Комплекс моделей для поиска оптимального проекта системы защиты информации Текст научной статьи по специальности «Компьютерные и информационные науки»

а б

Рис. 3. Пересечение нечётких множеств с помощью операции минимума

и Л-суммы

Как показано на примерах, t- и 5-нормы служат основой для построения гибких логических и семантических связок между значениями лингвистической переменной. Следует отметить, что результат действия нормы может значительно зависеть от типа и формы функций принадлежности исходных нечётких множеств, а также от расстояния Хэмминга между нечёткими множествами и значения параметров нормы.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Гаскаров Д. В. Интеллектуальные информационные системы. - М.: Высш. шк., 2003. - 431 с.

2. Величковский Б. М. Когнитивная наука: основы психологии познания: в 2 т.: Т. 2. -М.: Смысл: Academia, 2006. - 447 с.

3. Заде Л. А. Понятие лингвистической переменной и его применение к принятию приближённых решений. - М.: Мир, 1976. - 165 с.

4. Рутковская Д. и др. Нейронные сети, генетические алгоритмы и нечёткие системы: Пер. с польск. - М.: Горячая линия-Телеком, 2007. - 452 с.

5. Борисов В. В. и др. Нечёткие модели и сети. - М.: Горячая линия-Телеком, 2007. -

284 с.

6. Klir G. J., Bo Y. Fuzzy sets and fuzzy logic: theory and applications. - New Jersey: Prentice Hall Inc., 1995. - 592 p.

УДК 004.056.5

П.А. Арьков

КОМПЛЕКС МОДЕЛЕЙ ДЛЯ ПОИСКА ОПТИМАЛЬНОГО ПРОЕКТА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

Для защиты конфиденциальных данных обрабатывающихся в информационных системах в государственных и частных организациях создаются системы защиты информации (СЗИ). При этом разнообразие предлагаемых средств защиты, в

том числе и выполняющих одни и те же функции, предполагает наличие множества вариантов построения СЗИ. Как следствие возникает задача выбора оптимального проекта СЗИ отвечающего требованиям той или иной организации.

В данной работе предлагается комплекс моделей построенных с использованием теории игр и теории Марковских случайных процессов с помощью которых рассматривается множество проектов СЗИ и угроз для них, рассчитываются риски по каждой угрозе и на основе этих показателей выбирается оптимальный проект.

Архитектура разработанного комплекса моделей представляет собой иерархическую структуру, отображенную на рис. 1. Во главе иерархии находится игровая модель поиска оптимального проекта. Исходные данные для данной модели поставляют модели, лежащие на среднем уровне иерархии - игровые модели противостояния определенному типу злоумышленника. Для которых, в свою очередь, исходные данные поставляются моделями низшего уровня - полумарковскими моделями реализации угроз.

Игровая модель поиска оптимального проекта СЗИ

Рис. 1. Иерархическая структура комплекса моделей

Игровая модель поиска оптимального проекта представляет собой игру статистика с природой, где под статистиком понимается владелец ИС, а под природой злоумышленники различных типов. Игра описывается как у=(Х, Б, Н), где Н -функция полезности владельца ИС, заданная на X х Б, Х={х1} - множество стратегий владельца ИС, т.е. возможные проекты построения СЗИ, Б={^} - множество типов злоумышленника, т.е. некоторые стратегии поведения присущие тому, или иному типу злоумышленников. Вероятность столкновения с определенным типом злоумышленника определяется распределением вероятностей Р(^к ) = {рё }.

Матрица выигрышей в, владельца ИС, в таком случае представляет собой в = (И(х1, dk)), где Ь(х1, dk) - выигрыш владельца ИС при выборе им 1-й стратегии и столкновении с к-м типом злоумышленника, в данном случае под выигрышем понимается информационный риск.

