CC BY
0
Vershennik Alexey Vasilyevich, candidate of technical sciences, teacher, [email protected], Russia, St. Petersburg, SM.Budyonny Military Academy of Communications
УДК 519.718
DOI: 10.24412/2071-6168-2023-11-8-9
ОБОСНОВАНИЕ НЕОБХОДИМОСТИ ПРОВЕДЕНИЯ ИССЛЕДОВАНИЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
А.М. Сухов, А.В. Крупенин, Е.А. Ленц, Д.Д. Праслов
Рассмотрено современное состояние проблемы обеспечения требуемого уровня информационной безопасности единого информационного пространства. Приведены основные причины возникновения уязвимостей в едином информационном пространстве. Раскрыты функции подключения к системе управления. Определена актуальная задача, заключающаяся в разработке формализованной модели процесса функционирования системы обеспечения информационной безопасности и методик на ее основе с целью модернизации системы и рациональной организации ее процесса функционирования с учетом информационного конфликта.
Ключевые слова: эффективность, процесс функционирования, упреждение, система обеспечения информационной безопасности.
Современные информационно-телекоммуникационные сети и системы (ИТКСиС) входящие в состав единого информационного пространства (ЕИП) представляют собой сложные территориально распределенные системы, что само по себе ставит перед системой обеспечения информационной безопасности (СОИБ) трудные задачи [1-8]. Кроме того, специфика функционирования ИТКСиС подразумевает совместное использование информационно-технических ресурсов, эксплуатация которых может привести к реализации деструктивных воздействий (ДВ) на критически важный объект, функционирующий в ЕИП, т.е. к нарушению целостности, конфиденциальности и/или доступности информации, а также функциональному поражению объекта [9-14].
Появление новых технологий приводит не только к совершенствованию процессов доступа к информации, но и к практически ежедневному появлению новых уязвимостей и разработке ДВ эксплуатирующих выявленные уязвимости [15-17]. Злоумышленник совершенствует технологии, и информация, способная оказать помощь в его деятельности, становится более доступной [18-20]. Доступность в сетях общего пользования программных средств для эксплуатации тех или иных уязвимостей программно-аппаратных средств позволяют совершать атакующие действия без наличия специальной подготовки и, как следствие, без точного представления о размерах ущерба, который может быть нанесен [20].
Существующие в ЕИП аппаратные и программные средства защиты информации (СрЗИ) позволяют осуществлять идентификацию и аутентификацию пользователей, контролировать физический и логический доступ, производить аудит атомарных событий информационной безопасности (АСИБ) и осуществлять криптографическую защиту [5, 9, 11, 15]. Однако обеспечение абсолютной защиты в любое время всех компонент и сервисов системы невозможно, в первую очередь - с экономической точки зрения [2, 4, 6].
Кроме того, достаточно сложно реализовать эффективное применение механизмов контроля доступа в условиях использования ресурсов сетей общего пользования для предоставления доступа к конфиденциальной информации, когда различие между внутренним и внешним пользователем неочевидно. Таким образом, внешний периметр ЕИП, вследствие динамического изменения конфигурации сети и увеличения числа точек внешнего доступа к службам и информационным ресурсам, становится все более незащищенным.
Межсетевые экраны (МЭ), являющиеся важнейшими элементами СОИБ, могут контролировать доступ к ресурсам и службам из-за пределов внешнего периметра и выявлять определенные события, связанные с попытками незаконного проникновения в различные сегменты сети передачи данных. Однако при помощи МЭ невозможно и экономически нецелесообразно защититься от всех возможных ДВ. Следовательно, СОИБ необходимы средства, осуществляющие обнаружение ДВ и выработку соответствующей реакции системы защиты. В этом и заключаются основные функции СОИБ.
В области систем обнаружения вторжений также существует разграничение между понятиями вторжение («intrusion») и атака («attack»), где под вторжением понимается факт успешной атаки, т.е. атака, которая частично или полностью реализовалась в защищаемой системе.
Целью применения СОИБ является выявление определенных событий, возникающих в процессе функционирования ЕИП и несоответствующих принятой политике безопасности. Основными причинами возникновения уязвимостей в ЕИП являются: ошибки конфигурирования системы, ошибки при разработке программного обеспечения, неосторожность (ошибки) пользователей, ошибки проектирования протоколов взаимодействия и ошибки разработки операционных систем и другие. Несмотря на то, что, находясь за пределами внешнего периметра ЕИП, часто используются выявленные уязвимости, следует учитывать, что наибольший ущерб, как правило, возникает при эксплуатации уязвимостей доверенными пользователями системы, так как авторизованные пользователи могут воспользоваться своими правами и привилегиями, знаниями особенностей всей СОИБ, физическим доступом к компонентам и т. д.
