УДК 004.056
С.И. Носков, А.А. Бутин, Л.Е. Соколова
Многокритериальная оценка уровня уязвимости объектов информатизации
Рассматривается формализованный способ оценки уязвимости объектов информатизации. Он предполагает построение агрегированного критерия уровня уязвимости в виде линейной свертки локальных критериев с применением методов теории принятия решений. При этом задача определения коэффициентов свертки сводится к поиску решения или квазирешения задачи линейного программирования. Предложен алгоритм оценки уровня компетентности привлекаемых экспертов.
Ключевые слова: информационная безопасность, уязвимость, линейное программирование, квазирешение, теория принятия решений, экспертная информация.
При создании инфраструктуры объектов информатизации (ОИ) на базе современных компьютерных систем и сетей неизбежно возникает вопрос их защищенности от различных угроз. Эти угрозы как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном ОИ. Уязвимости неотделимы от ОИ и обусловливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и физического расположения.
Перечисленные обстоятельства диктуют настоятельную необходимость создания фундаментальной научной методологии комплексной оценки уровня безопасности ОИ. Представляется, что основой такой методологии могут и должны стать современные методы математического моделирования. Они являются признанным инструментом научного анализа сложных, с множеством внутренних и внешних взаимосвязей объектов различной природы, поскольку позволяют на модельном уровне формализовывать закономерности, присущие этим объектам, посредством разработки их качественных абстрактных образов. Это открывает широкие возможности в повышении эффективности вырабатываемых управляющих воздействий, поскольку при этом экспериментирование может проводиться не с «живой» системой, а с её математической моделью.
Этапом, предваряющим собственно настроение математической модели любого объекта, является выбор показателей (факторов, переменных), определяющих его функционирование. К сожалению, к настоящему времени как в научных, так и в нормативных изданиях не описан (не определен, не задан, не формализован) какой-либо один показатель (фактор), в полной мере отражающий уровень (степень, меру) уязвимости ОИ. Вместе с тем известны частные характеристики ОИ, «отвечающие» за те или иные локальные стороны в оценке такой комплексной уязвимости. Так, например, в работе [1] для удобства анализа отдельные уязвимости разделены на классы (они обозначаются заглавными буквами), которые, в свою очередь, распадаются на группы (обозначаются римскими цифрами), а последние - на подгруппы (обозначаются строчными буквами). Определено три класса: [А] объективные, [В] субъективные и [С] случайные уязвимости.
При этом объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-физическими методами парирования угроз безопасности информации.
К ним можно отнести:
[А.1] сопутствующие техническим средствам излучения:
• [А.1.а] электромагнитные (побочные излучения элементов и кабельных линий технических средств (ТС), излучения на частотах работы генераторов, на частотах самовозбуждения усилителей);
• [А.1.Ь] электрические (наводки электромагнитных излучений на линии и проводники, просачивание сигналов в цепи электропитания, в цепи заземления, неравномерность потребления тока электропитания);
• [А.1.с] звуковые (акустические, виброакустические);
[А.11] активизируемые:
• [А.П.а] аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в ТС);
• [А.11.Ь] программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии программного обеспечения (ПО));
[А.Ш] определяемые особенностями элементов:
• [А.Ш.а] элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители и микрофоны, катушки индуктивности, дроссели, трансформаторы и пр.);
• [А.Ш.Ь] элементы, подверженные воздействию электромагнитного поля (магнитные носители, микросхемы, нелинейные элементы, подверженные высокочастотному навязыванию);
[А.1У] определяемые особенностями защищаемого объекта:
• [А.1У.а] местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта, вибрирующих отражающих поверхностей);
• [А.1У.Ь] организацией каналов обмена информацией (использование радиоканалов, глобальных открытых информационных сетей, арендуемых каналов).
