Lyubov' Cherevan - postgraduate, senior lecturer, Saint Petersburg National Research Uni-
versity of Information Technologies, Mechanics and Optics, Saint Petersburg, Russia, [email protected] Vyacheslav Tozik - PhD, Associate Professor, Head of Intersectoral Institute for Advanced
Training, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics, Saint Petersburg, Russia, [email protected]
УДК 004.056.53
ЭКСПЛУАТАЦИОННЫЕ ХАРАКТЕРИСТИКИ РИСКА НАРУШЕНИЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ К.А. Щеглов3' б, А.Ю. Щеглов3' б
а Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, Санкт-Петербург, Россия, [email protected]
б ЗАО «НПП «Информационные технологии в бизнесе», Санкт-Петербург, Россия, [email protected] Рассмотрены известные подходы к оценке эффективности и к проектированию средств защиты информационных систем, в результате чего выявлен их общий недостаток, заключающийся в том, что данные подходы не позволяют рассматривать угрозы информационной безопасности в качестве эксплуатационной характеристики информационной системы. Это не позволяет построить адекватную модель информационной системы, в том числе защищенной, как системы с отказами и восстановлениями, характеризуемыми возникновением и устранением угроз в процессе эксплуатации системы, не позволяет выявить и соответствующие взаимосвязи, в том числе временные, между угрозами и их совокупностями, эксплуатируемыми атаками, ввести количественные меры актуальности угроз и эффективности атак как эксплуатационных характеристик системы и, как следствие, количественно оценить уровень эксплуатационной безопасности информационной системы и эффективности средств защиты. Предложены основы теории эксплуатационной информационной безопасности, введены основные эксплуатационные параметры и характеристики, предложен подход к оцениванию эксплуатационных характеристик информационной системы, введены эксплуатационные характеристики риска нарушений безопасности информационной системы, в том числе риска потерь.
Ключевые слова: информационная безопасность, защита информации, информационная система, угроза, атака, эксплуатационная безопасность, уровень безопасности, несанкционированный доступ, оценка эффективности, теория массового обслуживания, теория надежности, средство защиты, риск.
OPERATIONAL CHARACTERISTICS OF INFORMATION SYSTEM SECURITY
THREATS RISK
K. Shcheglovc' d, A. Shcheglovc' d
c Saint Petersburg National Research University of Information Technologies, Mechanics and Optics, Saint Petersburg, Russia, [email protected]
d JSC "Information Technologies in Business", Saint Petersburg, Russia, [email protected]
The paper deals with widely used methods for effectiveness evolution and information systems security tools development. Their general disadvantage that consists in not giving the possibility to consider security threats as information system operational characteristic is revealed. Therefore, an adequate information system model can't be created, including secure information system like system with failure and recovery parameters, characterized by threats appearing and elimination during system operation. Also it doesn't make it possible to identify appropriate relationship (including time ones), between threats and their exploited aggregates and doesn't give the possibility to introduce quantitative measures of the threats relevance and attacks effectiveness (like system operational characteristic). Consequently, it doesn't make it possible to estimate the level of information system operational security and security tools effectiveness. The principles of operational security theory are suggested, base operational parameters and characteristics are introduced, a method for operational characteristics of information system estimation is proposed, operational characteristics of risks for information system security threats and loss risks are stated.
Keywords: information security, information system, threat, attack, operational security, security level, unauthorized access, effectiveness evaluation, queueing theory, reliability theory, security tools, risk.
Введение
Под математической теорией риска формально понимается совокупность моделей и методов теории вероятностей, применяемых к анализу случайных величин и их распределений [1]. Это обусловлено тем, что величина возможного ущерба в стохастической ситуации до осуществления этой ситуации неизвестна и потому случайна. Риском же называют совокупность значения возможного ущерба в некоторой стохастической ситуации и его вероятности [1, 2].
Применению теории риска в области информационной безопасности, в частности, для оценки эффективности средств защиты информации и при проектировании защищенной информационной системы (далее ИС), ввиду актуальности данной задачи, в настоящее время посвящено достаточно много работ,
например [3-8]. Общий недостаток известных подходов состоит в том, что они не позволяют рассматривать угрозы информационной безопасности в качестве эксплуатационной характеристики ИС. Это не позволяет построить адекватную модель ИС, в том числе защищенной, как системы с отказами и восстановлениями, характеризуемыми возникновением и устранением угроз в процессе эксплуатации системы, не позволяет выявить и соответствующие взаимосвязи, в первую очередь, временные, между угрозами и их совокупностями, эксплуатируемыми атаками, ввести количественные меры актуальности угроз и эффективности атак как эксплуатационных характеристик системы и, как следствие, адекватно количественно оценить эксплуатационные характеристики риска нарушений безопасности ИС.
Эксплуатационные характеристики риска
Прежде всего, в рамках основ излагаемой теории эксплуатационной информационной безопасности введем основные понятия, определим ключевые эксплуатационные параметры и характеристики ИС.
Под эксплуатационной информационной безопасностью понимается свойство ИС функционировать в безопасном состоянии - без обнаруженных в ней либо внесенных в нее в процессе эксплуатации и не устраненных «каналов» несанкционированного доступа к информации.
