Математическое обеспечение оценивания безопасности автоматизированных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

11. Руднев Д.О., Сычугов А.А. Метод безопасного сбора информации о элементах распределённой информационной системы. // Актуальные проблемы гуманитарных и естественных наук. Декабрь № 12 (83). 2015. Ч. II.

12. Середин О.С. Методы и алгоритмы беспризнакового распознавания образов: Дис. ... канд. // физ.-мат. наук. М., 2001.

Руднев Дмитрий Олегович, асп., dima rudnev@mail.ru, Россия, Тула, Тульский государственный университет,

Сычугов Алексей Алексеевич, канд. техн. наук, доц., xru2003@list.ru, Россия, Тула, Тульский государственный университет

METHOD OF INCREASING CONFIDENCE IN CLOUD COMPUTING D.O. Rudnev, А. А . Sychugov

In this paper we consider the problem of trust between the owner of the information and cloud services provider. The analysis methods of the solution given-term problems. This article describes a method that allows real-time to evaluate cloud services from the point of view of security and thereby increase the level of confidence. The method described is based on featureless pattern recognition.

Key words: information security, cloud computing, trust, confidence, machine learning, featureless pattern recognition.

Rudnev Dmitry Olegovich, postgraduate, dima rudnev@mail.ru, Russia, Tula, Tula State University,

Sychugov Alexey Alexeevich, candidate of technical sciences, docent, xru2003@list.ru, Russia, Tula, Tula State University

УДК 004.056

МАТЕМАТИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ОЦЕНИВАНИЯ

БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

В. Л. Токарев, А. А. Сычугов

Рассмотрен подход к построению математического обеспечения системы оценивания информационной безопасности автоматизированных систем, основанный на теории обеспечения рациональности решений. Предложенные алгоритмы обладают полиномиальной сложностью, что обеспечивает им более высокую эффективность, особенно при больших размерах кода.

Ключевые слова: информационная безопасность, автоматизированная система.

Согласно требованиям основных критериев [1] оценки безопасности автоматизированных систем их системы защиты должны строиться на основе формальных моделей. Это позволяет оценивать соответствие системы защиты информации требованиям заданной политики безопасности. Задаче построения формальных моделей безопасности компьютерных систем посвящен в Росси ряд работ, основные результаты которых представлены в [2]. Тем не менее, оценивание безопасности автоматизированных систем (АС) по-прежнему остается трудно разрешимой задачей, а известные алгоритмы имеют экспоненциальную сложность.

В статье предлагается подход к построению математического обеспечения системы оценивания информационной безопасности АС, основанный на теории обеспечения рациональности решений [3], в соответствии с которым основу математического обеспечения составляет формальная модель системы в целом. Этот подход рассмотрен на примере оценивания безопасности АС с дискреционным управлением доступом, что позволило обеспечить алгоритмическую разрешимость задачи проверки информационной безопасности систем при полиномиальной сложности разработанных алгоритмов.

Особенностью АС с дискреционным управлением доступом Е является соответствие следующим требованиям: все сущности (объекты и субъекты АС) должны быть идентифицированы; задается матрица доступов, в которой строка соответствует субъекту АС, столбец - объекту АС, а ячейка - перечень прав доступа субъекта к объектам АС; субъект обладает правом доступа к объекту АС тогда, когда в ячейке, соответствующей субъекту и объекту АС содержится такое право.

Нарушением безопасности АС будем считать переход ее в состояние, в котором или получен некоторым субъектом запрещенный доступ, или произошла утечка права доступа, или реализован запрещенный информационный поток.

Поэтому для решения задачи оценивания соответствие системы защиты информации АС требованиям заданной политики безопасности требуется, в первую очередь, анализировать последовательности состояний АС, в каждом из которых могут быть осуществлены различные доступы субъектов к объектам АС.

Общий вид модели проверки системы Е представим следующим образом:

W = (А,8,Я,М,С,Т,д),

где А - множество объектов системы Е; Б - множество субъектов системы Е (БсА); Я - множество прав доступа субъектов б к объектам аеА; М -матрица доступов М(Б,а), Бе Б, аеА; С - множество команд системы Е; Т -множество типов объектов аеА; д - множество состояний системы Е, д=^(А,8Д,С,М)}.

