ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА
И УПРАВЛЕНИЕ
В.В. Меньших, Н.Е. Спиридонова
доктор физико-математических наук, профессор
МОДЕЛИРОВАНИЕ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ С УЧЕТОМ ВОЗМОЖНОСТЕЙ
НАРУШИТЕЛЕЙ
SIMULATION OF UNAUTHORIZED ACCESS TO SENSITIVE INFORMATION TAKING INTO ACCOUNT THE POSSIBILITIES
OF INTRUDERS
В статье приведено описание разработанных математических моделей, позволяющих получить вероятностные оценки возможных несанкционированных действий различных видов нарушителей безопасности информации.
In this paper description of implement mathematical models that allow to obtain probabilistic estimates of the possible unauthorized access of various types of information interlopers.
Введение. Обеспечение информационной безопасности является приоритетным направлением работы для любой организации. Под безопасностью информации (БИ) понимают состояние защищенности информации, при котором обеспечены ее конфиденциальность, целостность и доступность [1]. Соблюдения этих условий возможно достичь лишь в случае комплексного подхода к защите информации (ЗИ). Однако на сегодняшний день пристальное внимание уделяется отдельным составляющим информационной безопасности (физической, технической, правовой и криптографической ЗИ), в то время
как вопросы комплексного подхода не рассмотрены достаточно широко [2]. Нередки ситуации, когда усиление защиты объекта с одной стороны приводит к ее ослабеванию с другой.
Вместе с тем решение задачи комплексного исследования БИ предполагает и изучение влияния каждого фактора в отдельности. В частности, важной составляющей обеспечения БИ является вопрос оценки эффективности выбираемой системы защиты информации (СЗИ).
С ростом мер, принимаемых для защиты современных информационных систем (ИС), в равной степени увеличиваются возможности злоумышленников реализовать несанкционированный доступ (НСД) к защищаемой информации. Последствия реализованных атак на ИС напрямую зависят от уровня подготовленности и технической оснащенности злоумышленника. Следовательно, для должного обеспечения безопасности данных необходимо предусмотреть вероятные способы НСД к защищаемому объекту различными типами нарушителей. Это, в свою очередь, позволило бы своевременно обнаруживать угрозы и принимать меры к минимизации ущерба от них. В качестве инструмента для решения поставленной задачи целесообразно использовать математический аппарат моделирования, так как реальное тестирование выбранной СЗИ является экономически невыгодным.
Структурная модель. На первом этапе для имитационного моделирования работы СЗИ требуется разработка модели угроз безопасности информации (БИ), включающей в себя модель нарушителя БИ. Чаще всего строится неформальная модель нарушителя, отражающая причины и мотивы действий, его возможности, априорные знания, преследуемые цели, их приоритетность для нарушителя, основные пути достижения поставленных целей: способы реализации исходящих от него угроз, место и характер действия, возможную тактику и т. д. Для достижения поставленных целей нарушитель должен приложить определенные усилия и затратить некоторые ресурсы. Определив основные причины нарушений, представляется возможным оказать на них влияние или необходимым образом скорректировать требования к системе защиты от данного типа угроз [3].
На основе анализа прав доступа к данным информационной системы или ее компонентам различают 2 вида нарушителей: внешние и внутренние. Внешним нарушителем считают лицо, не имеющее непосредственного доступа к ресурсам информационной системы и реализующее атаку из-за ее границ. Внутренним нарушителем является лицо, имеющее разовый или постоянный доступ к ресурсам информационной системы.
Возможность осуществления нарушителем несанкционированного доступа (НСД) к защищаемой информации зависит от меры его затраченных усилий (потенциала). Различают нарушителей с высоким, средним и низким потенциалом. Низкий потенциал подразумевает получение злоумышленником информации об уязвимостях информационной системы из общедоступных источников. Нарушители со средним потенциалом имеют представление о методах защиты конкретной информационной системы (ИС), могут получить информацию об уязвимостях с помощью применения программных средств, находящихся в свободном доступе, а также анализа кода программного обеспечения. Нарушители с высоким потенциалом имеют все возможности нарушителей со средним и низким потенциалами, хорошо осведомлены о методах защиты информационной системы, могут получить информацию об уязвимостях с помощью проведения специальных мероприятий [4].
Рассмотрим информационную систему (ИС) в виде иерархической структуры, состоящей из четырех уровней (сетевой, системный, прикладной, аппаратный). Злоумышленник, планируя свою атаку, выбирает один из уровней ИС, к которому будет осуществляться НСД. Следующим шагом после проникновения в систему является воздействие злоумышленника на защищаемую информацию. Атака считается завершенной, если в результате НСД нарушено одно из свойств информации: целостность, конфиденциальность или доступность. Злоумышленник, осуществляя атаку, может оказаться замеченным на каждом уровне ИС или вовсе остаться необнаруженным, при этом его конечная цель (осуществление НСД) может быть выполненной или не выполненной. В общем виде структурную модель НСД к ИС можно представить в виде графа (рис.1).