Под «каналом» несанкционированного доступа к информации понимается появившийся в ИС по каким-либо причинам способ осуществления злоумышленником несанкционированного доступа с какой-либо целью к обрабатываемой в системе информации во время эксплуатации ИС.
Под нарушением эксплуатационной информационной безопасности понимается обнаружение в ИС либо внесение в нее в процессе эксплуатации «каналов» несанкционированного доступа к информации.
Под угрозой безопасности ИС понимается нарушение ее эксплуатационной информационной безопасности в результате обнаружения в ИС либо внесения в нее в процессе эксплуатации «каналов» несанкционированного доступа к информации.
Замечание. Нарушение эксплуатационной информационной безопасности (угроза безопасности ИС) - это не есть осуществление несанкционированного доступа к информации, это возникновение условий для успешной атаки на ИС с использованием существующего (выявленного) в системе неустра-ненного «канала» («каналов») несанкционированного доступа к информации.
Введем основные эксплуатационные параметры и характеристики ИС, которые будут далее нами использованы для определения характеристики риска как эксплуатационной характеристики ИС, после чего определим эксплуатационные характеристики риска, в том числе риска потерь.
Под интенсивностью нарушения эксплуатационной информационной безопасности (возникновения угроз) X будем понимать количество обнаружений в ИС либо внесений в нее в процессе эксплуатации «каналов» несанкционированного доступа к информации в единицу времени.
Под интенсивностью восстановления эксплуатационной информационной безопасности (нейтрализации угроз) ц будем понимать количество устранений выявленных в ИС либо внесенных в нее «каналов» несанкционированного доступа к информации в единицу времени.
Под уровнем эксплуатационной информационной безопасности ИС будем понимать количественную оценку готовности ИС к безопасной эксплуатации - значение вероятности P0 того, что информационная система готова к безопасной эксплуатации.
Данный подход к оцениванию уровня эксплуатационной безопасности ИС, P0 = ДА, ц), рассмотренный нами впервые в [9], позволяет применить математический аппарат теории массового обслуживания для получения требуемой количественной оценки [9, 10]. При этом важным является тот факт, что при расчете характеристики эксплуатационной информационной безопасности используются не некие гипотетические, заданные экспертным путем, значения параметров ИС, а реальные значения параметров, полученные на основании анализа соответствующей статистики угроз. Это позволяет говорить об адекватности получаемых подобным образом моделей безопасности информационных систем.
Под атакой на информационную систему понимается воздействие злоумышленником на ИС посредством использования (эксплуатации) обнаруженных в ИС либо внесенных в нее в процессе эксплуатации «каналов» несанкционированного доступа к информации (угроз безопасности ИС).
В общем случае атака многоступенчата и предполагает последовательное использование атакой некой совокупности угроз, присутствующих в системе. Формальное описание атаки (атаки, реализуемой с определенной целью) предлагается представлять взвешенным ориентированным графом атаки на ИС.
Под графом атаки на информационную систему понимается взвешенный ориентированный граф (или орграф), вершинами которого являются угрозы, характеризуемые («взвешенные») вероятностью наличия обнаруженных или внесенных в систему и не устраненных «каналов» несанкционированного доступа к информации, создающих угрозу, которые должны эксплуатироваться (использоваться) злоумышленником при осуществлении атаки; дуги графа определяют последовательность использования злоумышленником угроз (направленного перехода между вершинами) при осуществлении атаки.
Пример графа атаки на ИС приведен на рис. 1. На рис. 1 Р$г, где г =1,...,Л, обозначает вероятность отсутствия в системе г-й угрозы (информационная система готова к безопасной эксплуатации в отноше-
нии г-й угрозы), одной из Я угроз, последовательно эксплуатируемых (используемых) злоумышленником при осуществлении описываемой графом атаки. Эту характеристику, как отмечали ранее, мы можем рассчитать с использованием аппарата теории массового обслуживания.
С учетом сказанного может быть сделан крайне важный вывод: каждая последующая угроза, используемая при осуществлении атаки, может рассматриваться, в терминологии теории надежности [11], в качестве параллельно включенного в систему резерва (для осуществления атаки необходимо использовать всю совокупность угроз, приведенных на графе, см. рис. 1). Как следствие, вероятность того, что защищенная информационная система готова к безопасной эксплуатации в отношении атаки Р0а, последовательно использующей Я угроз, г = 1,.,Я, определяется следующим образом:
Аналогичным образом (параллельно включенный резерв) может рассматриваться и средство защиты, направленное на нивелирование угрозы, используемой атакой, которое может быть охарактеризовано аналогичными параметрами и характеристиками.
Под готовностью защищенной информационной системы к безопасной эксплуатации в отношении атаки понимается вероятность того, что защищенная ИС готова к безопасной эксплуатации - в ней отсутствуют обнаруженные либо внесенные в нее и не устраненные «каналы», как собственно создающие угрозы, используемые атакой, так и в средстве защиты информации, призванном нивелировать угрозу (угрозы), эксплуатируемую атакой, позволяющие осуществить несанкционированный доступ к информации.
Соответственно под уровнем эксплуатационной информационной безопасности защищенной информационной системы в отношении атаки понимается количественная оценка готовности защищенной ИС к безопасной эксплуатации - значение вероятности того, что защищенная в отношении атаки информационная система готова к безопасной эксплуатации.
