CC BY
53
В. В. Меньших,
доктор физико-математических наук, профессор
А.С. Лукьянов
МОДЕЛЬ ОЦЕНКИ СОХРАНЕНИЯ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ В ТЕРРИТОРИАЛЬНЫХ СЕГМЕНТАХ ЕИТКС
MODEL OF AN ESTIMATION SAVING OF CONFIDENTIALITY OF THE INFORMATION IN TERRITORIAL SEGMENTS OF UNITED INFORMATION-TELECOMMUNICATION SYSTEM (UITKS)
Предлагается математическая модель оценки сохранения конфиденциальности информации на основе использования методов теории нечётких множеств.
The mathematical model of an estimation saving of confidentiality of the information on the basis of use of methods of the theory of indistinct sets is developed.
В настоящее время осуществляется внедрение в МВД единой информационнотелекоммуникационной системы (ЕИТКС), позволяющей значительно повысить эффективность работы ОВД за счёт возможности передачи и обработки больших объёмов информации в короткие промежутки времени [1]. Однако информация, передаваемая по ЕИТКС, должна удовлетворять высоким требованиям по её защите, под которой понимается деятельность, направленная на предотвращение утечки и несанкционированных и непреднамеренных воздействий [2].
Существует достаточно большое количество различных способов обеспечения защиты информации. Каждый из них требует некоторого механизма его реализации, под которым понимается последовательность выполнения взаимосвязанной совокупности организационных мероприятий и мероприятий по использованию программноаппаратных средств защиты информации. Каждый механизм защиты информации должен учитывать особенности конкретной информационной системы. Поэтому возникает необходимость разработки математических моделей, которые позволили бы оценить эффективность тех или иных механизмов защиты информации и осуществить выбор оптимального механизма для данной системы.
Наиболее сложными являются механизмы защиты информации в территориальном сегменте ЕИТКС, содержащем большое число элементов, которые, к тому же, территориально разнесены. Решение задачи выбора механизма защиты информации в этом случае невозможно без разработки математических моделей, которые позволили бы получить численные оценки эффективности этих механизмов.
Одной из наиболее важных задач, решаемымых в процессе обеспечения защиты информации, является сохранение её конфиденциальности.
Под конфиденциальностью информации понимается состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право [3, 4].
В настоящей работе разрабатываются математические модели численной оценки сохранения конфиденциальности информации в территориальных сегментах ЕИТКС.
Формализация задачи обеспечения требуемой конфиденциальности
Решение любой задачи по обеспечению защиты информации может быть осуществлено только на основе информации о защищаемом объекте. Для рассматриваемых в работе территориальных сегментах ЕИТКС необходима информация о территориально распределённых элементах (узлах) системы и отношениях (существующих линиях связи) между ними.
Для описания объектов, представляющих собой множества с заданными на них отношениями, используются конечные графы.
Обозначим V =\ух,,...,У„} — множество элементов (узлов связи) ЕИТКС,
Е = {в1,в2,...,вт}, где в. = (V ,V ),I = 1,т — множество бинарных отношений (линий связи) между элементами ЕИТКС. Тогда G = (V,Е) — граф, представляющий собой структурную модель территориального сегмента ЕИТКС. Будем считать, что отношение Е в общем случае не является симметричным, поэтому G — ориентированный граф.
Обратимся к получению оценок сохранения конфиденциальности в территориальном сегменте ЕИТКС.
До сих пор единый подход к получению оценок сохранения конфиденциальности отсутствует. Ниже предлагается такой подход на основе сравнения с оценками возможности несанкционированного доступа (НСД).
Требования по сохранению конфиденциальности могут предъявляться только на узлах территориального сегмента ЕИТКС, где осуществляется хранение информации. Достижение полной конфиденциальности, как правило, является невозможным или связано со значительными материальными затратами. Поэтому в зависимости от важности хранимой информации могут предъявляться более или менее жесткие требования по обеспечению конфиденциальности.
Задачу требуемой конфиденциальности можно считать решённой, если выполняется векторное условие:
к V) > кус),
где К (V. ) = (КЫ, К(^2),.-К^, )) — вектор степеней сохранения конфиденциальности для всех узлов связи V.,I = 1,2,...,£ выделенного в данной сети подмножества защищаемых узлов V.;
К(ус) = ^К^),К(^),...,К^£ )^ — вектор требуемых степеней сохранения конфиденциальности для всех узлов связи.
