CC BY
43
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И СИСТЕМЫ
УДК 004.056.5
DOI: 10.17586/0021-3454-2016-59-5-335-341
АГРЕГИРОВАННАЯ ОПЕРАЦИОННО-ВРЕМЕННАЯ МОДЕЛЬ ОЦЕНИВАНИЯ ЭФФЕКТИВНОСТИ ОТРАЖЕНИЯ
ИНФОРМАЦИОННЫХ УГРОЗ В БОЛЬШИХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
И. М. Левкин, А. А. Володина
Университет ИТМО, 197101, Санкт-Петербург, Россия E-mail: nasti.vol@gmail.com
Рассматривается проблема повышения эффективности систем защиты информации посредством решения задачи по оценке эффективности процесса отражения информационных угроз в больших информационных системах. Процесс отражения информационной угрозы элементу информационной системы предприятия представлен в виде агрегированной операционно-временной модели. Использован математический аппарат, базирующийся на законе распределения случайной величины. Представлена оценка влияния временных затрат на эффективность защиты информации отдельных информационных структур. Произведена оценка эффективности процесса отражения ранее неизвестных информационных угроз системой защиты информации, построенной по адаптационному принципу. Благодаря адаптационной схеме осуществляется перестройка структуры системы защиты информации в зависимости от характера воздействия.
Ключевые слова: отражение информационных угроз, большие информационные системы, эффективность, операционно-временная модель, адаптация
В условиях, когда информация становится важнейшим стратегическим ресурсом деятельности страны, региона (отрасли) и любого хозяйствующего субъекта, одной из основных задач является ликвидация информационных угроз различного рода. Особую значимость решение этой задачи приобретает в случае возникновения новых, ранее неизвестных угроз, что объясняется увеличением времени на организацию противодействия новой угрозе. Дополнительные временные затраты обусловлены следующими факторами [1, 2]:
— необходимостью распознавания новой информационной угрозы, степени ее опасности и возможных направлений воздействия на информационную систему объекта;
— необходимостью оценки возможностей существующих сил и средств защиты информации для ликвидации угрозы;
— необходимостью поиска и привлечения дополнительных сил и средств защиты информации (если имеющиеся не способны осуществить защиту).
Большие информационные системы (например, государственные информационные системы — ГИС) состоят из множества информационных структур, разнесенных, как правило, в пространстве на значительные расстояния [3—7]. Одновременное воздействие на все элементы ГИС представляется затруднительным. Поэтому информация о характере воздействия на какую-либо структуру ГИС при построении системы ее защиты по адаптивному принципу
может быть незамедлительно передана на все остальные структуры. Это позволяет существенно сократить время реакции системы защиты информации (СЗИ) отдельных структур ГИС на новые информационные угрозы, тем самым повышая эффективность защиты информации в целом [6—9].
Влияние дополнительных временных затрат на эффективность защиты информации отдельных информационных структур может быть оценено на основе положений методологии внешнего проектирования целенаправленных процессов и целеустремленных систем [10, 11]. Для этого представим процесс отражения информационной угрозы элементу информационной системы предприятия (организации, фирмы) в виде агрегированной операционно-временной модели (рис. 1).
Г
"I —|_
О1 Вскрытие факта информационного воздействия О2 Оценка возможностей сил и средств защиты информации Оз Принятие решения о применении сил и средств защиты информации О4 Действие сил и средств защиты информации по ликвидации информационной угрозы О 5 Оценка результативности отражения информационной угрозы
Л . Х1 . Л . Х2 . Л , Хз Л , Л4 „ Л Х5
1
Об
Актуализация информационной
базы информационных угроз
Л
Хб
Рис. 1
В соответствии с этой моделью система мониторинга информационных угроз на начальном этапе функционирования должна обнаружить признаки информационного воздействия на систему. На идентификацию информационного воздействия (операция О1) может быть
затрачено время Х1. Продолжительность операции О1 зависит от многих случайных факторов: количества и особенностей вскрытых информационных признаков, квалификации специалистов системы защиты информации, условий обработки информации и т.д. Поэтому
время Х1 является случайной величиной. Если информационная угроза известна, то осуществляется непосредственное принятие решения о применении сил и средств защиты информации (операция О3). Продолжительность выполнения этой операции Х3.