Все сказанное можно отнести и к ИС в целом. Атаки в этом случае могут рассматриваться, в терминологии теории надежности [11], в качестве последовательно включенного в систему резерва (для осуществления атаки на систему в целом злоумышленнику достаточно реализовать одну из атак). Как следствие, вероятность того, что информационная система готова к безопасной эксплуатации в целом, Р0исц., при возможной совокупности из D атак, d = 1,.. каждая из которых соответственно характеризуется Р0аа, определяется следующим образом:
С учетом того, что каждая угроза, используемая при осуществлении атаки, может рассматриваться в терминологии теории надежности в качестве параллельно включенного в систему резерва, а каждая из совокупности возможных атак на ИС может рассматриваться в качестве последовательно включенного в систему резерва, в общем случае, применительно к ИС в целом, можем говорить о последовательно-параллельном резервировании. Таким образом, мы можем количественно оценить готовность ИС к безопасной эксплуатации (вероятность того, что информационная система готова к безопасной эксплуатации) как в отношении отдельной атаки, так и в целом.
Под средним временем наработки на нарушение эксплуатационной информационной безопасности информационной системы (среднее время наработки на отказ в теории надежности) понимается средний интервал времени, в течение которого ИС готова к безопасной эксплуатации (между моментами нарушения эксплуатационной информационной безопасности ИС). Данная характеристика определяется следующим образом:
Это - параметры и характеристики непосредственно ИС, определяющие риск осуществления успешной атаки на ИС.
Под риском нарушения безопасности информационной системы будем понимать вероятность наступления условия нарушения эксплуатационной информационной безопасности ИС, позволяющего злоумышленнику осуществить успешную атаку на ИС с целью получения несанкционированного доступа к обрабатываемой в ней информации.
Рис. 1. Пример графа атаки на ИС
Ц (1 - Р0у
Риск нарушения безопасности ИС определяется значением вероятности Р0 (соответственно применительно к атаке Р0а, к ИС в целом Р0исц). Это эксплуатационные характеристики непосредственно ИС, определяющие риск осуществления успешной атаки на ИС.
Рассмотрим еще один важный эксплуатационный параметр.
Под интенсивностью осуществления злоумышленником атак на защищенную информационную систему будем понимать количество совершаемых им атак на ИС в единицу времени Ха. Это уже эксплуатационный параметр нарушителя, характеризующий его заинтересованность в получении несанкционированного доступа к информации, обрабатываемой в системе (это характеристика ценности обрабатываемой информации для нарушителя).
Отметим, что значение параметра Ха должно задаваться при проектировании системы защиты ИС с целью формирования требований к уровню эксплуатационной информационной безопасности проектируемой защищенной ИС (проектируемой системы защиты ИС). Требуемый для этого параметр Ха может быть определен либо на основании опыта эксплуатации подобных (обрабатывающих аналогичную информацию) защищенных информационных систем, либо экспертным путем. Важным является уточнение данного параметра в процессе всего времени эксплуатации ИС с применением средств аудита -протоколирования событий, в данном случае - осуществления атак (и их отражения) на защищенную ИС, что, в свою очередь, определяет соответствующие требования к средствам аудита событий, реализуемым в ИС. Определение значения параметра Ха как эксплуатационной характеристики (в процессе эксплуатации ИС) позволяет оценить корректность сделанных исходных предположений о ценности для злоумышленников обрабатываемой в ИС информации, а также учесть изменение данного параметра в процессе эксплуатации системы, в результате чего, при необходимости, доработать исходные требования к уровню эксплуатационной информационной безопасности ИС.
С точки зрения эксплуатационной информационной безопасности успешная атака будет реализована злоумышленником в том случае, если она будет проведена в тот интервал времени, когда информационная система не готова к безопасной эксплуатации. С учетом сказанного определим важнейшую характеристику эксплуатационной информационной безопасности - вероятность реализации успешной атаки на ИС.
Под вероятностью реализации успешной атаки на информационную систему будем понимать вероятность того, что атака будет осуществлена злоумышленником в промежуток времени, когда ИС не готова к безопасной эксплуатации.
Вероятность реализации успешной атаки на защищенную ИС Ра, определяемая вероятностью того, что атака (по крайней мере, одна из атак) придется на интервал времени 1/ц, может быть получена из закона Пуассона [10]:
ра = 1-.
С учетом сказанного определим эксплуатационную характеристику риска.
Под риском осуществления успешной атаки на информационную систему будем понимать вероятность реализации успешной атаки на ИС с целью получения несанкционированного доступа к обрабатываемой в ней информации.
Риск осуществления успешной атаки на ИС определяется значением вероятности Ра.
Важным моментом является то, что мы рассматриваем восстанавливаемую систему, для которой можно вести понятие периода эксплуатации Т, задаваемого следующим образом: т = Т0 +1/
В этой формуле То - среднее время наработки на нарушение эксплуатационной информационной безопасности ИС, по истечении которого в течение времени 1/ц безопасное состояние ИС восстанавливается - информационная система в течение этого промежутка времени уязвима для атак. Таким образом, если вероятность успешной атаки на ИС, Ра, определяется вероятностью того, что атака (по крайней мере, одна из атак) придется на интервал времени 1/ц, то с вероятностью, равной 1 - Ра, в данном интервале времени успешная атака на ИС осуществлена не будет. Следующая подобная возможность злоумышленнику «будет предоставлена» в следующем периоде эксплуатации системы Т - через промежуток времени То. При этом значение характеристики Ра определяется эксплуатационными параметрами ИС и нарушителя, как следствие, Ра одинаковы для различных периодов эксплуатации системы Т, /=1,...,/.
