CC BY
140
АГРОПРОМЫШЛЕННАЯ ИНЖЕНЕРИЯ
УДК 002.56(075.32)
ИСПОЛЬЗОВАНИЕ UML-МОДЕЛЕЙ для исследования И ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ ТЕХНИЧЕСКИХ СИСТЕМ
А.Ф. Рогачев, доктор технических наук, профессор Я.В. Федорова, аспирант
Волгоградский государственный аграрный университет
В статье изложены материалы, посвященные вопросам обеспечения информационной безопасности сложных технических систем, в частности телекоммуникационных систем. Описаны процессы выявления различных угроз, требования и методы защиты от них.
Ключевые слова: информационная безопасность, сложные технические системы, унифицированный язык моделирования UML, телекоммуникационные системы.
Возрастающие объемы информации и внедрение глобальных сетей, включая Internet, формируют информационную среду, предъявляющую все более жесткие требования к методам и средствам обработки и передачи информации. На государственном уровне правительство РФ реализует проект «Электронная Россия» [2, 10], осуществляя перевод на безбумажную электронную технологию хранения, обработки, передачи и защиты информации.
Использование средств вычислительной техники в системе управления как государственных, так и бизнес-структур, требует наличия качественных и мощных систем обработки, хранения и передачи данных. Выполнение этих требований привело к созданию единой электронной инфраструктуры, позволяющей конечным пользователям, имея средства доступа в Internet, непосредственно с рабочих мест подключаться к различным видам баз данных и знаний, а также, независимо от географического положения, передавать законодательно запрашиваемую информацию в контролирующие органы.
Однако, создание таких систем повлекло за собой и ряд проблем, одной из которых является безопасность обработки и передачи конфиденциальных данных, в частности, передаваемые посредством глобальных телекоммуникационных каналов связи. В настоящее время решение этого вопроса является наиболее актуальным и, несмотря на усилия многочисленных организаций в этом направлении, продолжает оставаться чрезвычайно острой проблемой.
Разработкой и исследованием проблем информационной безопасности (ИБ) и технических средств ее обеспечения посвящены работы таких отечественных исследователей, как А. Астахова, Г. Атаманова, А. Беляева, В. Копытова, С. Крутова, И. Мац-кувича, П. Девянина, М. Мамаева, О. Михальскова, Е. Попова, В. Проскурина, Б. Ско-родумова, Е. Тищенко, Г. Хубаева, В. Шаньгина и других ученых [1, 5, 7, 8, 9], часть предложений который реализованы в ГОСТах и документах Гостехкомиссии России.
Под информационной безопасностью принято понимать защищенность информационных объектов от случайных или преднамеренных воздействий естественного или искусственного характера, представляющих угрозу ущерба и для собственников, и для менеджмента.
В настоящее время достаточно остро стоит проблема защищенности информационных систем предприятий, работающих с телекоммуникационными средствами
связи. В связи с этим, основными задачами анализа процессов телекоммуникационных систем в области ИБ являются:
- моделирование и прогнозирование угроз информационной безопасности телекоммуникационных систем, а также оценивание их уровней риска;
- эффективный выбор основных элементов системы при проектировании устройств и схем защиты информации телекоммуникационных систем;
- построение эффективных моделей каналов связи, а также рациональные и качественные способы формирования и преобразования сигналов в телекоммуникационных системах;
- оценка эффективности защиты информации в телекоммуникационных системах;
- разработка предложений и мер по совершенствованию системы управления информационной безопасностью телекоммуникационной системы.
В организациях, работающих с телекоммуникационными средствами связи, существуют определенные трудности, связанные с частыми и значительными изменениями в технологиях обработки и передачи информации. Постоянное развитие вычислительных сетей, их совершенствование, модификация, взаимная интеграция, открытость приводят к появлению качественно новых угроз, увеличению числа несанкционированного доступа (рисунок 1).
Для обеспечения эффективной защиты информации необходима не просто разработка каких-либо определенных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер: использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов и т.д.
Рисунок 1 - Угрозы и компоненты сети, требующие защиты
Современные системы ИБ решают три основные задачи: обеспечение конфиденциальности, целостности и доступности, поэтому реализация комплексного подхода к обеспечению ИБ предусматривает разработку следующих мероприятий:
- обеспечение отказоустойчивости (резервирование, дублирование, зеркалиро-вание оборудования и данных, например, через использование ЯЛГО-массивов);
- обеспечение безопасного восстановления (резервное копирование и электронное архивирование информации).