Подобно другим компонентам СОИБ, наличие любой подсистемы должно быть обосновано анализом рисков безопасности информации. Предлагаемая СОИБ должна интегрироваться в общую структуру для обеспечения требуемого уровня защищенности объектов ЕИП [4, 6]. СОИБ, выполняя роль по упреждению сценариев ДВ
Системный анализ, управление и обработка информации
различного рода, должна увеличивать вероятность обнаружения как АСИБ, так и сценарии в целом, эффективно удерживать рубежи обороны ЕИП и реализовываться на директивном интервале времени упреждения ДВ. В СОИБ должны быть реализованы функции подключения к системе управления, реализующие:
- получение отчетов об АСИБ, включая события, которые необходимы для генерации сценариев упреждающего поведения;
- проведение анализа АСИБ;
- содействие восстановлению функций ЕИП (при нарушении работоспособного состояния);
- формирование базы знаний сценариев упреждающего поведения, так и сценариев деструктивных воздействий.
В СОИБ в целях улучшения качества поддержки принятия решения при анализе рисков безопасности информации должен присутствовать механизм обновления в базах знаний сведений об актуальных угрозах безопасности информации и уязвимостях ЕИП [20].
Одним из перспективных направлений в реализации функции упреждения, повышающей безопасность функционирования ЕИП, является построение возможных сценариев упреждающего поведения, в зависимости от значения интервала времени на котором реализуются ДВ различного рода. Его назначение - поиск еще неизвестных интервалов времени реализации ДВ.
Одной из основных проблем в создании СОИБ, основанной на реализации описанной выше функции, является отсутствие информации как о самих сценариях ДВ, так и о возможных значениях временных интервалов времени их реализации, что не позволяет в полной мере сделать объективную оценку состояния защищенности ЕИП в заданный момент времени t. Также существует необходимость количественного оценивания уровня опасности реализуемого сценария ДВ. Результат оценивания должен характеризовать причину изменений интервала JtH, tK ]
времени доступа и число АСИБ входящих в сценарий ДВ. Утверждать, что реализуемое АСИБ попадает в интервал времени доступа, можно только в том случае, если причиной этого, является заданный уровень гарантии.
Разработанные к настоящему времени методики основываются на субъективной экспертной оценке, которая не вполне адекватна изменяющейся среде функционирования ЕИП. Суть этих методик заключается в определении порога допустимых изменений, его превышение рассматривается как отсутствие сценария, который попадает на интервал времени гарантированного доступа к ЕИП. Очевидно, что завышение порога приводит к обнаружению следов реализации сценария ДВ, а занижение - к его пропуску вовсе. Наибольший практический интерес при решении задачи оценивания значения интервала JtH, tK ] времени реализации представляют методики позволяющие
получать количественные показатели [21-23].
Необходимо подчеркнуть, что таких методик и основанных на них СОИБ в настоящее время не существует.
В этой связи необходимо отметить, что разработка научно-методического аппарата количественного оценивания интервалов ,tK] времени реализации ДВ, так и упреждающего поведения тесно связана с решением
целого рядя теоретических и практических задач, удовлетворительного решения которых до настоящего времени не получено.
Следовательно, актуальной задачей является разработка формализованной модели процесса функционирования СОИБ и методик на ее основе с целью совершенствования (модернизации) СОИБ и рациональной организации ее процесса функционирования. Это в дальнейшем позволит разработать принципиально новую СОИБ ЕИП.
Список литературы
1. Сухов А.М., Крупенин А.В., Якунин В.И. Методы анализа и синтеза исследования эффективности процессов функционирования системы обнаружения предупреждения и ликвидации последствий компьютерных атак // Автоматизация процессов управления. 2021. № 4 (66). С. 4-14.
2. Устройство для решения задачи оценки экономической эффективности унификации сложной технической системы на этапе проектирования / Н.И. Филатов, Е.С. Иващенко, А.Н. Гнутиков, С.А. Батюшков и др. // Патент на полезную модель № 90231.
3. Сухов А.М. Подход к упреждению комплексных компьютерных атак в автоматизированной системе специального назначения // Труды Военно-космической академии имени А.Ф.Можайского. 2017. № 658. С. 62-77.
4. Сухов А.М., Крупенин А.В., Якунин В.И. Методы построения математических моделей показателей качества результатов процесса функционирования системы обеспечения информационной безопасности // Проблемы информационной безопасности. Компьютерные системы. 2022. № 1 (49). С. 110-120.
5. Samoylenko D., Eremeev M., Finko O., Dichenko S. Protection of information from imitation on the basis of crypt-code structures // Advances in Intelligent Systems and Computing. 2019. Т. 889. С. 317-331.
6. Сухов А.М., Крупенин А.В., Якунин В.И. Метод вычисления показателя эффективности процесса функционирования системы обеспечения информационной безопасности // Автоматизация процессов управления. 2022. № 1 (67). С. 33-42.
7. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. М. : АСТ, 2006. 504 c.
8. Сухов А.М. Оценивание эффективности процесса функционирования системы обеспечения информационной безопасности на основе теории стохастической индикации // Информационно-управляющие системы. 2022. № 3 (118). С. 31-44.
9. Dichenko S.A. An integrity control model for multidimensional data arrays // Automatic Control and Computer Sciences. 2021. Т. 55. № 8. С. 1188-1193.
10. Сухов А.М., Крупенин А.В., Якунин В.И. Метод моделирования процесса функционирования автоматизированной системы специального назначения в условиях деструктивных воздействий // Проблемы информационной безопасности. Компьютерные системы. 2022. № 2 (50). С. 106-124.