Распределение характеристики Ра во времени (качественная оценка), определяемом периодами эксплуатации системы Т/, /=1,...,/, представлено на рис. 2.
Таким образом, если вероятность успешной атаки на ИС в периоде эксплуатации Ti в течение интервала времени 1/ц на этом периоде, см. рис. 2 (в различных периодах это события независимые), равна Ра, то вероятность успешной атаки на ИС в /'-ом периоде эксплуатации Т/, i = 1,.,/, равна
Pat =■
0, если i = 1;
IРа (1 - Ра У 2, если i > 2.
Замечание. Для удобства формального описания за первый период эксплуатации в этой формуле и далее (что необходимо учитывать при использовании приведенных ниже расчетных формул) принимаем Гг-1=Го за последующие периоды эксплуатации:
Т > 2 = Т + 1/Ц .
Данная эксплуатационная характеристика определяет крайне важное эксплуатационное свойство ИС, которое должно быть нами далее учтено. Поскольку информационная система - это система восстанавливаемая, т.е. восстанавливаются свойства ее информационной безопасности в процессе эксплуатации (с интенсивностью ц), несмотря на значение характеристики Р0, информационная система может с соответствующими вероятностями Ра1, / = 1,...,/, безопасно эксплуатироваться в различных периодах (на различных временных интервалах Т). С учетом этого может быть введена следующая эксплуатационная характеристика ИС - вероятность того, что на ИС будет осуществлена успешная атака за время ее эксплуатации, характеризуемое / периодами эксплуатации системы Т с номерами I = 1,.,/, Ра1. Эта
характеристика рассчитывается по следующей формуле:
/
Ра/ = X Ра1 • I=1
Pa
Pa
0 То То+1/ц 2То+2/ц 3То+3/ц 4То+4/ц г
Рис. 2. Распределение характеристики Ра во времени
Для любого произвольного времени эксплуатации ИС г характеристика Ра1 (в данном случае Ра(г)) может быть определена следующим образом:
0, еслиО < г < ТО;
Pa (t) =
У Pat, если (I - 1)Г0 +
I
i=2
2 _ I--< t < ITo +-
1
Ц Ц
С учетом изменения во времени характеристики Ра и соответственно Ра1, (рис. 2), качественная зависимость изменения характеристики Ра(г) во времени представлена на рис. 3. Таким образом, зная эксплуатационные параметры ИС То и ц, для любого произвольного времени эксплуатации ИС г можно определить соответствующее ему число периодов эксплуатации системы / продолжительностью Ть для которого уже определить искомое значение Ра(г).
Под риском осуществления успешной атаки на информационную систему в течение времени ее эксплуатации г будем понимать вероятность реализации успешной атаки на ИС с целью получения несанкционированного доступа к обрабатываемой в ней информации за время ее эксплуатации г.
Риск осуществления успешной атаки на ИС в течение времени ее эксплуатации г определяется значением вероятности Ра(г) на соответствующем времени г числе периодов эксплуатации системы / продолжительностью Т.
Акцентируем внимание читателя на особенностях введенной эксплуатационной характеристики риска. Как правило, на практике риск оценивается вероятностью взлома (либо вероятностью успешной атаки, которая, кстати, также не рассматривается в качестве эксплуатационной характеристики) ИС. При этом не рассматривается распределение характеристики риска во времени эксплуатации системы. Естественно, возникает вопрос, насколько адекватна подобная модель риска и что на самом деле ею описывается - для какого момента времени эксплуатации ИС определяется риск, с учетом того, что его значение (значение соответствующей вероятности) изменяется во времени? Насколько и как применима подобная характеристика, если непонятно, что ею определяется?
Если, по аналогии с теорией надежности [11], ранее нами рассматривалась характеристика То -среднее время наработки на нарушение эксплуатационной информационной безопасности ИС, то с ис-
пользованием параметра Ха можем ввести важнейшую временную эксплуатационную характеристику ИС - среднюю продолжительность безопасной эксплуатации ИС или среднее время наработки ИС до успешной атаки.
Л( 0 " 1
О То 2 То ЗТо 4 То г
Рис. 3. Качественная зависимость изменения характеристики Ра({) во времени
Под средней продолжительностью безопасной эксплуатации информационной системы (или под средним временем наработки информационной системы до успешной атаки) будем понимать среднее время, в течение которого ИС будет находиться в безопасном состоянии с начала ее эксплуатации.
Данная характеристика Тбэ может быть рассчитана по следующей формуле:
да
Тбэ = То+Х (/ - 1)Т?а/.
/=2
Замечание. Т/=Т, / > 2.