Целью информационной атаки является получение доступа к конфиденциальной информации или умышленный вывод из строя компонентов информационной системы. При этом для получения информации используются различные методы несанкционированного доступа, в основе которых лежит либо подбор пароля, либо различные методики его детектирования. При атаке, нарушающей работу информационных ресурсов, используются различные варианты нападения типа вынужденного отказа в обслужива-
нии (Denial of Service — DoS). Как правило, в качестве объектов атаки выступают информационные носители корпоративной сети, каковыми, в частности, являются телекоммуникации.
Телекоммуникационные системы (ТКС) могут быть отнесены к сложным техническим системам, требующим обеспечения ИБ, поскольку в полной мере удовлетворяют таким основным системным критериям, как наличие множества взаимодействующих составляющих, иерархичность подсистем, их подвижность и др.
Составной частью современных сложных технических систем, в частности, телекоммуникационных сетей, являются распределенные системы управления и мониторинга, к которым предъявляются очень высокие требования по качеству функционирования и использования с целью поддержания высокого уровня работоспособности сетевых подсистем, в связи с чем, задачи управления телекоммуникационной сетью являются актуальными. Система управления телекоммуникационной сетью представляет собой особую инфраструктуру, которая должна обеспечивать согласованное взаимодействие между различными типами систем управления и телекоммуникационным оборудованием [11, 12].
Для описания сложных технических систем эффективно использование унифицированного языка моделирования UML. Модели UML позволяют наглядно демонстрировать структуру и поведение моделируемой системы, помогает в визуализации и управлении ее архитектурой, что позволяет лучше понять систему и, как следствие, приводит к возможности ее упрощения. Язык UML позволяет рассмотреть систему со всех точек зрения, имеющих отношение к ее разработке и дальнейшему развертыванию и анализу. Кроме того, UML позволяет непосредственно исполнять модели и имитировать поведение сложных систем. Помимо этого, также позволяет решить проблему документирования системной архитектуры и всех ее составных деталей, предлагает язык для формулирования требований к системе и определения тестов. Модель сложной системы может быть описана с использованием пяти взаимосвязанных видов: проектирование, процессы, прецеденты, реализация, развертывание.
В контексте UML вид с точки зрения прецедентов охватывает те из них, которые описывают наблюдаемое специалистами-экспертами моделируемой поведение системы. При этом, статические аспекты передаются диаграммами прецедентов, а динамические - диаграммами взаимодействия, состояний и действий. С позиции проектирования, охвачены классы, интерфейсы, которые поддерживает функциональные требования, предъявляемые к сложным техническим системам. Статические аспекты этого вида можно передавать диаграммами классов и объектов, а динамические - также диаграммами взаимодействия, состояний и действий.
Вид с точки зрения процессов охватывает процессы, формирующие механизмы синхронизации в системе. Этот вид описывает, в основном, производительность, масштабируемость и пропускную способность системы. Его статические и динамические аспекты в унифицированном языке описываются теми же диаграммами, что и для вида с точки зрения проектирования.
В реализации охватываются компоненты, используемые для сборки и выпуска конечного продукта или услуги. В основном, вид предназначен для управления конфигурацией версий системы, составляемых из независимых компонентов. Статические аспекты этого вида передают в языке с помощью диаграмм компонентов.
Вид с точки зрения развертывания охватывает узлы, формирующие топологию аппаратных средств сложной системы, на которой она выполняется, и связан с распре-
делением, поставкой и установкой частей, составляющих физическую систему. Статические аспекты описываются диаграммами развертывания.
Для визуализации системы, определения ее структуры и поведения была разработана иМЬ модель. На рисунке 2 показан фрагмент диаграммы классов обобщенного процесса.
Данный фрагмент позволяет в обобщенном виде визуализировать процессы и отношения модели. Однако, для частного описания каждого этапа моделирования, желательно в совокупности применять и другие системные методы, тем самым, осуществляя комплексный анализ.
В связи с этим, необходимо комплексное решение исследования, что возможно только на основе системного подхода как части комплексного подхода. Подход с применением системного анализа необходимо реализовать, прежде всего, в задачах, связанных с генерированием множества угроз, анализа возможных каналов утечки информации и уязвимости системы, постановки множества задач, в ходе решения которых выявляются требуемые уровни информационной безопасности.
Первым этапом в предлагаемом подходе к обеспечению ИБ является определение требований к системе защиты на основе выявления и анализа возможных угроз информационной безопасности, под которыми понимаются воздействия на бизнес-систему и бизнес-процессы предприятия, непосредственно или опосредованно наносящие существенный ущерб ее безопасности.
ведет
участвует
Рисунок 2 - Фрагмент диаграммы классов обобщенного процесса
Вторым этапом является классификация угроз и их дифференциация по требованиям. Перечень угроз информационной безопасности очень обширен, поэтому требует научной систематизации, классификации и специального исследования для оценки связанных с ними рисков и разработки рекомендаций и мероприятий по их предупреждению.
