующие научные задачи:

• теоретическое обоснование системных требований к синтезу комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы;

• разработка алгоритма синтеза такого показателя;

• построение оптимальной структуры частных показателей эффективности используемых технологий противодействия вредоносным программам;

•разработка комплекса аналитических и имитационных моделей, обеспечивающих оценку показателей эффективности используемых технологий противодействия вредоносным программам;

•экспериментальная проверка алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы.

Методы исследования. В работе использованы методы системного анализа, теории информационной безопасности, теории множеств, теории графов, математического моделирования, теории вероятности и математической статистики, теории случайных процессов.

Обоснованность и достоверность полученных результатов обеспечивается:

• применением апробированного математического аппарата в процессе формализации процессов противодействия вредоносным программам;

• экспериментальной проверкой разработанных математических моделей и соответствием полученных результатов известным из научной литературы случаям.

Научная новизна и теоретическая значимость результатов, полученных в диссертации, состоит в следующем:

1. Разработаны алгоритмы комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы, отличающийся от известных способов решения аналогичных задач тем, что интегрирование частных показателей производится на основе учета их влияния на целевую функцию - степень предотвращения ущерба информационной сферы от нарушения ее безопасности.

2. Предложен методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам, который, в отличие от аналогов, дает возможность управлять степенью детализации исследуемых процессов.

3. Предложены новые решения по построению математических моделей противодействия вредоносным программам, основанные на использовании подобия частных показателей используемых технологий противодействия классическому представлению случайных величин.

Практическая ценность исследования состоит в разработке эффективной системы поддержки решений по оценке используемых технологий противодействия вредоносным программам в критически важных сегментах информационной сферы, которая выполняет следующие функции:

• анализ и обобщение частных показателей противодействия вредоносным программам для различных практических вариантов используемых технологий противодействия;

• построение удобных для практического восприятия схем анализа технологий противодействия вредоносным программам;

• сравнение показателей эффективности различных технологий противодействия вредоносным программам.

Результаты теоретических и экспериментальных исследований могут быть использованы для решения следующих научно-прикладных задач:

• обоснования новых подходов к организации противодействия вредоносным программам в критически важных сегментах информационной сферы;

• анализа существующих технологий противодействия вредоносным программам в процессе их использования.

Полученные результаты могут применяться в лекционных курсах и учебных материалах высших учебных заведений при изучении основ информационной безопасности, а также при переподготовке персонала, отвечающего за безопасность критически важных сегментов информационной сферы.

На защиту выносятся следующие основные положения диссертационной работы:

1. Постановка и результаты решения задачи синтеза комплексного показателя эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы на основе построения оптимальной структуры частных показателей и его применения для оценки эффективности используемых технологий противодействия вредоносным программам.

2. Методический подход к комбинированию имитационного и аналитического моделирования для оценки частных показателей технологий противодействия вредоносным программам.

Внедрение результатов работы. Результаты диссертационной работы внедрены в:

Военном институте радиоэлектроники Министерства обороны Российской Федерации;

Воронежском институте Министерства внутренних дел Российской Федерации;

Главном Управлении внутренних дел Воронежской области;

Управлении внутренних дел Тамбовской области.

Внедрение результатов подтверждается соответствующими актами.

Апробация работы. Основные методические и практические результаты исследований докладывались на следующих конференциях:

Основные методические и практические результаты исследований докладывались на следующих конференциях:

1. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2002 г. /48/.

2. Межрегиональная научно-практическая конференция «Информация и безопасность» - Воронеж, 2002 г. /56/.

3. IV Всероссийская научно-практическая конференция «Охрана, безопасность и связь» - Воронеж, 2003 г. /49/.

4. Всероссийская научно-практическая конференция «Современные проблемы борьбы с преступностью» - Воронеж, 2005 г. /57/.

Публикации. По теме диссертации опубликовано 9 статей /28, 29, 30, 35, 50, 53, 54, 55, 67/.