Итак, нами были введены важнейшие вероятностные и временные характеристики риска, позволяющие оценить безопасность эксплуатации ИС с учетом интенсивности осуществления злоумышленником атак на ИС и уровня эксплуатационной информационной безопасности ИС. В ряде случае подобных оценок риска будет достаточно для ответа на вопрос, следует ли реализовывать защиту ИС с целью повышения уровня ее эксплуатационной информационной безопасности.
Однако при высокой заинтересованности злоумышленника в получении несанкционированного доступа к обрабатываемой в ИС информации (характеризуемой большим значением параметра Ха) и, как следствие, при принятии решения о необходимости реализации защиты ИС уже целесообразно рассматривать такие характеристики ИС (в том числе, защищенной ИС), как потери (экономическую характеристику эксплуатационной информационной безопасности). Ведь потери в защищенной ИС связаны как с потенциальной возможностью несанкционированного доступа злоумышленника к обрабатываемой информации (потенциальные потери, которые будут снижаться при реализации защиты), так и с реализацией и эксплуатацией системы защиты в ИС.
Прежде чем говорить о потерях, введем еще одну важнейшую эксплуатационную характеристику ИС - характеристику сложности реализации атаки на ИС для злоумышленника.
Как уже отмечалось, в рамках рассматриваемой теории эксплуатационной информационной безопасности каждая последующая угроза, используемая при осуществлении атаки, может рассматриваться в терминологии теории надежности в качестве параллельно включенного в систему резерва. При этом успешная реализация атаки возможна лишь при условии актуальности (выявленных и неустраненных «каналов» несанкционированного доступа к информации применительно к каждой угрозе) всех угроз, используемых атакой. Таким образом, для осуществления успешной атаки злоумышленник должен обладать определенным количеством информации - информацией о выявленных и неустраненных (существующих) «каналов» несанкционированного доступа к информации применительно к каждой угрозе, используемой атакой. Очевидно, что именно количество информации, которым должен обладать злоумышленник в отношении актуальности угроз, используемых атакой, и определяет сложность реализации успешной атаки на ИС.
Под характеристикой сложности реализации атаки на информационную систему для злоумышленника будем понимать количество информации, которым должен обладать злоумышленник в отношении актуальности угроз, используемых атакой.
Обратимся к основам теории информации. Следуя К. Шеннону [12], вероятностная мера количества информации определяется следующим образом. Пусть можно получить п сообщений по результатам некоторого опыта (т.е. у опыта есть п исходов), причем известны вероятности получения каждого сообщения (исхода) - р/ . Тогда в соответствии с идеей Шеннона, количество информации / в сообщении / определяется по формуле / = -^2рь где р/ - вероятность / -го сообщения (исхода).
В нашем случае в отношении атаки возможны два исхода, определяющие то количество информации, которым должен обладать злоумышленник для реализации успешной атаки - готова или нет информационная система к безопасной эксплуатации.
С учетом же того, что вероятность готовности защищенной информационной системы к безопасной эксплуатации в отношении атаки, последовательно использующей Я угроз, г = 1,...,Я, определяется следующим образом:
= 1-П_ (!-рог),
количество информации (как вероятностная мера этого исхода), необходимое злоумышленнику для осуществления успешной атаки - характеристика сложности реализации атаки на ИС для злоумышленника, обозначим ее через £а - может быть определена по следующей формуле:
= -log2^ (1 -Р0Г).
^Оисц Pßad,
Ба
=1
Это важнейшая эксплуатационная характеристика ИС, позволяющая количественно оценить и достаточно информативно представить сложность реализации злоумышленником успешной атаки. Например, рассмотрим, как изменится сложность реализации атаки, в предположении, что исходное для ИС значение Р0а составляло 0,7, а в результате использования средства защиты стало равно 0,99. Видим, что в первом случае £а = 1,74, во втором случае £а = 6,64, т.е. использование данного средства защиты в ИС усложнило злоумышленнику реализацию успешной атаки на ИС в 3,82 раза.
Замечание. За единицу сложности реализации атаки £а = 1 при этом принимается условие Р0а=0,5 (система с равной вероятностью защищена или нет).
Введенную характеристику сложности реализации атаки на ИС для злоумышленника можно использовать и в процессе эксплуатации ИС для количественной оценки того, насколько упростится атака на ИС в случае актуализации (обнаружения «канала» несанкционированного доступа) одной или нескольких угроз (для актуальной угрозы г справедливо соотношение Р0г=0.
Данная важнейшая характеристика применима не только в отношении конкретной атаки, но и в отношении ИС в целом, обозначим ее 5ис. С учетом вероятности того, что информационная система готова к безопасной эксплуатации в целом при возможной совокупности из Б атак, ё = 1,...,Б, каждая из которых соответственно характеризуется Р0аа, определяемой как
=пс
характеристика 5ис может быть рассчитана по следующей формуле:
5ис = - (1 -
Теперь о потерях. Потери для незащищенной ИС связаны исключительно с успешной атакой на ИС, в результате которой злоумышленник получает несанкционированный доступ к обрабатываемой в ней информации (в данном случае речь идет о потенциальных потерях).
Пусть потери от несанкционированного доступа к информации (в результате ее хищения, удаления или модификации) составляют Синф.
Под риском потерь от осуществления успешной атаки на информационную систему в течение времени ее эксплуатации t будем понимать экономическую эксплуатационную характеристику ИС, определяемую как потенциальные потери от успешной атаки на ИС в результате реализации злоумышленником несанкционированного доступа к обрабатываемой в ней информации за время ее эксплуатации t.
