CC BY
169
УДК 004.942 А.П. Росенко
Метод определения вероятности несанкционированного доступа злоумышленника к конфиденциальной информации
Предлагается математический метод определения вероятности несанкционированного доступа к конфиденциальной информации. Основу метода составляют математические подходы, связанные с определением вероятности доступа злоумышленника к конфиденциальной информации и вероятности раскрытия конфиденциальной информации. Предполагается, что конфиденциальная информация распределена по конечному числу элементов, входящих в состав автоматизированной информационной системы.
Ключевые слова: конфиденциальная информация, автоматизированная информационная система, угроза, несанкционированный доступ, вероятность.
1. Актуальность проблемы. В теории защиты информации одной из актуальных нерешенных проблем является проблема оценки величины ущерба в случае реализации злоумышленником угроз безопасности конфиденциальной информации (КИ). Решение данной проблемы зависит от многочисленных факторов. В [2] показано, что величина ущерба определяется, прежде всего, возможностью злоумышленника по несанкционированному доступу к КИ, т.е. вероятностью несанкционированного доступа к КИ - Рнсд .
2. Постановка задачи. Пусть в результате декомпозиции имеется Ь элементов подсистем автоматизированной информационной системы (АИС). Конфиденциальная информация распределена по конечному числу - N (N < Ь ) элементов подсистем АИС. Тогда для реализации злоумышленником несанкционированного доступа ко всей информации необходимо получить доступ ко всем г-м (г = 1,N) элементам подсистем и в каждом из них реализовать угрозу нарушения конфиденциальности.
Обозначим Рдос(г) - вероятность доступа ко всем г-м (г = 1,N) элементам подсистемы АИС, а Рраск (г) - вероятность раскрытия конфиденциальной информации злоумышленником в г-х элементах подсистем АИС. Будем полагать, что доступ ко всем г-м (г = 1,N) элементам подсистем не зависит от раскрытия конфиденциальной информации злоумышленником в г-х элементах подсистем АИС. Тогда можно предположить, что данные события являются независимыми. С учетом указанного итоговая вероятность несанкционированного доступа по правилу произведения вероятностей будет иметь вид
Рнсд = Рдос (N) • Р раск (Ю. (1)
Таким образом, как видно из выражения (1), для определения вероятности Рнсд необходимо определить Рдос (г) - вероятность доступа ко всем г-м (г = 1,N) элементам подсистем АИС и Рраск (г) - вероятность раскрытия конфиденциальной информации злоумышленником в г-х элементах подсистем, входящих в АИС.
3. Определение вероятности доступа злоумышленника к элементам подсистем АИС - Рдос.
Для определения вероятности Рдос предположим, что количество элементов подсистем АИС, в которых сосредоточена информация ограниченного распространения, фиксировано и равно N. Тогда злоумышленник может получить доступ ко всем г-м (г = 1,N) элементам подсистем фиксированным количеством способов. Это количество счетное и равно числу перестановок из N элементов, т.е. N1 возможных вариантов. Пусть для каждого из к (к = 1,N!) способов воздействия имеются векторы
Хк = (У^кд2,...дN_1) и Дк = (ц_к,ц2,...,ц^_1), характеризующие, соответственно, интенсивности прямых и обратных переходов между элементами подсистем АИС. Тогда из множества таких векторов Хк и Дк (к = 1,N!) можно составить матрицы
и
/ *41 Х12 - Ч N-1 ''
X- Х21 Х22 • Х 2,N-1
^ N-1,1 Х N-1,2 • • Х N-1, N-1,
/ -11 -12 -1, N-1 ''
-- - 21 -22 -2,N-1
ч-N-1,1 -N-1,2 • • - N-1, N-1,
(2)
(3)
описывающие все N1 способов воздействия злоумышленника на N элементов подсистем АИС. Каждый из к-х (к = 1,N!) способов доступа будет характеризоваться своей вероятностью Рдос (г) доступа ко всем г-м (г = 1,N) элементам подсистем. Число различных значений Рдос (г) будет равно числу способов доступа, т.е. к (к = 1,N!). Так как среди всех значений необходимо выбрать максимально критичное для системы, то выражение для расчета вероятности доступа ко всем г-м (г = 1,N) элементам подсистем АИС можно представить следующим образом:
Рдос(г) = тах{рдкос (/)} . (4)
к
При доступе злоумышленника к какому-либо г-му (г = 1,N) элементу подсистема АИС переходит в состояние реализации злоумышленником несанкционированного доступа к г-му (г = 1,N) элементу подсистемы. При этом полагая, что переход системы в какое-либо г-е (г = 1,N) состояние зависит только от перехода в г -1 (г = 1,N) состояние и не зависит от других j-х (у = 1,N; г Фу) переходов. Будем полагать также, что события реализации несанкционированного доступа к г-му (г = 1,N) и у-му (у = 1,N; г Ф у) элементу подсистем являются несовместными. Тогда, применяя к данному процессу аппарат Марковских случайных процессов и, в частности, цепи Маркова, оценку Рдос (г) можно провести, используя выражение для определения финальных вероятностей состояний [1]:
Рдос (,) -П"
І, І+1
І-1- І, І+1
( г-1 И-1Хк. м ^
1+!П-^
И-1 і-1-і' і+1
(5)
где \к у +1 и цк у +1 - интенсивности прямых и обратных переходов между элементами подсистем
АИС при использовании злоумышленником к-го (к = 1, N!) варианта перехода от одних элементов подсистем к другим.