В работах, опубликованных в соавторстве, лично соискателем предложено: в /28/ - классифицировать компьютерные вирусы с учетом комплексного проявления ими свойств ассоциативности, репликативности и изоморфности; в /29/ - иллюстрацию использования злоумышленниками различных свойств компьютерных вирусов при реализации этапов обобщенной стратегии несанкционированного доступа к информации в компьютерных системах; в /30/ рассматривать в качестве основных классифицирующих признаков свойств вредоносных программ их активность и живучесть; в /35/ - систематизацию обстоятельств, обусловливающих необходимость сохранения в тайне действий правоохранительных органов; в /48/ - идентифицировать противоправные действия в сфере компьютерной информации с помощью двухуровневой системы, первый уровень которой обеспечивает выявление факта противоправного действия, а второй -следов таких воздействий; в /49/ - выявлять факты противоправного воздействия на информацию в компьютерных сетях с помощью смыслового контроля информационных параметров вычислительных процессов; в /50/ - в качестве основополагающего принципа идентификации компьютерных преступлений принцип иерархического описания стратегий несанкционированного доступа к информации в компьютерных системах; в /53/ - использовать технологии распределенной защиты информации в качестве источника криминалистически значимой информации при расследовании компьютерных преступлений; в /54/ - рассматривать в качестве доминирующего фактора повышения раскрываемости компьютерных преступлений наличие полного набора идентифицирующих признаков такого рода противоправных действий; в /56/ - рассматривать методику оценки защищенности информационно-телекоммуникационных систем от угроз их информационной безопасности как процедуру формирования иерархической структуры показателей рассмотреть в качестве примера функционально-информационной модели деятельность службы режима спецподразделения по обеспечению сотрудников служебной документацией; в /57/ - формировать комплексный показатель для оценки эффективности противодействия вредоносным программам на основе иерархической структуризации частных показателей; в /67/ - использовать функциональное описание информационных процессов как необходимый этап их формализации.

Структура и объем работы. Диссертация изложена на 164 страницах и состоит из введения, четырех глав, заключения, библиографического списка использованной литературы и приложения, содержит 51 рисунок и 19 таблиц.

Заключение диссертация на тему "Разработка и исследование алгоритмов комплексной оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы"

4.4. Выводы

1. Оценку эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы целесообразно проводить на основе анализа различных вариантов использования средств противодействия в соответствии с планом вычислительных экспериментов.

2. Применение разработанных в диссертации методов оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы позволяет снизить на 50% номенклатуру используемых математических моделей.

3. Точностные характеристики предложенной в диссертации иерархической структуры показателей, за счет применения вероятностной шкалы как минимум на два порядка превосходят точностные характеристики известных интегрированных структур показателей.

4. Разработанный в диссертации метод оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы можно рассматривать как универсальный способ оценки защищенности информационных объектов.

Уровень 5

Цель защиты информации • предотвращение ущерба от нарушения безопасности информации

Уровень 4

Уровень 3

Уровень 2

Возможности по предотварщению нарушения конфиденциальности (утечки) информации

Возможности по предотвращен ию нарушения целостности инфоормацин

Возможности по защите информации от ее утечки за счет побочных электромагнитных излучений и наводок

Возможности по предотвращению нарушения доступности (блокированию) информации

Возможности по защите информации от несанкционированного доступа

Возможности по защите речевой информации (от утечки по аккустическому каналу)

1Г Г

Возможности по предупреждению условий, благоприятных возникновению угроз

Возможности по предупреждению появления угроз НСД 1

Возможности по предупреждению появления угроз утечки информации через физические поля

3е т

Возможности по обнаружен и ю источников угроз

Воам< южк» ста по закрытию доступа в обход системы защиты и и форма-цкн

Возможности по нейтрал и зац ни угроз НСД X Х

Возможности по нейтрализац им угроз утечки информации через физические поля Х

Возможности по обнаружен и ю воздействий угроз НСД

Возможности по обнаружены ю воздействий угроз утечки информации по каналам ПЭМИН

Возможности по обнаружен и ю воздействий угроз утечки информации по акустическому каналу X

Возможности по восстановлен ию информации после воздействия угроз НСД

BOiMG&HdCTtt по восстановлен ию информации после воздействия угроз утечки информации по каналам ггемим

Возможности по восстановлен!! ю информации после воздействия угроз утечки информации акустическому каналу

Возможно*

Уровень 1

Возможно Возможно

-сти по -сти по ограниче- разгранинию чению доступа к доступа к информа- информационным ционным ресурсам ресурсам

