автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Разработка модели комплексной системы защиты информации в административном органе субъекта Федерации

На правах рукописи

Арьков Павел Алексеевич

РАЗРАБОТКА МОДЕЛИ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В АДМИНИСТРАТИВНОМ ОРГАНЕ СУБЪЕКТА ФЕДЕРАЦИИ

05.13.19- Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

□0345Э743

Волгоград - 2008

003459743

Работа выполнена в государственном образовательном учреждении высшего профессионального образования «Волгоградский государственный университет» на кафедре информационной безопасности

Научный руководитель: кандидат технических наук, старший

научный сотрудник Цыбулин Анатолий Михайлович

Официальные оппоненты: доктор технических наук, профессор

Копытов Владимир Вячеславович (г. Ставрополь); кандидат технических наук, доцент Пескова Ольга Юрьевна (г. Таганрог)

Ведущая организации: ФГУП «ЦКБ «Титан»»

Защита состоится года в /Л заседании регионального

диссертационного совета Д 212.208.25 при Технологическом институте Южного федерального университета по адресу: 347928, Ростовская область, г. Таганрог, ГСП - 17 А, пер. Некрасовский, 44, ауд. И-429.

Отзывы на автореферат просьба направлять по адресу: 347928, Ростовская область, г. Таганрог, пер. Некрасовский, 44, Технологический институт Южного федерального университета в г. Таганроге, Ученому секретарю диссертационного совета Д 212.208.25 Брюхомицкому Ю.А.

С диссертацией можно ознакомиться в Зональной научной библиотеке ЮФУ по адресу: 344007, Ростовская область, г. Ростов-на-Дону, ул. Пушкинская, 148.

Автореферат разослан года

Ученый секретарь диссертационного совета кандидат технических наук, доцент

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ Актуальность задачи. В современных условиях развития информационных технологий при создании информационных систем (ИС) для коммерческих или государственных структур обязательно создается система защиты информации (СЗИ). При этом возникает вопрос эффективности СЗИ и ее соответствие требованиям, предъявляемым либо владельцем ИС, либо нормативными документами. Основой для оценки эффективности создаваемых СЗИ в РФ являются руководящие документы Федеральной службы по техническому и экспортному контролю и ГОСТы. При этом в этих документах, как правило, только определяются требования к наличию тех или иных средств защиты информации или к их параметрам, но не оцениваются возможности преодоления данных средств за счет наличия в них тех или иных уязвимостей. Таким образом, возникают определенные сложности при решении задач сравнения нескольких проектов СЗИ для выбора лучшего, в случае если все проекты удовлетворяют требованиям нормативных документов. Данной проблеме уделяли внимание как отечественные, так и зарубежные исследователи, среди которых: В.А. Герасименко, В.В. Мельников, С.С. Корт, А.Г. Корчснко, И.В. Котенко, М.В. Степашкин, В.И. Богданов, A.A. Малюк," Д.П. Зегжда, А. Moore, R. Ellison, R. Linger, S. Templeton, К. Levitt, Xinming Ou, R.P. Lippman, O. Sheyner, J. Haines, S. Jha, J.Wing, S. Noel, S. Jajodia, M. Bishop, P. Ammann, B. Schneier и другие.

Помимо нормативных документов существуют различтше методы оценки рисков, но они, в свою очередь, используют в основном экспертные, а не формальные методы оценки вероятностей реализации угроз, и при этом не в полной мере применимы па этапе проектирования системы защиты.

Таким образом, актуальной является задача выбора оптимального проекта СЗИ по критерию эффективности.

Анализ ряда моделей СЗИ показывает, что они не в полной мере охватывают вышеописанные задачи, либо концентрируются только на некоторых сторонах защиты ИС. В тоже время существует множество способов реализации угроз, затрагивающих одновременно различные аспекты защиты информации и средств защиты информации решающих зачастую одни и те же задачи. Следовательно, существует множество вариантов построения СЗИ, которые используют различные средства и методы защиты информации и направлены на противодействие различным способам реализации угроз.

Исходя из изложенного выше, в работе сформулирована научная задача исследования: разработка алгоритма выбора оптимального проекта комплексной системы защиты информации для типовой информационной системы административного органа субъекта федерации. \

Цель исследования - развитие методического обеспечения проектирования и оценки эффективности систем защиты информации для типовых информационных систем административных органов субъекта федерации.

Объект исследования - информационная система административного органа субъекта федерации.

Предмет исследования - комплексная система защиты информации административного органа субъекта федерации

Для достижения цели исследования были решены следующие задачи:

1) разработка алгоритма генерации множества проектов системы защиты информации;

2) разработка моделей реализации угроз в информационной системе;

3) разработка модели выбора оптимального проекта СЗИ;

4) разработка алгоритмов моделирования процессов реализации угрозы и поиска

оптимального проекта СЗИ;

5) создание программного комплекса реализующего описанные модели и алгоритмы

моделирования.

В рамках исследования используются методы теории множеств, теории графов, математической логики, теории вероятностей, теории случайных процессов, теории игр и методы объектно:ориентированного моделирования.

Основные положения, выносимые на защиту.

1. Модель выбора оптимального проекта СЗИ на основе теории игр.

2. Модель реализации угроз для информационной системы административного органа субъекта федерации, построенная в виде полумарковского процесса и позволяющая оценить вероятность и время, затрачиваемое па реализацию угрозы.

3. Алгоритм моделирования процесса реализации угрозы.

