CC BY-NC-ND
87
М.А. Борисов
К ВОПРОСУ О МОДЕЛИРОВАНИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В УСЛОВИЯХ ИНФОРМАЦИОННОГО ПРОТИВОБОРСТВА
В статье рассмотрено понятие защищенности информации и предложен вариант базовой модели по оценке системы защиты информации в условиях информационного противоборства, действующей на основе анализа информационных рисков и расчете финансово-экономических показателей.
Ключевые слова: защищенность информации, информационное противоборство, система защиты информации, ценность информации.
Применительно к защите информации и - как результату защиты - защищенности информации системный подход предполагает исследование конфликта целей сторон информационного противоборства, факторов, влияющих на выигрыш той или иной стороны, и формализацию данного влияния.
В условиях информационного противоборства, с одной стороны, на информацию посредством нападения воздействует противник с целью ее разрушения (модификации, уничтожения), а с другой стороны - противодействует система защиты.
Защищенность информации также может изменяться с течением времени и является свойством системы защиты информации (СЗИ) достигать целевого эффекта при взаимодействии с системой информационного нападения (СИН). При этом целевым эффектом СЗИ является та или иная степень защищенности информации, измеряемая соответствующей математической мерой. Интегральный количественный показатель защищенности X должен также носить вероятностный (субъективный или объективный) характер и показывать выигрыш системы защиты на заданном временном интервале [0, Т].
© Борисов М.А., 2010
М.А. Борисов
Выигрыш СЗИ зависит от двух компонент: П - показателя полноты учета возможных стратегий нападения, на противостояние которым нацелена СЗИ при ее разработке, и Я - показателя эффективности применения конструктивно заложенных в СЗИ стратегий защиты на интервале [0, Т]. Тогда показатель защищенности определяется как: 1(Т) = Ф[П, Я (Т)].
Обобщенная модель информационного противоборства включает в себя модели: СИН, СЗИ, разведки, конкретного способа информационного нападения, конкретного способа информационного противоборства, систем управления как нападением, так и защитой, а также средства защиты и информационного нападения.
В ходе информационного противоборства выбирается стратегия нападения и защиты, она может быть чистая или смешанная. При чистой стратегии одна сторона знает конкретный вариант защиты (нападения), в то время как другая сторона осуществляет выбор защиты (нападения) из определенного множества. При смешанной стратегии альтернативы выбора являются случайными.
Задача системы управления в ходе информационного противоборства заключается в оценке защищенности информационно-вычислительной системы (ИВС) и принятии решения по повышению ее защищенности. Таким образом, видна необходимость создания такой гибкой модели СЗИ, действующей на основе анализа информационных рисков и расчете финансово-экономических показателей, которая удовлетворяла бы следующим требованиям:
- учет и классификация всех возможных угроз;
- оценка рисков нанесения возможного ущерба;
- определение оптимального набора элементов защиты.
В качестве оптимального понимается такой набор элементов защиты, при котором система находилась бы в точке равновесия, в предложенной модели точка равновесия - это минимально возможный риск при минимально возможных затратах на СЗИ.
В качестве примера рассмотрим следующий фрагмент ИВС (рис. 1) с условиями:
- воздействие на ИВС (угроза) является внешней, то есть воздействие осуществляется только через шлюз;
1 .Сервер
2. Рабочие станции
Рис. 1. Фрагмент информационно-вычислительной системы
- данная ИВС может быть усложнена различными элементами, присоединяемыми к шлюзу;
- любой присоединяемый элемент должен являться менее значимым, чем сервер.
В данном фрагменте ИВС каждый элемент имеет две характеристики - вероятностную и ценностную.
Ценностная характеристика заключается в том, что у каждого элемента есть четыре состояния:
0 - базовое (чистая ценность),
1 - с одним улучшением (чистая ценность + ценность одного улучшения),
2 - с двумя улучшениями (чистая ценность + ценность двух улучшений),
3 - с тремя улучшениями (чистая ценность + ценность трех улучшений).