Любая система Е, несмотря на большое число возможных состояний, может находиться в одном из трех состояний: начальном связанном qp, квазибезопасном qб. Начальное состояние q0 - первое состояние анализируемой последовательности состояний АС при выполнении ею любой незапрещенной программы. Связанное состояние qp - состояние АС, в котором все команды, содержащие примитивные операторы «создать», упорядочиваются по признаку «потомок» - «предок», при этом каждая команда применяется со всеми возможными для нее наборами родительских объектов, т.е. она «связана» с родительскими объектами. Квазибезопасное состояние qб - состояние АС, в котором дальнейшее применение команд, не содержащих примитивные операторы «создать», не приводит к изменениям в матрице доступа М(Б,а).

Состояния системы Е изменяются в соответствии с правилом:

q ——)— > q '. При этом для всех параметров команд с( ) указывается их тип: с(х! : хт : tm). Перед выполнением команды сг( ) проверяются типы фактических параметров, и если они не совпадают с указанными типами в определении команды сх(хг: хт : tm), то команда сг( ) не выполняется.

Необходимое для получения оценки информационной безопасности подмножество примитивных команд С 'с С можно ограничить следующими:

1. «Ввести право г в М(8,а)»

(Б' = Б, А' = А, t' = С М) = М )и {г};^ "(/, а') = ) ^ М '(¿,а') = М {¿,а').

2. «Удалить право г из М(8,а)»

/Б' = Б, А = А, ^ = иМ) = М)\{г},^ "^'а') = )^М\/,а') = М(/,а ).

д^ е Б,а е А,г е Я) ® д'

д^ е Б,а е А,г е Я) ® д

3. «Создать субъект б с типом 18»

(S' = S и ^'}, s'£ Я, А' = A и ^'}, t'(а) = t(а); t') = Xs; q(s £ Я,а е А,г е Я)® q' ,а)е Я X А ^ М) = М); "а е А' ^ М'(*•',а) = 0;

у"s е Я' ^ М' ^^') = 0.

4. «Создать объект а с типом Ха»

/Я' = Я, А = А и {а'\а £ А, "а е А ^ X'(а) = X(а); X'(а') = У^,а)е Я X А ^М) = М^,а); " е Я' ^М'^,а') = 0.

5. «Уничтожить субъект s'»

( я' = Я \ {s/}, s/е Я, А' = А \ ^'},а' £ А, "а е А' ^ ф) = х(а); е Б,ае А,ге Яq \ . . , , . , .

^ У \"^,а )е Я' X А' ^ М )= М ^,а). )

q(s е Я,а£ А,г е Я) ® д'

£ 8,ае А,ге Я)®1

6. «Уничтожить объект а

/Я' = Я А' = А \ {а'}, а'е А, "а е А' ^ X'(а) = х(а); 1 \у^,а)е Я' X А' ^ М) = М($,а).

Параметры Х]- (1£]£Ш) команды сх (х1 : X1,..., хт : хт ) могут быть дочерними, если в ней содержится примитивный оператор «создать субъект х^ с типом Xj» или «создать объект х^ с типом Xj», или родительскими, если такого оператора нет.

Систему команд С' системы Е можно назвать монотонной, если в командах множества С отсутствуют примитивные команды вида «Удалить» и «Уничтожить». Систему команд С можно отнести к канонической С , если команды, содержащие примитивные операторы вида «создать», не содержат условий и примитивных операторов вида «Ввести».

Для того, чтобы определить ограничения, достаточные для алгоритмической разрешимости задачи проверки безопасности в системе С , опишем взаимосвязи между различными типами с помощью графа, определяющего отношения наследственности между типами, устанавливаемые через команды порождения объектов и субъектов.

Граф Ос создания системы С-ориентированный, с множеством вершин Т, в котором ребро (иу) существует тогда, когда в системе С' имеется команда, в которой и() - команда родительского типа, а у() - дочернего типа.

Такой граф позволяет определить: 1) объекты каких типов должны существовать в системе, чтобы в ней мог появиться объект или субъект заданного типа; 2) объекты каких типов могут быть порождены при участии объектов заданного типа.

Система С' будет ациклической С", если соответствующий ей граф Ос"не содержит циклов, т.е. система С" содержит команду и( ), тип которой является одновременно и дочерним, и родительским.

С учетом предложенных определений и ограничений сформулирован алгоритм проверки информационной безопасности системы С .

160

Алгоритм 1

1. Для системы С' строится эквивалентная ей ациклическая система С .

2. Используя команды, содержащие только примитивные операторы «создать», и не содержащие условий, перейти из состояния qo в «связанное» состояние, обеспечивающее минимально необходимый и достаточный для распространения прав доступа состав объектов.

3. Используя команды, не содержащие примитивные операторы «создать», перейти из «связанного» состояния в «квазибезопасное» состояние, в котором дальнейшее применение таких команд не приводят к изменениям в матрице доступов.

