Исследование вероятностных характеристик изменения защищенности информационной системы от несанкционированного доступа нарушителей Текст научной статьи по специальности «Математика»

ЗАЩИТА ИНФОРМАЦИИ /

УДК 681.3.067

М:10.15217/1Б8П1684-8853.2015.1.50

ИССЛЕДОВАНИЕ ВЕРОЯТНОСТНЫХ ХАРАКТЕРИСТИК ИЗМЕНЕНИЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА НАРУШИТЕЛЕЙ

Г. Н. Мальцева, доктор техн. наук, профессор А. Н. Панкратова, канд. техн. наук, докторант Д. А. Лесняк*, канд. техн. наук, начальник лаборатории аВоенно-космическая академия им. А. Ф. Можайского, Санкт-Петербург, РФ

Цель: прогнозирование состояния защищенности информационной системы от несанкционированного доступа нарушителей для определения периодичности управления средствами защиты информации. Методы: использованы представление процессов возникновения и предотвращения угроз информационной безопасности в виде потоков случайных событий с заданными статистическими характеристиками и формализованное описание динамики изменения состояния защищенности информационной системы во времени вероятностной моделью конфликтного взаимодействия с нарушителем. Результаты: доказана необходимость использовать в условиях априорной неопределенности экспоненциальное распределение времени преодоления защиты нарушителем. Разработана модель, позволяющая обосновать необходимый период управления средствами защиты информации, а также описать изменение состояния защищенности информационной системы при заданных функциях распределения вероятностей обеспечения и преодоления защиты без наложения ограничений на вид этих распределений. Практическая значимость: на основе анализа изменения вероятностных характеристик защищенности информационной системы во времени может быть реализовано гибкое управление средствами защиты от несанкционированного доступа с учетом прогнозируемого уровня защищенности.

Ключевые слова — информационная безопасность, несанкционированный доступ, конфликтное взаимодействие, управление средствами защиты информации.

Введение

В современных информационно-управляющих системах при передаче и обработке критической информации могут быть использованы различные методы защиты информации, обеспечивающие достижение определенного уровня информационной безопасности (ИБ) [1, 2]. В то же время в условиях информационного противоборства объективным свойством защищенности информационных систем является ее постепенное снижение при неизменном составе средств защиты или при фиксированных их параметрах [3]. Так, при перехвате зашифрованных сообщений и постоянном ведении криптоанализа нарушитель накапливает информацию об используемом методе шифрования, что в отсутствие смены ключей шифрования приводит к снижению уровня защищенности передаваемых сообщений и увеличению вероятности несанкционированного доступа (НСД) к ним нарушителя [4, 5]. В связи с этим необходимо с определенной периодичностью контролировать состояние защищенности информационных систем, своевременно проводить соответствующее текущим условиям управление средствами защиты информации (настройку их параметров) и тем самым поддерживать требуемый уровень защищенности системы от действующих или потенциальных угроз. Это

относится как к техническим, так и к организационным мерам обеспечения ИБ, и в общем случае такое управление может рассматриваться как оптимизация состава средств защиты [6] или пересмотр мероприятий по защите информации [7].

Процессы реализации и предотвращения угроз ИБ могут быть описаны методами теории конфликта [8, 9]. Вероятностные модели составляют один из видов моделей конфликтного взаимодействия, применимый к широкому классу организационно-технических систем. Их достоинством является описание изменения состояния защищенности анализируемой системы при заданных функциях распределения вероятностей реализации и предотвращения угроз без наложения ограничений на вид этих распределений. В настоящей статье представлено описание вероятностной модели изменения защищенности информационной системы в условиях конфликтного взаимодействия с нарушителем. Модель позволяет определить периодичность контроля защищенности системы и управления используемыми средствами защиты информации, обеспечивающую требуемый уровень защищенности от действующих угроз, например от НСД нарушителя к передаваемой или обрабатываемой критической информации.

Определение вероятности обеспечения защиты информации за заданное время в условиях конфликтного взаимодействия с нарушителем

Требуемый уровень защищенности информационных систем, функционирующих в условиях информационного противоборства и угроз ИБ, обеспечивается использованием и поддержанием в работоспособном состоянии комплексов средств защиты информации (КСЗИ). В общем случае состав КСЗИ определяют, исходя из требований к ИБ системы, ожидаемых угроз и целей нарушителя. При этом высокая степень неопределенности процесса информационного противоборства, носящего характер конфликтного взаимодействия, приводит к необходимости принимать упреждающие меры по обеспечению требуемого уровня защищенности и сведению к минимуму возможного ущерба от действий нарушителя. Механизм поддержания требуемого состояния защищенности информационной системы должен функционировать так, чтобы через определенный интервал времени, выбираемый исходя из допустимого снижения вероятности нормального функционирования системы, проводилась проверка защищенности и при необходимости управление КСЗИ (настройка параметров входящих в его состав средств).

