CC BY
207
X ЗАЩИТА ИНФОРМАЦИИ
УДК 681.3.G67
ОПТИМИЗАЦИЯ СОСТАВА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННО-УПРАВЛЯЮЩЕЙ СИСТЕМЕ С КАНАЛАМИ БЕСПРОВОДНОГО ДОСТУПА НА ОСНОВЕ ГРАФА РЕАЛИЗАЦИИ УГРОЗ
Г. Н. Мальцев,
доктор техн. наук, профессор
Военно-космическая академия им. А. Ф. Можайского
В. В. Теличко,
зам. директора ООО «Цифровые технологии»
Приводится описание теоретико-множественной постановки и графового метода решения задачи выбора оптимального состава комплекса средств защиты информации распределенной ин-формационно-управляющей системы с каналами беспроводного доступа. Рассмотрены особенности составления и преобразования графов реализации угроз в системах с каналами беспроводного доступа, для которых характерна возможность достижения нарушителем своих целей при реализации различного числа угроз и при различных последовательностях их реализации.
В современных информационно-управляющих системах (ИУС) дистанционного управления транспортными средствами и территориально разнесенными производственными процессами, сбора информации и удаленного доступа для информационного обмена между центральными и периферийными терминалами широкое распространение получают цифровые технологии передачи данных, которые реализуются как на основе кабельных сетей связи, так и с помощью систем беспроводного доступа [1, 2]. Технологии беспроводных сетей привлекают внимание разработчиков телекоммуникационных систем относительно невысокими экономическими затратами и простотой развертывания, удобством использования и гибкой архитектурой.
Практический интерес представляет использование в распределенных ИУС трех стандартизованных технологий беспроводного доступа: VPAN (Bluetooth, стандарт IEEE 802.15), WLAN (Wi-Fi, стандарт IEEE 802.11) и WMAN (Wi-MAX, стандарт IEEE 802.16). Их дальность действия изменяется от десятков и сотен метров (технологии VPAN и WLAN) до единиц километров (технология WMAN), а скорости передачи данных — от сотен килобит в секунду (технология VPAN) до десятков и сотен мегабит в секунду (технологии WLAN и WMAN). Однако сам принцип беспроводной передачи данных по радиоканалам, связывающим удаленные терминалы с точками входа в ста-
ционарную сеть, заключает в себе возможность несанкционированных подключений к точкам доступа, и развитие систем беспроводного доступа сопровождается усилением активности нарушителей, использующих уязвимости в построении систем передачи данных для реализации угроз информационной безопасности [3, 4].
В результате использование в распределенных ИУС каналов беспроводного доступа приводит к увеличению угроз информационной безопасности и необходимости принятия упреждающих мер по обеспечению требуемого уровня безопасности информации, циркулирующей в сети, и сведению к минимуму возможного ущерба от действий потенциальных нарушителей. Без обеспечения информационной безопасности ни повышение скоростей передачи данных, ни расширение спектра предоставляемых услуг, ни улучшение качества связи не смогут гарантировать эффективное функционирование самого высокотехнологичного оборудования. Таким образом, информационная безопасность сетей беспроводного доступа является важным условием существования и развития этой технологии, а также ее эффективного использования при решении прикладных задач.
Требуемый уровень безопасности информации в ИУС обеспечивается созданием и поддержанием в работоспособном состоянии комплекса аппаратно-программных средств защиты информации.
Состав комплекса средств защиты информации ИУС определяется, исходя из требований к информационной безопасности системы, ожидаемых угроз и целей нарушителей. Использование технологий беспроводного доступа усложняет задачу обеспечения информационной безопасности ИУС и выбора состава комплекса средств защиты вследствие увеличения числа угроз и различных вариантов их реализации при несанкционированном доступе к ИУС по радиоканалам. При этом механизмы обеспечения безопасности и частные аппаратно-программные решения, относящиеся к отдельным технологиям и каналам беспроводного доступа [2], выступают в качестве элементов множества средств защиты, которые следует принимать во внимание при оптимизации или рациональном выборе состава комплекса средств защиты. В настоящей работе развивается один из подходов к оптимизации состава средств защиты информации в распределенных информационных системах, основанный на составлении и анализе графа реализации ожидаемых угроз.
