Математическое моделирование влияния внутренних угроз на безопасность конфиденциальной информации, циркулирующей в автоматизированной информационной системе Текст научной статьи по специальности «Компьютерные и информационные науки»

конечно, при условии, что 1 - XQP > 0.

Сделав определенные предположения о характеристиках потока отказов системы обработки сообщений, проектировщик может по формуле (8) определить необходимое значение среднего времени обработки сообщений, которое обеспечит заданные средние временные характеристики процесса обработки данных с учетом ненадежной работы системы.

Выводы

1. Формально поставлена и решена задача определения интенсивности обработки сообщения, гарантирующей выполнение заданных ограничений на среднее время задержек обработки запросов в системе. Получено точное решение для системы M/G/1 и приближенное решение для системы G/G/1. Предложен вариант решения задачи для системы Mn/Gn/1 с бесприоритетной дисциплиной обслуживания и системой относительных приоритетов.

2. Формально поставлена и решена задача учета влияния предположения о ненадежной работе оборудования на определение интенсивности обработки сообщений, гарантирующей выполнение заданных ограничений на среднее время задержек обработки запросов в системе.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Башарин Г.П., Бочаров П.П., Коган Я.А. Анализ очередей в вычислительных сетях. Теория и методы расчета. - М.: Наука, 1989. - 336 с.

2. КлейнрокЛ. Вычислительные системы с очередями - М.: Мир, 1979. - 600 с.

3. Смирнов С.Н. Метод проектирования систем с заданными задержками обслуживания. // Вестник Российского университета дружбы народов. Серия “Прикладная и компьютерная математика”. - М.: Изд-во Российского университета дружбы народов, 2003. Т.2. -№ 1. - С. 52-67.

4. Cohen J.W. The single-server queue. - NY: Prentice-Hall, 1969. - 736 p.

УДК 004.942

А.П. Росенко

МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ ВЛИЯНИЯ ВНУТРЕННИХ УГРОЗ НА БЕЗОПАСНОСТЬ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, ЦИРКУЛИРУЮЩЕЙ В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ

СИСТЕМЕ*

1. Актуальность проблемы

Известно, что аппарат теории марковских случайных процессов широко используется при исследовании поведения различных технических систем [1,2]. В [3] показано, что марковские случайные процессы могут быть использованы и для оценки влияния внутренних угроз на безопасность конфиденциальной информации. Актуальность указанной проблемы связана с тем, что, как показывает анализ [4,5], от 65 до 85% всех реализованных угроз обусловлено внутренними угрозами. Однако отсутствие системных исследований в этой области существенно усложняет процедуру установления причинно-следственных связей, возникающих в человеко-машинной информационной системе в процессе воздействия на нее дестабилизирующих факторов различной природы [3,4]. Это связано с тем, что после воздействия на автоматизированную информационную систему (АИС) внутренних

* Работа выполнена при поддержке гранта РФФИ № 06-01-00020а.

угроз она переходит в новое, отличное от исходного, состояние. При этом, переход системы в конечное поглощающее состояние может быть с последствиями (неблагополучный исход) или без последствий (благополучный исход). Указанные особенности, а также то, что реализации внутренних угроз являются редкими, независимыми событиями, позволяют предположить, что для исследования влияния внутренних угроз на безопасность конфиденциальной информации оправдано применение теории марковских случайных процессов [3].

2. Общая постановка задачи

Предположим, что АИС может находиться в п - возможных случайных состояниях х1, х2,..., хп . Состояние перехода АИС из г -го в 1 -е состояние тоже является случайным и характеризуется вероятностью р. Если для каждого состояния известны вероятности перехода АИС в любое другое состояние, то можно составить матрицу переходных вероятностей вида:

ы=

P11 P12 ■ ■ Pj ■■ P1n

P21 P22 ■ ■ P2 j ■■ P2n

Pa P 2 ■ ■■ Pj ■ ■■ P n

Pn1 Pn2 ■ ■■ Pnj ■ ■■ Pnn

(1)

Пусть в начальный момент (перед первым шагом) АИС находится в состоянии хп . Тогда, для начального момента (п = 0) вероятности всех состояний равны нулю, кроме вероятности начального состояния Рп (0) = 1. После первого шага (к = 1) АИС перейдет из состояния хп в одно из состояний х1, х2,

роятностями: Pn1, Pn2,

п , - хк с ве-

Рпк .Тогда п -я строчка матрицы переходных веро-

ятностей будет иметь вид

Pi (1) = Pni; P2 (1) = Pn2-, Pn (1) = Pnn , Pk (1)= P(nk)