В постановке задачи моделирования изменения состояния защищенности информационной системы в условиях конфликтного взаимодействия с нарушителем [10, 11] функционирование КСЗИ информационной системы рассматривается как деятельность стороны защиты по обеспечению защиты, а попытки реализации угроз ИБ — как деятельность стороны нападения по преодолению защиты. При этом обе стороны осуществляют одновременно те или иные мероприятия с учетом текущей обстановки и поведения противоположной стороны. На основе формализованного описания изменения во времени защищенности информационной системы от угроз нарушителя рассмотрим вероятностные характеристики защищенности, позволяющие прогнозировать значения вероятностей обеспечения защиты в течение заданного интервала времени с целью определить периодичность контроля защищенности и управления (настройки параметров) КСЗИ. При предотвращении угроз НСД к системам передачи информации такое управление средствами защиты заключается в смене ключей шифрования [4, 5].

Общая постановка задачи определения необходимого момента управления КСЗИ при вероятностном описании его конфликтного взаимодействия с нарушителем состоит в следующем [10]. Заданы функции распределения Fз ¿.(¿к), к = 1, ..., К, случайных моментов времени 1к реализации

К вариантов защиты и функции распределения Fн п(тп), п = 1, "•, N, случайных моментов времени тп реализации N вариантов нападения. Для определения момента времени управления КСЗИ в интересах обеспечения требуемого уровня ИБ необходимо оценивать условия достижения при конфликтном взаимодействии выигрыша защиты. При информационном конфликте к-го и п-го вариантов действий противоборствующих сторон выигрыш защиты Ьз кп(Т) на интервале времени длительностью Т заключается в реализации своего варианта действий раньше, чем будет реализован соответствующий вариант нападения.

Общее выражение для выигрыша защиты на интервале времени Т для к-го и п-го вариантов действий противоборствующих сторон имеет следующий вид:

А кп (Т) = / ^ к(тп К^т п (тп )•

(1)

Усреднение выигрыша защиты (1) по всем возможным альтернативам к и п представляет собой показатель эффективности заложенных в КСЗИ вариантов защиты на интервале времени Т:

К N Т

Ар (Т) = ЕЕ]к^п)^ п (тп )РпРкп, (2)

к=1 п=1 о

где Qn — вероятности предотвращения КСЗИ угроз стороны нападения, соответствующие каждому из N вариантов нападения; Рщп — условные вероятности выбора к-го варианта защиты при условии реализации нарушителем п-го варианта нападения.

Выражение (2) учитывает взаимосвязь между вариантами действий защиты и нападения, обусловленную наличием у стороны защиты той или иной информации о стороне нападения, которую сторона защиты использует при принятии решений. На практике эта информация появляется у стороны защиты в результате анализа угроз и уязвимостей информационной системы в изменяющихся условиях ее функционирования и является функцией от длительности анализируемого интервала времени Т. Отсюда следует постановка вариационных задач максимизации выигрыша защиты Ьз(Т) и определения наибольшего интервала времени Т, на котором выигрыш защиты Ьз(Т) не менее заданного допустимого

значения £з.д0п.

Если полагать, что начальный момент анализируемого интервала времени соответствует моменту времени ^пр ¿, в который произошло очередное 1-е управление КСЗИ, то интервал времени до следующего ( + 1)-го управления КСЗИ

Т1 = *упр ¿+1 - *упр I должен удовлетворять условию ¿з(Т) > Ьз доп для всех Т е Тг Практически вместо обобщенного показателя выигрыша

о

защиты Ьз(Т), определяемого выражением (2) и являющегося функционалом от функций распределения ¥3 п(хп), могут быть максимизированы монотонно связанные с ним показатели. В качестве такого показателя, отражающего суть конфликтного взаимодействия сторон защиты и нападения, примем вероятность Рзащ(Т) пребывания стороны защиты в состоянии выигрыша в течение интервала времени Т. От этой вероятности в дальнейшем может быть осуществлен переход к зависимости вероятности обеспечения защиты от времени Рз(г), где моменту времени гупр 1 соответствует г = 0, а интервал времени Т1 = гупр + - гупр г соответствует условию Рз(г) > Рз доп превышения вероятности обеспечения защиты допустимого уровня Рз доп для всех г < Т¿. Исходя из этого условия по зависимостям Рз(£) непосредственно осуществляется определение периода управления средствами защиты информации. При этом чем выше вероятность обеспечения защиты - защ(Т) при фиксированной величине Т, тем медленнее убывают соответствующие им зависимости Рз(£) и тем реже необходимо управлять КСЗИ для поддержания требуемого уровня защищенности информационной системы.

При вероятностном подходе к описанию процесса конфликтного взаимодействия процессы возникновения и предотвращения угроз ИБ представляются в виде потоков случайных событий с заданными статистическими характеристиками. Условия конфликтного взаимодействия при попытке реализации нарушителем определенной угрозы ИБ характеризуются плотностями распределения вероятностей обеспечения и преодоления защиты юООТ11(£) и Н) соответственно.