Формализованная теоретико-множественная постановка задачи синтеза оптимального состава комплекса средств защиты информации состоит в следующем [5]. Задаются множества угроз информации А = {А^ А2,..., Ам} и целей нарушителя В = {£}, В2, ..., Бр}. Полагается, что достижение f-й цели нарушителя В ^ включает реализацию множества угроз Аf ={А(, а2, ..., А*М(}, где f = 1, 2, ...,
F, Afe А. Для противодействия угрозам выбираются средства защиты информации из множества Z = = Z■i, ..., Ек}, при этом для противодействия
т-й угрозе информации формируется т-й рубеж защиты, на котором используются средства защиты
из множества zm = {< 1, ЕГт2,..., ЕгтМ{}, где т = 1,
2, ..., М, zm е Z. Для множеств угроз А и средств защиты Z выполняются следующие отношения:
F F Mf
и Af=А и и и zm=z.
f=1 f=1 т=1
Необходимо найти матрицы использования средств защиты Zm на Mf рубежах защиты при противодействии ^й цели нарушителя:
X1 =
X
11
''И, 1
1*1
(1)
1
где Хтп =
1, если п-е средство используется на т-м рубеже защиты;
0, если п-е средство не используется на т-м рубеже защиты,
обеспечивающие выполнение условия
х0рі ^ тах п
хтп 1 =1
И, N1
1 -хп(1 - т1
т=1 п=1
(2)
где ртп — вероятность успешного функционирования п-го средства на т-м рубеже защиты. Условие (2) определяет критерий оптимальности — максимум вероятности успешного противодействия комплекса средств защиты всем целям нарушителя. Исходя из данного критерия осуществляем решение задачи. Совокупность матриц использования средств защиты Х{р1, f = 1, 2, ..., F, вида (1), найденных в результате решения задачи оптимизации (2), определяет оптимальный состав средств защиты из множества Z для заданных множеств угроз А и целей нарушителя В.
Приведенная формализованная постановка оптимизационной задачи позволяет, с одной стороны, учесть многообразие угроз информации и вариантов их реализации (целей нарушителя), с другой стороны, согласовать полученное решение с заданным профилем защиты информации ИУС. Профиль защиты информации представляет собой независимую от реализации совокупность требований безопасности для некоторой категории информационных систем (в рассматриваемом случае — ИУС), отвечающую специфическим запросам потребителя. Порядок формирования профиля защиты информации, исходя из требований безопасности, целей безопасности и свойств среды безопасности, определяется ГОСТ Р ИСО/МЭК 15408-2001 [6], основные требования которого в рассмотренной формализации угроз информационной безопасности и средств их предотвращения могут быть учтены. В частности, множество угроз безопасности определяется целями безопасности, множество целей нарушителя определяется средой безопасности, а найденный состав средств оптимального профиля защиты должен отвечать соответствующим требованиям безопасности.
В качестве ограничений при оптимизации состава средств защиты информации могут использоваться ограничения по общей стоимости комплекса средств защиты, по вероятностям противодействия комплекса средств защиты отдельным целям нарушителя, по риску достижения нарушителем своих целей. При этом ограничения по вероятностям противодействия отдельным целям нарушителя и по риску достижения нарушителем своих целей могут быть связаны с описаниями среды безопасности и требуемого уровня доверия к информационной системе, выполняемыми при определении профиля защиты информации.
Ограничение по общей стоимости комплекса средств защиты имеет вид С < Сдоп, где
F Mf Nf
С = ^^ ’^С[ппх1тп — общая стоимость средств за-
f=1 т=1 п=1
щиты, х'тп — элементы анализируемой матрицы использования средств защиты X^ вида (1), Стп — стоимость п-го средства при его использовании на т-м рубеже защиты при противодействии Дй цели нарушителя. Поскольку другие ограничения вводятся для отдельных целей нарушителя, допустимая общая стоимость комплекса средств защиты также может быть представлена
F
в виде Сдоп = £ Сдоп, где Сдоп — допустимая сто-
f=1
имость средств, используемых для противодействия f-й цели нарушителя.
Ограничение по вероятности противодействия комплекса средств защиты ^й цели нарушителя имеет вид Рf > рдоп, f = 1, 2, ..., F, где
MfNf
Pf = 1 - ХП(1 - Р1пх1п) — вероятность успешно-
т=1 п=1
го функционирования комплекса средств защиты при противодействии Дй цели нарушителя, Хтп — элементы анализируемой матрицы использования средств защиты X^ вида (1). Допустимая величина вероятности противодействия Рдоп определяется средой безопасности информационной системы.