(2)

Вероятности состояний после второго шага определяются по формуле полной вероятности [2]. Тогда

р (2)=Х р (Ур. (3)

1=1

При этом должна выполняться гипотеза о том, что АИС после первого шага может быть в любом из возможных состояний. Тогда с учетом (2) и в соответствии с (3) по формуле полной вероятности матрица переходных вероятностей после к -го шага будет иметь вид

к

Р (к) = £ Р] (к - 1)Р,,. , (4)

1=1

где г = 1,2,...,к ;

а вероятности перехода АИС из г -го в ] -е состояние за к шагов

к

Р/=Х Р‘пРп1 (к -1)’ (5)

п=1

где к >2 .

Решение системы уравнений (4) позволяет определить любую вероятность Рг (к) при известных начальных условиях: Р1(0), Р2(0),..., Рк (0), т.е. при известном начальном состоянии системы. Исходными данными в этом случае служат вероятности перехода, которые могут задаваться стохастической матрицей вида (1).

3. Постановка задачи с учётом воздействия на АИС внутренних угроз

Пусть на АИС воздействует п независимых внутренних угроз. При этом очередная внутренняя угроза воздействует на систему только после успешного парирования предыдущей. Процесс перехода системы из состояния в состояние происходит до тех пор, пока она не окажется в поглощающем состоянии, соответствующего реализации злоумышленником внутренних угроз.

Примем следующие обозначения: Яг и = 1 - Яг - вероятности соответст-

венно успешного и неуспешного парирования возникшей I -й внутренней угрозы;

и Р1 = 1 - - вероятности соответственно возникновения и не возникновения

г -й внутренней угрозы; 0,1,...,г,...,п,п +1 - состояния, в которых может оказаться рассматриваемая система в результате воздействия п независимых внутренних угроз. При этом, состояние п +1 соответствует поглощающему состоянию.

Для указанного выше случая граф состояний представлен на рис. 1.

Рис. 1. Граф состояния системы при воздействии на нее п независимых внутренних угроз

Как видно из рис. 1, при любом I -м воздействии система может оказаться с вероятностью Яг в исходном состоянии, что соответствует успешному парированию г -й внутренней угрозы, и с вероятностью ^ = 1 - ^ в поглощающем состоянии п +1, что соответствует реализации злоумышленником г -й внутренней угрозы.

В соответствии с рис. 1 матрица переходных вероятностей будет иметь следующий вид:

Ч00 Ч1 ■■■ Чі ■■■ Ч„ 0

Я1 Чи ■■■ 0 ... 0 Я1

к„ 0 ■■■ 0 ■■■ Ч„„ К,

0 0 ■■■ 0 ■■■ 0 1

(6)

где 400 =1 - Ч£ .

Определим вероятность перехода системы в любое г -е состояние для следующих исходных данных: Р0(0) = 1 и Р1(0) =... = Р1 (0) =... = Рп (0) = Рп+1(0) = 0 .

Тогда в соответствии с (2) после первого шага вероятности состояний будут иметь вид: Р0(1) = 1 - , Рп+1(0) = 0, ВД = Ч1, р. (1) = Чг, ..., Рп (1) = Чп .

Можно показать, что поступая аналогичным образом с учетом произведенных преобразований вероятности после второго шага будут иметь вид:

р,(2) = (1 - )2 +£ чК ; Рі (2) = (1 - )Ч1;

і=1

..., р(2) = (1 -)чі ; ■■■,

п

Рп (2) = (1 - ЧЕ )Чп ; Рп+1(2) = Х ЧіК ■

Таким образом, уже после второго шага система может оказаться в поглощающем состоянии, т.е. в состоянии, когда злоумышленником получен доступ к конфиденциальной информации.

4. Воздействие на АИС одной независимой внутренней угрозы

Пусть на автоматизированную информационную систему воздействует одна і -я внутренняя угроза, тогда граф состояния системы, представленный на рис. 1, примет следующий вид ( рис.2).

В соответствии с рис. 2 в результате воздействия внутренних угроз система может перейти в следующие состояния: состояние «0» - внутренняя угроза не проявилась; состояние «1» - внутренняя угроза с вероятностью 4 проявилась, при этом из этого состояния система с вероятностью Я может перейти в исходное нулевое состояние, либо с вероятностью Я в состояние «2»; состояние «2» - поглощающее состояние, т.е. неблагополучный исход от воздействия на систему внутренних угроз.