Рис.1. Структурная модель несанкционированных действий злоумышленника
Здесь использованы следующие обозначения:
Б0 — начальное состояние, злоумышленник готовится к реализации атаки;
— осуществление НСД к сетевому уровню ИС;
Б2 — осуществление НСД к системному уровню ИС;
Б3 — осуществление НСД к прикладному уровню ИС;
Б4 — осуществление НСД к аппаратному уровню ИС;
Б5 — нарушение целостности защищаемой информации;
Бб — нарушение конфиденциальности защищаемой информации;
Б7 — нарушение доступности защищаемой информации;
— злоумышленник получил необходимую информацию и был обнаружен;
Б9 — злоумышленник получил необходимую информацию, но остался необнаруженным;
Б10 — злоумышленник не получил необходимую информацию и был обнаружен;
Б11 — злоумышленник не получил необходимой информации, но остался необнаруженным.
Оценка параметров и структурно-параметрическая модель. Для оценки возможностей нарушителя необходимо дать количественные оценки его действиям. Так как в области этой проблематики отсутствуют достоверные статистические данные, представляется возможным для решения данной задачи применить экспертное оценивание. Среди множества методов экспертных оценок был выбран метод Саати (метод анализа иерархий), ввиду наибольшей объективности получаемых результатов и простоты в использовании. Иерархическая структура метода анализа иерархий (МАИ) включает в себя постановку цели, выбор критериев, а также варианты достижения цели (альтернативы). МАИ позволяет свести исследование систем любой сложности к последовательности попарных сравнений определенных компонент [5].
Постановка задачи для оценки действий нарушителя выглядит следующим образом: пусть имеется множество альтернатив (уровни информационной системы) A={А1, А2, ... А^, каждая из них оценивается списком критериев K={К1, К2, ... Кп} (вид нарушителя в зависимости от его возможностей и доступа к ИС). Требуется определить наилучшее решение.
Таким образом, с помощью экспертного оценивания были получены вероятностные оценки проникновения злоумышленником в ИС, а также нарушения им целостности, конфиденциальности или доступности информации в зависимости от его возможностей (потенциала). На основании рассчитанных весовых коэффициентов может быть построена структурно-параметрическая модель несанкционированных действий злоумышленника (рис. 2), необходимая для дальнейшего имитационного моделирования работы СЗИ.
Рис. 2. Структурно-параметрическая модель несанкционированных действий
нарушителя БИ
Имитационная модель. Для использования имитационного моделирования необходимо имеющуюся структурно-параметрическую модель преобразовать в сеть Петри. В качестве инструментальной системы моделирования был использован свободно распространяемый пакет CPN Tolls, выбор которого обусловлен его гибкостью и широкими функциональными возможностями [6].
Имитационная модель схемы несанкционированных действий нарушителя на основе сетей Петри показана на рис. 3 и представляет собой иерархическую сеть Петри, включающую две модели второго уровня (подсети) [7]. Динамические элементы, представленные фишками, перемещаются в результате срабатывания переходов.
Верхний уровень иерархии модели включает в себя следующие компоненты: «In» — начальная позиция, в которой находится фишка, разрешающая запуск модели. «gen» — конечная позиция блока, в котором происходит формирование нарушителя; «pr» — вспомогательный (промежуточный) переход, связывающий две подсети; «obrin» — позиция, в которой нарушитель заданного типа готовится к реализации атаки. Ход его возможных действий моделируется сложным переходом «Obr»; «obrout» — выходная позиция.
Тип нарушителя моделируется сложным переходом «Gen», вырабатывающим случайным образом последовательность маркеров (tp, p, t), представляющих кортеж, где tp — вид нарушителя, p — вероятность его появления, t — время, которое используется для анализа работы модели; Переход «Gen» представляет собой подмодель второго уровня и состоит из позиций S и переходов P, где: «in» — начальное состояние;
«su1» — внешний нарушитель с высоким потенциалом; «su2» — внешний нарушитель со средним потенциалом; «su3» — внешний нарушитель с низким потенциалом; «sg1 » — внутренний нарушитель со средним потенциалом; «sg2» — внутренний нарушитель с низким потенциалом; «gen» — конечное состояние подмодели.
В подмодели второго уровня «Obr» происходит генерирование возможных путей злоумышленника при осуществлении им НСД к ИС. На входной позиции «obrin» находится нарушитель заданного типа с последовательностью маркеров (tp, p, t). При срабатывании перехода фишка может попасть в одну из четырех позиций где: «set» — сетевой уровень ИС; «obsis» — общесистемный уровень ИС; «pric» — прикладной уровень ИС; «app» — аппаратный уровень ИС. Далее фишка попадает в одну из трех позиций, где: «с» — нарушение целостности информации; «k» — нарушение конфиденциальности информации; «d» — нарушение доступности информации.