4. Программный комплекс, позволяющий работать с моделями через графический интерфейс.

5. Проект системы защиты информации для типовой информационной системы административного органа субъекта федерации.

Научная новизна работы заключается в следующем: разработаны полумарковская модель реализаг^ии угрозы в информационной системе и игровая модель исследования оптимальности проекта системы защиты информации, позволяющие оценить вероятности реализации множества угроз для различных проектов СЗИ, рассчитать информационные риски и, на основании этих данных, выбрать наиболее оптимальный проект СЗИ.

Практическая значимость исследования заключается в следующем:

1. использование разработанных моделей позволяет повысить эффективность создаваемых СЗИ ещё на этапе их проектирования;

2. результаты использования модели реализации угроз ИС могут применяться для оценки существующих СЗИ, в том числе для проведения аудита информационной безопасности ИС;

3. Основные положения исследования могут быть применены при проектировании и разработке защищенных информационных систем для выбора наиболее оптимального проекта создаваемой СЗИ.

Реализация и внедрение результатов. Основные результаты исследования были применены при проектировании системы защиты информационной системы Отделения Пенсионного фонда Российской Федерации по Волгоградской обл., а также используются в процессе разработки системы защиты информации Волгоградского государственного университета.

Кроме того, результаты исследования использов&тись в учебном процессе на кафедре «Информационной безопасности» Волгоградского государственного университета при проведении лабораторных работ по курсу «Моделирование систем комплексной защиты информации» для студентов специальности 090105 - «Комплексное обеспечение информационной безопасности автоматизированных систем».

Достоверность полученных результатов подтверждается корректным использованием известного математического аппарата, а также проведением натурных экспериментов для небольших тестовых систем и последующим сравнением результатов с результатами использования разработанной модели для этих систем.

Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались: на межвузовской научно-методической конференции «Проблемы образования в области информационной безопасности» (г. Москва, 2004 г.), на конференции «Проблемы современного этапа реформ России: федеральный и региональный аспекты» (г. Волгоград, 2005 г.), на международной научно-практической конференции «Коммуникативные технологии в образовании, бизнесе, политике и праве» (г. Волгоград, 2005 г.), на X и XI Региональных конференциях молодых исследователей Волгоградской области (г. Волгоград, 2005 и 2006 гг.), на III и IV Всероссийских конференциях студентов, аспирантов и молодых ученых «Технологии Microsoft в теории и практике программирования» (г. Москва 2006 и

2007 гг.), на региональной научно-практической конференции «Проблемы обеспечения информационной безопасности в регионе» (г. Волгоград 2008 г.), на X международной научно-практической конференции «Информационная безопасность» (г. Таганрог, 2008 г.), на IX Всероссийском симпозиуме по прикладной и промышленной математике (г. Волжский

2008 г.)

Публикации. По теме диссертации опубликовано 13 научных статей и тезисов докладов, в том числе 2 статьи в изданиях из перечня ВАК.

Структура и объем диссертации. Диссертация включает введение, три раздела, заключение, библиографический список, содержащий 102 наименования, и два приложения. Основной текст диссертации изложен на 214 страницах, включая 43 рисунка и 5 таблиц.

ОСНОВНЫЕ ПОЛОЖЕНИЯ РАБОТЫ

Во введении обоснована актуальность исследований в области построения моделей систем защиты информации, сформулированы цель и задачи работы, определена практическая ценность и научная новизна выносимых на защиту результатов.

В первом разделе рассмотрены ИС административных органов субъектов федерации, в частности ВУЗов.

Анализ показал, что построение ИС административных органов субъекта федерации в целом базируются на принципах построения корпоративных сетей, в том числе и в аспекте обеспечения безопасности. При этом рассмотренные ИС обладают рядом ключевых свойств, которые, существенным образом влияют на информационную безопасность и предъявляют дополнительные требования к системе защиты информации:

- сложно структурированная система, состоящая из множества подсистем, имеющих многофункциональные разветвленные взаимосвязи друг с другом и внешней средой;

- наличие сложных иерархических организационно-управленческих и организационно-технологических структур;

- наличие однотипных подразделений, выполняющих одинаковые функции, имеющих схожую организационно-штатную структуру, типовой документооборот и другие аспекты деятельности;

- большое число пользователей и персонала различных категорий, осуществляющих непосредственный и одновременный доступ к информационным ресурсам;

- присутствие в системе конфиденциальной информации, безопасность которой необходимо обеспечивать согласно законодательству РФ.

В диссертационной работе был проведен анализ ресурсов, угроз, применяемых и доступных для использования средств защиты информации и их уязвимостей, а также рассмотрены подходы к их классификации.

Анализ модели ресурсов ИС показал ее недостаточность при рассмотрении ИС с точки зрения процессов информационной безопасности, т.к. представленная модель не отражает взаимосвязи ресурсов между собой и соответственно не может показать, как воздействие на один из ресурсов ИС отражается на остальных ресурсах. Рассмотренная модель подходит для анализа состава ресурсов ИС, однако необходимо разработать модель ресурсов ИС с учетом взаимосвязей между ними.

Анализ подходов к классификации угроз показал, что наиболее подходящей является классификация по направленности угрозы. При этом данную классификацию необходимо доработать для того, чтобы она отражала не только угрозы информационным ресурсам, но и угрозы остальным ресурсам системы, а также обозначала взаимосвязи между угрозами и ресурсами.