Для получения этих оценок используем оценки возможности НСД к информации, который возможен как на узлах связи V, так и на линиях связи Е — N (V ^ Е ) = ( N (V), N (Е )) для заданной сети G = (V, Е ),
где N (V) = (N00, N(V2),...,N(VЯ)),
N (Е) = (N (вД N (в2),..., N(вт)).
При оценке сохранения конфиденциальности информации будем учитывать, что понятия «конфиденциальность информации» и «возможность несанкционированного доступа к информации» являются семантически противоположными.
Функциональная модель оценки возможности несанкционированного доступа Будем различать собственную незащищённость информации (возможность утечки, повреждения, фальсификации и др.) 7(V.) на самом узле связи V. Е V и возможность НСД к информации Ь(у.) на данном узле V. с других элементов данной сети, которую предлагается называть наследственной незащищённостью. Таким образом,
N (V) = ¡(7 (V), Щ)), (1)
где / () — функция агрегирования параметров 7 (V.) и
В свою очередь наследственная незащищённость Ь(у ) определяется возможностью НСД N(е. ) к отдельным линиям связи е., по которым возможен непосредственный доступ к информации на узле V. — е. Є Е+ (V. ) . Таким образом,
Цуг) = g(N(eл),N(е;.),...,N(еЛ)), (2)
где g(■) — функция агрегирования параметров N(ек ),N(е.),...,N(е. );
р = Iе+(V ^ = deg+ V і — полустепень захода вершины V. графа О. Возможность НСД N(е.) для отдельной линии связи е. определяется собственной незащищённостью информации 2(е.) в момент её передачи по линии связи е. Є Е и её наследственной незащищённостью Ь(е.), т. е. возможностью НСД к информации с узла Vk Ь(ук ), с которым связывает узел V. линия е. : Ь(е.) = N(ук). Таким образом,
N (е.) = к (2 (е.), N (Vk)), (3)
где к() — функция агрегирования параметров 2 (е.) и N (V ).
Опишем общую схему алгоритма получения оценок возможности НСД к узлам сети. Для получения оценки возможности НСД к информации на узле V выделим V0— подмножество узлов, с которых может осуществляться такой доступ. Построим граф О * — подграф графа О , содержащий все ориентированные пути из вершин множества V0 в вершину V . Будем считать, что О * является ациклическим графом, т. е. не содержит ориентированных циклов. Если это не так, то с графом О * может быть
осуществлена процедура сведения его к ациклическому. С этой целью будем последовательно выделять циклы, находить в них самые защищённые линии связи и исключать их из рассмотрения, так как возможности их использования для НСД наименьшие.
Каждый ациклический граф можно представить в ярусно-параллельной форме [5]. При этом первый ярус составляют источники графа, а следовательно, возможность НСД к соответствующим узлам определяется только незащищённостью этих узлов: N (V.) = 2 (V.).
В таком случае возможность несанкционированного доступа к информации, передаваемой по линиям связи от узлов первого яруса к узлам второго яруса, может быть найдена по формуле (3). После этого по формуле (2) может быть найдена наследственная незащищённость узлов второго яруса, а по формуле (1) — возможность НСД к этим узлам.
Продолжая процесс последовательного движения по ярусам, можно найти возможности несанкционированного доступа ко всем вершинам графа О *, в том числе и к
вершине V , составляющей последний ярус этого графа.
На рисунке приведен пример оценки возможности НСД к информации в узле V для графа О *, содержащего три яруса.
Аналитическая модель оценки возможности несанкционированного доступа Для вычисления величин N(V.) и N(ек ) необходимо знание численных оценок
собственной незащищённости информации 2(V ) и 2 (ек) на каждом элементе сети — узле и линии связи.
N (V!) = г (V!)
о
N (V!) = И( г (еД N (V!))
N (V,) = г (V,.)
N ^ 2 )
N(V4 ) = /(г(^4 X Дп ))=где ^) = & N^1), N(6,))
О
= И( г (е7),
N(v5) = И(г(е5), N(v5))
N (v 0) = / (г КХ L(Vo*)), где
¿К*) = & (N (е5), N (е6))
43
а
N
N (vз) = 2(^3)
N (V,) = И(2 ) (е зХ N (Уз)) и
N (V 4) = И(г (е4 X N (У4))
= И(г (ебХN (v6))
N^5) = /(Ду;)М'5))где Щ) = ^(ез),^))
Пример оценки возможности НСД к информации в узле V*
Как правило, найти объективный метод получения таких оценок не удаётся. Это объясняется тем, что они основываются на прогнозе потенциальных возможностей нарушителей, которые могут быть оценены только экспертами. Одним из наиболее удобных подходов к оценке субъективных мнений экспертов является использование нечётких множеств.
