Информатика, вычислительная техника и управление
В.В. Киселев, Ю.М. Масейчук
доктор технических наук
К ВОПРОСУ ОБНАРУЖЕНИЯ УГРОЗ ОБЕСПЕЧЕНИЮ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В ОРГАНАХ
ВНУТРЕННИХ ДЕЛ
TO THE QUESTION OF THREAT DETECTION PRIVACY OF INFORMATION IN THE LAW-ENFORCEMENT BODIES
Рассмотрен вопрос построения системы противодействия угрозам конфиденциальности информации в локальных сетях ОВД на ранних этапах, в условиях возникновения таких угроз одновременно с функционированием сети.
The article deals with the question which can serve as a basis for establishing a system to counter threats confidents information in local networks of the law-enforcement bodies early in the conditions of the occurrence of such threats simultaneously with the functioning of the network.
При существующей системе сетей органов внутренних дел распознавание угроз конфиденциальности информации является задачей узких специалистов, которая в принципе не может быть решена на ранних этапах развития и проявления угрозы. В силу этих причин следует пересмотреть способы противодействия угрозам конфиденциальности.
Данная статья не претендует на освещение вопросов оперативной или иной организационной работы по предотвращению утечек информации в информационных системах органов внутренних дел. Целью предложенного материала является методика, позволяющая получить механизм обнаружения нештатного поведения как отдельных пользователей, так и рабочих станций информационной системы ОВД.
На первом этапе реализации предлагаемой методики осуществляется сбор необходимых данных для анализа.
Существует три варианта сбора информации:
1) сбор данных на серверах системы;
2) сбор данных на рабочих станциях системы;
3) сбор данных в каналах связи системы.
Идеальным является применение всех трех вариантов. Однако сложность реализации такой разветвленной структуры приводит нас к выводу о последовательном
229
Вестник Воронежского института МВД России №4 / 2014
усложнении системы и реализации каждого варианта сбора информации в порядке их номеров, с дополнением функционала модулей анализа информации.
Для анализа необходимо собрать информацию следующего содержания:
Pi, j ={pi,1,Yi,1, Si,\,Si,2, Yi,2, Si,2, ■■■,£i,k , Yi, k , Si, k , ■■■, £i,K ,Yi, K , Si, K ), где i — номер списка обрабатываемых данных; j — указатель на рассматриваемый параметр; K — общее количество рассматриваемых элементов; Єі,к — идентификатор сотрудника сегмента, представляемый в лингвистической форме; Y,k — идентификатор элемента топологии сегмента, представляемый в лингвистической форме; Si,к — факт отслеживаемого события, представляемый в форме, удобной для анализа, чаще всего в количественном либо вероятностном виде, но не исключается и любая другая форма представления информации. Такой формат данных обусловлен возможными динамическими изменениями в топологии сети и добавлением (исключением, перемещением) пользователей сети.
Для анализа угроз формируем список D параметров:
D = {dq, u, vX q = 1 2 ... D+1,u = X 2 .. ^ U v = X 2 .. ^ V, где di — характеристика состояния параметров;
d2 ^ dK+i — параметры K признаков распознавания угрозы;
U — количество элементов топологии сегмента;
V — количество активного персонала сегмента.
Состояние параметров — это набор значений первичных параметров распознавания в текущий момент времени безотносительно к остальным параметрам. Характеристика состояния параметров введена для корректного анализа первичных признаков распознавания в условиях их взаимодействия и потокового представления.
Исходя из этого, характеристика состояния параметров представляется следующим образом:
di = 0 — состояние признаков распознавания актуального на текущий момент;
di = i — взаимосвязанное состояние признаков распознавания актуального на текущий момент;
di = 2, 3, ., n + 2, где n — число ключевых состояний признаков распознавания; di = n + 2, n + 3, ..., N, где N — граница длины стека архива взаимосвязанных состояний признаков распознавания в направлении от младшего к старшему.
Для представления параметров и их взаимосвязей в пределах одного состояния определим фиксированные множества (Zm) и {Km}, m = 1, 2, 3, признаков состояния, в котором:
Zi — признак характера взаимосвязей;
Ki — коэффициент изменения взаимосвязи.
Проводя анализ характера взаимосвязей параметров, можно выделить их следующие типы: независимые параметры, взаимозависимые параметры, связанные параметры и исключающие параметры.