4. Если такой переход возможен, т.е. выполняется условие "(^а)е Бд0 х Ад0 ^М^)сMj), то информационная безопасность

системы С' обеспечивается, иначе - нет.

Первый шаг алгоритма 1 необходим для получения канонической ациклической формы проверяемой системы С , что упрощает процесс проверки любой системы Е. Для преобразования системы С' вначале упрощается ее граф за счет построения эквивалентной ациклической формы, используя стандартные схемы преобразования [4]. Затем выполняется следующий алгоритм.

Алгоритм 2

1. Каждую команду с-(х1: хт : tm )еС ациклической системы С', не содержащую примитивные операторы «создать», представляют командой с-(х1 :хт :х: tact) системы С', полученной из исходной команды добавлением условий проверки гасге М'(х,х/), / = 1,..., т. Здесь гас -право доступа активизировать субъекты и объекты системы С .

2. Каждую команду с-(х1: хт : tm )е С', содержащую примитивные операторы «создать», представляют монотонными командами:

командами с- (х1: хт : tm) без проверки условий

гасге М(х,х/), / = 1,...,т, каждая из которых соответствует дочернему параметру х- команды с-(х1: tl,...,хт : tm) и содержит все ее родительские па-

раметры х-

1'

командами с-^ : tl,...,хт : tm), содержащими условия и примитивные параметры «ввести» команды с-(х1: хт : tm) и условия проверки М(х,х/), / = 1,...,т для всех родительских параметров х/;

командами с1'(х1: хт : tm), содержащими примитивные операторы «ввести» право гасг в М (х, х/) для всех дочерних параметров х/.

В результате выполнения первого шага алгоритма 1 образуется ациклическая система С , эквивалентная ациклической системе С .

161

Для получения «связанного» состояния необходимо упорядочить все команды, содержащие примитивные операторы «создать». Для этого обозначим команды, содержащие примитивные операторы «создать», как a и b, причем будем считать, что a<b тогда, когда для некоторого дочернего типа команды a в графе Gc найдется путь к команде b родительского типа. То есть отношение a<b является отношением строгого порядка и потому обладает свойствами антирефлексивности, транзитивности и антисимметричности.

С учетом введенных обозначений сформулирован следующий алгоритм получения «связанное» состояние системы С .

Алгоритм 3

1. Все команды, содержащие примитивные операторы «создать», упорядочиваются: если a<b или a~b, то команда a размещается перед командой b.

2. Начиная с состояния q0 выполняются команды из упорядоченного списка, причем каждая команда применяется со всеми возможными для нее наборами родительских объектов.

3. В результате для любого начального состояния за конечное число

С

шагов получим «связанное» состояние системы С .

Например, пусть {до,#1,...}- последовательность системы С'. Для каждого состояния qj на множестве Aj рекурсивно определим функцию порождения объектов A:"aе ^о i Aj ^ A(a) = a; Если объект aе Ak с Aj

создан на шаге k (0<k<j) последовательности командой ak, то положим A(a) = ak (A(ai), A(a2),..., A(am)). Этот пример можно проиллюстрировать следующим образом.

Пусть С' содержит две команды cv и cw:

command cv(x: u,y: v) создать субъект y с типом v; end;

command cw(x: u,y: v,z: w) создать объект z с типом w; end;

Тогда последовательность будет иметь вид

q cv(x,y) , q С,У,z) , q (1)

q0-> q1-> q2, (1)

где qo =(^о, Ao, to, M о ) = ({x}, {x},{(x, u)}, M о). Тогда в состоянии q2 =(S 2, A2,12, M 2 )=({x,y}, {x, y, z},{(x, u), (y, v), (z, w)}, M 2) функция 1 получает значения l(x ) = x; l(y ) = cv(x); l(z ) = cw(x, cv(x)).

Можно показать, что в «связанном» состоянии системы С" для каждого возможного значения функции 1 существует ровно один соответствующий объект а.

Таким образом, алгоритм 3 реализует второй шаг алгоритма 1.

Третий шаг алгоритма 1 имеет конечную сложность, так как множество А не изменяется, а необходимое количество перебора последовательностей различных команд - конечное число.

Если в некотором состоянии последовательности команд программы, выполняемой АС, произошло какое-либо изменение матрицы доступа (условие (3) нарушено), это означает, что произошла утечка права доступа.

Теорема. Алгоритм 1 обеспечивает алгоритмическую разрешимость задачи проверки информационной безопасности систем Е и обладает полиномиальной сложностью. Доказательство.

Рассмотрим ациклическую систему С".