Графу состояний системы, представленному на рис. 3, соответствует следующая матрица вероятностей перехода:

р„ =

1 - ч Ч 0 Я 0 Я

0 0 1

ч

к

Рис. 2. Граф состояния автоматизированной информационной системы при воздействии на нее одной внутренней угрозы

Используя рис. 3 и матрицу (7) определим вероятности переходов системы в различные состояния после каждого этапа расчета для исходных данных, характеризующих вероятности состояний в начальный момент, а именно:

Ро(0) = 1, Р\ (0) = Р2(0) = 0.

В соответствии с (4), после первого шага имеем

Р,(1) = 1 -Ч ; Л(1) = Ч ; Рг(1) = 0. (8)

Как видно из выражения (8), после первого шага сохраняется конфиденциальность информации. После второго шага вероятности состояний системы будут иметь вид

Р0(2) = (1 - д)2 + дК; Р(2) = (1 - ч)ч ; р,(2) = дК • (9)

Как видно из (9), после второго шага вероятность благополучного исхода равна РБИ (2) = Р0 (2)+Р1 (2) = (1 - ч)2 + дР + (1 - д)д , а вероятность неблагополучного исхода от воздействия на систему одной угрозы равна QБИ (2) = дК .

Пример расчета. Определим вероятность благополучного исхода от воздействия на АИС одной г -й внутренней угрозы в соответствии с рис. 3.

Исходные данные для расчета: матрица вероятностей перехода (7); Р0(0) = 1; Р1 (0) = 0 ; Р2(0) = 0 ; количество шагов моделирования к = 12; в качестве внутренней угрозы воздействующей на АИС примем кражу конфиденциальной информации с электронных носителей, вероятность реализации которой Ч ву = 0,658 [6], тогда вероятность рВУ = 1- дВУ = 0,342; вероятность парирования внутренних угроз варьируется в пределах от К1 = 0,2 до К4 = 0,8 .

Результаты моделирования указанного случая представлены на рис. 3.

Анализ результатов моделирования (рис. 3), позволяет сделать следующие выводы:

- после первого шага моделирования система не переходит в поглощающее состояние, что соответствует благополучному исходу от воздействия на АИС внутренней угрозы;

- начиная со второго шага моделирования, система с определенной вероятностью может попасть в поглощающее состояние. При этом вероятность такого состояния существенно зависит от возможностей собственника конфиденциальной информации по парированию проявившейся внутренней угрозы, например, как

видно из рис. 3, после пятого шага при К1 = 0,2 вероятность благополучного исхода Р = 0,8, а при К 4 = 0,8 вероятность Р = 0,68;

- абсолютная величина вероятности перехода системы в поглощающее состояние возрастает с увеличением количества шагов моделирования, что свидетельствует о необходимости применения собственником конфиденциальной информации более надежных и совершенных защитных механизмов в случае многократного проявления и реализации злоумышленником внутренних угроз.

Рис. 3. Результаты моделирования воздействия на АИС одной внутренней угрозы

5. Воздействие на АИС двух зависимых внутренних угроз

Пусть на систему воздействуют две зависимые внутренние угрозы, как это показано на рис. 4, которые могут взаимно порождаться с вероятностями, соответственно, г12 и г21.

Обозначим через д1 и д2 соответственно вероятность возникновения первой и второй угрозы (рис. 4).

Парирование первой и второй внутренних угроз происходит с вероятностью К1 и К2, а вероятности непарирования соответственно К13 и К23.

В соответствие с рис.4 система может находиться в следующих состояниях: состояние «0» - внутренние угрозы не проявляются; состояние «1» - первая внутренняя угроза проявляется с вероятностью д, ее парирование осуществляется с вероятностью К1 , что соответствует переходу АИС из состояния «1» в исходное,

нулевое состояние; состояние «2» - вторая внутренняя угроза проявляется с вероятностью ч 2, ее парирование и переход в нулевое состояние осуществляется с вероятностью К2; состояние «3» - поглощающее состояние. В это состояние система может перейти из состояния «1» с вероятностью К13 и из состояния «2» с вероятностью К23. Поглощающее состояние соответствует реализации злоумышленником внутренних угроз.

Рис. 4. Граф состояний при воздействии на систему двух независимых

внутренних угроз

Как видно из рис. 4, система может находиться в состоянии «1» без парирования второй внутренней угрозы, и, наоборот, в состоянии «2» без парирования первой внутренней угрозы. Это возможно, когда первая внутренняя угроза возникает независимо от второй, но порождает ее либо, когда вторая внутренняя угроза возникает независимо от первой.