В разделе проанализированы различные подходы к построению моделей систем защиты информации, среди которых можно выделить: графовые модели, вероятностные модели, модели использующие теорию случайных процессов, модели на основе сетей Петри и т.д.

Сравнительный анализ проводился по обоснованным требованиям к функционалу, реализованному в моделях:

— расчет вероятности реализации угрозы;

— расчет времени реализации угрозы;

— расчет времени обнаружения атаки;

— расчет рисков информационной безопасности;

— отображение процесса реализации угрозы.

Также в качестве критерия сравнения использовалась простота задания множества входных параметров модели.

Анализ показал, что ни одна из рассматриваемых моделей не удовлетворяет в полной мере предлагаемым требованиям. В связи с этим актуальными являются разработка модели выбора оптимального проекта системы защиты, удовлетворяющего перечисленным требованиям.

Во втором разделе разработаны: модель ресурсов ИС, классификация угроз ИС и комплекс моделей, используемых для поиска оптимального проекта СЗИ.

Модель ресурсов представляет собой ориентированное дерево, в котором отражаются взаимосвязи между различными ресурсами ИС. Корневая вершина дерева отображает все ресурсы ИС, вершины первого уровня отображают классы ресурсов. Далее каждая вершина отображает определенный ресурс ИС. Если у вершины присутствуют вершины потомки, то это говорит о том, что воздействие на ресурс, отображаемый данной вершиной, потенциально может оказать воздействие и на все ресурсы, отображаемые вершинами потомками.

Предложенная классификация угроз позволяет рассматривать взаимосвязь между некоторым классом угроз и ресурсами ИС. Классификация также представляет собой ориентированное дерево, в котором идет разбиение угроз от угроз для некоторого класса ресурсов ИС до угроз конкретным ресурсам.

Для решения задачи поиска оптимального проекта СЗИ разработан комплекс моделей. Архитектура разработанного комплекса моделей представляет собой иерархическую структуру, отображенную на рис. 1.

Рис. 1. Иерархическая структура комплекса моделей.

Во главе иерархии находится игровая модель поиска оптимального проекта. Исходньми данными для данной модели являются показатели обобщенных рисков при противодействии определенному типу злоумышленника и вероятности атаки со стороны того или иного типа злоумышленника. Вероятности атаки определяются отдельно (экспертными методами или на основе анализа статистических данных), а показатели обобщенных рисков поставляют модели, лежащие на среднем уровне иерархии - игровые модели противостояния определенному типу злоумышленника. Исходными данными для игровых моделей противостояния определенному типу злоумышленника являются риски, связанные с реализацией злоумышленником той или иной угрозы, и вероятности того, что злоумышленник попытается осуществить именно эту угрозу. Вероятности нацеленности злоумышленника на реализацию определенной угрозы определяются отдельно, а значения рисков поставляются моделями низшего уровня - полумарковскими моделями реализации угроз.

Модель реализации угрозы описывает последовательное использование уязвимостей системы защиты информации информационной системы и отображается в виде дерева 0(У, Е), множество вершин {V} которого представляет собой {У}=Ми{У1}и{Т}и{Р}, где М -вершина, отображающая злоумышленника, {VI} - множество вершин, обозначающих уязвимости системы защиты, множества {Т} и {Р} - листья дерева, отображающие реализуемую угрозу и провал атаки соответственно. Ребра дерева указывают последовательность использования уязвимостей, которая может привести либо к реализации угрозы, либо к провалу атаки.

На основе дерева реализации угрозы строится полумарковский процесс с конечным множеством состояний, причем множества состояний и переходов процесса определяются деревом в. Иначе говоря, множество состояний процесса - это фактически множество вершин {V} дерева О, а возможные переходы процесса определяются множеством ребер {Е} дерева й. При этом, исходя из специфики моделируемого процесса, все состояния являются невозвратными, а состояния Т и Р - поглощающими. Переходы из состояния 1 в состояние ] представляют собой способ эксплуатации ¡-й уязвимости системы защиты. Полумарковский процесс определяется как ступенчатый случайный процесс иф, 1>0, со следующими свойствами: в полуинтервале [0, 1|) г>(1:) = «1, в полуинтервале [1|, 1г) и(0= «2 и т.д. При фиксированной реализации цепи Маркова и„ ~~ ¡п, длительности 1}, 12- t], 12,... пребывания и^) в состояниях 11,12,13 ■ • - положительны и независимы, причем каждая из этих величин зависит лишь от состояния, в котором находится процесс, и от следующего состояния. Тогда можно задать следующие функции распределения времени пребывания в состоянии:

при п>1,1о=0.

Функцию Рц(х) предлагается описывать логнормальным распределением.

В рамках рассматриваемой модели время пребывания в состоянии интерпретируется как время необходимое злоумышленнику на эксплуатацию 1-й уязвимости, при условии, что в дальнейшем оп перейдет в ]-ое состояние (уязвимость, к реализации угрозы или атака провалится). Кроме того, задается начальное распределение р;"|=Р{и]=п}, определяющее из какого состояния злоумышленник начнет преодоление СЗЙ, и матрица вероятностей выбора следующего перехода (р£»), которая определяет вероятность выбора пути преодоления СЗИ злоумышленником. Учитывая, что при том или ином способе эксплуатации уязвимости есть вероятность неудачи и провала атаки в целом, то для каждого перехода рассматриваемого процесса задаются вероятности успешной эксплуатации ¡-ой уязвимости р|сп и вероятность

провала атаки при попытке эксплуатации ¡-ой уязвимости р-»1. При этом Р^ус" + Р^0' = 1. Тогда элементы матрицы переходных вероятностей (р^) полумарковского процесса, где ] е { VI} и {Т} и {Р} представляются как:

Р{1п-1п.!<х| -и„Ч и„+1^}=Ец(х),

(1)

п =ппеРр>сп Р* 1 (к ]к

(2)

при к е {VI} и {Т}

Поиск решения проводится моделированием описываемого полумарковского процесса. Моделирование проводится либо до истечения заранее заданного времени моделирования, либо до достижения одного из поглощающих состояний.