Как видно из (5), вероятность доступа ко всем г-м (г = 1,N) элементам подсистем АИС можно оценить, определив интенсивности Xк у +1 и цк у+1 прямых и обратных переходов. Оценку пара-
метров X
І,І +1 и І +1
можно провести исходя из [2-4] и модели потенциального злоумышленника.
4. Определение вероятности раскрытия КИ - Рраск. Для оценки вероятности Рраск (г) воспользуемся методикой, предложенной в [4]. Будем полагать, что информация ограниченного распространения распределена по всем элементам подсистем и при этом часть информации, находящейся в г-м элементе подсистем, не содержится в другому-м элементе подсистем АИС (г,у = 1,N;
г Ф у). Тогда, если обозначить Рраск - вероятность раскрытия злоумышленником части конфиденциальной информации в г-м элементе подсистем, 1 < г < N, то итоговая вероятность раскрытия всей конфиденциальной информации может быть рассчитана исходя из следующего выражения [5, 6]:
N
Рраск =П{(1 -Рраск)•(1 ^) + Рраск •Ррасп Ргр,
г-1
(6)
где 8г - бинарный показатель, равный 0, если среди каналов утечки в г-м элементе подсистемы 1 < г < N нет каналов, доступных для использования злоумышленником, и равный 1 - в противном случае; Рргаск - вероятность распознавания злоумышленником конфиденциальных сведений в г-м
элементе подсистемы 1 < г < N ; Рр - вероятность группировки раскрытых злоумышленником конфиденциальных данных в целостную структуру.
Так как 8г является бинарным показателем со значениями 0 и 1, то, как видно из (6), первое слагаемое под знаком произведения, а именно (1-р5аск)' (1 ), определяет стойкость системы за-
щиты (возможности системы по парированию несанкционированных действий злоумышленника), а второе слагаемое - Р^аск:' Рраш' определяет возможности злоумышленника по преодолению сис-
темы защиты и реализации угроз безопасности информации.
Для определения -/раск воспользуемся выражением, предложенным в [7, 8]. При этом учтём тот
факт, что для раскрытия конфиденциальной информации в г-м элементе подсистемы, 1 < г < N , злоумышленник может воспользоваться любым каналом утечки из множества {./} возможных каналов, тогда:
г
Рраск = шах| (1-Е (г)Ц №, (7)
у 0
где у — у-й канал утечки данных в г-м элементе подсистемы АИС; Е (г) - функция распределе-
ния времени обновления системы защиты, требующая от злоумышленника применения новых методов и средств несанкционированных действий; иу (г) - функция распределения времени несанкционированных действий к конфиденциальной информации для у-го канала утечки; г - время воздействия злоумышленника на защищаемую информацию.
Из [7, 8] следует, что Е (г) можно определить следующим образом:
Е (г) = 1-е-г. (8)
Для оценки и у (г) будем полагать, что процесс воздействия злоумышленника на АИС является
неординарным (существует возможность одновременного появления двух случаев НДС к информации ограниченного распространения) и нестационарным (НДС к конфиденциальной информации не зависит от расположения рассматриваемого интервала времени на временной оси). Тогда для определения и у (г) можно воспользоваться теоремой Хинчина для неординарных, нестационарных потоков [9], в соответствии с которой число событий - п (в данном случае под событием понимается успешная реализация злоумышленником к информации ограниченного распространения) за момент времени г определяется следующим образом:
цп. е-Ц
Р(г,п)=^-— (9)
п!