ИТКС ИТКС

Возможности по скрытию излучений и наводок информативных каналов (физически х полей)

Возможно

-ста по дезинформации (имитации излучений и наводок)

Возможности по криптографическому преобразованию информаци

Возможно

-сти по контролю элементов (состоя ни й элементов )ТСОИ и ИТКС

Возможно ста по регистрации сведений о функционировании ТСОИ с точки зрения ЗИ

Возможно сти по своевременному уничтожению отработанной и неиспользуемой информации

Возможности по сигнаизации о проявлени и угроз НСД

Возможно сти по сигнаиэа-цин о проявлении угроз утечки информации по каналам ПЭМИН

Возможно сти по сигнаизации о проявлении угроз утечки информации по акустическим каналам ста по реагированию на проявлени еугроз (обезврежн ванию угроз) нед—

Возможности по енгнаизации о проявлени и угроз НСД

Возможно ста по реагированию на проявление угроз (обезвре жива ние угроз) по акустическим каналам

Рис. 4.3.2. Структура показателей разнородных технических систем и средств защиты информации информационно-телекоммуникационных систем

ЗАКЛЮЧЕНИЕ

Основные научные результаты, полученные в диссертационной работе, состоят в следующем:

1. Теоретически обоснован и практически реализован метод обобщенной оценки эффективности системы противодействия вредоносным программам в критически важных сегментах информационной сферы на основе структуризации частных показателей средств противодействия.

2. Разработан метод оптимизации структуры частных показателей противодействия вредоносным программам. В соответствии с ним предложено:

• совокупность показателей противодействия представлять в виде иерархической структуры с последовательным обобщением свойств средств противодействия;

• уровни иерархической структуры представлять в виде множеств показателей, соответствующих основным классам возможностей средств противодействия по обеспечению защищенности компьютерных сетей, составляющих материальную основу информационной сферы;

• в качестве аппарата для исследования показателей эффективности противодействия вредоносным программам использовать имитационно-аналитические модели, описывающие процессы функционирования средств противодействия.

3. Разработана методика оценки различных вариантов оснащения компьютерных сетей антивирусными средствами, основанная на положениях теории вычислительных экспериментов с применением разработанных в диссертации математических моделей.

В диссертации получены следующие новые практические результаты:

1. Исследования, выполненные с помощью разработанных математических моделей противодействия вредоносным программам в критически важных сегментах информационной сферы, дают основания утверждать, что:

• применение разработанных в диссертации методов оценки противодействия вредоносным программам в критически важных сегментах информационной сферы позволяет снизить на 50% номенклатуру используемых математических моделей.

• точностные характеристики предложенной в диссертации иерархической структуры показателей, за счет применения вероятностной шкалы, как минимум на два порядка превосходят точностные характеристики известных интегрированных структур показателей.

Практическая значимость этих результатов состоит в том, что они позволяют количественно оценить целесообразность проведения мероприятий по противодействию вредоносным программам в критически важных сегментах информационной сферы.

2. Разработанные методики, модели и алгоритмы в совокупности представляют собой методическое обеспечение решения практической задачи оценки эффективности противодействия вредоносным программам в критически важных сегментах информационной сферы. Оно может быть использовано при решении аналогичных задач при оценке защищенности объектов информатизации от подобного рода угроз их информационной безопасности.

Библиография Сушков, Павел Феликсович, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Телекоммуникации. Мир и Россия. Состояние и тенденции развития / Клещев Н.Т., Федулов А.А., Симонов В.М., Борисов Ю.А., Осенмук М.П., Селиванов С.А. М.: Радио и связь, 1999. - 480 с.

2. Хомяков Н.Н., Хомяков Д.Н. Анализ безопасности АЭС при террористических актах. // Системы безопасности. 2002. - № 2(44). - С. 74-76.

3. Мошков Г.Ю. Обеспечение безопасности объектов транспортного комплекса наша приоритетная задача. // Системы безопасности. - 2003. - № 6(48). - С. 8-9.

4. Агапов А.Н. Ядерная и радиационная безопасность. Готовность к ЧС. // Системы безопасности. 2003. - № 2(50). - С. 8-10.

5. Доктрина информационной безопасности Российской Федерации // Российская газета от 28 сентября 2000 г.

6. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. М.: Энергоатомиздат, 1994. - 400 с.

7. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 2. М.: Энергоатомиздат, 1994. - 176

8. Герасименко В.А., Малюк А.А. Основы защиты информации: Учебник для высших учебных заведений Министерства общего и профессионального образования РФ М.: МИФИ, 1997. - 538 с.

9. Основы информационной безопасности: Учебник для высших учебных заведений МВД России / Под ред. Минаева, В.А. и Скрыль С.В. — Воронеж: Воронежский институт МВД России, 2001. — 464 с.

10. Щербаков А.А. Разрушающие программные воздействия. М.: Издательство "Эдель", 1993. 64 с.

11. Мухин В.И. Информационно-программное оружие. Разрушающие программные воздействия. // Научно-методические материалы. М.: Военная академия Ракетных войск стратегического назначения имени Петра Великого, 1998.-44 с.

12. Скрыль С.В. Классификация программных средств хищения и искажения информации в автоматизированных информационных системах // Высокие технологии в технике, медицине и образовании: Межвузовский сб. науч. тр., Ч. 2. Воронеж: ВГТУ, 1997. - С. 131-137.

13. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. / В.Г. Олифер, Н.А. Олифер СПб.: Питер, 2003. - 864 с.

14. Сырков Б.Ю. Компьютерная система глазами хакера // Технологии и средства связи. -1998. № 6. С. 98-100

15. Безруков Н.Н. Введение в компьютерную вирусологию. Общие принципы функционирования, классификация и каталог наиболее распространенных вирусов в MS-DOS. Киев, 1989. - 196 с.

16. Безруков Н.Н. Компьютерная вирусология: справочное руководство. -Киев, 1991.

17. Безруков Н.Н. Компьютерные вирусы. — М., 1991. — 132 с.

18. Касперский Е.В. Компьютерные вирусы в MS-DOS. М.: Издательство Эдель, 1992. - 120 с.

19. Касперский Е.В. Компьютерные вирусы, что это такое и как с ними бороться. М.: «СК Пресс», 1998. - 288 с.

20. Файтс Ф., Джонстон П., Кратц М. Компьютерный вирус: проблемы и прогноз. -М.: Мир, 1993. 175 с.

21. Гульев Н.А. Компьютерные вирусы, взгляд изнутри. М.: ДМК, 1998.-304 с.

22. Технологии разработки вредоносных программ на основе компьютерных вирусов // Е.Г. Геннадиева, К.А. Разинкин, Ю.М. Сафонов, П.Ф. Сушков, Р.Н. Тюнякин // Информация и безопасность. Вып.1. - Воронеж: ВГТУ, 2002. - С. 79-85.

23. Вирусологическая типизация вредоносных программ // JI.B. Чагина, К.С. Скрыль, П.Ф. Сушков // Наука производству, 2005. - Выпуск 6. - С. 12-17.

24. Минаев В.А., Скрыль С.В. Компьютерные вирусы как системное зло. // Системы безопасности СБ-2002: Материалы XI научно-технической конференции Международного форума информатизации - М.: Академия ГПС, 2002. - С. 18-24.

25. Системы и сети передачи данных: Учебное пособие. / М.В. Гаранин, В.И. Журавлев, С.В. Кунегин М.: Радио и связь, 2001. - 336 с.

26. Телекоммуникационные системы и сети: Учебное пособие В 3 томах. Том 1 Современные технологии / Б.И. Крук, В.Н. Попантонопуло, В.П. Шувалов - М.: Горячая линия - Телеком, 2003. - 647 с.

27. Защита информации в компьютерных системах и сетях. / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. М.: Радио и связь, 2001. - 376 с.

28. Организационно-правовые аспекты ограничения доступа к информации в деятельности ОВД / Асяев П.И., Пожилых В.А., Сушков П.Ф., Бело-усова И.А., Потанина И.В., Разинкин К.А. // Информация и безопасность. -Выпуск 1. Воронеж: ВГТУ, 2002. - С. 43-47.

29. Касперски К. Техника сетевых атак. Приемы противодействия. М.: Солон-Р, 2001.-397 с.

30. Сердюк В.А. Перспективные технологии обнаружения информационных атак. // Системы безопасности. 2002. - № 5(47). - С. 96-97.