Если информационная угроза неизвестна, то необходимо оценить возможность ее отражения (операция О2). Продолжительность выполнения Х2 этой операции зависит от степени новизны предполагаемой информационной угрозы. При этом если система защиты информации объекта не обладает достаточно эффективными силами и средствами противодействия новой информационной угрозе, то возникает необходимость в поиске и привлечении дополнительных сил и средств защиты с последующим принятием решения об их применении.
Действия сил и средств защиты информации по ликвидации информационной угрозы (операция О4) в случае известной угрозы осуществляются автоматически и занимают непродолжительное время т4 . Если угроза неизвестна, то время т4 может быть существенно увеличено.
Оценка результативности отражения информационной угрозы (операция О5 продолжительностью Х5) формируется на основе следующих действий [10, 12, 13]:
— оценки способности имеющихся сил и средств защиты информации эффективно отражать различные информационные угрозы, в том числе в условиях их изменения;
— выявления особенностей изменившихся и новых информационных угроз;
— изучения возможностей перспективных сил и средств защиты информации.
Актуализация информационной базы (операция О6 продолжительностью Хб) представляет собой процесс накопления данных о различных видах информационных угроз с целью
обеспечения защиты соответствующей информационной структуры. От степени полноты этой базы зависит продолжительность выполнения операций О2 и О3 (см. рис. 1).
Эффективность процесса отражения информационных угроз в рассматриваемом случае может быть оценена вероятностью достижения цели — ликвидации угрозы нарушения информационной структуры объекта:
Рд.ц С) = Р [(V > V*) Л (Г < г*) Л (т < т*)] = Ф<1рЛ*> (V, Г, т)5у5г5т, (1)
V г т
где V — целевой эффект процесса функционирования системы защиты информации, заключающийся в обнаружении информационных признаков угрозы; Г — ресурс сил и средств защиты информации; т — время, необходимое для ликвидации угрозы; Ф<;гт > (V, г, т) — совместная плотность вероятности случайных величин V, Г и т. (Вывод аналитического выражения является самостоятельной задачей, не входящей в рамки данного исследования.)
В связи с тем, что в процессе ликвидации угрозы задействуется весь возможный ресурс
сил и средств, выполнение требования т < г* в формуле (1) может быть принято за достоверное и за счет использования эффекта поглощения исключено из дальнейшего рассмотрения [11]. Тогда выражение (1) может быть представлено следующим образом:
Рд.ц 0) = |ф«? > О)
|ф<т/v>(т; т
ёу, (2)
где ф<-р> (V) — плотность вероятности случайной величины V; Ф^/^ (т; V) — условная плотность вероятности случайной величины т при заданном значении V случайной величины V; при проведении расчетов величина V может принимать значение в интервале от 0 до 1 [14].
Для того чтобы найти аналитические выражения плотностей вероятностей, входящих в уравнение (2), необходимо установить вид функции связности между переменными V и т. С этой целью приведем следующие рассуждения.