При моделировании до истечения заранее заданного времени моделирования и определяется вероятность Р1 осуществления угрозы за заданное время:

где 1Чт - количество экспериментов, в которых за время было достигнуто состояние Т, N - общее количество экспериментов.

При моделировании до достижения одного из поглощающих состояний определяется среднее время, затрачиваемое на осуществление угрозы 1угр, и вероятность Р осуществления злоумышленником угрозы при отсутствии ограничений времени:

где ^ - время достижения состояния Т в 1-ом эксперименте (1\=0, если в эксперименте было достигнуто состояние Р), Ыт -количество экспериментов, в которых было достигнуто состояние Т.

Вероятность Р рассчитывается по формуле (4), только эксперименты проводятся без ограничения времени моделирования.

Таким образом, для каждой угрозы в каждом проекте СЗИ вычисляются 1угр, Р1 и Р. На базе полученных оценок проводится поиск оптимального проекта.

Модель поиска оптимального проекта представляет собой игру статистика с природой, где под статистиком понимается владелец ИС, а под природой - злоумышленники различных типов. Игра описывается как у=(Х, В, Н), где Н - функция полезности владельца ИС заданная на ХхО, Х={Х|} - множество стратегий владельца ИС, т.е. возможные проекты построения СЗИ, - множество типов злоумышленника, т.е. некоторые

стратегии поведения присущие тому или иному типу злоумышленника. Вероятность столкновения с определенным типом злоумышленника определяется распределением вероятностей р^,)^,,

Матрица выигрышей в владельца ИС в таком случае представляет собой:

где h(Xj, dit) - выигрыш владельца ИС при выборе им i-ой стратегии и столкновении с k-ым типом злоумышленника, в данном случае под выигрышем понимается информационный риск.

L*.

t - J_

^ - NT '

(5)

G=(h(xj, dk)),

(6)

Для расчета выигрыша Ь(Х], (Щ также рассматривается игра статистика с природой, где под статистиком понимается владелец ИС, а под природой злоумышленник -определенного типа. Игра описывается как у=(Х, £2, Н), где Н - функция полезности владельца ИС, заданная на X х О, Х={х[} аналогично матрице в - это множество стратегий владельца ИС, т.е. возможные проекты построения СЗИ, С1={со]} - множество угроз, доступных к реализации данным типом злоумышленника. Вероятность выбора злоумышленником той или иной угрозы для реализации определяется распределением вероятностей Р(со^) = {рш }.

Тогда матрица выигрышей Ак, владельца ИС при игре с к-ым типом злоумышленника представляет собой:

Ак = (Ь(х„со,к)) (7)

где Ь(Х|, с%) - выигрыш владельца ИС при выборе им ¡-ой стратегии и выборе к-ым типом злоумышленника ]-ой стратегии, в данном случае под выигрышем понимается риск рассчитываемый как:

Ь(х„^) = Р,7ю"-С: (8)

где: р>т»» - это вероятность осуществления .¡-ой угрозы к-ым типом злоумышленника при ¡-ом реализованном проекте СЗИ, ^ - величина потерь от осуществления ]-ой угрозы, определяемая владельцем ИС.

Для определения значения г*». в формуле (8) используется (4).

После расчета всех выигрышей владельца ИС в матрицах игр {Ак} рассчитываются информационные риски по каждому проекту СЗИ при столкновении с к-м типом злоумышленника {Я^ }:

К^Е^х,,®^ (9)

j

Данные информационные риски при Х(еХ и ёкеО представляют собой выигрыши владельца ИС в матрице О:

Ь(х,А) = 1^ (10)

После расчета для матрицы й всех значений выигрышей владельца ИС рассчитываются обобщенные риски по каждому проекту СЗИ ^ :

яХ1 =ХКх1Л)Рй1 (11)

к

На основе множества проектов СЗИ {х,-}, представленных в матрице в, выбирается множество Парето {х|}„ по следующим критериям:

1- (12)

где Бц. - стоимость внедрения ¡-го проекта СЗИ, 8тах - максимальное количество средств, выделенных на создание СЗИ;

2. Ях1<ктах, (13)

где - обобщенные информационные риски при внедрении 1-го проекта СЗИ, - максимально допустимые обобщенные информационные риски;

3. Цх^)**?, (14)

где Ь(х,, 03;^) - информационный риск от осуществления ]-ой угрозы к-ым типом злоумышленника при ¡-ом проекте СЗИ, Я®" - максимально допустимое значение информационного риска от осуществления ]-ой угрозы к-ым типом злоумышленника;

4. 1№>1-, (15)

где - среднее время, затрачиваемое к-ым злоумышленником на осуществление '¡-ой угрозы, при ¡-ом проекте СЗИ, ^ - минимально допустимое среднее время, затрачиваемое на осуществление ]-ой угрозы.