31. Программирование алгоритмов защиты информации: Учебное пособие. / Домашев А.в. Грунтович М.М., Попов В.О., Правиков Д.И., Прокофьев И.В., Щербаков А.Ю. М.: Нолидж, 2002. - 416 с.

32. Грушо А.А., Тимонина Е.Е. Основы защиты нформации. М.: Яхтсмен, 1996.-192 с.

33. Безопасность ведомственных информационно-телекоммуникационных систем. / Гетманцев А.А., Липатников В.А., Плотников A.M., Сапаев Е.Г. ВАС, 1997. 200 с.

34. Скрыль С.В. Моделирование и оптимизация функционирования автоматизированных систем управления органов внутренних дел в условиях противодействия вредоносным программам: Автореферат диссертации докт. техн. наук М.: Академия ГПС МВД России, 2000. - 48 с.

35. Джоэл Т. Пэтц Антивирусные программы / PC Magazine / Russian Edition, 1996, №3 (46), С. 70-85

36. Интеллектуальные технологии антивируса Doctor Web. / ЗАО «Диалогнаука». // Системы безопасности. 2002. - № 2(44). - С. 84-85.

37. Антимонов С.Г. Интеллектуальные противостояния по линии фронта Вирус-антивирус. // Информация и безопасность: Материалы межрегиональной научно-практ. конф. Информация и безопасность. - Выпуск 2. - Воронеж: ВГТУ, 2002. - С. 39-46.

38. Воробьев В.Ф., Герасименко В.Г., Потанин В.Е., Скрыль С.В. Проектирование средств трассологической идентификации компьютерных преступлений. Воронеж: Воронежский институт МВД России, 1999. - 136 с.

39. Следы компьютерных преступлений / Войналович В.Ю., Завгород-ний М.Г., Скрыль С.В., Сумин В.И. // Тезисы докладов международной конференции «Информатизация правоохранительных систем», Часть 2. М.: Академия управления МВД России, 1997. с. 53-55.

40. Методика проведения первичных следственных действий при расследовании преступлений в сфере высоких технологий. / Сушков П.Ф., Кочедыков С.С., Киселев В.В., Артемов А.А. Вестник ВИ МВД России 2(9)' 2001 - Воронеж: ВИ МВД России 2001. - С. 152- 155.

41. Повышение раскрываемости компьютерных преступлений // Бога-чев С.Ю., А.Н. Обухов, П.Ф. Сушков // Информация и безопасность. Вып. 2. - Воронеж: ВГТУ, 2004. - С.114 - 115.

42. Компьютерно-технические экспертизы противоправных действий. // Сушков П.Ф. // Вестник Воронежского института МВД России. Т. 4(19). -2004.-№4(19) - С. 52-55.

43. Мамиконов А.Г., Кульба В.В., Щелков А.Б. Достоверность, защита и резервирование информации в АСУ. М.: Энергоатомиздат, 1986. - 304 с.

44. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных системах. М.: ДМК Пресс, 2002. - 656 с.

45. Хасин Е.В. Комплексный подход к контролю информационно-вычислительных систем. // Научная сессия МИФИ 2002: Материалы IX Всероссийской научно-практ. конф. - М.: МИФИ, 2002. - С. 110-111.

46. Бусленко Н.П. Моделирование сложных систем / Н.П. Бусленко. — М.: Наука, 1978.—400 с.

47. Советов Б.Я. Моделирование систем: Учебник для вузов по спец. «Автоматизированные системы управления» / Б.Я. Советов, С.А. Яковлев. — М.: Высшая школа, 1985. — 271 с.

48. Иглхарт Д.Л. Регенеративное моделирование сетей массового обслуживания: Пер. с англ. / Д.Л. Иглхарт, Д.С. Шедлер. М.: Радио и связь, 1984. - 136 с.

49. Бусленко В.Н. Автоматизация имитационного моделирования сложных систем / В.Н. Бусленко. — М.: Наука, 1977. — 239 с.

50. Тараканов К.В. Аналитические методы исследования систем / К.В. Тараканов, Л.А. Овчаров, А.Н. Тырышкин. — М.: Советское радио, 1974. 240 с.