защ нап

Данные плотности распределения отражают возможности используемого КСЗИ обеспечивать защиту информации при попытке нарушителем реализовать соответствующую угрозу ИБ, а нарушителя — исполнить данную угрозу на рассматриваемом интервале времени Т. Вероятность обеспечения защиты в течение интервала времени Т определяется выражением

Р -

'дай

= I Идай 0

м

1 -/ И^гат (^

0

dт.

(3)

На практике имеют место конечное время изменения условий функционирования информационной системы, связанных с попытками нарушителя реализовать угрозы ИБ, и конечная оперативность управления КСЗИ для их предотвращения. Величина вероятности обеспечения защиты - защ(Т), определяемая выражением (3), зависит от временных масштабов изменения процессов преодоления и обеспечения защиты, описываемых плотностями распределения вероятностей юзащ(г) и юнап(£). Задачей защиты является уве-

личение величины - защ(Т) при поведении нарушителя, характеризуемом плотностью распределения вероятностей преодоления защиты юнап(г), за счет выбора соответствующего своего поведения, характеризуемого плотностью распределения вероятностей обеспечения защиты юзащ(г), что эквивалентно критерию управления КСЗИ

а

дай

(0)=1

Идай

м

1 -

/

Иг

dх-

тах

Максимальное значение вероятности обеспечения защиты - защ(Т) = 1 достигается в двух случаях:

1) если на анализируемом интервале времени Т полностью отсутствуют воздействия нападения — при ^нап(г) = 0;

2) если на анализируемом интервале времени Т защита обеспечивает полностью бесконфликтное функционирование с нападением — при

Т х

IИдай (х)IИгат (ДОЙх = 0. 0 0

Первый из указанных случаев соответствует бесконечно медленному изменению условий функционирования информационной системы, когда ее КСЗИ обеспечивает предотвращение всех возможных угроз ИБ со стороны нарушителя. В этом случае управление (настройка) КСЗИ не требуется. Второй из указанных случаев соответствует бесконечно быстрой упреждающей реакции КСЗИ на изменение условий функционирования информационной системы. В этом случае управление (настройка) КСЗИ происходит мгновенно и обеспечивает предотвращение всех возможных угроз ИБ.

Определение зависимостей Рз(г) по зависимостям - защ(Т) осуществляется следующим об-Если положить в выражении вида (3) ) и Т > Тзащ, то зависимости Рз(г) будет соответствовать зависимость - (Т )

защ защ

с заменой переменной Тзащ на переменную г. Полученные зависимости Рз(г) имеют единичное значение при г = 0 и стремятся к нулю при г ^ ж, что отражает снижение с течением времени уровня защищенности информационной системы после управления КСЗИ в момент времени г = 0. Тогда интервал времени безопасного функционирования информационной системы Т0 является решением относительно г уравнения Рз(г) = Рз доп (полагаем ¿упр 1 = 0). Найденные таким образом значения Т0 соответствуют требуемой периодичности управления КСЗИ, необходимой для своевременной его настройки — внесения изменений, соответствующих текущим условиям функционирования.

Достоинством вероятностного описания процесса конфликтного взаимодействия является отсутствие ограничений на вид используемых распределений вероятностей обеспечения и пре-

разом.

ю (х) = 8(х - Т

защ защ

одоления защиты. Это позволяет задавать и проводить расчеты для различных стандартных и экспериментальных законов распределения. В то же время особенности и свойства вероятностных характеристик изменения защищенности информационных систем во времени могут быть рассмотрены по результатам анализа влияния на вероятности Рзащ(Т) и Рз(г) параметров плотностей распределения шзащ(г) и шнап(г) для типовых законов распределения вероятностей преодоления и обеспечения защиты.

Результаты исследования изменения во времени вероятностных характеристик защищенности информационной системы

С использованием общего выражения (3) было исследовано влияние вида и параметров законов распределения вероятностей обеспечения защиты (для стороны защиты) и преодоления защиты (для стороны нападения) на динамику изменения защищенности информационной системы во времени. В качестве типовых рассматривались законы распределения вероятностей преодоления и обеспечения защиты трех видов:

1) усеченное гауссово распределение с функциями плотности распределения вероятностей

и?ай (С) =

Итат (С) = -

1

Арай ^/2^стдай 1

ехр

(С- Трай )

Атй | Т2лс

-ехр

2а2

2СТ5ай

(С -Ттат )2

и

2а1

определяемыми для области значений г > 0, с параметрами: Тзащ и Тнап — средние значения времени обеспечения и преодоления защиты, азащ и анап — среднеквадратические значения вре-

защ

мени обеспечения и преодоления защиты, А, и Анап — нормировочные коэффициенты, обеспечивающие при переходе от стандартного к усеченному гауссову распределению выполнение усло-

¥ ¥

вий нормировки ^ ирай (£)^ = 1 и ^ Ита! (С^С = 1;

оо 2) экспоненциальное распределение с функциями плотности распределения вероятностей

Ирай

Ит

(t) =

1

Тррай

ехр

Тррай

и

(С) =

Ттат

ехр

Та'|

определенными в области значений г > 0, с параметрами: Тзащ и Тнап — средние значения времени обеспечения и преодоления защиты;

3) распределение с функциями плотности распределения вероятностей вида 5-функции

(С) = 8(с -Тай) и итат (С) = 8(С - Ттат),

Щрай (|-) — 'дай,

задаваемыми в области значений г >0, соответствующее детерминированным моментам времени Тзащ и Тнап обеспечения и преодоления защиты.