11. Finko O., Samoylenko D., Dichenko S., Eliseev N. Parallel generator of q-valued pseudorandom sequences based on arithmetic polynomials // Przeglad Elektrotechniczny. 2015. Т. 91. № 3. С. 24-27.
12. Сухов А.М., Горбачев И.Е., Якунин В.И. Методика моделирования процесса функционирования системы обнаружения вторжений в компьютерную сеть в задачах исследования эффективности // Проблемы информационной безопасности. Компьютерные системы. 2017. № 2. С. 23-30.
13. Юсупов Р.М., Мусаев А.А. Особенности оценивания эффективности информационных систем и технологий // Труды СПИИРАН. 2017. Вып. 1(51). С. 5-34.
14. Математическая модель процесса функционирования подсистемы реагирования системы обнаружения, предупреждения и ликвидации последствий компьютерных атак / А.М. Сухов, С.Ю. Герасимов, М.А. Еремеев, В.И. Якунин // Проблемы информационной безопасности. Компьютерные системы. 2019. № 2. С. 56-64.
15. Dichenko S.A., Finko O.A. Controlling and restoring the integrity of multi-dimensional data arrays through cryptocode constructs // Programming and Computer Software. 2021. Т. 47. № 6. С. 415-425.
16. Сухов А.М., Ступин Д.Д., Ломако А.Г. Модель проактивного обнаружения компьютерных атак // Проблемы управления и моделирования в сложных системах. Тр. XX Междунар. конф. / под редакцией Е.А. Федосова, Н.А. Кузнецова, С.Ю. Боровика. Самара: Изд-во «Офорт», 2018. С. 509-512.
17. Пономарев Ю.А., Лукьянов Р.В., Сухов А.М. Таксономия моделей нарушителей на основе анализа руководящих документов в области информационной безопасности // Защита информации. Инсайд. 2016. № 2 (68). С. 69-71.
18. Петренко С.А. Методы информационно-технического воздействия на киберсистемы и возможные способы противодействия // Труды ИСА РАН. 2009. Т. 41. С. 104-146.
19. Глыбовский П.А., Новиков С.В., Сухов А.М. Метод прогнозирования состояния защищенности информационных систем // Труды XX Международной конференции «Проблемы управления и моделирования в сложных системах». Под редакцией Е. А. Федосова [и др.]. Самара: Изд-во «Офорт». 2018. С. 461-466.
20. Диченко С.А. Модель угроз безопасности информации защищенных информационно-аналитических систем специального назначения // Вопросы оборонной техники. Серия 16: Технические средства противодействия терроризму. 2022. № 1-2 (163-164). С. 64-71.
21. Стародубцев Ю.И., Бегаев А.Н., Давлятова М.А. Управление качеством информационных услуг. СПб.: Издательство Политехнического университета. 2017. 454 с.
22. Петров В.А., Медведев Г.И. Системная оценка эффективности новой техники. Л.: Машиностроение. 1978. 256 с.
23. Основы исследования операций в военной технике. /Под ред. Ю.В. Чуева. М.: Сов. радио, 1965. 591 с.
Сухов Александр Максимович, канд. техн. наук, сотрудник, [email protected], Россия, Краснодар, Краснодарское высшее военное училище имени С.М. Штеменко,
Крупенин Александр Владимирович, д-р техн. наук, профессор, сотрудник, [email protected], Россия, Краснодар, Краснодарское высшее военное училище имени С.М. Штеменко,
Ленц Евгений Альбертович, сотрудник, [email protected], Россия, Краснодар, Краснодарское высшее военное училище имени С.М. Штеменко,
Праслов Даниил Дмитриевич, сотрудник, [email protected], Россия, Краснодар, Краснодарское высшее военное училище имени С.М. Штеменко
JUSTIFICATION OF THE NEED TO CONDUCT RESEARCH ON THE INFORMATION SECURITY SYSTEM A.M. Sukhov, A.V. Krupenin, E.A. Lenz, D.D. Praslov
The current state of the problem of ensuring the required level of information security of the unified information space is considered. The main reasons for the occurrence of vulnerabilities in a single information space are given. The functions of connection to the control system are disclosed. The actual task is defined, which consists in the development of a formalized model of the functioning of the information security system and methods based on it in order to modernize the system and rationally organize its functioning process taking into account the information conflict.
Key words: efficiency, functioning process, pre-emption, information security system.
Aleksandr Maksimovich Sukhov, candidate of technical sciences, employee, [email protected], Russia, Krasnodar, Krasnodar Higher Military School named after S.M. Shtemenko,
Aleksandr Vladimirovich Krypenin, doctor of technical sciences, professor, employee, [email protected], Russia, Krasnodar, Krasnodar Higher Military School named after S.M. Shtemenko,
Evgeny Albertovich Lenz, employee, [email protected], Russia, Krasnodar, Krasnodar Higher Military School named after S.M. Shtemenko,
Daniil Dmitrievich Praslov, employee, [email protected], Russia, Krasnodar, Krasnodar Higher Military School named after S.M. Shtemenko