С учетом сказанного ранее (с учетом полученной расчетной формулы для Ра (£)), для любого произвольного времени эксплуатации ИС t риск потерь от осуществления успешной атаки на ИС, ДСинф (£:), может быть рассчитан следующим образом:
!0, если 0 <Ь< Т0;
Синф V Ра1, если (/- 1)Г0+ ^ <С < 1Т0+ .
ф к Ц Ц
Очевидно, что функция распределения риска потерь от осуществления успешной атаки на ИС во времени имеет тот же вид, что и соответствующая функция распределения вероятности успешной атаки на ИС (см. рис. 2), причем в пределе риск потерь стремится к значению Синф.
Рассмотрим возможные способы учета ценности информации. Для этого нами были введены два параметра - Яйи Синф. Отметим, что данные параметры характеризуют альтернативные подходы к определению ценности обрабатываемой информации: Ха - с точки зрения злоумышленника, Синф - с точки зрения владельца информации (или оператора, обрабатывающего информацию). В общем случае - это альтернативные подходы к определению ценности информации, которые должны использоваться совместно, поскольку, как бы ни была ценна обрабатываемая информация для ее владельца, на деле она может не представлять никакой ценности для потенциальных злоумышленников, и наоборот.
Эксплуатационные характеристики риска для защищенной ИС.
Экономическая оценка эффективности системы защиты
Как говорилось ранее, реализация в ИС системы защиты может, в терминологии теории надежности, рассматриваться в качестве параллельно включенного в систему резерва. Это обусловливается тем, что для осуществления успешной атаки на ИС злоумышленнику потребуется использовать как возникшие и неустраненные угрозы, эксплуатируемые атакой, собственно в ИС (например, выявленные уязвимости операционной системы и приложений), так и соответствующие угрозы, выявляемые непосредственно в системе защиты.
Несложно проиллюстрировать и то, что высокий уровень эксплуатационной информационной безопасности собственно системы защиты (значение вероятности готовности системы защиты к безопасной эксплуатации 0,95 и выше) вполне достижим на практике. Для этого оценим потенциальные возможности средств защиты в части повышения уровня эксплуатационной информационной безопасности информационных систем. С этой целью определим граничную оценку (при худших условиях уровень эксплуатационной информационной безопасности ИС полностью определяется уровнем эксплуатационной безопасности средства защиты). Расчетные значения приведены в таблице.
Интенсивность устранения «каналов» несанкционированного доступа к информации в средстве защиты Готовность к безопасной эксплуатации при различных интенсивностях обнаружения «каналов» несанкционированного доступа к информации в средстве защиты
1/ 3 месяца 1/ 6 месяцев 1/ 12 месяцев 1/ 18 месяцев
1/3 дня 0,97 0,98 0,99 0,99
1/7 дней 0,93 0,96 0,98 0,99
1/14 дней 0,87 0,93 0,96 0,98
Таблица. Оценка уровня эксплуатационной информационной безопасности
защищенной ИС
Поскольку приведенные в таблице эксплуатационные характеристики средств защиты достижимы на практике, за счет их использования в качестве параллельно включенного резерва могут быть существенно улучшены эксплуатационные характеристики ИС - в данном случае уже защищенной.
Некоторые технические решения, иллюстрирующие возможности средств защиты, применение которых направлено на повышение уровня эксплуатационной информационной безопасности информационных систем, описаны, например, в [13-15] (заметим, что данные технические решения на сегодняшний день авторами патентуются).
Для обозначения соответствующих эксплуатационных параметров и характеристик защищенной ИС далее будем использовать индекс «з». При этом исходные значения эксплуатационных параметров непосредственно ИС Я и ц не изменятся, но добавятся соответствующие эксплуатационные параметры системы защиты информации, Я^, цсзи, соответственно имеем Р0з=цсзи). Отметим, что при расчете характеристик защищенной ИС, Т0з, Тз, Раз и соответственно Ра1з, в качестве параметра ц при этом уже используется цсзи (при этом будем определять граничные, худшие значения соответствующих характеристик).
Не изменится и исходное (при реализации защиты) значение параметра Яа, поскольку им характеризуется ценность для злоумышленника обрабатываемой в ИС информации, вне зависимости от того, защищена информационная система или нет.
С учетом сказанного приведенные ранее формулы для расчета основных введенных характеристик эксплуатационной информационной безопасности, применительно к защищенной ИС, примут следующий вид:
[0, если I = 1;
= (Раз (1 Разу~2, если ¿>2;
!0, если 0 < £ < Т0з; У /-.если С-ВД, + +
¿—I ц ц
1=2 г сзи г сзи
(1—1)7; Ра13.
1=2
Распределения характеристик Ра и Раз во времени (качественная оценка), определяемом периодами эксплуатации системы Гь / = 1,.../, иллюстрирующие причины положительного эффекта от внедрения системы защиты, представлены на рис. 4.