Гауссово распределение, являющееся двух-параметрическим, позволяет при описании конфликтного противодействия оценить влияние на результирующую величину вероятности обеспечения защиты средних и среднеквадратических значений времени обеспечения и преодоления защиты. Необходимость использовать усеченное гауссово распределение обусловлена тем, что плотности распределения вероятностей шзащ(г) и ^нап(£) должны задаваться в области положительных значений времени 0 < г < ж, в то время как стандартное гауссово распределение задается в области -ж < г < ж. Нормировочные коэффициенты Азащ и Анап для усеченного гауссова распределения, определяемого в области 0 < г < ж, в соответствии с правилами теории вероятностей [12] рассчитываются по формулам

Адай =

1

л/2яс

ехр

рай о

(С -Тррай )■

2а;

рай

А =_-

А|ат — рт-V2лс

-/

ехр

та| 0

(С- Тат )2

2ат

dt•;

dt•

На рис. 1 приведены графики гауссовых плотностей распределения вероятностей ю(£) с различным сочетанием параметров Т и а, в качестве которых могут выступать Тзащ или Тнап и азащ или анап соответственно, а также функций вида

представляющих

у(с) = Ирай (С)1-/ и тат (т^т о

собой подынтегральное выражение внешнего интеграла в выражении (3) для вероятности обеспечения защиты Рзащ(Т). На рис. 1, а: кривая 1 — гауссова плотность вероятности с параметрами Т = 10, а = 3; кривая 2 — гауссова плотность вероятности ш2(г) с параметрами Т = 15, а = 3; кривая 3 — функция у(г), определяемая в предположении, что ^(г) = шзащ(г), ¡ш2(г) = шнап(г); кривая 4 — функция у(г), определяемая в предположении, что юх(г) = шнап(г), ш2(г) = шзащ(г). На рис. 1, б: кривая 1 — гауссова плотность вероятности ш1(Ь) с параметрами Т = 15, а = 3; кривая 2 — гауссова плотность вероятности ш2(г) с параметрами Т = 15, а = 6; кривая 3 — функция у(Ь), определяемая в предположении, что = ^защ(г), = Шнап(г); кривая 4 — функция у(г) , определяемая в предположении, что

= ^нап^ ш2(0 = шзащ(г).

■ Рис. 1. Гауссова плотность распределения вероятности обеспечения защиты ю(г) и функции у(г) при различных соотношениях между параметрами Т и ст: а — значения Т различные; б — значение Т фиксированно

С учетом введенного обозначения у(г) вероятность обеспечения защиты за заданное вреТ

мя Топределяется выражением Рдай (Т) = |У(№Ъ

0

а при Т ^ ж ей соответствует площадь под кривыми 3 и 4. Из графиков видно, что определяющими параметрами, от соотношения между которыми зависят результирующие значения вероятности обеспечения защиты - защ(Т), являются средние значения времени обеспечения и преодоления защиты Т и Т . Именно от их сочета-

защ нап

ния зависит способность защиты противостоять угрозам нападения, и управление КСЗИ должно быть направлено, прежде всего, на уменьшение отношения Тзащ/Тнап, что соответствует упреждающей стратегии защиты. От соотношения между среднеквадратическими значениями времени обеспечения и преодоления защиты стзащ и стнап результирующие значения вероятности обеспечения защиты Рзащ(Т) зависят слабо. Так, при Т ^ ж функциям у(г), представленным кривыми 3 и 4 на рис. 1, а, соответствуют значения Рзащ(Т), равные 0,88 и 0,12, а обеим функциям у(г), представленным кривыми 3 и 4 на рис. 1, б — значения Рзащ(Т) около 0,5. Доминирующим останется влияние на величину - защ(Т) отно-

шения Тзащ/Тнап и при различных средних Т и Тнап и среднеквадратических стзащ и ст]

защ

зна-

чениях времени обеспечения и преодоления защиты. При этом уменьшение стзащ приводит к более медленному нарастанию Рзащ(Т) в области значений Т < Т„„11т, а увеличение ст щ при-

защ

водит к уменьшению величины -

защ

защ

(Т) при

Т ^ ж.