Для расчета выигрыша Ь(х1, dk) используются игровые модели противостояния определенному типу злоумышленника. Данные модели также представляют собой игру статистика с природой, где под статистиком понимается владелец ИС,

а под природой злоумышленник определенного типа. Игра описывается как у=(Х, ^, Н), где Н - функция полезности владельца ИС, заданная на X хО, Х={х1} -аналогично матрице в, это множество стратегий владельца ИС, т.е. возможные проекты построения СЗИ, ^={ю^ - множество угроз доступных данному типу злоумышленника. Вероятность выбора злоумышленником той или иной угрозы для реализации определяется распределением вероятностей р(№,) = {р^ }.

Тогда матрица выигрышей Ак, к=1,К владельца ИС при игре с к-ым типом злоумышленника представляет собой Ак = (И(х1, ю^)), где И(х1, ю^) - выигрыш владельца ИС при выборе им 1-й стратегии и выборе к-м типом злоумышленника j-й стратегии, в данном случае под выигрышем понимается риск, рассчитываемый как

где Рурозы - это вероятность осуществления j-й угрозы к-м типом злоумышленника при 1-м реализованном проекте СЗИ, С- величина потерь от осуществления j-й угрозы определяемая владельцем ИС.

Для расчета вероятностей осуществления угроз Р1укрозы используется полу-

марковская модель реализации угрозы.

Модель представляет собой полумарковский процесс с конечным множеством состояний {у} = {VI} и Т и Б, где {VI} - множество уязвимостей СЗИ, Т - угроза ИС, Б - провал попытки реализации угрозы. При этом исходя из специфики моделируемого процесса все состояния являются невозвратными, а состояния Т и Б -поглощающими. Переходы из состояния 1 в состояние j представляют собой способ эксплуатации 1-й уязвимости системы защиты. Согласно [2] полумарковский процесс определяется как ступенчатый случайный процесс и(1), £>0, со следующими свойствами. В полуинтервале [0, ^) и(1) = и1, в полуинтервале [^ Ъ) и(1)= и2 и т.д. При фиксированной реализации цепи Маркова ип = 1П, п>1, длительности ^ 124ь 1342,... пребывания и(1) в состояниях 11, 12, 13... положительны и независимы, причем каждая из этих величин зависит лишь от состояния, в котором находится процесс и от следующего состояния. Тогда можно задать следующие функции распределения времени пребывания в состоянии, где для общности положено 10=0:

В рамках рассматриваемой модели время пребывания в состоянии интерпретируется как время необходимое злоумышленнику на эксплуатацию 1-й уязвимости при условии, что в дальнейшем он перейдет в j-е состояние (уязвимость, к реализации угрозы, или атака провалится). Кроме того, задается начальное распределение р(0) = р{ц =;}, определяющее из какого состояния злоумышленник начнет

преодоление СЗИ, и матрица вероятностей выбора следующего перехода (р"‘рех),

которая определяет вероятность выбора пути преодоления СЗИ злоумышленником. Учитывая, что при том или ином способе эксплуатации уязвимости есть вероятность неудачи и провала атаки в целом, для каждого перехода рассматриваемого процесса задаются вероятности успешной эксплуатации 1-й уязвимости русп и вероятность провала атаки при попытке эксплуатации 1-й уязвимости рпрое. При

[1]:

(1)

(2)

этом русп + рпров = 1. Тогда элементы матрицы переходных вероятностей (р^) по-лумарковского процесса, где у Е {VI} и т и ^ представляют собой следующее:

рк = РПГР Г, при к е {VI} ит, (3)

р Е = £ р пеРех Р.пРов при j^F. (4)

Вместо матрицы переходных вероятностей (р^) и матрицы времен пребывания (Бу(х)) можно задать лишь функцию [2]:

Рц(х)=р^(х). (5)

Функция (5) имеет следующую интерпретацию. Если в данный момент времени злоумышленник вошел в состояние эксплуатации 1-й уязвимости, то с вероятностью Ру(х) следующий его переход произойдет за время меньшее, чем х в состояние эксплуатации j-й уязвимости или если j-е состояние это состояние Т или Б, то он соответственно перейдет к реализации угрозы или атака на информационную систему провалится.

Согласно [3] для описания времени затрачиваемого на выполнение какой-либо задачи используется логнормальное распределение. То есть функция Бу(х) описывается логнормальным распределением.