Пусть средства мониторинга угроз информационной структуре объекта обнаруживают информационный признак угрозы за время I с вероятностью Р(1), а за время 8t — с вероятностью Р^, t + 5t). Чтобы быть обнаруженным за время ^ + 5t), информационный признак угрозы должен быть обнаружен либо за время t, либо за время [, ^ + 5t)] (рис. 2). Зависимость между вероятностями Р^) и Р^, t + 5t) заключается в следующем. Так как необнаружение информационного признака за время ^ + 5t) означает необнаружение его ни в интервале [0, 1], ни в интервале [, ^ + 5t)], то в соответствии с основными положениями теории вероятности [11, 14] можно записать:
1 - Р^ + St) = [1 - РЦ)] [1 - РЦ, t + 80], (3)
т.е. вероятность первого события равна произведению вероятностей двух других событий. При этом вероятность Р (, t + 8t) представляет собой условную вероятность обнаружения
объекта, вычисленную при условии, что поиск объекта до момента времени t был безрезультатным. Эта условная вероятность необнаружения объекта за бесконечно малое время называется элементарной. Элементарная вероятность с точностью до бесконечно малой величины высшего порядка р ) пропорциональна бесконечно малому временному интервалу 8t, что может быть записано в следующем виде:
Р^, t + 8t) = у^ ^ + р^). (4)
В этом уравнении величину у(/) называют интенсивностью поиска. Ее физический
смысл заключается в математическом ожидании числа обнаружений информационных признаков, приходящихся на единицу времени [4].
1 - Р(/) 1-Р(7, 7+8/)
г
0 /--^--V-А-N г
—I-1-1-►
1 - P(t+St)
Рис. 2
При Ы —может быть получено дифференциальное уравнение с разделяющимися переменными:
ЫЫт = [1 - P(0]y(0. (5)
Ы
Интегрируя выражение (5) при начальных условиях P(0) = 0 (обнаружение информационного признака в момент его возникновения), получаем:
P (t ) = 1 - e~X(t ), (6)
t
где X(t ) = Jy(t )5t — математическое ожидание числа обнаружений за время поиска, называе-
0
мое потенциалом обнаружения [14].
Предположив, что X(t) = const, можно записать:
v(t ) = 1 - (t-îi-i з), (7)
где Т - операционное время (время вскрытия факта информационного воздействия);
6
т з = ^ Ту — технологическая задержка.
i=2
В практике моделирования [11] считается, что наиболее корректной моделью плотности распределения операционного времени Т является экспоненциальный закон распределения
ф5!>(Х)=^\
Поиск окончательной формы аналитической зависимости (2) предполагает установления вида плотностей распределения вероятностей ф^> (v) и 9<x/v> ( т; v). В соответствии с законом распределения монотонной функции от одного случайного аргумента (функции связности (7)) можно записать [11]:
(v) = фт1 [т1 (v)][т0 (v)]', (8)
где [Х0 (v) — производная функции Т0 (v), обратной функции v(т0 ) ;
Т1 (v) = v-1 (Т1 ) = т з -■11ln (1 - v), (9)
[Т1 (v )]' =--1—. (10)
1W À(1 - v)
В свою очередь, так как т = т + тз = т -"Ц^ (1 - V) + тз, то
Ф^(т;V) = Фт^у (т;V)®Фтз (т) = б|^т-т1 X1п(1 -V)® Фтз (т), (11)
где ® — символ композиции законов распределения случайных величин.
Плотность вероятности случайных величин, характеризующих продолжительность операций, составляющих технологическую задержку, как правило, моделируют нормальным законом распределения. В силу закона композиции нормальных плотностей вероятностей можно записать:
Фтз (т)='
1
гехр
№
¿=2
(12)
где тт — математическое ожидание случайной величины т .,1 = 2, 6, характеризующей продолжительность выполнения операций О2 ... О6; ат. — дисперсия этих случайных величин.
Результаты интегрирования уравнения (2) с учетом выражений (8) — (12) при помощи пакета прикладных программ Ма1ЬаЬ 7 [14, 15] приведены на рис. 3. Расчеты проводились при следующих исходных данных: X = 1 обнаружений/ч (размерность величины); т т = 0,01/ч; ат = 0,002/ч; т т = 0,03/ч; ат = 0,008/ч; т, = 0,1/ч; ат = 0,03/ч;
т ;
= 0,225/ч; ат = 0,062/ч;
т:
3 13 м м
= 0,3/ч; ат = 0,09/ч. При этом сдвиг графиков Рдц(¿) по
оси t на величину £ тт = 0,6 ч не показан.