Значение определяется по результатам моделирования полумарковского процесса в соответствии с (5).

Для выбора оптимального проекта из множества {х|}„ в простейшем случае используется максиминная стратегия. Но при этом максиминная стратегия в условиях смешанных стратегий злоумышленника может не являться оптимальной. Тогда в случае рандомизированной игры, т.е. когда задано распределение вероятностей Р(4), владелец ИС может воспользоваться Байесовской стратегией Х(, в качестве оптимального проекта СЗИ, которая находится как:

Н(хь I Р(<У) = шшЩх, | Р(ак)) = штХКх„<11)р(ак) = ттЯ,, (16)

' ' к '

Фактически Байесовская стратегия является наилучшей чистой стратегией владельца

ИС в осредненной игре против злоумышленника. Если Байесовская стратегия совпадает с

максиминной, то она является оптимальной.

Другой вопрос, рассматриваемый во втором разделе - генерация дерева реализации

угрозы. При генерации дерева учитываются следующие специфические особенности

процесса преодоления СЗИ:

1) существование уязвимости в системе защиты не значит, что злоумышленник

может ею воспользоваться, т.е. ему может не хватать знаний, у него может не

быть необходимого технического оснащения и т.д.;

2) параметры уязвимости могут зависеть от пути, по которому злоумышленник преодолевал систему защиты до этого, от способностей и оснащенности злоумышленника и т.д.;

3) уязвимость может представлять собой сложную структуру, которая также состоит из набора вложенных уязвимостей, различная последовательность использования которых может отнимать разное время; Следовательно, вероятность и время, затрачиваемое на использование этой уязвимости использования, будут различными;

4) существование альтернативных путей использования уязвимости приводит к тому, что результаты эксплуатации уязвимости могут быть различными, т.е при эксплуатации уязвимости по разным путям перед злоумышленником могут открываться разные возможности по дальнейшему продолжению атаки.

Для отображения зависимости параметров уязвимостей и переходов от состояния злоумышленника и от пути преодоления системы защиты в модель вводятся параметры злоумышленника, которые представляют собой:

— уровень знаний злоумышленника в различных областях;

— технические и программные средства, доступные злоумышленнику;

— знания злоумышленника о системе;

— возможности злоумышленника.

Уровень знаний злоумышленника описывается множеством Кпш ={Кп"},где Кп" - знания в определенной области, которые необходимы злоумышленнику для того, чтобы он мог использовать ту или иную уязвимость системы защиты. В качестве Кп™ могут выступать: знания в области языков программирования, сетевых протоколов, принципов работы операционных систем и программного обеспечения и т.д. Каждый элемент множества представляет собой целое неотрицательное число, обозначающее уровень знаний злоумышленника в соответствующей области.

Технические и программные средства доступные злоумышленнику описываются множеством ТГ" = {Т1"}, где п» ~ переменные, определенные на множестве {0, 1} и обозначающие наличие или отсутствие того или иного технического или программного средства.

^ | 1, если средство в наличии [ 0, если средство отсутствует

Знания злоумышленника о системе представляют собой множество КлЭ3" = {Кп8" }, где КпБ™ - это переменные, определенные на множестве {0, 1} и обозначающие: известна

ли злоумышленнику, та или иная информация о системе. В качестве KnS" могут выступать:

пароли пользователей или администраторов, типы и версии операционных систем и

установленного программного обеспечения, топология сети и т.д. При этом:

í 1, если информация известна KnSi =< (18)

[ 0, если информация не известна

Возможности злоумышленника в системе представляют собой множество

Pos3" = {PosП, где Posf - это переменные, определенные на множестве {0, 1} и

обозначающие возможность совершения тех или иных действий злоумышленником. В

качестве Pos'11 могут выступать: доступность целевого хоста через сеть, наличие

физического доступа к хосту и т.д. При этом:

f 1, если у злоумышленника есть соответствующая возможность Pos,=< (19)

[ 0, если у злоумышленника нет соответствующей возможности

Значения элементов во множествах KnSM,PosM могут изменяться в процессе моделирования, т.е. в процессе преодоления системы защиты злоумышленник может получать новые знания о системе, а успешная эксплуатация тех или иных уязвимостей может изменять его возможности.

Для отображения зависимости параметров уязвимости или перехода от типа злоумышленника и пути преодоления системы защиты для каждого объекта модели задается множество требований к злоумышленнику {Sf"11"}, i-ый элемент которого представляет собой следующее: S?aram = {Кп°б, ТГб, KnS°6, Pos06, D}, где Кп°б, ТГ6, KnS°6, Pos06 аналогичны множествам Кпш,ТГл,Кп8м,Р<км параметров злоумышленника. Отличие

заключается в том, что значения элементов в множествах Кп 06, Ti 06, KnS 06 , Pos 06 представляют собой требования к злоумышленнику.

