Информационные конфликты в автоматизированных системах Текст научной статьи по специальности «Компьютерные и информационные науки»

нированную цель с учетом текущей классификации пассивной подсистемы.

На основании этих алгоритмов разработаны технологии построения сценария игры и определения максимизирующего управления в ситуационной сети, позволяющие организовывать нужную динамику нарастания показателя качества у системы в целом.

Использование нечетких ситуационных моделей для управления взаимодействием игроков позволяет устранить один из главных недостатков матричной игры - отсутствие динамичности, и да-

ет возможность при выборе решения в сложной системе учесть интуитивные действия ЛПР.

Список литературы

1. Нейман Дж., Моргенштерн О. Теория игр и экономическое поведение. - М.: Наука, 1970. -340 с.

2. Ragade R.K. Fuzzy games in the analysis of options Journal of Cubernetics, 1976, v.6, h.213-221.

3. Леунг Й. Разделение на торговые зоны в нечетких условиях: Теория возможностей и ее применение. - М.: Наука, 1992. -272 с.

4. Обработка нечеткой информации в системах принятия решений // А.Н. Борисов, А.В. Алексеев, Г.В. Меркурьева и др. - М.: Радио и связь, 1989. -304 с.

ИНФОРМАЦИОННЫЕ КОНФЛИКТЫ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

А.В. Карпов

Использование компьютерных технологий обработки информации при построении автоматизированных систем (АС) в специфических областях человеческой деятельности привело к тому, что вопрос защиты обрабатываемой информации от несанкционированного доступа приобрел особое значение, а показатель информационной безопасности стал одной из ключевых характеристик АС, определяя возможности их применения.

Важность и актуальность проблемы информационной безопасности в АС подчеркивается и тем фактом, что в основных развитых странах деятельность в этой области лицензируется, разработанные изделия подлежат сертификации, а на государственном уровне приняты документы, определяющие требования к подобным разработкам.

Официальный подход к определению эффективности защиты информации в АС выражается государственной политикой информационной безопасности и опирается на соответствующие нормативные акты. Нормативные акты, в частности, определяют требования к защищенности информации различных категорий конфиденциальности и важности. Как правило, требования задаются перечнем механизмов защиты информации, которые необходимо иметь в АС, чтобы она соответствовала определенному классу защиты. Основным недостатком официального подхода к определению эффективности защиты информации является то, что он не позволяет определить эффективность конкретного механизма защиты, а констатирует лишь факт его наличия или отсутствия. Таким образом, руководствуясь официальным подходом, эффективность защиты информа-

ции от несанкционированного доступа в АС определяется качественно, в статике.

Однако необходимость непрерывного обеспечения защиты информации и возможность изменения условий функционирования АС обусловливают особое значение анализа и оценки изменения уровня защищенности с течением времени, в динамике. В качестве примера изменения условий функционирования АС может выступать изменение числа пользователей системы, аппаратной и программной среды, условий информационного взаимодействия объектов и субъектов защиты.

Автоматизированные системы согласно ГОСТу [1] состоят из персонала и комплекса средств автоматизации его деятельности и реализуют информационную технологию выполнения установленных функций.

Сложные АС обладают характерными особенностями, среди которых можно выделить такие, как [2]:

- целостность выполнения единой поставленной перед системой задачи с требуемой эффективностью;

- большие размеры и высокая стоимость системы;

- многомерность различных показателей, характеризующих свойства системы;

- наличие в системе сложных связей;

- высокая степень автоматизации;

- статистическая природа управляющих сигналов, внешних возмущений и нагрузок;

- многообразие структур с различными иерархическими уровнями с постоянно меняющимся составом.

Основными техническими средствами АС являются компьютерные системы (КС). Детализация перечисленных особенностей АС применительно к КС позволяет говорить также и об особенностях структуры, состава и функционирования КС. Такими особенностями являются:

- разнообразие используемых аппаратных средств;

- сложность алгоритмического и программного обеспечения;

- одновременное использование нескольких протоколов взаимодействия и форматов представления данных.

Перечисленные особенности сложных КС обусловливают возникновение специфических ситуаций в процессе их функционирования, вызванных как различными ошибками программного обеспечения, всевозможными отказами и сбоями аппаратных средств, так и злоумышленными действиями субъектов, имеющих доступ к системе. Подобные ситуации, с одной стороны, отрицательно влияют на функции обработки информации, выполняемые системой, и, с другой стороны, создают условия для реализации угроз несанкционированного доступа к обрабатываемой информации.