Пусть qp - «связанное» состояние, полученное по алгоритму 3 из начального q0, а qб - квазибезопасное состояние, полученное из qp с помощью команд, не содержащих примитивные операторы «создать». Из свойства монотонности системы С следует, что

"(Б,а)е Бqp х Aqp = Бqj х А^ ^ Mqp (Б,а) с М^(Б,а) (2)

А поскольку для любой последовательности ^ ,...,И,...} может быть найдена последовательность {qp,...,g,...} без команд, содержащих примитивные операторы «создать», то тогда

"(^а)е Би х Ан ^ Мъ (s,а)с Мё (Л,^)Д(а)). (3)

Если условие (3) выполняется, то с учетом (2) следует "(^а)е Би х Ан ^ Мъ (s,а)с Мё(Л,^)Д(а)),

что означает алгоритмическую разрешимость задачи оценивания безопасности систем С , а, следовательно, и систем С .

Обоснуем условие (3). Для этого преобразуем последовательность команд ^ ...,И,...} в последовательность команд ^р,...,g,...} следующим

образом: 1) сначала из последовательности ^ ...,И,...} удаляются все команды, содержащие примитивные операторы «создать»; 2) команды вида с(х1: tl,...,хт : tm) последовательности ^ ...,И,...} заменить на команды

с(1(х1): ^,...,1(хт): tm) последовательности {qp,...,g,...}.

По индукции по длине последовательности ,...,И,...} можно пока-

зать, что выполняются следующие условия:

1)" с(х1: tl,...

,хт : tт

) последовательности ^ ,...,И,...} (условие

с(х1 : t1,...,хт : tm) ^е)® (условие с(1(х1): ^,...,Л(хт ): 1:т ) последовательности ^р,..., g,...}=tгue);

2) для состояния И последовательности ^ ...,И,...} и соответствующего ему состояния g последовательности ^р,..., g,...} верно, что

"(^а)е Би х Ан ^ Мъ )с (Л,^)Д(а)).

Таким образом, условие (3) выполняется, что доказывает первую часть теоремы.

Кроме того, предложенный алгоритм, использующий матрицу доступа М (^а), можно представить в виде эйлерова бинарного связного отношения размером пхш, (п>ш) описываемого графом Ос', причем с упорядоченными элементами а<р. Тогда проверка выполнения условия (3)

требует выполнения о(п3) действий, что соответствует полиномиальной временной сложности. Это доказывает вторую часть теоремы.

В заключение отметим следующее.

В статье рассмотрен подход к построению математического обеспечения системы оценивания информационной безопасности АС с дискреционным управлением доступом к защищаемым ресурсам. Предложенные алгоритмы, обладают особенностями, позволяющие их рассматривать как основу системы оценивания безопасности АС. Основной особенностью рассмотренных алгоритмов является их временная полиномиальная сложность. Это обеспечивает им более высокую эффективность, особенно при больших размерах кода.

Полученные при апробации рассмотренных в настоящей работе решений результаты подтвердили их эффективность и возможность использования в более широком классе защищенных автоматизированных систем.

Список литературы

1. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. ГОСТ Р ИСО/МЭК 15408. Ч. 1 - 3. М.: Гостехкомиссия России, 2002.

2. Девянин П.Н. Модели безопасности компьютерных систем. Управление доступом и информационными потоками. М.: Горячая линия Телеком, 2016. 338 с.

3. Токарев В. Л. Компьютерная поддержка принятия решений: монография. М.: Изд-во СГУ, 2007. 162 с.

4. Оре О. Теория графов. М.: ИД «ЛИБРОКОМ», 2009. 354 с.

Токарев Вячеслав Леонидович, д-р техн. наук, доц., tokarev22@yandex.ru, Россия, Тула, Тульский государственный университет,

Сычугов Алексей Алексеевич, канд. техн. наук, доц., зав. кафедрой, xru2003alist. ru, Россия, Тула, Тульский государственный университет

SOFTWARE SECURITY ESTIMATION OF AUTOMATED SYSTEMS

V.L. Tokarev, A.A. Sychugov 164

The approach to construction of mathematical software assessment system of information security of automated systems based on the theory ensuring of the decisions rationality is considered. The algorithms having polynomial complexity and ensures higher efficiency are proposed.

Key words: information security, automated systems.

Tokarev Vjacheslav Leonydovich, doctor of technical sciences, docent, toka-rev22@yandex. ru, Russia, Tula, Tula State University,

Sychugov Alecsey Alecseevich, candidate of technical sciences, docent, head of chair, xru2003@list.ru, Russia, Tula, Tula State University