Обсудим теперь дополнительные потери. Риск потерь для незащищенной ИС связан исключительно с успешной атакой на ИС, в результате которой злоумышленник получает несанкционированный доступ к обрабатываемой в ней информации. Внедрение в ИС системы защиты связано с дополнительными затратами (потерями), определяемыми собственно стоимостью внедряемой системы защиты Ссзи и удельной стоимостью (стоимостью в единицу времени) ее эксплуатации Су эсзи (£) (техническая поддержка от разработчика, увеличение штата сотрудников, эксплуатирующих средство защиты и т.п. (предполагаем, что она характеризуется линейной зависимостью), также являющейся эксплуатационной характеристикой уже средства защиты.
Р Р
1 а 1 аз
Pa
То Го+1/ц
Т0з Гоз+1/Цгаи ЗГо+З/Ц
2То3+2/ц с;
Рис. 4. Распределения характеристики Ра и Раз во времени
Под риском потерь от осуществления успешной атаки на защищенную информационную систему будем понимать экономическую эксплуатационную характеристику защищенной ИС, определяемую совокупностью потерь - затрат, определяемых как стоимостью системы защиты и ее эксплуатации в системе, так и потенциальными потерями от успешной атаки на защищенную ИС.
С учетом сказанного ранее (с учетом полученной расчетной формулы для Раз (£)), для любого произвольного времени эксплуатации ИС / риск потерь от осуществления успешной атаки на защищенную ИС, ДСинфз (0, может быть рассчитан следующим образом:
^^инфз ^^
с +tc
если 0 < t < Т0.
Г +tC
°сзи 1 эсзи
(О + С,
инф
если (/- 1)Г0з +
¿=2 2)
д
с
<t < /Г0з +
(/-1) д
сзи
Используя полученные результаты, соответствующим образом определим оценки эффективности системы защиты как количественные меры снижения риска осуществления успешной атаки на ИС в течение времени ее эксплуатации ДРаз (О, и снижения риска потерь от осуществления успешной атаки на ИС в течение времени ее эксплуатации (, ДДСинфз(£:), которые могут быть рассчитаны по следующим формулам:
Д Раз (0 =Ра (0 -Раз (О,
ДРсинфз ^^^ ^^инф ^^ ^^инфз
Отметим, что, если значение Рс^ф (О в пределе стремится к Синф, то значение ^синф3(0 в пределе стремится к да. Это позволяет утверждать, что величина выигрыша в потерях от реализации в ИС защиты информации будет сильно изменяться в процессе эксплуатации системы, причем по мере увеличения продолжительности эксплуатации системы в общем случае будет иметь две фазы распределения - фазу увеличения и фазу уменьшения (начальную фазу эксплуатации, которая, естественно, проигрышна, так как связана с дополнительными затратами на реализацию в ИС системы защиты информации, здесь не рассматриваем).
Качественная оценка изменения (распределения) характеристики ДРСинфз(£) во времени проиллюстрирована на рис. 5.
о
t
С
Выигрыш от внедрения системы защиты
2 To Тоз+1/ц сзи 3To
4 To 2Тоз+2/Цсзи t
0
o
Рис. 5. Качественная оценка изменения характеристики ДДСинфз(£:) во времени
Как видим из рис. 5, характеристика ДДСинфз(£:) имеет пиковые значения в процессе эксплуатации
системы. Это обусловливается различием в общем случае характеристик T и Тз (соответственно для незащищенной и защищенной информационных систем).
Таким образом, используя введенные эксплуатационные параметры и характеристики информационной (в том числе защищенной) системы, эксплуатационные характеристики риска, применяя представленные расчетные формулы, можно количественно оценить выигрыш (проигрыш) от внедрения системы защиты для различных временных интервалов эксплуатации защищенной ИС, что позволяет получить экономическое обоснование целесообразности и эффективности реализации в ИС системы защиты и соответствующим образом, исходя из подобной оценки, сформировать требования к эксплуатационным параметра и характеристикам системы защиты для конкретной ИС.
Заключение
Предложенный в работе подход к оцениванию риска, в том числе риска потерь, реализуемый в рамках излагаемой авторами теории эксплуатационной информационной безопасности, предоставляет возможность оценить распределение потерь в процессе эксплуатации информационной (в том числе защищенной) системы. Использование введенных эксплуатационных характеристик риска позволяет построить адекватную модель ИС с учетом нарушений и восстанавливаемости свойств ее информационной безопасности в процессе эксплуатации и соответственно получить адекватные требования к параметрам и характеристикам (эксплуатационным) системы защиты, предполагаемой к использованию в конкретной ИС.
Литература
1. Королев В.Ю., Бенинг В.Е., Шоргин С.Я. Математические основы теории риска. М.: ФИЗМАТЛИТ, 2011. 591 с.
2. Шапкин А.С., Шапкин В.А. Теория риска и моделирование рисковых ситуаций. M.: Дашков и К, 2005. 880 с.
3. Мельников В.П. Защита информации в компьютерных системах. М.: Финансы и статистика, 1997. 368 с.
4. Павлухин Д.В. Теория информационной безопасности и методология защиты информации: Учебно-методическое пособие. Тамбов: Изд-во ТГУ им. Г.Р. Державина, 2005. 104 с.
5. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учеб. пособие для вузов. М.: Горячая линия - Телеком, 2004. 280 с.
6. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: Компания АйТи; ДМК Пресс, 2004. 384 с.