Субъективные уязвимости зависят от действий сотрудников и в основном устраняются организационными методами и программно-аппаратными средствами:
[В.1] ошибки:
• [В.1.а] при подготовке и использовании ПО (в том числе при разработке алгоритмов и ПО, его инсталляции, загрузке, эксплуатации, вводе данных);
• [В.1.Ь] при управлении сложными системами (при использовании возможностей самообучения систем, настройке сервисов универсальных систем, организации управления потоками информации);
• [В.1.с] при эксплуатации ТС (при включении/выключении ТС, использовании средств охраны и средств обмена информацией);
[В.11] нарушения:
• [В.П.а] режима охраны и защиты (доступа на объект и к ТС);
• [В.П.Ь] режима эксплуатации ТС (энергообеспечения, жизнеобеспечения);
• [В.П.с] режима использования информации (обработки и обмена информацией, хранения и уничтожения носителей, уничтожения производственных отходов и брака);
• [ВИЛ] режима конфиденциальности (уволенными, а также сотрудниками в нерабочее время).
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, малопредсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности. К ним можно отнести:
[С.1] сбои и отказы:
• [С.1.а] отказы и неисправности ТС (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, охрану и контроль доступа);
• [С.1.Ь] старение и размагничивание носителей информации (дискет, съемных носителей, жестких дисков, элементов микросхем, кабелей и соединительных линий);
• [С.1.с] сбои ПО (операционных систем и СУБД, прикладных, сервисных и антивирусных программ);
• [С.1Л] сбои электроснабжения (оборудования, обрабатывающего информацию, обеспечивающего и вспомогательного оборудования);
[С.11] повреждения:
• [С.П.а] жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации, кондиционирования и вентиляции);
• [С.П.Ь] ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий, корпусов технологического оборудования).
В рамках теории принятия решений разработан целый спектр методов, позволяющих объединять частные характеристики (критерии, показатели уязвимостей) объектов различной природы в некие ненаблюдаемые в реальности агрегаты (свертки), что позволяет оценивать обобщенные свойства объектов (в нашем случае уязвимость (ОИ) (см., например, [2-6]). Будем основывать дальнейшее изложение в основном на работах [5, 6], в которых представлена методика объединения локальных критериев в обобщенные агрегаты с использованием аппарата линейного программирования.
Итак, пусть в распоряжении исследования есть численная информация о g критериях уязвимости г элементов отдельного объекта информатизации, т.е. матрица X = |хгу ||,г = 1,г,- = 1,g .
Пусть к оценке уязвимости каждого элемента ОИ привлечены p экспертов. На основе использования их сравнительных высказываний и матрицы X необходимо построить линейную свертку частных критериев (агрегированный критерий) вида
R = 1 а jXj, (1)
- =1
где j - номер частного критерия.
Далее организуется процедура независимого опроса экспертов относительно сравнительной уязвимости пар ОИ. При этом каждый эксперт производит свою оценку только по отношению к парам, уязвимость ОИ в которых он может с уверенностью сравнить.
Каждый г-й эксперт строит индексное множество М^ ={(«1 Л ),(«2Л), . ,(а/ Л ) пар объектов,
в которых первый объект более (не менее) уязвим, чем второй, и множество
N ={(^1',й^'),(с* ,^2),...,(С, ,^ ) } пар объектов, уязвимость которых, по мнению эксперта,
«примерно» одинакова, г = 1,р .
Здесь 1г и Б - размерность множеств Мг и Кг соответственно. При этом не исключаются ситуации, когда какое-то из множеств N или Мг оказывается пустым, поскольку эксперт может затрудниться в указании требуемых пар.
В случае непротиворечивости экспертных высказываний должны быть совместны системы линейных равенств и неравенств
R(Cij) = R(dij ),г = 1Р, j = й (2)
R(aij) > R(bj ),г = 1Р, j = 1Д (3)
где через Я(к) обозначена уязвимость к-го объекта, к = 1,г.
Сделаем одну необходимую оговорку. А именно, чем больше значение Я(к), тем выше уязвимость к-го элемента объекта. Значит, для достижения однородности обобщенного и частных критериев необходимо полагать, что каждый фактор Xj позитивно влияет на уязвимость, т.е.