Будем считать, что экспертные оценки собственной незащищённости каждого элемента сети с помощью стандартных методов [5] представлены в виде функций принадлежности нечётких множеств. Тогда решение задачи оценки возможности НСД сводится к нахождению функций агрегирования нечётких оценок незащищённости, т. е. к нахождению аналитических выражений функций /, &,И в формулах (1)—(3).
Покажем, что в качестве функций агрегирования можно использовать так называемые треугольные конормы.
Обозначим т ,№ъ ,№с — параметры функции агрегирования Т, заданные функциями принадлежности соответствующих нечётких множеств. Основанием для возможности использования в качестве функции агрегирования Т треугольных конорм является выполнение свойств, перечисленных в табл. 1.
Таблица 1
Описание свойств треугольных конорм
№ п/п Название Описание
1. Ограниченности Т (1,1) = 1
2. Ограниченность, Т (0, т )=та
3. Ограниченность, Т (та ,0) = т
4. Монотонность Если т >т т , тоТ (та т) > Т (т т)
5. Коммутативность Т (Ма, Мь ) = Т (Мь Ма )
6. Ассоциативность Т(Ма ,Т(Мь Мс )) = Т(Т(Ма Мь )Мс )
Обратимся к изучению свойств функций /, g, И , определённых в (1)—(3).
Исходя из семантики понятий «собственная незащищённость узла связи», «наследственная незащищённость узла связи», «собственная незащищённость линии связи», «НСД к информации на узле связи», «НСД к информации на линии связи» постулируем следующие правила оценок возможности несанкционированного доступа к информации и укажем связь этих правил со свойствами треугольных конорм.
Таблица 2
Описание свойств функций агрегирования
№ п/п Описание правила Свойство треугольной конормы, подтверждаемое правилом
1 2 3
1. Если информация на узле V. полностью незащищена и имеется абсолютная возможность НСД к этой информации с других узлов, то имеется абсолютная возможность НСД к информации на узле V.. Ограниченность 1 функции /
2. Если информация на узле V. полностью защищена, то оценка возможности НСД к ней определяется наследственной незащищённостью этой информации. Ограниченность2 функции /
Прод. табл. 2
1 2 3
3. Если имеется абсолютная невозможность НСД к информации на узле V. с других узлов, то оценка возможности НСД к ней определяется собственной незащищённостью узла V.. Ограниченность3 функции /
4. Если собственная незащищённость и наследственная незащищённость узла V не меньше, чем собственная незащищённость и наследственная незащищённость узла у^, оценки возможности НСД к информации на узле V не меньше оценки возможности НСД к информации на узле V,. Монотонность функции /
5. Собственная и наследственная незащищённость информации на узле V одинаково влияют на оценку возможности НСД к этой информации. Коммутативность и ассоциативность функции /
6. Если абсолютно возможен НСД с каждой линии связи, по которым возможен доступ информации к информации на узле связи VI, то имеется абсолютная наследственная незащищённость этого узла. Ограниченность1 функции g
7. Если НСД к информации по данной линии связи невозможен, то наследственная незащищённость узла связи опре- Ограниченность2 и ограниченностьЗ
деляется оценкой возможности НСД к информации по остальным линиям связи. функции g
8. Если оценка возможности НСД по какой-либо линии связи не уменьшается, то оценка наследственной незащищённости узла связи также не уменьшается. Монотонность функции g
9. Оценки возможности НСД к информации с отдельных линий связи одинаково влияют на оценку наследственной незащищённости узла связи. Коммутативность и ассоциативность функции g
10. Если абсолютная возможность НСД к этой информации на узле V и линия связи полностью незащищена, то имеется абсолютная возможность НСД к информации с линии связи е,. Ограниченность1 функции И
11. Если информация полностью защищена, то оценка возможности НСД к ней определяется возможностью НСД к ней на узле V;. Ограниченность2 функции И
12. Если имеется абсолютная невозможность НСД к информации на узле V; с других узлов, то оценка возможности НСД к ней с линии связи е, определяется собственной незащищённостью линии связи е,. Ограниченность3 функции И
13. Если возможность НСД к информации на узле V; и собственная незащищённость линии связи е, не меньше, чем возможность НСД к информации на узле Vk и собственная незащищённость линии связи е1, то оценки возможности НСД к информации с линии связи е, не меньше оценки возможности НСД к информации с линии связи е1. Монотонность функции И
14. Возможность НСД к информации на узле V; и собственная незащищённость линии связи е, одинаково влияют на оценку возможности НСД к информации на линии связи е,. Коммутативность и ассоциативность функции И
Исходя из перечисленных свойств функций /, g, И в формулах (1)—(3), можно сделать вывод о том, что эти функции целесообразно брать в виде треугольных конорм. Обратимся к нахождению явных аналитических выражений для этих функций.