Таким образом, взаимосвязь упомянутых специфических ситуаций, возникающих в процессе функционирования КС, с необходимостью защиты информации от несанкционированного доступа обусловливает необходимость решения задач, связанных с функционированием КС в условиях информационного конфликта (ИК). В число таких задач входят исследование взаимодействия информационных объектов АС и анализ уровня защищенности информации в случайных (обусловленных ошибками в функционировании программного и/или аппаратного обеспечения) и преднамеренных (вызванных специальным искажением данных и/или процедур их обработки) конфликтах.

Рассмотрим обобщенную модель КС, изображенную на рисунке 1.

Модель состоит из ряда элементов Ц, связей между ними и множества величин, описывающих процесс функционирования системы и образующих в общем случае следующие подмножества:

- совокупность входных данных, образующих входной информационный поток системы xi е X,! = 1,nX ;

- совокупность внутренних (собственных) параметров системы Ьк е Н,к = 1,пн ;

- совокупность воздействий внешней среды е, е Е,1 = 1,пЕ ;

- совокупность выходных данных, образующих выходной информационный поток системы

У] е У,] = 1,Пу .

В общем случае процесс функционирования системы 8 описывается во времени оператором

у се) = ев (х,е,ь).

Кроме того, будем считать, что функционирование системы обеспечивает решение множества задач W, реализуемых с помощью операций обработки информации, состоящих из сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения и преобразования [3].

Рассматривая процесс функционирования системы 8 как смену состояний z1(t), z2(t)...zk(t) во времени, можно положить, что совокупность всех возможных значений состояний {2} называется пространством состояний Z системы, причем zk е Z,k = . При этом очевидно, что множество задач W является порождающим для множества состояний системы Z с точки зрения переходов системы 8 из состояния zk в zk+1 в силу необходимости выполнения операций обработки информации, приводящих к реализации множества задач W.

Однако для функционирования КС характерны определенные состояния zk е Z,k = , в которых система оказывается как из-за внутренних сбоев, так и из-за определенного внешнего воздействия. Если при таком состоянии zk системы существует хотя бы одна задача wm е W,m = 1,nW , которую она не может корректно (правильно) разрешить совокупностью операций обработки информации, возникает конфликтная ситуация.

Возникновению конфликтной ситуации характерно такое сочетание влияний элементов внешней среды Е и изменения собственных параметров, при котором возможно наступление ИК. В качестве таких элементов внешнего воздействия могут выступать другие КС, комплексы средств автоматизации (КСА), отдельные рабочие станции в сети, другие информационные объекты либо злоумышленные действия человека или некоторой системы информационного нападения [2] (рис. 2).

Внешнее воздействие

Внешнее воздействие

Внешнее воздействие

Внешнее воздействие

Информационный конфликт

Внешнее воздействие

Внешнее воздействие

Рис. 2. ИК в системе распределенной обработки информации

С учетом сказанного под ИК в общем случае понимается такое специфическое состояние КС в едином информационном пространстве, при котором исключается возможность корректного выполнения хотя бы одной задачи системы в силу внешнего воздействия либо внутренних сбоев, ошибок или отказов аппаратного, программного или алгоритмического обеспечения системы.

Существует другое определение [4], где под ИК понимается специфическое функционирование КС в общем информационном пространстве, при котором целевая функция хотя бы одной автоматизированной системы содержит конфликтный компонент, реализация которого приводит к уменьшению вероятности реализации целевых функций взаимодействующих с ней КС. Однако в [4] не уточняется, каким образом конфликтный компонент попадает в целевую функцию системы.

Предложенная там же типизация ИК, основанная на взаимосвязях входного потока данных, целевой функции системы и дискриминантной поверхности в системе координат входных информационных потоков и реакций системы требует особого рассмотрения. Все конфликты, возникающие в КС, предлагается различать по двум родам (видам, типам). Конфликты, приводящие к деформации дискриминантной поверхности за счет искажения входного потока данных при неизменности вида целевой функции, относятся к первому виду. Ко второму виду относятся конфликты, приводящие к изменению целевой функции при неизменности входного информационного потока, то есть искажающие движение рабочей точки по неизменной дискриминантной поверхности. Иными словами, ИК первого вида возникают вследствие искажения входной информации, в результате которого произошло событие, приведшие к нарушению работы КС и возникновению собственно ИК. Конфликты второго вида возникают вследствие изменения функционирования системы 8 посредством внешнего вмешательства, на-

пример, несанкционированного доступа и преду-мышленного изменения программного или алгоритмического обеспечения системы. Однако указанные виды конфликтов являются полярными в описании процесса функционирования КС и требуют рассмотрения конфликтов третьего вида, то есть таких конфликтов, которые возникают в системе из-за искажения целевой функции системы посредством изменения входного информационного потока. Примерами конфликтов третьего вида могут служить вирусы, «троянские кони», ошибки и закладки в программном обеспечении и т.д.