усиливает (увеличивает) ее. А в приведенном выше перечне частных характеристик уязвимости ОИ есть такие, которые уязвимость снижают. Такие характеристики хг необходимо преобразовывать, например, посредством использования переменных 1/хг. Поэтому в (1) естествен переход от переменных хг к переменным Хг, задаваемым по правилу:
Хг = хг, если г-й фактор увеличивает уязвимость объекта, и Хг =1/хг в противном случае. Обозначим это правило цифрой (4).
Таким образом, свертка (1) заменится на следующую:
_ £
R = £а-хj, (5)
j=1
где, в соответствии с (4), хг > 0, j = 1,£ . Для агрегированного показателя уязвимости R очевидным образом остаются справедливыми системы равенств (2) и неравенств (3).
Введем в рассмотрение переменные у1- и у2 следующим образом:
Уе = ^ - хьг. ,(4 Л) е М',г =1 р,- = 1 £ ,
Уе = х<е- - х^] ,(с'е ,а'е) е К ,г=1 р,-=1, £.
Тогда равенства (2) и неравенства (3) примут соответственно вид
I а-у1- > 0,е=1,1г ,г=1, р, (6)
j=l
Iа-У2- = 0,е = Ц-,г =1Р . (7)
-=1
В соответствии с приемом, принятым в теории принятия решений, потребуем, чтобы так называемая разрешающая способность системы неравенств (6) была как можно выше. Формально это
требование представимо в форме
I Рг I I а-Уе/ ^ тах . (8)
г=1 е=1-=1
___ Р
Здесь Рг - уровень компетентности г-го эксперта, при этом Рг >0,г =1 p,!рг- =Ь
г=1
При отсутствии информации об оценках уровня компетентности экспертов будем полагать Рг = 1 для всех г = 1,р .
Учтем еще несколько важных соображений. Для обеспечения возможности сравнения степени уязвимости разных по характеру и масштабу элементов ОИ агрегированному показателю уязвимости R необходимо придать относительный характер. Это можно делать, например, следующим образом.
Рассчитаем максимальные значения преобразованных значений частных критериев уязвимости:
х+ = тах х- .
-=1, £
Потребуем, чтобы уязвимость некоего объекта с максимальными значениями ее частных характеристик составляла 100%:
р +
!а -х- = 100. (9)
-=1
Требование строгой положительности параметров а -, а также то обстоятельство, что каждый
частный показатель уязвимости обязательно должен обладать какой-то по крайне мере минимальной значимостью, можно формализовать следующим образом:
а-х- >У -,- =1 £. (10)
В качестве заданных заранее положительных чисел у - можно использовать, например, такие:
10
у - = —, поскольку, если принять равными вклады каждой частной характеристики уязвимости в их
£
100%
агрегат, значения таких вкладов будут равны величине---------.
£
Таким образом, задача построения агрегированного критерия уязвимости ОИ Л сводится к задаче линейного программирования (ЛП) с ограничениями (6), (7), (9), (10) и целевой функцией (8).
В том случае, если изначально уровень компетентности экспертов неизвестен (Рг- = — для
р
всех г), то после решения указанной задачи ЛП этот уровень можно вычислить, рассчитав среднюю разрешающую способность высказываний каждого эксперта:
Ь £ / р 1Я £ ,,
Рг = 11 а-У1- III а-у1 , (11)
е=1 -=1 / к=1е=1 -=1
т.е. чем выше суммарная разрешающая способность ограничений (6), тем выше уровень компетентности соответствующего эксперта.
Разумеется, такой способ оценивания уровня компетентности экспертов является в определенной мере относительно условным, поскольку жестко привязан к виду функции, задающей свертку критериев. Если, в частности, вместо линейной функции (1) использовать более гибкую, например полином, результаты могут оказаться иными.
Предположим теперь, что задача ЛП (6)—(10), несовместна, т.е. экспертные высказывания взаимно противоречивы. В этом случае в соответствии с теорией решения некорректных задач
А.Н. Тихонова нужно искать квазирешение указанной задачи, использовав при этом прием, описанный в [4].