Явный вид функций агрегирования
Полученные описания функций агрегирования f, g, h не позволяют однозначно восстановить их явный вид. Это может быть сделано только для конкретных сетей с привлечением информации об их специфике. Поэтому опишем только наиболее вероятные варианты этих функций, выбор из которых должны осуществить эксперты.
Если понятие «возможность НСД» совпадает с понятием «вероятность НСД», то следует принять
N(v,) = f (Z(v,. X LO’ )) = Z(v,.) + Щ ) - Z(v,.)L(vt);
L(v,) = g(N(eh), N(ej2)) = N(eh) + N(e,2) - N(eh)N(e,2);
N (e,) = h (Z(ej), N (vk)) = Z (e,) + N (vk) - Z(e,) N(vk).
В том случае, если f, g, h обладают свойством дистрибутивности, то в соответствии с [6] это должны быть функции max .
В тех случаях, когда не удаётся за счёт использования дополнительных свойств однозначно восстановить явный вид функций агрегирования, то рассматривают их параметрические семейства [6]. К настоящему времени теория нечётких множеств располагает значительным количеством гибких параметризованных операторов, позволяющих агрегировать нечёткую информацию с учётом изменчивости ситуационных данных. Наиболее удобными для компьютерной обработки в реальном масштабе времени (т.е. с минимальными временными затратами) из параметрических семейств являются
треугольные конормы Хамахера [7] и Сугено [8]. Для функций /, g,И эти нормы и ко-
нормы должны быть определены следующим образом: треугольные конормы Хамахера:
Для использования этих функций агрегирования требуется подобрать конкретные значения параметров у или 1.
После получения значений оценок возможности НСД к информации на узлах связи необходимо получить оценки сохранения конфиденциальности. В силу семантической противоположности этих понятий примем, что сохранение конфиденциальности также оценивается нечёткими оценками, которые являются дополнениями до нечётких оценок возможности НСД:
Таким образом, удалось разработать новый метод оценки сохранения конфиденциальности информации основанный на семантическом анализе понятий «конфиденциальность информации», «несанкционированный доступ к информации». Для получения численных оценок использованы методы теории нечётких множеств, построенных на основе обработки экспертных оценок. Обоснованы методы получения явного вида численных оценок сохранения конфиденциальности информации.
Разработанный метод оценки сохранения конфиденциальности можно использовать для выбора механизмов защиты информации в территориальных сегментах ЕИТКС.
1. Программа МВД России «Создание единой информационно-телекоммуникационной системы органов внутренних дел», утвержденная приказом МВД России №813 от 6.12.2004.
2. Основы информационной безопасности: учебник для высших учебных заведений МВД России / под ред. В. А. Минаева и С.В. Скрыля. — Воронеж: Воронежский институт МВД России, 2o0l. — 464 с.
3. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации.
4. Специальные требования и рекомендации. Информационная технология. Основные термины и определения в области технической защите Р 50.1.053. — 2005.
5. Меньших В.В. Структурная адаптация систем управления / В.В Меньших, В.В. Сысоев. — М.: Радиотехника, 2002. — 150 с.
6. Нечёткие множества в моделях управления и искусственного интеллекта / под ред. Д. А. Поспелова. — М.: Наука. Гл. ред. физ.-мат. лит., 1986. — 312 с.
7. Hamacher H. Uber logische verknupfunngen unscharfer aussagen und deren zugehörige bewertungs - funktionen / H. Hamacher // Progress in Cybernetics and Systems Re-
N1(v,) = min I1,Z(v,) + L(v,) +Л- Z(v,.)• L(vt)];
N^ej) = min 1, Z(ej) + N(vk) + 1 • Z(e}) • N(vk)]
K (V) = N (V).
ЛИТЕРАТУРА
search.— V. 2 / Ed. by R. Trappl and P. de Hanika. — New York: Hemisphere Publ. Corp.1975.— P. 276—287.
8. Dubois D. A class of fuzzy measures based on triangular norms / D. Dubois, H. Prade. — Int. G. General Systems.— 1982.— V. 8.— P.43—61.