Зависимости вероятности обеспечения защиты Рзащ(Т/Тзащ) (рис. 2) рассчитаны в соответствии с выражением (3) для гауссовых плотностей распределения вероятностей юзащ(г) и юнап(г) при различных отношениях средних значений Тзащ/Тнап и среднеквадратических значениях

стзащ = стнап = 0,5Тзащ. Из графиков виДно, что

1

^защ(Т) 0,8

0,6

0,4

0,2

0

1 1 1 __ 1

2

3

1 | 1

0

0,5

1,5 Т/Т

защ

■ Рис. 2. Зависимости вероятности обеспечения защиты Рзащ(Т) для гауссовых плотностей распределения вероятностей юзащ(г) и ю (г) при соотношениях Тзащ/Тнап, равных 0,1 (кривая 1), 0,5 (кривая 2) и 1 (кривая 3)

возможности достижения значений - защ(Т)

1

существенным образом зависят от отношения Тзащ/Тнап вследствие насыщения зависимостей - защ(Т) на некотором уровне, который тем ниже, чем меньше отношение Т /Т .

защ нап

Экспоненциальное распределение и распределение вида 5-функции являются однопараме-трическими и характеризуются одним параметром, определяющим среднее значение времени обеспечения Тзащ или преодоления Тнап защиты для экспоненциального распределения и детерминированные моменты времени обеспечения Тзащ и преодоления Тнап защиты для распределения вида 5-функции. При задании в выражении (3) плотностей распределения вероятностей юзащ(г) и юнап(г), соответствующих экспоненциальному распределению и распределению вида 5-функции, могут быть получены простые аналитические выражения для вероятности обеспечения защиты - защ(Т) в зависимости от относительных параметрОв Т/Тзащ и Тзащ/Тнап.

1

Экспоненциальное распределение соответствует простейшему потоку событий и описанию переходов между состояниями защищенности информационной системы марковскими случайными процессами [12]. Вычисление вероятности обеспечения защиты за заданное время Т в соответствии с выражением (3) для экспоненциальных функций плотности распределения вероятностей ^защ(0 и шнап(г) с параметрами Тзащ и Тнап

дает

Ррай (Т) =

] 1 - ехр

1 + Т(1-

Трай / Ттат I" ^срай / Ттат

^срай

(4)

Зависимости вероятности обеспечения защиты Рзащ(Т/Тзащ) (рис. 3) рассчитаны по формуле (4) при различных отношениях Тзащ/Тнап. Из графиков видно, что при описании конфликтного взаимодействия экспоненциальными распределениями моментов обеспечения и преодоления защиты требования к быстроте реакции КСЗИ на изменение условий функционирования оказываются более жесткими, чем при использовании для описания конфликтного взаимодействия гауссовых распределений, особенно в области значений Рзащ(Т) > 0,5. Так, при использовании экспоненциальных распределений вероятность обеспечения защиты Рзащ(Т) = 0,5 в случае Тзащ/Тнап = 0,1 достигается при Т«0,8Тзащ, в случае Тзащ/Тнап = 0,5 - пРи в случае

Тзащ/Тнап = 1 — при Т*2Тзащ, при этом даже

в случае Тзащ/Тнап = 0,1 при Т = 2Тзащ достигается только Рзащ(Т) = 0,8. Для сравнения: при использовании гауссовых распределений вероятность

1

0,8 0,6 0,4 0,2 0

1 1 1 ___ 1

2

3

' 1 | 1

0

0,5

1,5

■ Рис. 3. Зависимости вероятности обеспечения защиты Рзащ(Т) для экспоненциальных плотностей распределения вероятностей шзащ(г) и Шнап(г) при соотношениях Тзащ/ Т нап, равных 0,1 (кривая 1), 0,5 (кривая 2) и 1 (кривая 3)

обеспечения защиты Рзащ(Т) = 0,5 в случаях

Тзащ/Тнап = 0,1 и Тзащ/Тнап = 0,5 достигается при

Т * ^ в случае Тзащ/Тнап = 1 — при Т * 1,2Тзащ,

а в случае Тзащ/Тнап = 0,1 при Т = 2Тзащ достигается Рзащ(Т) * 1. Поэтому экспоненциальное распределение вероятностей обеспечения и преодоления защиты может рассматриваться как предельный вариант случайного изменения условий функционирования информационных систем.

Использование распределения с функциями плотности распределения вероятности вида 8-функции соответствует детерминированным моментам обеспечения (для стороны защиты) и преодоления (для стороны нападения) защиты и позволяет описать скачкообразное изменение вероятности обеспечения защиты между двумя состояниями — защищенным и незащищенным. Вычисление вероятности обеспечения защиты за заданное время Т в соответствии с выражением (3) для функций плотности распределения вероятностей шзащ(г) и шнап(г) вида 8-функции с параметрами Тзащ и Тнап

нап

дает

Ррай (О) =

1, 0 < Орай / Отат < 1 0, Трай / Отат >1 •

(5)

Выражение (5) отражает тот факт, что при принятых допущениях о характере изменения условий конфликтного взаимодействия при Тзащ < Тнап упреждающая защита всегда позволяет обеспечить полностью защищенное состояние информационной системы, а при Тзащ > Тнап опережающее нападение всегда достигает своих целей вследствие незащищенного состояния системы.