Элемент D представляет собой логический дизъюнкт, который строится с использованием множества Kn3",TlM,KnS3",PosM параметров злоумышленника и множества Kn0<5,Tl°e,KnSoS,Poso5 требований объекта к злоумышленнику. Элемент D имеют следующий вид:

А<-В, лВ2 a...aB¡ a...Bn, (20)

где

— А - это предикат следующего вида:

— для k-ой уязвимости: pf1 = р, (21)

где pj0) - вероятность инициализации данной уязвимости (состояния), р -некоторое значение;

- для перехода от эксплуатации i-ой уязвимости к j-ой уязвимости:

СРГ = Ртр) Л (Р,Г = ¿ОЛ С", = /<) л («г, = а), (22)

где р™' - вероятность того, что после эксплуатации i-ой уязвимости злоумышленник перейдет к эксплуатации j-ой уязвимости, P¡f" - вероятность успешной эксплуатации i-ой уязвимости, [t¡j и - параметры логнормального закона распределения плотности вероятности для времени, затрачиваемого злоумышленником на эксплуатацию i-ой уязвимости, ркр, р^", /л,а - некоторые значения;

— Bi представляет собой предикат следующего вида:

В, =Pi(pil(x,y),pQ(x,y),...,p,J(x,y)...)> (23)

где p,j(x, у) представляют собой предикаты следующих видов:

- р(Кп|3",Кп°6) = Кп|л >Knf,

где к< - знания злоумышленника в i-ой области, Кп°6 - требования к знаниям злоумышленника в i-ой области;

- р(Т^,Т1°<5) = Т1°б->.Т1^, (24)

где TI" - наличие у злоумышленника того или иного технического средства, TI* - требования к наличию у злоумышленника того или иного технического средства;

- p(KjiSfn,KnS°6) = KnS5>6 ->KnS™, (25)

где jcns," - наличие у злоумышленника той или иной информации о системе, Kns;"' - требования к наличию у злоумышленника той или иной информации о системе;

- p(Pos^Pos°6) = Poslí,6->Posr, (26)

где Pos^1 - возможности злоумышленника, Pos"6 - требования к возможностям злоумышленника. Следовательно, если во множестве {Sparam} объекта модели в элементе D значение правой части равно «истине», то левая часть выражения, описывающая параметры объекта, должна быть приведена к такому виду, чтобы все выражение приняло значение «истина».

Другими словами параметры объекта должны принять значения определенные в левой части выражения (20).

Множество {8ра'ат} может содержать несколько элементов, правые части логических дизъюнктов в которых при данных параметрах злоумышленника и требований объекта к злоумышленнику принимают значение «истина». Следовательно, возникает неоднозначность: какие именно значения должны принимать параметры объекта модели. Для разрешения неоднозначности множество {§рагат} должно быть упорядочено с учетом увеличения приоритета, т.е. в том случае, если правые части одновременно нескольких выражений принимают значение «истина», то рассматриваться должно только выражение с наибольшим приоритетом.

Применяя данный подход, отображается не только зависимость параметров объекта модели от параметров злоумышленника и пути преодоления системы защиты, но и зависимость существования объекта от вышеперечисленных факторов. В случае, если объект (уязвимость или переход) не существует для данного типа злоумышленника, то это выражается в том, что несуществующее состояние становится недостижимым, а вероятность не существующего перехода в матрице переходных вероятностей становится равной нулю. Для достижения эффекта недостижимости состояния или нулевой вероятности предлагается изменять параметры объектов. Если объект - это переход, то необходимо обнулить вероятность перехода по нему. Если объект - это уязвимость, то необходимо обнулить ее вероятность инициализации. Необходимо принять во внимание и тог факт, что если состояние должно быть недостижимым, то все переходы, ведущие в данную уязвимость в свою очередь также должны иметь нулевую вероятность перехода. Иначе говоря, во множествах ¡5рагат} объектов модели в том случае, если необходимо описать невозможность существования данного объекта модели для данного типа злоумышленника, то в элементе Б предикат А должен принимать следующий вид: — если объект - это уязвимость:

В случае успешной эксплуатации уязвимости злоумышленник добивается некоторых результатов, т.е. он может получить новые возможности в атакуемой системе или раскрыть некоторую информацию, которую можно использовать в процессе взлома. Это выражается в том, что после эксплуатации той или иной уязвимости вносятся изменения в множества

(27)

— если объект - это переход:

(р™ = 0) л (PJ"' = рП л (/,„ = р) л (сг„ = а)

значения принимаемые р>т, fin а в данном случае не важны.

(28)

п^оаметров злоумышленника KnS3", Pos3". Для этого каждому исходящему переходу ставятся в соответствие множества KnS^, Pospn результатов эксплуатации уязвимости.

Множества KnSpe3,Pospe3 имеют такую же структуру, как и KnS",PosM и KnS^Pos06. Значения элементов в этих множествах KnSj*3 и Pos!"13 также определены на {О, 1} и обозначают изменения, которые необходимо внести во множества параметров злоумышленника. Если значение какого-либо элемента в множествах KnSpcl или Posp" равно О, это значит, что по результатам эксплуатации уязвимости нет необходимости изменять соответствующие им элементы в множествах параметров злоумышленника KnS™ или Pos"; если же значения равны 1, то соответствующие элементы множеств параметров злоумышленника должны также принять значение 1.

Таким образом, внесение изменений в параметры злоумышленника после эксплуатации уязвимости (перехода из состояния эксплуатации уязвимости в следующее) представляет собой:

KnS3" =KnS" vKnSf" (29)

Pos]" = Pos3* v Posf1 (30)

где:

— KnS" - i-й элемент множества параметров злоумышленника KnS3";

— KnSfa - i-й элемент множества результатов эксплуатации уязвимости KnSpn;

— Pos3" - j-й элемент множества параметров злоумышленника Pos3";

— Posp" - j-й элемент множества результатов эксплуатации уязвимости Posp";

Отображение сложной внутренней структуры уязвимости реализуется вводом двух типов уязвимостей:

— элементарная, т.е. уязвимость, однозначно описываемая параметрами исходящих переходов и значением вероятности инициализации;

— составная, которая состоит из вложенных уязвимостей и переходов между ними, причем вложенные уязвимости могут быть как элементарными, так и составными.