51. Вилкас Э.Й., Майминас Е.З. Решения: теория, информация, моделирование. М.: Радио и связь, 1981. - 328 с. С. 91-96.

52. Принципы структурированного моделирования процессов обеспечения безопасности информационных систем специального назначения. / П.И. Асяев, В.Н. Асеев, А.Р. Можаитов, В.Б. Щербаков, П.Ф. Сушков // Радиотехника (журнал в журнале), 2002, №11.

53. Татг У. Теория графов: Пер. с англ. М.: Мир, 1988. - 424 с.

54. Вентцель Е.С. Теория вероятностей. М.: Изд-во физико-математической литературы, 1958. - 464 с.

55. Сборник научных программ на Фортране. Вып. 1. Статистика. Нью-Йорк, 1970. / Пер. с англ. М.: «Статистика», 1974. - 316 с.

56. Заряев А.В. Подготовка специалистов по информационной безопасности: модели управления: Монография М.: «Радио и связь», 2003. - 210 с.

57. Кини P.JI., Райфа X. Принятие решений при многих критериях предпочтения и замещения. М.: Радио и связь, 1981. - 560 с.

58. Ларичев О.И. Наука и искусство принятия решений. М.: Наука, 1979.-200 с.

59. Яковлев С.А. Проблемы планирования имитационных экспериментов при проектировании информационных систем. // Автоматизированные системы переработки данных и управления. Л.: 1986. - 254 с.

60. Интеллектуальные технологии антивируса Doctor Web. / ЗАО «Диа-логнаука». // Системы безопасности. 2002. - № 2(44). - С. 84-85.

61. Энциклопедия компьютерных вирусов. / Д.А. Козлов, А.А. Паран-довский, А.К. Парандовский М.: «Солон-Р», 2001. - 457 с.

62. Джоэл Т. Пэтц Антивирусные программы / PC Magazine / Russian Edition, 1996, №3 (46), С. 70-85.

63. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.OOI.OIBHOO. Государственный реестр сертифицированных средств защиты информации. Официальный сайт Гостехкомиссии России, 2004.

64. Скрыль С.В. Моделирование и оптимизация функционирования автоматизированных систем управления органов внутренних дел в условиях противодействия вредоносным программам: Автореферат диссертации докт. техн. наук М.: Академия ГПС МВД России, 2000. - 48 с.

65. Оценка защищенности информации в информационно-телекоммуникационных системах. / Минаев В.А., Скрыль С.В., Потанин В.Е., Дмитриев Ю.В. // Экономика и производство. 2001. - №4. - С. 27-29.

66. Вентцель Е.С. Исследование операций М.: Советское радио, 1972 - 552 с.

67. Заде J1.A. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976. - 168 с.

68. Поспелов Д.А. Логико-лингвистические модели в системах управления. М.: Энергия, 1981.-231 с.

69. Поспелов Д.А. Ситуационное управление: теория и практика. -М.: Наука, 1986.-284 с.

70. Райфа Г. Анализ решений (введение в проблему выбора в условиях неопределенности). М.: Наука, 1977. - 408 с.

71. Модели принятия решений на основе лингвистической переменной / А.Н. Борисов, А.В. Алексев, О.А. Крумберг и др. Рига: Зинатне, 1982. - 256 с.

72. Кофман А. Введение в теорию нечетких множеств. М.: Радио и связь, 1982. - 432 с.

73. Нечеткие множества в моделях управления и искусственного интеллекта. / Под ред. Д.А. Поспелова. М.: Наука, 1986. - 312 с.

74. Акты внедрения результатов исследования

75. Заместитель начальник отдела «К» ГУВД подполковник милиции1. Члены комиссии:ст. оперуполномоченный отдела «К» ГУВД капитан милицииоперуполномоченный отдела «К» ГУВД лейтенант милиции1. Соколовский И.В.1. Повалюхин А. А.1. Раздымалин Р.С.41. УТВЕРЖДАЮ

76. Зам. начальника УСТМ УВД Тамбовской области подполковник милиции1. Члены комиссии:1. B.JI. Воротников

77. Начальник отдела «К» УСТМ УВД Тамбовской области майор милиции

78. Ст.оперуполномоченный по ОВД УСТМ УВД Тамбовской области майор милиции1. Р.В. Белевитин1. А.В. Богданов