Возможно использование комбинации различных законов распределения для описания процессов преодоления защиты (для стороны защиты) и обеспечения защиты (для стороны нападения), например, экспоненциального распределения и распределения вида 8-функции. При этом экспоненциальное распределение с параметром Тнап может описывать случайные моменты преодоления защиты нарушителем, а распределение вида 8-функции с параметром Тзащ — детерминированные моменты обеспечения защиты, что характерно для периодического управления параметрами КСЗИ. Вычисление вероятности обеспечения защиты за заданное время Т в соответствии с выражением (3) для соответствующих функций плотности распределения вероятностей дает

(О =}ехр(-°рай / Отат )> Т/ Зрай >"! (6) Ррай (О) = {0, 0< Г/Гдай < 1 • (6)

Выражение (6) показывает, что детерминированный характер моментов обеспечения защиты

1

2

при случайном характере попыток преодоления ее нарушителем приводит к незащищенному состоянию системы в моменты времени Т < Т

защ

при

Нулевые значения вероятности Рзащ(Т) Т < Тзащ соответствуют наличию неустраненной уязвимости на интервале времени, когда имеется отличная от нуля вероятность преодоления защиты нарушителем. Эта уязвимость устраняется в момент времени Тзащ, и при Т > Тзащ устанавливается стационарное значение вероятности обеспечения защиты, которое тем выше, чем меньше отношение Тзащ/Тнап: при Т > Тзащ в случае Тзащ/Тнап = 0,1 достигается Рзащ(Т) * 0,9, в случае Тзащ/Тнап = 0,5 достигается Рзащ(Т) * 0,6, в случае Тзащ/Тнап = 1 достигается Рзащ(Т) * 0,37. Ситуация, когда ^защ(г) = 5 (г - Тзащ), имеет также важное значение с той точки зрения, что позволяет осуществить переход от вероятности обеспечения защиты Рзащ(Т), определяемой для условий конфликтного взаимодействия сторон защиты и нападения, к зависимости вероятности обеспечения защиты от времени Рз(г), к которой при проектировании и эксплуатации информационных систем задаются требования вида Рз(г) > Рз доп [3].

Практический интерес представляет определение по зависимости вероятности обеспечения защиты от времени Рз(г) необходимого момента управления (настройки) КСЗИ с учетом ожидаемой динамики угроз (воздействий) нарушителя. Для определения зависимостей Рз(г) по найденным зависимостям Рзащ(Т) положим ^защ(*) = 5(г - Тзащ). Тогда зависимости Рз(г) будет соответствовать зависимость Рзащ(Тзащ) с заменой переменной Тзащ на переменную г. После преобразований получаем:

Р7=1 -7 ■■

7 |а|

о

* - 7та1

- о

7та1

(7)

для усеченного гауссова распределения времени преодоления защиты, где

* { х2*

d х — гауссов интеграл

о «1

ехр

ошибок;

Р (Т) = ехр(—*/ 7"Та

(8)

для экспоненциального распределения времени преодоления защиты;

Р (*) =

1 */Тта\ <1 0, */Тта| > 1

(9)

для распределения времени преодоления защиты с плотностью распределения вероятностей вида 5-функции.

Все полученные зависимости Рз(г) имеют единичное значение при г = 0 и стремятся к нулю

1

Рз(г/Тшап) 0,8

0,6

0,4

0,2

0

0 0,5 1 1,5 2 2,5 3 3,5 г/Тн

■ Рис. 4. Зависимости вероятности обеспечения защиты Рз(г/Тнап) для гауссовой плотности распределения вероятностей ^нап(г) при соотношениях 5нап/Тнап, равных 0,2 (кривая 1), 0,5 (кривая 2), 1 (кривая 3), 2 (кривая 4) и 5 (кривая 5)

Рз(г/Тнап) 0,8

0,6

0,4

0,2

0

1

2 _

3

0

0,5

1

1,5 г/Тн

■ Рис. 5. Зависимость вероятности обеспечения защиты Рз(г/Тнап) при различных законах распределения времени преодоления защиты: 1 — усеченная гауссова плотность распределения; 2 — экспоненциальная плотность распределения; 3 — плотность распределения вида 5-функции

при г ^ ж, что отражает снижение уровня защищенности системы после настройки ее КСЗИ в момент времени г = 0. Зависимости Рз(г/Тнап) при различных плотностях распределения ^нап(г) представлены на рис. 4 и 5. На рис. 4 показаны зависимости Рз(г/Тнап), соответствующие усеченной гауссовой плотности распределения вероятностей ^нап(г).