Предлагается составные уязвимости описывать также в виде графа Gvui(V, Е), отображающего вложенные уязвимости и порядок их эксплуатации, который может привести к эксплуатации составной уязвимости в целом. Единственное отличие в том, что составная уязвимость может содержать множество поглощающих состояний {R¡}, каждый из которых представляет собой определенный результат эксплуатации уязвимости.

Чтобы обеспечить возможность построения модели полумарковского процесса для графа реализации угрозы, содержащим составные уязвимости, отдельно моделируется процесс эксплуатации составных уязвимостей. В результате моделирования составной уязвимости рассчитываются такие параметры, как вероятности переходов для всех исходящих переходов из данной уязвимости и параметры закона распределения времени пребывания в состоянии. Если данные параметры известны, то составную уязвимость можно рассматривать как элементарную в рамках модели реализации угрозы.

Модель составной уязвимости абсолютно аналогична модели реализации угрозы, следовательно, и моделирование уязвимости осуществляется также.

Поиск параметров составной уязвимости и параметров исходящих из нее переходов проводится моделированием описываемого полумарковского процесса. Моделирование проводится до достижения одного из поглощающих состояний. При этом определяется множество вероятностей {Рк. } получения того или иного результата эксплуатации составной уязвимости и множество параметров закона распределения вероятности времени, затрачиваемого на достижение того или иного результата при попытке эксплуатации составной уязвимости {(/ик ,сгк )}.

Для расчета параметров логнормального закона распределения вероятностей используются оценки максимального правдоподобия:

где V - время достижения поглощающего состояния

1ЯК -количество экспериментов, в которых было достигнуто состояние

Для расчета вероятности достижения результата Я, используется следующая формула:

где Мк - количество экспериментов, в которых было достигнуто состояние N - общее количество экспериментов.

Таким образом, параметры Рк,, , ег^ рассчитываются отдельно для каждого поглощающего состояния. После расчета данных параметров определяются непосредственно параметры, необходимые для отображения составной уязвимости в виде элементарной.

2>Ч

¡ = 1_

(31)

(32)

Наличие нескольких возможных результатов эксплуатации составной уязвимости приводит к тому, что появляется зависимость исходящих переходов от полученного результата. Другими словами, переход в графе реализации угрозы от составной уязвимости к некоторой последующей уязвимости может быть осуществлен только, если при эксплуатации составной уязвимости был получен определенный результат, т.е. достигнуто определенное поглощающее состояние.

Отобразить данную ситуацию в графе реализации угрозы предлагается с помощью ввода фиктивных вершин.

Также во втором разделе описываются алгоритмы моделирования реализации угрозы, анализа результатов моделирования реализации угрозы и поиска оптимально проекта. Рассматривается архитектура разработанного программного комплекса, реализующего данные алгоритмы и позволяющего проводить моделирование различных проектов СЗИ для поиска наиболее оптимачьного. Определяется методика проведения моделирования.

В третьем разделе рассматривается методика работы с разработанным программным комплексом, описывающая последовательность действий при генерации множества проектов СЗИ и основные результаты по выбору оптимального проекта СЗИ типовой ИС административного органа субъекта федерации. В качестве типовой ИС рассматривается ИС ВолГУ.

В разделе определяются основные ресурсы рассматриваемой ИС, угрозы для этих ресурсов, идентифицируются основные типы злоумышленников угрожающих системе, а также выявляются уязвимости существующей системы защиты. Помимо существующей системы защиты в разделе рассматриваются три проекта её улучшения:

1) проект СЗИ ориентированный на противодействие внешним злоумышленникам;

2) проект СЗИ ориентированный на противодействие внутренним злоумышленникам;

3) сбалансированный проект СЗИ.

В разделе приведены результаты моделирования для заданных параметров модели. В табл. 1 приводятся значения обобщенных информационных рисков по всем рассматриваемым проектам. Гистограмма результатов моделирования представлена на рис. 2.

Таблица I

Обобщенные информационные риски рассматриваемых проектов СЗИ

Название проекта Значение обобщенного риска

Текущая защита 82131.84

Внешняя защита 18960.45

Внутренняя защита 30050.03

С баданеиро ванный 16024.15

Рис. 2. Диаграмма сравнения обобщенных рисков (экранная копия) На данном рисунке видно, что проекты текущей защиты (1), зашиты, ориентированной на противодействие внешнему злоумышленнику (2), и зашиты, ориентированной на противодействие внутреннему злоумышленнику (3), не удовлетворяют требованиям, поставленным перед системой защиты. Иначе тюря, они при проведении анализа проектов не попали во множество Парето {х|}„. Единственный проект, удовлетворяющий требованиям, поставленным перед системой защиты, - это сбалансированный проект (4), который, кроме прочего, обеспечивает и наименьший обобщенный риск. Таким образом, сбалансированный проект системы защиты является оптимальным.

В заключении приведены основные результаты проведенных исследований. ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ

1. Разработан алгоритм генерации множества проектов системы защиты информация.

2. Разработаны модели реализации множества угроз в информационной системе, позволяющие оценить вероятности реализации угроз и времена, затрачиваемые на реализацию угроз.