с учётом того, что п - число событий на интервале времени г, а также то, что
Р(г, п > 1)=1 - Р(г, п=0)=1 -е_ц (10)
Тогда
где ц у определяется как
иу (г)=1-е-ц, (11)
цу = {Ху (гуг, (12)
0
Ху (г) = Нш ^Г----------------------3—, (13)
му (г+дг)-му (г) дг^0 Дг
где Ху (г) - интенсивность использования злоумышленником у-го канала утечки КИ; Му (г) - математическое ожидание числа успешных реализаций злоумышленником угроз безопасности КИ; г -время воздействия злоумышленника на защищаемую информацию.
и
Итоговое выражение для определения вероятности -Рраск с учетом выражений (6)-(8) и (11) будет иметь вид
N t _ t _
Рраск =П{ (1“maxj{t(1_e ^1 )dt)• (1_5') + maxje_(1_e ^1 )dt' Ррасп 'S' }'} . (14)
i=0 1 0 1 0
Определив значение Рдос (i) по выражению (5), а также Рраск по выражению (14), можно оценить вероятность несанкционированного доступа злоумышленника к информации ограниченного распространения - Рндс, используя выражение (2).
5. Выводы. Реализация предложенного метода позволит определить вероятность несанкционированного доступа злоумышленника к защищаемой информации. Собственник КИ, в свою очередь, на основании полученных данных имеет возможность выявить недостатки в своей деятельности по защите информации ограниченного распространения и разработать мероприятия, направленные на парирование возможных неблагоприятных последствий от реализации злоумышленником различных угроз.
Литература
1. Корн Г. Справочник по математике для научных работников и инженеров / Г. Корн, Т. Корн. -М.: Наука, 1977. - 752 с.
2. Росенко А.П. Математическое моделирование процесса оценки величины ущерба от воздействия на автоматизированную систему внутренних угроз / А.П. Росенко, Р.С. Аветисов // Сб. матер. седьмой междунар. конф. «Информационные технологии и безопасность. Менеджмент информационной безопасности», 27 сентября - 2 октября 2007 г. - Киев: Ин-т проблем регистрации информации НАН Украины, 2007. - С. 3-8.
3. Росенко А.П. Методика оценки величины ущерба от воздействия на автоматизированную информационную систему внутренних угроз / А.П. Росенко, Р.С. Аветисов // Известия ТРТУ. Тематический выпуск «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2006. - С. 33-37.
4. Росенко А.П. Исследование величины ущерба от воздействия на автоматизированную информационную систему внутренних угроз / А.П. Росенко, Р.С. Аветисов // Матер. 9-й Междунар. науч.-практ. конф. «Информационная безопасность». - Таганрог: Изд-во ТТИ ЮФУ, 2007. - С. 56-59.
5. Росенко А.П. Математическое моделирование вероятного ущерба от утечки конфиденциальной информации в автоматизированной информационной системе / А.П. Росенко, Р.С. Аветисов // Вестн. Став. гос. ун-та. - 2009. - № 63 (4). - С. 51-61.
6. Бугров Ю.Г Формальная оценка ущерба от утечки информации // Приложение к журналу Радиотехника. - 1999. - С. 134-138.
7. Костогрызов А.И. Области эффективного применения инструментально-моделирующего комплекса «КОК» для оценки качества функционирования информационных систем // Сб. тр. науч.-практ. конф. «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2001. - С. 28-33.
Росенко Александр Петрович
Канд. техн. наук, доцент, зав. каф. компьютерной безопасности Ставропольского государственного университета
Тел.: 8 (928) 011-78-77, 8 (865-2) 94-13-81 Эл. адрес: rosenko@stavsu.ru
Rosenko A.P.
The method of determining the probability of an attacker unauthorized access to confidential information
A mathematical method of determining the possibility of unauthorized access to confidential information is given. The method is based on mathematical approaches involved in determining the probability of an attacker access to confidential information and the likelihood of disclosure of confidential information. It is assumed that confidential information is distributed over a finite number of elements that are part of an automated information system.
Keywords: personal information, automated information system, the threat, unauthorized access to, probably.