На рис. 5 приведены зависимости Рз(г/Тнап), соответствующие различным видам плотности распределения ^нап(г) при фиксированном среднем значении времени преодоления защиты. Кривая 1 соответствует усеченной гауссовой плотности распределения вероятностей при стнап/Тнап = 1, кривая 2 — экспоненциальной плотности распределения вероятностей, кривая 3 — плотности распределения вероятностей вида 5-функции. Из графиков видно, что наихудшим с точки зрения характера изменения во времени г вероятности

обеспечения защиты Рз(г) является экспоненциальное распределение времени преодоления защиты нарушителем. При гауссовом распределении времени преодоления защиты нарушителем и том же среднем времени преодоления защиты Тнап вероятность обеспечения защиты Рз(г) уменьшается с течением времени г медленнее, особенно при больших анап/Тнап. Так, при г = 0,2Тнап в случае экспоненциального распределения Рз(г) = 0,82, а в случае гауссова распределения (анап/Тнап = 1) Рз(*) = 0,94, при г = 0,5Тнап Рз(г) = 0,61 и 0,82 соответственно.

Интервал времени безопасного функционирования информационной системы Т0 при заданной величине Рз.доп соответствует Рз(Т0) = Рз.доп. Найденные таким образом значения интервалов времени Т0 определяют требуемую в текущих условиях функционирования информационной системы периодичность контроля состояния ее ИБ или управления (настройки) КСЗИ. Необходимыми исходными данными для определения величины Т0 являются плотности распределения вероятностей обеспечения и преодоления защиты шзащ(г) и шнап(г) в текущих условиях функционирования информационной системы. При этом, как следует из зависимостей, приведенных на рис. 5, вид закона распределения существенным образом влияет на зависимость Рз(г) и величину Т0, обеспечивающую выполнение условия Рз(г) > Рз.доп. При управлении параметрами КСЗИ с фиксированным периодом шзащ(г) = = 8(г-Тзащ), и условие Рз(г) > Рз.доп выполняется при периоде управления (настройки) КСЗИ

Тзащ = Т0.

Наиболее жесткие требования к величине Тзащ будут иметь место в случае экспоненциального распределения времени преодоления защиты нарушителем. Исходя из выражения (8), период управления КСЗИ, обеспечивающий выполнение требования Рз(г) > Рз доп при заданной величине Тнап, составляет

Т = -Т 1пР *

защ нап з.доп

Т (1 - Р ),

нап з.доп

(10)

Литература

1. Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. — М.: Радио и связь, 2001. — 376 с.

2. Петренко С. А., Симонов С. В. Управление информационными рисками: Экономически оправданная безопасность. — М.: Ай-Ти-Пресс, 2004. — 381 с.

3. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. — М.: Горячая линия-Телеком, 2004. — 280 с.

где приближенное равенство соответствует линейной аппроксимации логарифмической функции при типовых требованиях к вероятности обеспечения защиты, характеризующихся значениями Рз доп, близкими к единице, и (1 - Рз доп) << 1. В силу того, что экспоненциальное распределение времени преодоления защиты нарушителем является наименее благоприятным с точки зрения изменения вероятности обеспечения защиты во времени, требования к периодичности управления КСЗИ, определяемые выражением (10), могут рассматриваться как гарантированные.

Заключение

Рассмотренное вероятностное описание изменения защищенности информационной системы во времени может быть использовано в тех случаях, когда условия конфликтного взаимодействия при попытках реализации нарушителем угроз ИБ и их предотвращении с помощью КСЗИ характеризуются плотностями распределения вероятностей обеспечения и преодоления защиты. Такое описание получает широкое распространение при анализе защищенности от угроз НСД систем и сетей передачи информации и вычислительных сетей [10, 11] и является основой реализации упреждающей стратегии управления средствами защиты от НСД с учетом прогнозируемого уровня защищенности. В статье показано, как на основе анализа изменения вероятностных характеристик защищенности информационной системы во времени может быть обоснован период управления (настройки параметров) КСЗИ при поддержании требуемого уровня защищенности, например, смена ключей шифрования для предотвращения НСД к передаваемой информации.

Представленные результаты могут найти применение при обосновании организационных и технических решений по защите критической информации в информационно-управляющих системах различного назначения на этапе их проектирования и в процессе эксплуатации.

4. Ростовцев А. Г., Маховенко Е. Б. Теоретическая криптография. — СПб.: Профессионал, 2003. — 479 с.

5. Панасенко С. П. Алгоритмы шифрования. Специальный справочник. — СПб.: БХВ-Петербург, 2009. — 576 с.

6. Мальцев Г. Н., Теличко В. В. Оптимизация состава средств защиты в информационно-управляющей системе с каналами беспроводного доступа на основе графа реализации угроз // Информационно-управляющие системы. 2008. № 4. С. 29-33.

7. Осипов В. Ю., Носаль И. А. Обоснование периода пересмотра мероприятий по защите информации //

Информационно-управляющие системы. 2014. № 1. С. 63-69.

8. Дружинин В. В., Конторов Д. С., Конторов М. Д.

Введение в теорию конфликта. — М.: Радио и связь, 1989. — 288 с.

9. Владимиров В. И., Лихачев В. П., Шляхин В. М.

Антагонистический конфликт радиоэлектронных систем. Методы и математические модели. — М.:

Радиотехника, 2004. — 384 с. ___/

10. Гаценко О. Ю. Защита информации. Основы организационного управления. — СПб.: Сентябрь, 2001. — 228 с.