В таблицу 1 сведены три вида ИК, разнесенные с учетом взаимного влияния входного информационного потока X, целевой функции Гэ системы и выходного информационного потока У.

Таблица 1

Модели ИК АС

Модель конфликта

X .

КС

У

у = г^)

X

11

КС

У = Г^Е)

КС

У

У = гЖ)

Описание

ИК 1 вида Искажение выходного информационного потока У происходит из-за искажения информационного потока входных данных. Искажение целевой функции Г системы не происходит.

ИК 2 вида Искажение выходного информационного потока У происходит из-за предумышленного внешнего воздействия в виде несанкционированного изменения алгоритма функционирования системы или программно-аппаратных средств, при котором происходит искажение целевой функции Г5 системы.

ИК 3 вида Искажение выходного информационного потока У происходит из-за такого искажения данных входного информационного потока, при котором происходит искажение и целевой функции Г системы._

где У - выходной поток данных; Г (X) - целевая функция АС; Е^Х) - искаженная целевая функция; Х|! - I искаженный входной информационный поток данных; Е - внешнее воздействие.

Возникновение в КС ИК связано с реализацией какой-либо угрозы или фактора, влияющего на функционирование системы или на защищаемую информацию. В ГОСТе [3] приведена классификация факторов, воздействующих на защищаемую информацию и подлежащих учету при организации защиты информации. Все факторы условно разбиты на несколько групп по признаку отношения к природе возникновения (рис. 3).

У

X

Факторы, воздействующие на защищаемую информацию

Объективные Субъективные

Внутренние Внешние

Рис. 3. (Факторы, воздействующие на защищаемую информацию

X — входной информационный поток, X'— входной информационный поток после анализа СЗИ, У — выходной информационный поток, Н — информационный поток данных о внутреннем состоянии защищаемого объекта, Н— выработанное системой защиты корректирующее воздействие, Е — внешнее воздействие.

Рис. 4. Обобщенная модель взаимодействия АСЗИ и КС

ИК, возникающие вследствие реализации данных факторов, могут быть отнесены к рассмотренным выше трем видам. Кроме того, один и тот же фактор может приводить к ИК разных видов. Например, использование программных закладок, уязвимостей или ошибок в программном обеспечении КС может обеспечить возможность искажения целевой функции системы за счет как внешнего воздействия Е, так и скрытой специфической реакции на специальные данные входного информационного потока X.

Защита информации от несанкционированного доступа при возникновении угрозы реализации ИК может быть обеспечена посредством реализации и поддержания требуемого уровня защищенности КС. Это означает, что для обеспечения необходимого уровня защищенности информации, обрабатываемой в КС, целесообразно применение системы защиты информации (СЗИ) от несанкционированного доступа. СЗИ должна обеспечивать защиту информации КС не только за счет контроля данных входного и выходного информационных потоков и внутреннего состояния объекта, но и посредством определения фактора, способствующего возникновению ИК и адаптации СЗИ к нему. Таким образом, для защиты информации, обрабатываемой в КС, от несанкционированного доступа при угрозе реализации ИК трех указанных видов необходимо использовать адаптивную СЗИ (АСЗИ), в задачу которой входила бы выработка корректирующего воздействия на систему, определяемого в результате анализа условий функционирования КС и уровня защищенности информации (рис. 4).

Под адаптацией понимается процесс изменения структуры, алгоритмов и параметров системы 8 на основе информации, получаемой в процессе управления с целью достижения оптимального (в смысле принятого критерия) состояния или поведения системы при начальной неопределенности и изменяющихся условиях работы системы во взаимодействии с внешней средой Е.

В нашем случае очевидно, что принятым критерием является безопасность информации.

Функционирование такой адаптивной СЗИ предполагает:

- изменение параметров и структуры системы в результате наблюдения и обработки текущей информации так, чтобы АСЗИ с течением времени улучшила свое функционирование, достигая в конечном итоге оптимального состояния;

- использование обучения для получения в условиях неопределенности информации о состояниях и характеристиках защищаемой КС, необходимой для оптимального функционирования (обучение понимается как процесс выработки в АСЗИ определенных свойств ее реакции на системные события путем испытаний и корректировок);

- текущее накопление информации о процессе функционирования КС и событий безопасности для обеспечения безопасности информации;

- прогнозирование состояний КС и внешнего воздействия.