Для каждого из перечисленных типов имеют место следующие правила взаимодействия:
Z = 0 — пара независимых параметров не влияет на значение друг друга. Взаимосвязь отсутствует и не учитывается.
Z = 1 — пара взаимозависимых параметров должна коррелировать друг с другом. Z = 2 — пара связанных параметров взаимодействует по какому-либо правилу.
Z = -i — пара взаимоисключающих параметров.
Для формализованного представления характера взаимосвязей параметров будем использовать матричную форму:
а) для представления типов взаимосвязей:
si, і(СХ 5i, 2(СХ ., si, k(0; s2, lO^ s2, 2(СХ ..., s2, K(0;
230
Информатика, вычислительная техника и управление
s K, 1(0, s K 20^ •••, s K к(0-
б) для представления характера изменения взаимосвязей:
21, i(l), zi, 2(l), ..., Z1, к(1);
Z2, l(l), 22, 2(l), ..., 22, k(1);
2 K 1(l), 2 K 2(l) ..., 2 K, K(l).
Значения элементов матрицы изменения взаимосвязей определяются в соответствии с методами теории искусственного интеллекта [1].
Основной и достаточный вид взаимосвязи можно представить в виде d2,q,u,v = di,q,u,v + 2ij(l) di,q’,u’,v% где di,q,u,v и di,q’,u’,v’ — пара взаимодействующих параметров.
Для формирования результирующего списка параметров необходимо отработать все выявленные взаимосвязи.
На основе рассмотренных наборов множеств признаков для всех этапов противоправных действий [2] определим стратегию проведения оценки угрозы конфиденциальности в привязке к каждому элементу топологии и каждому сотруднику активно работающим в контролируемом сегменте ИМТС [3]. Для этого необходимо на конечном этапе получить множество списков
{Xf} = {(xfuv)},f = 1, 2, ..., 6, u = 1, 2, ..., U, v = 1, 2, ..., V, где f — количество выделенных этапов противоправных действий;
U — количество элементов топологии сегмента;
V — количество активного персонала сегмента.
Списки вида (x/uv) обобщают информацию об уровне угрозы конфиденциальности информационных ресурсов сегмента ИМТС и представляют ее в логическом виде.
На основе представленного множества можно сформировать следующий ряд показателей:
1) Gi — общий для всего сегмента уровень угроз;
2) G2 ^ G7 — общий для всего сегмента поэтапный уровень угроз;
3) Gg ^ Gg+u — уровень угрозы для каждого элемента топологии сегмента;
4) G9+U ^ G9+U+V — уровень угрозы для каждого пользователя сегмента. Формирование моделей распознавания будем осуществлять с помощью прямой
и косвенной композиции параметров системы распознавания. В данном случае прямая композиция заключается в определении правил объединения наборов признаков распознавания в соответствии с рассмотренной выше схемой декомпозиции, а косвенная включит в себя взаимосвязи между элементами топологии сегмента и его персоналом в декомпозиционной схеме системы распознавания. Подобное представление позволит корректно оценить взаимозависимости параметров системы распознавания в пределах одного этапа воздействия и включить в оценку возникающие связи параметров при переходе противоправного воздействия от одного этапа к другому.
Для обобщения ряда моделей определим следующие значения индексов элементов определенных множеств:
порядковый номер элемента модели а, список параметров D = (dqa, u, V).
Результирующий параметр (список параметров) имеет индекс г.
Для проведения автоматического (машинного) анализа показателей необходимо от списка показателей перейти к численным формам представления.
Для этого применяются два вида обобщений: i) накопительный
d = d 1 d ;
r,q,u,v n,ql,u,v n,q2,u,v ’
2) усреднение
23i
Вестник Воронежского института МВД России №4 / 2014
d і + d 0
n,q\,uy n,q 2,u ,v
r,q,u,v 2
При использовании видов данных, отличных от численных, необходимо привести их к численному виду.
На основании представленных выражений сформируем матричное представление Gmi, n уровня угрозы для каждого элемента и пользователя сегмента по прямой композиции параметров распознавания основу показателей, где N — этап воздействия.
Для формирования показателей Gm2, n по косвенной композиции параметров распознавания необходимо установить все множество неявных (любых) взаимосвязей параметров в системе.