11. Радько Н. М., Скобелев И. О. Риск-модели информационно-телекоммуникационных систем при реализации угроз удаленного и непосредственного доступа. — М.: РадиоСофт, 2010. — 232 с.

12. Ветцель Е. С. Теория вероятностей. — М.: Высш. шк., 1998. — 576 с.

UDC 681.3.067

doi:10.15217/issn1684-8853.2015.1.50

Probabilistic Characteristics of Information System Security Changes under Unauthorized Access

Maltsev G. N.a, Dr. Sc., Tech., Professor, georgy_maltsev@mail.ru Pankratov A. V.a, PhD, Tech., pankratov-av@rambler.ru Lesniak D. A.a, PhD, Tech., Laboratory Chief, denislesnyk@mail.ru

aA. F. Mozhaiskii Military Space Academy, 13, Zhdanovskaia St., 197082, Saint-Petersburg, Russian Federation

Purpose: Forecasting information system security in respect to violators' unauthorized access, and determining the periodicity of information security management. Method: The emergence and prevention of the information security threats are represented in the form of streams of random events with preset statistical characteristics. The security dynamics is formally described by a probabilistic model of conflict interaction with a violator. Results: Under prior uncertainty, it is recommended to postulate exponential distribution of time necessary for a violator to break the protection. A model is developed to ground the best period for managing an information security system and describe how it changes its state with preset distribution functions for the probabilities of providing and overcoming the protection without imposing any restrictions on the type of these distributions. Practical relevance: The analysis of changing probabilistic characteristics can help in organizing flexible security management to prevent an unauthorized access taking into account the predicted security level.

Keywords — Information Security, Unauthorized Access, Conflict Interaction, Management of Information Security System.

References

1. Romanets Iu. V., Timofeev P. A., Shan'gin V. F. Zashchita informatsii v komp'iuternykh sistemakh i setiakh [Information Security in Computer Systems and Networks]. Moscow, Radio i sviaz' Publ., 2001. 376 p. (In Russian).

2. Petrenko S. A., Simonov S. V. Upravlenie informatsionnymi riskami: Ekonomicheski opravdannaia bezopasnost' [Management of Information Risks: Economically Justified Safety]. Moscow, Ai-Ti-Press Publ., 2004. 381 p. (In Russian).

3. Maliuk A. A. Informatsionnaia bezopasnost': kontsep-tual'nye i metodo-logicheskie osnovy zashchity informatsii [Information Security: Conceptual and Methodological Bases of Information Security], Moscow, Goriachaia liniia-Tele-com Publ., 2004. 280 p. (In Russian).

4. Rostovtsev A. G., Makhovenko E. B. Teoreticheskaia kripto-grafiia [Theoretical Cryptography]. Saint-Petersburg, Professional Publ., 2003. 479 p. (In Russian).

5. Panasenko S. P. Algoritmy shifrovaniia, Spetsial'nyi sprav-ochnik [Algorithms of Enciphering. Special Reference Book]. Saint-Petersburg, BKhV-Peterburg Publ., 2009. 576 p. (In Russian).

6. Maltsev G. N., Telichko V. V. Optimization of Information Protection Means in the Informational-Command System with Wireless Channels Access Based on Threats Realization Graph. Informatsionno-upravliaiushchie sistemy, 2008, no. 4, pp. 29-33 (In Russian).

7. Osipov V. Yu., Nosal I. A. Substantiation of the Period of Revision of Information Security Measures. Informatsi-onno-upravliaiushchie sistemy, 2014, no. 1, pp. 63-69 (In Russian).

8. Druzhinin V. V., Kontorov D. S., Kontorov M. D. Vvedenie v teoriiu konflikta [Introduction to the Theory of Conflict]. Moscow, Radio i sviaz' Publ., 1989. 288 p. (In Russian).

9. Vladimirov V. I., Likhachev V. P., Shliakhin V. M. Antago-nisticheskii konflikt radioelektronnykh sistem. Metody i matematicheskie modeli [Antagonistichesky Conflict of Radio-Electronic Systems. Methods and Mathematical Models]. Moscow, Radiotekhnika Publ., 2004. 384 p. (In Russian).

10. Gatsenko O. Iu. Zashchita informatsii. Osnovy organizatsi-onnogo upravleniia [Basics of Organizational Management]. Saint-Petersburg, Sentiabr' Publ., 2001. 228 p. (In Russian).

11. Rad'ko N. M., Skobelev I. O. Risk-modeli informatsionno-telekommunikatsionnykh sistem pri realizatsii ugroz udalennogo i neposredst-vennogo dostupa [Risk-Models of Information and Telecommunication Systems at Realization of Threats of Remote and Direct Access]. Moscow, Radio-Soft Publ., 2010. 232 p. (In Russian).

12. Vettsel' E. S. Teoriia veroiatnostei [Probability Theory]. Moscow, Vysshaia shkola Publ., 1998. 576 p. (In Russian).