Вероятностная характеристика заключается в том, что методом экспертной оценки вводится вероятность успешной атаки на элемент и соответствующие вероятности.
После улучшения ИВС предполагается, что вероятность успешной атаки должна падать, в то же время предложенная модель также устойчива и к таким улучшениям, которые приводят к увеличению вероятности успешной атаки.
В предлагаемой модели набор и характеристика угроз определяются пользователем, то есть эффективность атаки определяется экспертным путем указания определенного значения или диапазона значений (табл. 1), при этом список угроз и их эффективность являются редактируемыми.
Таблица 1
Вариант диапазона значений эффективности атаки
Угрозы ИБ Шлюз Сервер Рабочие станции
Хищение 50-100% 80-100% 10-30%
Утрата 60-90% 70-100% 10-20%
Блокирование 40-70% 80-100% 10-20%
Уничтожение 80-100% 100% 20-40%
Модификация 40-70% 80-100% 10-20%
Отрицание подлинности 30-50% 50-90% 10-20%
Навязывание ложной 40-70% 80-100% 10-30%
информации
М.А. Борисов
В предлагаемой модели для каждой угрозы составляется функция потерь, это некое подобие математического ожидания потерь:
XN = P0n • C0n • F0 + P0n • P1k • C1k • F1 + P0n • P2t • C2t' F2 ,
где X - функция потерь; C0n - ценность 0-элемента в n-состоя-нии; F - эффективность атаки; P1k - вероятность успешной атаки на 1-элемент в k-состоянии n, k, t = (0, 1, 2, 3); N - количество всевозможных комбинаций элементов системы, в данном случае 43 = 64.
Представленная функция имеет ряд ограничений:
- функция не учитывает ограниченность в финансовых ресурсах;
- min(X) можно получить только со всеми улучшениями;
- в подобных моделях оптимальное решение, как правило, лежит где-то посередине (рис. 2), т. е. оптимальное решение -это точка равновесия, или точка глобального минимума;
- модель носит дискретный характер, и переход к непрерывной модели на данном этапе не представляется возможным.
Затраты на СЗИ (рубеж СЗИ)
возможный ущерб от угрозы
Рис. 2. График нахождения оптимального решения
Нахождение оптимального значения функции потерь для каждой угрозы можно решить тремя методами. Первый метод:
1. Найдем все возможные значения Х.
2. Проверим шт(Х) на оптимальность, учитывая ограничения на финансы.
3. Если оптимальное решение не найдено, то найдем математическое ожидание Х, в данном случае оно совпадает со средним арифметическим, то есть Х = (ХХК)/И, по всем И = 1...К
4. Выберем все Х в некотором диапазоне от X.
5. При использовании данного метода осуществляется уход от рисковых ситуаций. Для устранения этой проблемы необходимо использовать функцию шо^дт.
Второй метод:
1. Найдем все возможные значения Х.
2. Проверим шш(Х) на оптимальность, учитывая ограничения на финансы.
3. Если оптимальное решение не найдено, то вычислим X = = шоаХ5, 5 = (1...Д).
4. Выберем все Х в некотором диапазоне от X.
5. Если решений окажется несколько, необходимо выбрать то, при котором достигается минимальная ценность СЗИ.
Третий метод - метод визуального сравнения.
Порой даже после того как модель выдает оптимальное решение, могут найтись такие параметры системы, при которых она будет более оптимальной. Поэтому в качестве сравнения предлагается метод треугольника, который, конечно, можно автоматизировать и применять как отдельный метод для нахождения оптимального Х, но и он не лишен своих недостатков.
С - базовая ценность системы;
А - ценность улучшения;
Х - возможные потери.
Далее, используя теорему косинусов, ищем угол а,
(С + X)2 = С2 + (С + А)2 - 2- (С + А)-А -еоБ(а).
Далее задача оптимизации сводится к нахождению шах(а).
Безусловно, представленная модель не охватывает всех условий, необходимых для создания совершенной СЗИ, но по крайней мере она может использоваться как некий базовый элемент более общей модели или послужить плацдармом для создания более общей модели.
С-Х
С