¿=2 г
Рд.цСО 1
0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1
0
Рд.ц(0 1
0 1 0,8 0,6 0,4
0,2 0
Рис. 3
На рис. 4 представлена операционно-временная модель процесса отражения новой угрозы элементами ГИС, система защиты информации которой построена по адаптационной схеме. Согласно этой схеме в элементе, который подвергся новому информационному воздействию, осуществляется адаптивная перестройка структуры СЗИ в зависимости от характера этого воздействия. Одновременно информация о характере новой информационной угрозы и вариантах перестроения структуры СЗИ поступает в информационные базы информационных угроз всех остальных элементов ГИС. Это позволяет, во-первых, увеличить интенсивность обнаружения X информационных признаков новых угроз за счет организации их целенаправленного поиска в информационном пространстве (сокращения пространства поиска) и, во-вторых, уменьшить параметры законов распределения случайных величин т2 и т3.
5
6
V
Таким образом, в зависимости от степени изменения параметров X, тх2 , ах2, тхз и ах3
в соответствующей степени будет повышена эффективность системы защиты информации ГИС в целом.
/ — элемент ГИС; первый элемент, зафиксировавший новую угрозу
Вскрытие факта информационного воздействия
Оценка возможностей сил и средств
защиты информации
Принятие решения о применении сил и средств
защиты информации
Действие сил и средств
защиты информации по ликвидации информационной угрозы
Оценка результативности
отражения информационной угрозы
Актуализация информационной
базы информационных угроз
g — элемент ГИС
Вскрытие факта информационного воздействия
Оценка возможностей сил и средств
защиты информации
Принятие решения о применении сил и средств
защиты информации
Действие сил и средств
защиты информации по ликвидации информационной угрозы
Оценка результативности
отражения информационной угрозы
Актуализация информационной
базы информационных угроз
Рис. 4
Результаты представленного исследования направлены на получение объективной оценки эффективности защиты информационных систем, основанной на вероятностном подходе, что позволит избежать субъективности традиционно используемых экспертных оценок.
список литературы
1. Коломойцев В. С., Богатырев В. А. Оценка эффективности и обоснование выбора структурной организации системы многоуровневого защищенного доступа к ресурсам внешней сети // Информация и космос. 2015. № 3. С. 71—79.
2. Гатчин Ю. А., Сухостат В. В. Теория информационной безопасности и методология защиты информации. СПб: СПбГУ ИТМО, 2010. 98 с.
3. Mesarovic M. D., Yasuhiko Takahara. General Systems Theory: Mathematical Foundations. N.Y.: Academic Press. 1975.
4. Stephan C., Kohl M., Turewicz M., Podwojski K., Meyer H. E., Eisenacher M. Using laboratory information management systems as central part of a proteomics data workflow // Proteomics. 2010. Vol. 10, N 6. P. 1230—1249.
5. Bowden D. Information, systems and information systems: making sense of the field // Intern. J. of Information Management. 1998. Vol. 18, N 4. P. 287.
6. Бабина О. И., Дюмин Н. Ю., Исмаилова Л. Ю., Косиков С. В., Курбанмагомедов К. Д., Кутузов Д. В., Стукач О. В., Морозова А. В., Нифонтова О. М., Богданов A. Н., Жабреев B. C., Половова Т. Н., Сорокун И. В., Багнетова Е. А., Шапошникова Е. А., Корчина Т. Я. Информационные системы и технологии: Монография. Красноярск: Научно-инновационный центр, 2011. 156 с.
7. Статьев В. Ю., Тиньков В. А. Информационная безопасность распределенных информационных систем // Информационное общество. 2001. № 1. С. 12—16.