В соответствии с рис. 4, матрицу вероятностей перехода системы из состояния в состояние можно представить следующим образом:

(10)

1 4 м 41 4 2 0

«1 0 Г12 «13

Я 2 Г21 0 Я 23

0 0 0 1

где “V = “ + q2 '

Для исходных данных, соответствующих вероятностям Р0 (0) = 1;

Р1(0) = р2(0) = Р3(0) = 0, после первого шага вероятности состояний будут равны:

Р(1) = 1 -; Р1(1) = ч{; Рг(1) = “2; Рз(1) = 0. Вероятности состояний после второго шага примут следующий вид:

Р0(2) = (1 - )2 + “1^1 + “2^2; Р1(2) = (1 - “V )“1 + “2 г21;

(11)

(12)

Р2(2) - (1 - 4 + І1Г12 ; Р1(2) - 41Я13 + 42Я23 .

Р

В соответствии с выражением (12) определим вероятность благополучного исхода от воздействия на систему внутренних угроз после второго шага преобразований, а именно:

Рби (2) = Р,(2) + Рі(2) + Р2 (2).

Тогда вероятность неблагополучного исхода определится следующим образом:

или с учетом (12):

ОБИ (2) = 1 - Рби (2)

ОБИ (2) = ?1Я13 + ?2Я23 •

Используем полученные зависимости для определения вероятности благополучного исхода с учетом воздействия на АИС двух зависимых внутренних угроз.

Пример расчета. Определим вероятность благополучного исхода от воздействия на АИС двух зависимых внутренних угроз в соответствии с рис. 4.

Исходные данные для расчета: матрица вероятностей перехода

(13); Р0(0) = 1;Р1(0) = р2(0) = р3(0) = 0 ;вероятность возникновения первой внутренней угрозы варьируется в пределах от ^ = 0,0 до ^ = 0,8 ;вероятность возникновения второй внутренней угрозы д2 = 0,2 ; вероятность парирования второй внутренней угрозы я2 = 0,2, а вероятности взаимного порождения внутренних угроз г12 = г21 = 0,2; вероятность парирования проявившейся внутренней угрозы Я1 = 0,2;

количество шагов моделирования 12.

Результаты моделирования представлены на рис. 5.

0.5

1 £

2 3 Г

5 1

_4_/

1- ^= 0,0 2- Ч|=0,2 3 - 4=0,4 4- ч=0,б 5 - 4,=0,8 ПриЕ2=0,4

9 10 11 N. шаги

Рис. 5. Зависимость вероятности благополучного исхода от воздействия на АИС двух зависимых внутренних угроз при Я1 = 0,2

Пусть Я1 = 0,6 . Тогда при исходных данных, соответствующих первой задаче, результаты моделирования будут иметь вид, представленный на рис. 6.

1

^2

з] а] 3_р

1 2 3456785 10 11 N. шаги

Рис. 6. Зависимость вероятности благополучного исхода от воздействия на АИС двух зависимых внутренних угроз при Яг = 0,6

Анализ результатов моделирования, представленных на рис. 5 и 6 позволяет сделать следующие выводы:

- как и в случае, показанном на рис. 3, система может оказаться в поглощающем состоянии после второго и последующих шагов;

- с увеличением вероятности Я1 наблюдается устойчивое сближение графиков, для значений от ^ = 0,2 до ^ = 0,8 с графиком, для ^ = 0,0;

- результаты моделирования показывают, что график при ^ = 0,0, практически не изменяет своего положения с ростом Я1 (слабо выраженная тенденция роста);

- можно показать, что при Я1 ^ 1,0 графики 2, 3, 4 и 5 (значения параметра д1 = 0,2 + 0,8), сливаются с графиком 1 (значение параметра д1 = 0,0).

Определим указанную вероятность для исходных данных, рассмотренных в первой и второй задаче за исключением того, что будем изменять вероятность парирования второй проявившейся угрозы от Я2 = 0,4 до Я2 = 0,6, а вероятность Я1 - зафиксируем со значением Я1 = 0,2.

Результаты моделирования представлены на рис. 7 (где Я2 = 0,4) и рис. 8 (где Я2 = 0,6 ).

Анализ результатов моделирования, представленных на рис. 7 и 8 позволяет сделать следующие выводы:

- с увеличением вероятности Я2 наблюдается незначительный рост вероятности благополучного исхода от воздействия на АИС внутренних угроз во всем диапазоне изменения параметра д1, т.е. для ^ = 0,0 ^ 0,8;

- анализ также показывает на отсутствие сближения графиков при изменении параметров д1 и Я2, что свидетельствует о положительном влиянии параметра Я2 на вероятность благополучного исхода во всем диапазоне изменения параметра д1 .