3. Разработана модель выбора оптимального проекта СЗИ. Модель основана на теории игр и позволяет рассчитывать, как информационные риски по проектам при столкновении с определенным типом злоумышленника, так и обобщенные информационные риски по каждому проекту СЗИ, и на основании этих данных выбирать оптимальный проект.

4. Разработаны алгоритмы моделирования процессов реализации угрозы и поиска оптимального проекта СЗИ.

5. Создан программный комплекс, реализующий описанные модели и алгоритмы моделирования.

6. Разработан типовой проект системы защиты информации административного органа субъекта федерации, внедренный в Отделении Пенсионного фонда Российской Федерации по Волгоградской области.

По теме диссертационного исследования опубликованы следующие основные работы.

1. Цыбулин A.M., Белгородский М.В., Арьков П.А., Сидоров Ю.А. Автоматизированная разработка имитационных моделей [Текст] / A.M. Цыбулин, М.В. Белогородекий, П.А. Арьков, Ю.А. Сидоров // Проблемы образования в области информационной безопасности: Сборник трудов межвузовской научно методической конференции - М.: ИКСИ Академии ФСБ России 2004, С. 83-85;

2. Цыбулин A.M., Белгородский М.В., Арьков П.А., Сидоров Ю.А. Комплекс вероятностных моделей для оценки информационной безопасности автоматизированных систем [Текст] / A.M. Цыбулин, М.В. Белогородекий, П.А. Арьков, Ю.А. Сидоров // Проблемы образования в области информационной безопасности: Сборник трудов межвузовской научно методической конференции - М.: ИКСИ Академии ФСБ России 2004, С. 208-210;

3. Цыбулин A.M., Арьков П.А. Модели безопасности информационных систем [Текст] / A.M. Цыбулин, П.А. Арьков // Проблемы современного этапа реформ России: федеральный и региональный аспекты. Материалы конференции. ГОУ ВПО ВАГС. Волгоград, 2005;

4. Арьков П.А. Моделирование процессов информационной безопасности с использованием Марковских цепей [Текст] / Арьков П.А. // Коммуникативные технологии в образовании, бизнесе, политике и праве: Тез. Докл. Международной научно-практической конференции, Волгоград: НОУ ВИБ; ИЯ РАН, 2005, С 135-138

5. Арьков П.А. Моделирование поведения злоумышленника [Текст] / Арьков П.А. // X Региональная конференция молодых исследователей Волгоградской области: тезисы докладов/ВГТУ Волгоград 2005, С. 201 -203;

6. Арьков П.А. Подход к оценке вероятности преодоления системы защиты [Текст] / П.А. Арьков // Технологии Microsoft в теории и практике программирования: труды

Всероссийской конференции студентов, аспирантов и молодых ученых. Центральный регион. Москва, 2-3 марта, 2006 г.-М.: МГГУ им. Н.Э. Баумана - С. 77-78

7. Арьков П.А. Подход к проектированию системы защиты информации автоматизированной системы [Текст] / П.А. Арьков // XI Региональная конференция молодых исследователей Волгоградской области: тезисы докладов/ВГТУ Волгоград 2006, С. 198;

8. Арьков П.А. Построение модели преодоления системы защиты информации [Текст] / П.А. Арьков // Технологии Microsoft в теории и практике программирования: труды IV Всероссийской конференции студентов, аспирантов и молодых ученых. Центральный регион. Москва, 2-3 апреля 2007г.-М.: Вузовская книга, 2007 - С. 42-43

9. Арьков П.А. Построение модели для поиска оптимального проекта системы защиты информации [Текст] / П.А. Арьков // Проблемы обеспечения информационной безопасности в регионе: Сборник трудов региональной научно-практической конференции / Волгоград, 28 марта 2008 года. - В.: Волгоградский государственный университет, 2008. - С. 76-80;

10. Арьков П.А. Полумарковская модель реализации угрозы в информационной системе [Текст] / П.А. Арьков // Материалы X Международной научно-практической конференции «Информационная безопасность». 4.1. - Таганрог: Изд-во ТТИ ЮФУ, 2008, С. 30-32;

11. Арьков П.А. Исследование оптимальности проекта системы защиты информации на игровой модели [Текст] / П.А. Арьков // Материалы X Международной научно-практической конференции «Информационная безопасность». 4.1. - Таганрог: Изд-во ТТИ ЮФУ, 2008, С. 32-34;

12. Арьков П.А. Построение модели процесса реализации угрозы в информационной системе на основе полумарковского случайного процесса [Текст] / П.А. Арьков // Обозрение прикладной и промышленной математики, 2008, том 15, Выпуск 4, М.: ООО Редакция журнала «ОПиПМ», 2008 - С. 655

13. Арьков П.А. Построение модели процесса реализации угрозы в информационной системе на основе сетей Петри [Текст] / П.А. Арьков // Обозрение прикладной и промышленной математики, 2008, том 15, Выпуск 4, М.: ООО Редакция журнала «ОПиПМ», 2008 - С. 655

Личиый вклад автора в работах, написанных в соавторстве [1, 2, 3], состоит в разработке алгоритмов вероятностной оценки системы защиты информации.

Подписано в печать 17.12 2008 г. Формат 60x84/16. Бумага офсетная. Гарнитура Тайме. Усл. печ. л. 1,2. Тираж 100 экз. Заказ 295.

Издательство Волгоградского государственного университета. 400062, г. Волгоград, просп. Университетский, 100.