Поиск решения проводится моделированием описываемого полумарковского процесса. Моделирование проводится:

• до истечения заранее заданного времени моделирования £*, чтобы определить вероятность Р(; осуществления угрозы за заданное время:

р = ^, (6)

‘ N

где №[■ - количество экспериментов в которых за время 1м было достигнуто состояние Т, N - общее количество экспериментов;

• до достижения одного из поглощающих состояний, чтобы определить среднее время затрачиваемое на осуществление угрозы 1угр и вероятность Р осуществления злоумышленником угрозы при отсутствии ограничений времени:

1 = £., (7)

УгР

NT

где £ - время достижения состояния Т в 1-м эксперименте (Ъ=0, если в эксперименте было достигнуто состояние Б), N1 - количество экспериментов в которых было достигнуто состояние Т;

Р - рассчитывается по (6), но соответственно при 1м^®.

При этом в (1) в качестве Р1ук:розы используются как Р, так и Рь в зависимости от требований владельца ИС.

После расчета всех выигрышей владельца ИС по матрицам игр Ак = (И(х1, ю^)) рассчитывается {И(х1, dk)} информационный риск по 1-му проекту СЗИ при столкновении с к-м типом злоумышленника. Он рассчитывается как:

Кх, лк) = £ Л( х,. ,аук )р(Юк). (8)

Данные информационные риски при х{ Е X представляют собой соответствующий столбец в матрице в. Рассчитав в матрицах {Ак} все возможные значения И(х1, dk), в матрице в для каждого проекта рассчитываются обобщенные риски по каждому проекту СЗИ к :

Кх, =£ к( х, ^ )р(ак). (9)

к

Затем в матрице в из множества проектов СЗИ {х1} выбирается множество Парето {х1}п по следующим критериям:

1. Бх < 5тах, где Бх - стоимость внедрения 1-го проекта СЗИ, Бтах - максимальное количество средств выделенных на создание СЗИ.

2. Кх < Ктах, где Кх - обобщенные информационные риски при внедрении

1-го проекта СЗИ, Ктах - максимально допустимые обобщенные информационные риски.

3. {к(х1 ,т]к) < Кдоп}, где И(х1 ,ак) - информационный риск от осуществления ]-й угрозы к-м типом злоумышленника при 1-м проекте СЗИ, К д° - максимально допустимое значение информационного риска от осуществления ]-й угрозы.

4. > t д°п}, где (ук - время затрачиваемое к-м типом злоумышленника при 1-м проекте СЗИ на реализацию ]-й угрозы, t д°п - минимально допустимое

время затрачиваемое к-м типом злоумышленника на реализацию ]-й угрозы;

Причем критерии 3 и 4 устанавливаются или для всех угроз ИС и типов злоумышленников, или только для наиболее критичных.

Для определения оптимального проекта рассматривается матрица в', которая строится на основе матрицы в и включает только проекты из множества {х1}п.

Так как стратегии злоумышленника не являются чистыми, то владелец ИС, в простейшем случае, может использовать максиминную стратегию и ограничить свои максимальные риски. Но при этом максиминная стратегия в условиях смешанных стратегий злоумышленника может не являться оптимальной. Тогда в случае рандомизированной игры, т.е. когда известно распределение вероятностей Р^к), владелец ИС может воспользоваться Байесовской стратегией хь в качестве оптимального проекта СЗИ, которая находится как:

Н(хь | Р(Лк)) = т1пН(х. | Р(Лк)) = т1п£й(х.,Лк)р(Лк) = т1пКх . (10)

I I I ‘

Фактически Байесовская стратегия это наилучшая чистая стратегия владельца ИС в осредненной игре против злоумышленника. Также согласно [4], если Байесовская стратегия совпадает с максиминной, то она является оптимальной.

В случае игры с неопределенностью, т. е. с неизвестным распределением P(dk), для нахождения оптимальной стратегии владельцу ИС фактически приходится выбирать оптимальную стратегию экспертным путем, при этом можно воспользоваться одним из критериев: Вальда, Сэвиджа, Лапласа или Гурвица [4].