Введем в рассмотрение новые неотрицательные переменные ы1е ,уге ,4 и преобразуем ограничения (6) и (7) к виду
I а-у1 + 4 > 0,е=ц- ,г=1,р, (12)
-=1
I а-Уе + иге - у1е = 0,е=ц- ,г=1, р. (13)
-=1
Введенные переменные представляют собой искажения, внесенные в ограничения (6) и (7), гарантирующие их совместность. Эти искажения необходимо минимизировать, заменив функционал (8) на
11 (4 + 4 + V?) ^ тт. (14)
г=1е=1
Сформированная таким образом задача ЛП (9), (10), (12)-(14) также будет позволять рассчитывать коэффициенты линейной свертки (5).
Далее, при оценивании уровня компетентности каждого эксперта в этом случае следует исходить из соображения - чем меньше суммарное искажение ограничений, следующих из его эксперт-
1 г г г Iр 1 г г г
ных высказываний, тем этот уровень выше, т.е. Рг = 1 -1 (4 + и1е + у1е) II (4 + ие + ^е ) .
е=1 / г=1е=1
Для того чтобы обеспечить равенство единице суммарных уровней компетенции, полученные значения Рг необходимо соответствующим образом пронормировать.
Для оценки уровня компетентности экспертов, высказывания которых непротиворечивы, следует воспользоваться описанным выше приемом.
В следующей своей публикации авторы намерены описать практическое использование предложенной в работе методики для оценки уязвимости конкретных ОИ.
Литература
1. Классификация угроз информационной безопасности [Электронный ресурс]. - Режим доступа: Ьйр:/^'л^.спе'л^.ги/геу1е'л^Ягее/оЫсот/8есш11у/еЫ8_с1а88.8Ь1т1, свободный (дата обращения: 11.04.2014).
2. Носков С.И. Управление системой обеспечения пожарной безопасности на региональном уровне / С.И. Носков, В.П. Удилов. - Иркутск: ВСИ МВД России, 2003. - 151 с.
3. Носков С.И. Газификация сельской местности: целевое программирование пожарной безопасности / С.И. Носков, В.Г. Подушко, В.П. Удилов. - Иркутск: ИрГТУ, 2001. - 150 с.
4. Носков С.И. Критериальная оценка обстановки с пожарами АТЕ Сибири и Дальнего Востока / С.И. Носков, В.П. Удилов, О.В. Бутырин // Проблемы деятельности правоохранительных органов и противопожарных служб: матер. II межвуз. науч.-практ. конф. - Иркутск: ИВШ МВД России, 1996. - С. 109-111.
5. Носков С.И. Технология моделирования объектов с нестабильным функционированием и неопределенностью в данных. - Иркутск: Облинформпечать, 1996. - 320 с.
6. Носков С.И. Оценка уровня уязвимости объектов транспортной инфраструктуры: формализованный подход / С.И. Носков, В.А. Протопопов // Современные технологии. Системный анализ. Моделирование. - 2011. - № 4. - С. 241-244.
Носков Сергей Иванович
Д-р техн. наук, профессор, профессор каф. информационных систем и защиты информации Иркутского государственного университета путей сообщения (ИрГУПС)
Тел.: 8-914-902-24-94
Эл. почта: [email protected]
Бутин Александр Алексеевич
Канд. физ.-мат. наук, доцент, доцент каф. информационных систем и защиты информации ИрГУПС
Тел.: 8-908-662-57-05
Эл. почта: [email protected]
Соколова Людмила Евгеньевна
Ассистент каф. информационных систем и защиты информации ИрГУПС
Тел.: 8-904-120-81-84
Эл. почта: [email protected]
Noskov S.I., Butin A.A., Sokolova L.E.
Multicriterial assessment of the level of vulnerability of the objects of informatization
The article considers a formalized way of assessing the vulnerability informatization objects. Itinvolves the construction of aggregated criterion of the level of vulnerability in the form of a linear convolution of local criteria with the use of methods of the theory of decision-making. The problem of determining the coefficients of the convolution is reduced to finding a solution or quasidecision of linear programming problems. An algorithm for evaluation of the level of competence of experts.
Keywords: information security, vulnerability, linear programming, quasidecision, theory of decision-making, expert information.