Рис. 7. Зависимость вероятности благополучного исхода от воздействия на АИС двух зависимых внутренних угроз при Я2 = 0,4

Таким образом, результаты моделирования показывают, что при аналогичных исходных данных с увеличением вероятности парирования проявившейся первой угрозы, т.е. ^ , все графики, приближаются к графику, полученному для ^ = 0,0. При увеличении вероятности парирования второй проявившейся угрозы, т.е. К2, все графики плавно смещаются в направлении увеличения вероятности благополучного исхода от воздействия внутренних угроз на АИС. Это свидетельствует о том, что у собственника конфиденциальной информации имеются различные варианты применения защитных механизмов. В зависимости от имеющихся материальных ресурсов, он может реализовать те из них, которые дают положительный наилучший эффект.

0.75

0.5

0.25

\ 1

\ 2

±У / Л 1у

4=0,0 2- Ч|=0,2

3-Ч,=0,4

4-ч=0,6

5-Ч,=0,8

ПртН2=0,6

11 N. шаги

Рис. 8. Зависимость вероятности благополучного исхода от воздействия на АИС двух зависимых внутренних угроз при Я2 = 0,6

6. Общие выводы

Разработанные математические модели на основе марковских случайных процессов с дискретными состояниями позволяют получить количественные зави-

симости, характеризующие степень влияния внутренних угроз на безопасность информации ограниченного распространения.

Результаты моделирования показывают, что уже после второго шага система может оказаться в поглощающем состоянии, соответствующего реализации злоумышленником внутренней угрозы

Увеличение числа шагов процесса перехода системы из состояния в состояние не только увеличивает его длительность, но и число особых ситуаций, возникающих в результате воздействия на систему внутренних угроз, а, следовательно, и к росту вероятности оказаться в поглощающем, неблагополучном состоянии.

Собственник информации ограниченного распространения может использовать полученные количественные зависимости для разработки научнообоснованных мероприятий по применению защитных механизмов в зависимости от имеющихся методов и средств, а также располагаемых материальных ресурсов.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Тихонов, В.И., Миронов, М.А. Марковские процессы. - М.: Советское радио,1997. -

488 с.

2. Вентцель, С. Е. Исследование операций. - М.: Советское радио,1972. - 550 с.

3. Росенко, А.П. Марковские модели оценки безопасности конфиденциальной информации с учетом воздействия на автоматизированную информационную систему внутренних угроз[Текст] / Росенко А.П. // Вестник Ставропольского государственного университета. -Ставрополь: СГУ, 2005. - С. 34-40.

4. Росенко, А.П. Научно-теоретические основы исследования влияния внутренних угроз на безопасность конфиденциальной информации, циркулирующей в автоматизированных информационных системах [Текс ] / Росенко А.П. // Известия ТРТУ. Материалы VII международной научно-практической конференции «Информационная безопасность». -Таганрог: Изд-во ТРТУ, 2005. - С. 19-30.

5. Внутренние ИТ-угрозы в России 2006. www.infowatch.ru.

6. Росенко, А.П., Клименко, Е.С. О выборе критерия оценки эффективности функционирования системы защиты информации [Текст]/ Росенко А.П., Клименко Е.С. // Первая международная научно-техническая конференция. Инфотелекоммуникационные технологии в науке, производстве и образовании. - Ставрополь: Изд-во Сев-Кав. ГТУ, 2004. - С. 207-208.

УДК 683.34

Ю.К. Язов, Т.В. Григорьева ПАРАДИГМА ПРЕДЕЛЬНОГО УЩЕРБА И ЕЕ ИСПОЛЬЗОВАНИЕ ПРИ ОЦЕНКЕ РИСКОВ НАРУШЕНИЙ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОМПЬЮТЕРНОЙ СИСТЕМЕ

В данной статье рассматривается один из важных и актуальных вопросов развития методологии количественной оценки эффективности защиты информации -построение шкал комплексной оценки рисков нарушений безопасности информации на основе парадигмы предельного ущерба. Указанная парадигма широко используется в жизни при различных видах оценок. Ее суть заключается в установлении верхней границы шкалы оценок, выше которой значение оцениваемого параметра не влияет на выводы относительно объекта оценки (оцениваемого процесса, явления, события, уровня знаний и т.п.) и, в частности, относительно риска нарушения безопасности информации в компьютерной системе, определяемого,