Программный комплекс реализующий описанный комплекс моделей поиска оптимального проекта СЗИ разработан в среде Microsoft Visual Studio 2GG5 на языке С++.

Используя разработанный программный комплекс было проведено моделирование проектов системы защиты для локальной вычислительной сети факультета. Была рассмотрена модель существующей системы защиты, а также рассмотрены два проекта расширяющие её возможности.

Существующая система защиты (проект «Windows») основана на встроенных средствах защиты установленных операционных систем (Windows XP Professional SP2 и Windows 2GG3 Server SP1) и действующей политике безопасности.

Проект «Windows (усиленная)» представляет собой замену на серверах антивирусов и систем обнаружения вторжений на более эффективные, установку последних обновлений, чтобы закрыть обнаруженные уязвимости, а также исключение возможности использования сторонних носителей информации.

Проект «Windows+Антивирус» представляет собой, помимо мер описанных в проекте «Windows (усиленная)», замену антивирусов на всех рабочих станциях в сети, и усиление политики использования паролей пользователей.

В качестве единственного опасного типа злоумышленника рассматривались внутренние злоумышленники - студенты университета.

В качестве угроз рассматривались раскрытие и уничтожение конфиденциальной информации на файл-сервере факультетской сети.

Были определены следующие ограничения: стоимость проекта не должна превышать 16G GGG руб. и максимально допустимые риски не должны быть больше 5 GGG.

На рис. 2 приведены результаты моделирования. Результаты представлены в виде гистограммы отображающей величины обобщенных рисков по каждому проекту. Более подробные результаты моделирования приведены в табл. 1.

Таблица 1

Результаты моделирования проектов СЗИ факультетской сети_____________

Название проекта Стоимость внедрения Обобщенные риски Вероятность реализации угрозы

Раскрытие Уничтожение

Windows 95GGG 1G485,3 G,77 G,76

Windows (усиленная) 1GGGGG 86G1,3 G,64 G,63

Windows+ Антивирус 15GGGG 271,9 G,G2 G,G2

Из результатов видно, что оптимальным проектом признан проект «Windows+Антивирус», так как он обеспечивает минимальные риски и единственный удовлетворяет всем ограничениям.

Лк [<* ивр

Наэааиме проекта: УЛі^пхіїАиіакруї

Стоимость пресета: 150000.00

Проекты мг прошедшие по Парето. Остаяыше проекты.

Рис. 2. Результаты моделирования (экранная копия)

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Петренко С.А. Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. - М.: Компания АйТи; ДМК Пресс. 2004.

2. Гнеденко Б.В., Коваленко И.Н. Введение в теорию массового обслуживания - М.: КомКнига, 2005.

3. Кельтон В., Лоу А. Имитационное моделирование. Классика СБ. 3-е издание. -СПб.: Питер; Киев: Издательская группа БИУ, 2004.

4. Протасов И.Д. Теория игр и исследование операций: Учебное пособие. - М.: Ге-лиос АРВ, 2003.

УДК 681.3.034

С.Г. Данилюк, В.Г. Маслов

ОБОСНОВАНИЕ НЕЧЕТКОГО СИТУАЦИОННОГО ПОДХОДА К СОЗДАНИЮ МОДЕЛИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ С ИСПОЛЬЗОВАНИЕМ ЛОЖНЫХ ИНФОРМАЦИОННЫХ ОБЪЕКТОВ

Бурное развитие информационных технологий и внедрение последних в процессы управления критически важными системами привело к острой необходимости защиты информационных ресурсов от злонамеренного вторжения с целью вывода их из строя или получения доступа к информации ограниченного пользования. Указанная проблема привела к необходимости поиска путей и решений защиты информационных систем от деструктивного, как внешнего так и внутреннего воздействия. Защита информационных систем - сложная комплексная задача, призванная решать вопросы обеспечения конфиденциальности, целостности и доступности информации. Решение вопроса обеспечения защиты информации может достигаться как программными (межсетевые экраны, анализаторы уязвимостей