7. Корченко А.Г. Построение систем защиты информации на нечетких множествах. Теория и практические решения. Киев: МК-Пресс, 2006. 320 с.
8. Мизнов А.С., Шевяхов М.Ю. Некоторые подходы к оценке информационных рисков с использованием нечетких множеств // Системный анализ в науке и образовании. 2010. № 1. С. 54-60.
9. Щеглов К.А., Щеглов А.Ю. Защита от атак на уязвимости приложений. Модели контроля доступа // Вопросы защиты информации. 2013. № 2 (101). С. 36-43.
10. Саати Т. Элементы теории массового обслуживания и ее приложения. М.: Сов. радио, 1965. 511 с.
11. Половко А.М., Гуров С.В. Основы теории надежности. СПб: БХВ-Петербург, 2006. 704 с.
12. Шеннон К.Е. Математическая теория связи // Работы по теории информации и кибернетике: Пер. с англ. М.: ИИЛ, 1963. С. 243-332.
13. Щеглов К. А., Щеглов А.Ю. Практическая реализация дискреционного метода контроля доступа к создаваемым файловым объектам // Вестник компьютерных и информационных технологий. 2013. № 4. С. 43-49.
14. Щеглов К. А., Щеглов А.Ю. Система защиты от запуска вредоносных программ // Вестник компьютерных и информационных технологий. 2013. № 5. С. 38-43.
15. Щеглов К.А., Щеглов А.Ю. Реализация метода мандатного доступа к создаваемым файловым объектам системы // Вопросы защиты информации. 2013. № 4 (103). С. 15-20.
Щеглов Константин Андреевич
Щеглов Андрей Юрьевич
Konstantin Shcheglov
Andrei Shcheglov
студент, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики; менеджер по развитию, ЗАО «НПП «Информационные технологии в бизнесе», Санкт-Петербург, Россия, [email protected] доктор технических наук, профессор, Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики; генеральный директор, ЗАО «НПП «Информационные технологии в бизнесе», Санкт-Петербург, Россия, [email protected] .ru
Student, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics; development manager, JSC "Information Technologies in Business", Saint Petersburg, Russia, [email protected]
D.Sc., Professor, Saint Petersburg National Research University of Information Technologies, Mechanics and Optics; General director, JSC "Information Technologies in Business", Saint Petersburg, Russia, [email protected]
УДК 004.89
ИДЕНТИФИКАЦИЯ АНОНИМНЫХ ПОЛЬЗОВАТЕЛЕЙ ИНТЕРНЕТ-ПОРТАЛОВ НА ОСНОВАНИИ ТЕХНИЧЕСКИХ И ЛИНГВИСТИЧЕСКИХ ХАРАКТЕРИСТИК ПОЛЬЗОВАТЕЛЯ1
А.А. Воробьева3, А.В. Гвоздев3
а Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, Санкт-Петербург, Россия, [email protected]
Задача идентификации анонимных пользователей Интернет-порталов становится все более актуальной научной задачей, это обусловлено ростом числа интернет-пользователей, в том числе анонимных, ростом числа случаев совершения противоправных действий (например, анонимных угроз и экстремистских высказываний) и несовершенством существующих подходов и алгоритмов идентификации анонимных пользователей.
В контексте работы под идентификацией пользователя понимается распознавание анонимного пользователя в Интернете [1-5]. Распознавание производится путем соотнесения набора характеристик анонимного пользователя с характеристиками, собранными ранее и уже имеющимися в базе данных. К характеристикам пользователя относятся ряд технических (IP-адрес, версия операционной системы и пр.) и лингвистических (стиль письменной речи автора сообщения) характеристик. В работе рассматривается возможность идентификации пользователей по различным наборам таких характеристик (техническим, лингвистическим и комбинированным). Анализируется возможность применения различных методов классификации (метод опорных векторов, нейросети, логическая регрессия) для решения задачи по идентификации анонимных пользователей.
Проведенные эксперименты показали, что использование лингвистических характеристик совместно с техническими позволяет повысить точность идентификации анонимного пользователя Интернет-портала.
Ключевые слова: идентификация анонимных пользователей, атрибуция текстов, авторство сообщений, компьютерная лингвистика, информационная безопасность.
ANONYMOUS WEBSITE USER IDENTIFICATION BASED ON COMBINED FEATURE SET (WRITING STYLE AND TECHNICAL FEATURES)2
A. Vorob'yevab, A. Gvozdevb
b Saint Petersburg National Research University of Information Technologies, Mechanics and Optics, Saint Petersburg, Russia, [email protected]
The task of anonymous web users identification becomes more and more important research task. The number of users is increased dramatically and usage of the Internet for criminal purposes (such as anonymous threats and extremist statements) becomes more frequent. Existing approaches and algorithms for identifying anonymous users are not enough efficient. In the context of this work, user identification means recognizing of an anonymous user on the Internet. Identification is performed by correlating the set of anonymous user features with stored in the database features collected previously. Feature set of the user consists of technical features (IP- address, OS version, etc.) and writing-style features of the user (for short texts in the Russian language). We compared the discriminating power of three feature sets (technical, writing-style and combined) and
1
Работа выполнена в рамках НИР «Идентификация пользователей порталов сети Интернет».
2
Done in the framework of S&R work «Identification of Internet portals users»