Физически информация о топологических взаимосвязях и взаимосвязях по персоналу представляется в виде отдельного для каждого типа списка взаимосвязей:
g
M2n,q,u,v gM 1n,q,u,v ' / j / j\ u,v u=1 v=1
где zu, v (g) — коэффициент, характеризующий глубину взаимосвязи рассматриваемого элемента с другими элементами топологии сегмента или с его сотрудниками. Данный коэффициент формируется персоналом, ответственным за администрирование системы в диапазоне от 0 до 1.
Формирование моделей результирующих показателей G начнем со старших индексов. Для каждого из уровней реализации угроз нарушения конфиденциальности определим, соответственно, четыре типа моделей.
1) Модель для оценки показателя уровня угрозы для элемента топологии сегмента:
U
G9+U+v,N = / GM 1,N,n,q,u,v • u=1
2) Модель для оценки показателя уровня угрозы для отдельного сотрудника сегмента:
+
U V / Ч
\ u,v (g) gM 1n,q,u,v /,
g0
= / Gm
'9+u,N / , M 1,N,n,q,u,v • v=1
3) Модель для оценки показателя уровня угрозы для каждого из шести этапов ее реализации:
Gn+i / Ga,n •
J N+1 / A,N
A=8
4) Модель для оценки обобщенного показателя уровня угрозы:
G =/ ga,, •
A=2
На основе приведенных моделей формирования результирующих показателей представим модели их оценки [2].
Модель для оценки уровня угрозы конфиденциальности на основе оценки показателя уровня угрозы для элемента топологии сегмента и показателя уровня угрозы для отдельного сотрудника сегмента аналитически представляется в виде [2]:
GnT (Gn ° Gt ) ^ У^ fп (у yi ) ч/т (yi ^)dyi dy •
о о
Провести оценку угрозы можно без дополнительного привлечения технических и программных средств на базе имеющихся СУБД.
232
Информатика, вычислительная техника и управление
ЛИТЕРАТУРА
1. Рутковский Л. Методы и технологии искусственного интеллекта /пер. с польск. И.Д. Рудинского. — М.: Горячая линия - Телеком, 2010. — 520 с.
2. Распознавание и оценка угроз информационной безопасности территориальным сегментам Интегрированной мультисервисной телекоммуникационной системы органов внутренних дел: монография / С.В. Скрыль [и др.]. — Воронеж: Воронежский институт МВД России, 2012. — С. 140.
3. Киселев В.В. Модели идентифицируемости признаков распознавания угроз конфиденциальности информационных ресурсов компьютерных сетей // Информация и безопасность. — Воронеж: ВГТУ, 2011. — Вып. 4. — С. 579—582.
REFERENCES
1. Rutkovskiy L. Metodyi i tehnologii iskusstvennogo intellekta [per. s polsk. I.D. Rudinskogo]. — M.: Goryachaya liniya - Telekom, 2010. — 520 s.
2. Raspoznavanie i otsenka ugroz informatsionnoy bezopasnosti territorialnyim seg-mentam Integrirovannoy multiservisnoy telekommunikatsionnoy sistemyi organov vnutrennih del: monografiya / S.V. Skryil [i dr.]. — Voronezh: Voronezhskiy institut MVD Rossii,
2012. — S. 140.
3. Kiselev V.V. Modeli identifitsiruemosti priznakov raspoznavaniya ugroz konfident-sialnosti informatsionnyih resursov kompyuternyih setey // Informatsiya i bezopasnost. — Voronezh: VGTU, 2011. — Vyip. 4. — S. 579—582.
СВЕДЕНИЯ ОБ АВТОРАХ
Киселев Вадим Вячеславович. Профессор кафедры информационной безопасности. Доктор технических наук.
Воронежский институт МВД России.
E-mail: [email protected]
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (920) 407-30-78.
Масейчук Юрий Маратович. Адъюнкт кафедры информационной безопасности.
Воронежский институт МВД России.
E-mail: [email protected]
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (910)289-93-12.
Kiselev Vadim Vjacheslavovich. Professor of the chair. Doctor of technical sciences.
Voronezh Institute of the Ministry of the Interior of Russia.
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (920) 407-30-78.
Maseichyk Yuri Maratovich. Post-gratuate cadet.
Voronezh Institute of the Ministry of the Interior of Russia.
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (910)289-93-12.
Ключевые слова: конфиденциальность информации; информационная безопасность; обнаружение угроз.
Key words: the confidentiality of information; information security; threat detection.
УДК 002.001;002:001.8
233