Третьим этапом является обоснование самой методологии обеспечения информационной безопасности.
♦ НИР 1 *
Четвертый этап связан с оценкой рисков информационной безопасности. Процессы оценки и схемы управления рисками являются основой для формирования системы управления информационной безопасностью организации. Эффективность этих процессов определяется целостностью и полнотой анализа и оценки факторов риска, а также эффективностью механизмов поддержки принятия решений и дальнейшего его исполнения. Оценка рисков информационной безопасности имеет различные параметры, в частности, нелинейность и сложность применения. Причем, эти параметры относятся к неопределенным факторам и, в то же время, являются существенным фактором, влияющим на эффективность оценки риска информационной безопасности и, соответственно, должны быть учтены при оценке рисков. В этом случае, при обработке неопределенностей, целесообразно использовать методы нечетких множеств. Пятый этап связан с оценкой эффективности обеспечения информационной безопасности. В действительности, факторы, влияющие на уровень защиты информации, систематизированы в ГОСТ Р 51275-99. Однако, постоянно возникают заранее неизвестные при анализе систем защиты информации угрозы, способные снизить эффективность защиты или полностью скомпрометировать меры информационной безопасности. При оценке эффективности информационной безопасности эти обстоятельства должны быть учтены с позиции системного подхода.
Таким образом, описанная методика позволяет комплексно подойти к решению задачи обеспечения ИБ технических систем на основе системного подхода, базирующегося на применении UML-моделирования. Изложенные подходы были использованы при создании программного продукта, выполненного в рамках темы №52 «Разработать программный продукт автоматизации учетной и аналитической деятельности в агропромышленном комплексе Волгоградской области» Госконтракта, реализованного в 2013 г. Волгоградским ГАУ по заданию Министерства сельского хозяйства Волгоградской области.
Библиографический список
1. Джоган, В.К. Системный анализ как методология синтеза систем защиты информации [Текст]/ В.К. Джоган // Вестник Воронежского института МВД России. - 2007. - № 3.
2. Попова Е. А. О процедуре проведения системного анализа задач в сфере информационной безопасности [Текст]/ Е. А. Попова // Вестник Астраханского государственного технического университета. - 2007. - № 4 (39). - С. 228-230.
3. Постановление от 28 января 2002 г. № 65 о Федеральной целевой программе «Электронная Россия» (2002-2010 годы) [Текст].
4. Рогачев, А.Ф. Нечеткое моделирование эколого-экономических систем [Текст]/ Я.В. Федорова, А.Ф. Рогачев // Современные проблемы науки и образования. - 2014. - № 5// URL: http://www.science-education.ru/119-14580 (21.09.2014).
5. Тищенко, Е.Н. Анализ защищенности экономических информационных систем [Текст]: монография / Е.Н. Тищенко; РГЭУ «РИНХ». - Ростов н/Д., 2003. - 192 с.
6. Федорова, Я.В. Процессный подход к нечеткому моделированию безопасности эколого-экономических систем [Текст]/Я.В. Федорова, А.Ф. Рогачев // Экология. Экономика. Информатика. (7-12 сентября 2014): сборник статей: Т.: Системный анализ и моделирование экономических и экологических систем, 2014. - Издательство Южного федерального университета, 2014. - С. 372-377.
7. Федорова, Я.В. UML-модели функционирования информационных систем для анализа региональных рынков товаров [Текст]/ Я.В. Федорова // Вестник Ростовского государственного экономического университета (РИНХ). - 2007. - № 23. - С. 71-76.
8. Хубаев, Г.Н. Оценка времени вскрытия защиты информационных систем: статистический подход [Текст]/ Г.Н. Хубаев // Проблемы экономики. - 2008. - № 6. - С. 135-138.
9. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей [Текст]/ В.Ф. Шаньгин. - М.: иД «Форум»: ИНФРА-М, 2014. - 416 с.
10. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России № 21. Утвер. от 18 февраля 2013 г. [Текст].
11. Рогачев, А.Ф. Математическое обеспечение систем поддержки принятия решений на основе ГИС-технологий [Текст]/А.Ф. Рогачев // Известия Нижневолжского агроуниверситет-ского комплекса: наука и высшее профессиональное образование. - 2009. - № 2. - С. 144-151.
12. Рогачев, А.Ф. Математическое моделирование и эффективность внедрения технических инноваций [Текст]/ А.Ф. Рогачев, Н.Н. Скитер // Известия Нижневолжского агроуниверситетского комплекса: наука и высшее профессиональное образование. - 2009.- № 4. - С. 109-113.
E-mail: [email protected]