Рис. 3. Имитационная модель несанкционированных действий нарушителя
После этого фишка может оказаться в следующих состояниях: «ob+pol» — злоумышленник обнаружен и информация получена; «neob + pol» — злоумышленник не обнаружен и информация получена; «o + npl» — злоумышленник обнаружен, информация им не получена; «neo + nepol» — злоумышленник не обнаружен, информация им не получена. Так как CPN Tools позволяет обрабатывать большие массивы информации, то в модель запускается 10000 фишек. Для улучшения визуальных свойств модели на экран
выведены мониторы, содержащие информацию об исходах атак, совершаемых каждым типом нарушителя. Полученные значения носят вероятностный характер и позволяют судить об устойчивости СЗИ к конкретным угрозам.
Заключение. В разработанной имитационной модели оценки вероятности угроз несанкционированного доступа к информационной системе учтены индивидуальные особенности злоумышленника, к которым относятся потенциал нарушителя и возможность его доступа к системе. Структура ИС представлена в виде уровней, на которые чаще всего совершаются атаки, состояний нарушения свойства информации, а также различных вариантов завершения неправомерных действий нарушителя. Применение модели имеет большое практическое значение, так как с ее помощью возможно оценить эффективность имеющейся на объекте системы защиты информации. Модель является универсальной и может многократно использоваться при структурном изменении СЗИ.
ЛИТЕРАТУРА
1. ГОСТ Р 50922—2006. Защита информации. Основные термины и определения. — М. : Изд-во стандартов, 2008. — 8 с.
2. Козьминых С. И. Математическое моделирование обеспечения комплексной безопасности объектов информатизации // Вопросы кибербезопасности. — 2018. — № 1(25). — С. 54—63.
3. Меньших В. В., Петрова Е. В., Толстых О. В. Математические модели защищенных информационных систем органов внутренних дел. — Воронеж : Воронежский институт МВД России, 2016. — 168 с.
4. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). — ФСТЭК, от 15.02.2008 [Электронный ресурс]. — URL : https://fstec.ru//
5. Саати Т. Принятие решений / пер. с англ. Р. Г. Вачнадзе / Т. Саати. — М. : Радио и связь, 1993 — 278 с.
6. Пакет имитационного моделирования CPN TOOLS : руководство пользователя [Электронный ресурс]. — URL : http://cpntools.org/
7. Питерсон Дж. Теория сетей Петри и моделирование систем. — М. : Мир, 1984. — 264 с.
REFERENCES
1. GOST R 50922—2006. Zaschita informatsii. Osnovnyie terminyi i opredeleniya. — Moskva : Izd-vo standartov, 2008. — 8 s.
2. Kozminyih S. I. Matematicheskoe modelirovanie obespecheniya kompleksnoy be-zopasnosti ob'ektov informatizatsii // Voprosyi kiberbezopasnosti. — 2018. — # 1(25). — S. 54—63.
3. Menshih V. V., Petrova E. V., Tolstyih O. V. Matematicheskie modeli zaschi-schen-nyih informatsionnyih sistem organov vnutrennih del. — Voronezh : Voronezhskiy institut MVD Rossii, 2016. — 168 s.
4. Bazovaya model ugroz bezopasnosti personalnyih dannyih pri ih obrabotke v informatsionnyih sistemah personalnyih dannyih (vyipiska). — FSTEK, ot 15.02.2008. [El-ektronnyiy resurs]. — URL : https://fstec.ru//
5. Saati T. Prinyatie resheniy / per. s angl. R. G. Vachnadze / T. Saati. — M. : Radio i svyaz, 1993 — 278 s.
6. Paket imitatsionnogo modelirovaniya CPN TOOLS : rukovodstvo polzovatelya [El-ektronnyiy resurs]. — URL : http://cpntools.org/
7. Piterson Dzh. Teoriya setey Petri i modelirovanie sistem. — M. : Mir, 1984. — 264 s.
СВЕДЕНИЯ ОБ АВТОРАХ
Меньших Валерий Владимирович. Профессор кафедры математики и моделирования систем. Доктор физико-математических наук, профессор.
Воронежский институт МВД России. E-mail: [email protected]
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-10.
Спиридонова Наталья Евгеньевна. Адъюнкт. Воронежский институт МВД России. E-mail: [email protected]
Россия, 394065, Воронеж, проспект Патриотов, 53. Тел. (473) 200-52-16.
Menshikh Valery Vladimirovich. Professor of the chair of Mathematics and Modeling Systems. Doctor of Physical and Mathematical Sciences, Professor.
Voronezh Institute of the Ministry of the Interior of Russia. E-mail: [email protected]
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-10.
Spiridonova Natalia Evgenevna. Post-graduate cadet. Voronezh Institute of the Ministry of the Interior of Russia. E-mail: [email protected]
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-52-16.
Ключевые слова: информационная система; модель угроз; информационная безопасность; имитационная модель; несанкционированный доступ.
Key words: information system; model of threat; information security; simulation model; unauthorized access.
УДК 004.94