8. Богатырев В. А., Богатырев А. В. Оптимизация резервированного распределения запросов в кластерных системах реального времени // Информационные технологии. 2015. Т. 21, № 7. С. 495—502.
9. Богатырев В. А., Попова М. В., Богатырев С. В., Кудрявцева В. Ю., Фокин А. Б. Оптимизация вычислительных систем с объединением межсетевых экранов в отказоустойчивые кластеры // Научно-технический вестник СПбГУ ИТМО. 2011. № 6 (76). С. 140—142.
10. Богатырев В. А., Богатырев А. В., Богатырев С. В. Оценка надежности выполнения кластерами запросов реального времени // Изв. вузов. Приборостроение. 2014. Т. 57, № 4. С. 46—48.
11. Петухов Г. П., Якунин В. И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. М.: АСТ, 2006.
12. Богатырев В. А. Оценка надежности и оптимальное резервирование кластерных компьютерных систем // Приборы и системы. Управление, контроль, диагностика. 2006. № 10. С. 18—21.
13. Богатырев В. А., Фокин С. Б., Попова М. В. Оценка и выбор отказоустойчивых конфигураций межсетевых экранов // Научно-технический вестник СПбГУ ИТМО. 2011. № 3 (73). С. 139—140.
14. Вентцель Е. С. Теория вероятностей: Учебник для вузов. М.: Высш. школа, 1999.
15. Ануфриев И. Е., Смирнов А. Б., Смирнова Е. Н. MatLab-7. СПб: БХВ-Петербург, 2005.
Сведения об авторах
Игорь Михайлович Левкин — д-р военных наук, профессор; Университет ИТМО; кафедра бортовых
систем управления оружием и вооружением (базовая); E-mail: lev.kin@yandex.ru
Анастасия Андреевна Володина — аспирант; Университет ИТМО; кафедра мониторинга и прогнозирования информационных угроз; E-mail: nasti.vol@gmail.com
Рекомендована кафедрой Поступила в редакцию
мониторинга и прогнозирования 11.02.16 г.
информационных угроз
Ссылка для цитирования: Левкин И. М., Володина А. А. Агрегированная операционно-временная модель оценивания эффективности отражения информационных угроз в больших информационных системах // Изв. вузов. Приборостроение. 2016. Т. 59, № 5. С. 335—341.
AGGREGATED TIME-OPERATION MODEL FOR ASSESSMENT OF INFORMATION THREAT COMBATING EFFICIENCY IN LARGE INFORMATION SYSTEMS
I. M. Levkin, A. A. Volodina
ITMO University, 197101, St. Petersburg, Russia E-mail: nasti.vol@gmail.com
The problem of improvement of information protection systems is analyzed on the base of an estimate for the efficiency of information threats combating process in large information systems. The process of combating of threats to an element of information system of an enterprise is represented as an aggregated time-operation model. A mathematical technique based on random variable distribution law is employed. An assessment of time costs correlation with the efficiency of information protection for separate information structures is presented. Efficiency of the process of previously unknown treats combating by an information protection system built on the adaptation principle is estimated. The adapting schema is shown to allow for reconstruction of the structure of information protection system depending on the impact nature.
Keywords: information threat combating, large information systems, efficiency, time-operation model, adaptation
Data on authors
Igor M. Levkin — Dr. Sci., Professor; ITMO University, Department of On-Board Weapons
Control Systems; E-mail: lev.kin@yandex.ru Anastasia A. Volodina — Post-Graduate Student; ITMO University, Department of Monitoring and
Information Security Risks' Forecasting; E-mail: nasti.vol@gmail.com
For citation: Levkin I. M., Volodina A. A. Aggregated time-operation model for assessment of information threat combating efficiency in large information systems // Izv. vuzov. Priborostroenie. 2016. Vol. 59, N 5. P. 335—341 (in Russian).
DOI: 10.17586/0021-3454-2016-59-5-335-341