Таким образом, АСЗИ должна реализовывать следующие функции:

- распознавать происхождение фактора, приводящего к ИК, вырабатывать корректирующее воздействие путем изменения конфигурации (перенастройки) КС, которое бы исключало возникновение ИК, вызываемого данным фактором;

- выдавать рекомендации конкретному пользователю КС по устранению причин, приведших к аварийным ситуациям в работе КС;

- позволять ведение аудита системных событий для обобщения, накопления и обработки с целью исключения элементов, вызывающих конфликт, из структуры КС в ходе последующей модернизации.

Список литературы

1. ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения. [Сборник]. -М.- Изд-во стандартов. -2000.

2. Гаценко О.Ю. Защита информации. Основы организационного управления. - СПб.: Изд. дом «Сентябрь», 2001.

3. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. - М.: Изд-во стандартов. -1999.

4. Толстых Н.Н., Голод В.В., Марейченко И.В. Метод оценки безопасности информации в автоматизированных системах. // Программные продукты и системы. - 2003. - №3.

ОСОБЕННОСТИ ПОСТРОЕНИЯ ЗАЩИЩЕННЫХ

АВТОМАТИЗИРОВАННЫХ СИСТЕМ НА ОСНОВЕ СУЩЕСТВУЮЩИХ КОМПОНЕНТОВ

А.Ю. Ефимов

При проектировании системы защиты информации в автоматизированной системе (АС) на основе существующих компонентов перед разработчиками возникает ряд проблем, которые можно подразделить на два уровня: защита средств вычислительной техники (СВТ) и защита АС.

Уровень защиты СВТ подразумевает реализацию базовых средств защиты, обычно на уровне операционных систем (ОС). Уровень же защиты АС охватывает всю АС в целом, включая средства защиты СВТ, защиту на уровне функционального ПО, средства их взаимодействия и т.п.

Распространенным подходом при проектировании АС является применение в качестве базового компонента уже существующей ОС общего назначения, например, Microsoft Windows, Linux, QNX и т.п. Подобный подход порождает при проектировании средств защиты СВТ ряд проблем, таких как:

- недостаточная защищенность ОС;

- недоступность исходных текстов ОС;

- недоступность или скудность низкоуровневой документации;

- несоответствие базовых (атомарных) операций;

- неориентированность на защиту низкоуровневых механизмов;

- неориентированность на защиту высокоуровневых (прикладных) механизмов.

Далее рассмотрим перечисленные проблемы подробнее.

Руководящие документы Гостехкомиссии РФ [1,2], регламентирующие защиту информации от несанкционированного доступа (НСД), формализуют условия защищенности СВТ и АС. Они определяют необходимый набор подсистем и механизмов защиты и их характеристики. При этом многие из требуемых средств и механизмов редко реализованы в ОС общего назначения. Например, механизмы дискреционного разграничения доступа к файлам и каталогам, идентификации и аутентификации пользователей в том или ином виде существуют в большинстве современных ОС; в то

же время такие механизмы, как мандатное разграничение доступа или контроль целостности информации, имеются лишь в некоторых системах.

Другой важной проблемой при использовании ОС общего назначения является недоступность для разработчиков средств защиты исходных текстов ОС (типичный пример - ОС Microsoft Windows). В результате этого о внутренней структуре и механизмах ОС можно судить либо по косвенным признакам, либо осуществляя дизассембли-рование исполняемого кода. Как следствие, невозможно судить с достаточной уверенностью о корректности реализации различных алгоритмов и механизмов ОС, об отсутствии или наличии различного рода уязвимостей и программных закладок. Таким образом, мы не можем полагаться на уже имеющиеся в ОС средства защиты и вынуждены реализовывать свои механизмы максимально независимыми от встроенных в ОС.

Учитывая сказанное, можно сделать вывод, что для возможности использования ОС общего назначения в качестве базовой в разрабатываемой АС возникает необходимость доработки этой ОС для дублирования или замены существующих механизмов защиты, а также реализации недостающих механизмов. При подобной доработке возникает ряд проблем. Одной из наиболее серьезных является недоступность или скудность низкоуровневой документации по ОС, ее механизмам и структурам данных. Это часто не позволяет разработчикам средств защиты максимально корректно встраивать в ОС дополнительные механизмы защиты и устранять известные или потенциальные уязвимые системы. А поскольку большинство механизмов (например разграничение доступа, аудит и т.п.) должно реализовываться на нижнем уровне ОС, данная проблема получает особую актуальность.

При проектировании средств защиты информации для АС необходимо также учитывать такую проблему, как несоответствие базовых (атомарных) операций в используемых при проектировании моделях защиты и реальных ОС. Так, в боль-