Ограничение по риску достижения нарушителем своих целей имеет вид Rf < ^доп, f= 1, 2, ..., F, где Rf — риск при попытке достижения нарушителем f-й цели. Допустимая величина риска RДоп определяется требуемым уровнем доверия к информационной системе и при оценке информационной безопасности ИУС характеризует допустимый при попытке достижения нарушителем f-й цели риск потерь информационных активов ИУС — информации, циркулирующей в системе, используемой для управления прикладным процессом и полученной в результате выполнения этого прикладного процесса.
Ограничение по риску достижения нарушителем своих целей является наиболее общим и взаимосвязано с двумя другими ограничениями. Риск потерь информационных активов в общем случае представляет собой произведение вероятности угрозы, вероятности реализации данной угрозы и ущерба, наносимого при реализации данной угрозы [7, 8]. С учетом введенных обозначений риск Rf при попытке достижения нарушителем f-й цели связан с вероятностью успешного функционирования комплекса средств защиты Р^ при противодействии f-й цели выражением Rf = ^^(1 - Р^, где Hf — вероятность попытки достижения нарушителем ^й цели; Uf — ущерб, наносимый нарушителем при достижении f-й цели. Величина Rf, как и величина Pf, зависит от элементов х^п анализируемой матрицы использования средств защиты Х/: вида (1) и вероятностей р£п, а величина ущерба и, как правило, является исходной при определении допустимой стоимости средств защиты Сдоп.
При заданных элементах множеств А, В и Z их конечное число позволяет получить решение сформулированной оптимизационной задачи в виде матриц использования средств защиты Х{р1, f = = 1, 2, ..., F, удовлетворяющих условию (2), за конечное, пусть большое число шагов. В дальнейшем для полученного решения проверяется выполнение ограничений, и оно принимается или отбрасывается. Для построения алгоритма поиска оптимального решения для конкретных информационной системы и цели нарушителя удобно использование графового метода, основанного на представлении процесса реализации и предотвращения угроз нарушителя в виде направленного графа [5, 9].
Состояния графа реализации угроз соответствуют различной степени достижения цели нарушителя, а переходы между состояниями — последовательности реализации угроз. Полагается, что нарушитель достигает свою цель при реализации одной или нескольких (в предельном случае — всех) угроз, соответствующих данной цели, а в случае предотвращения системой защиты информации на одном из рубежей защиты одной из последовательно реализуемых угроз обеспечивается предотвращение достижения нарушителем соответствующей цели. В зависимости от принятых в информационной системе способа доступа и технологии информационного обмена угрозы и соответствующие им рубежи защиты информации могут быть связаны с преодолением тех или иных структурных элементов системы или уровней эталонной модели информационных систем [3, 10].
В общем случае при противодействии системы защиты информации f-й цели нарушителя граф реализации угроз включает множество из Mf+2 состояний S = {^0,^1,...,Sмf,Sмf +1}, где $0 — исходное состояние (отсутствие угроз); — состояние реализации всех Mf угроз (достижение f-й цели нарушителем); $т — состояние реализации т из
Mf угроз; SMf +1 — состояние предотвращения достижения f-й цели нарушителем. Вероятности состояний — Р$т), т = 0, 1, ..., Mf, Mf + 1. Переходы между состояниями определяются логической (ожидаемой) последовательностью реализации угроз А{, А2, ..., А^м и матрицей Xf. Вероятности переходов из т-го в п-е состояние Ртп соответствуют вероятностям ртп, входящим в выражение (2).
Оптимальной матрице Х{р1 соответствует набор значений хтп, дающий максимальную вероятность P(SMf +1) перехода системы в состояние SMf +1, что соответствует выполнению условия (2).
Вид графа реализации угроз зависит от конкретной информационной системы, ее среды и целей безопасности. Предположим, что для достижения своей цели нарушитель может реализовать от одной до М угроз. На рис. 1 и 2 приведены две
предельные формы графа реализации угроз. На рис. 1 показан граф реализации угроз, в котором цель нарушителя достигается только при реализации всех возможных угроз, что характерно для несанкционированного доступа к проводным сетям. На рис. 2 представлен граф реализации угроз, в котором цель нарушителя может быть достигнута (с различными вероятностями) при реализации любого числа угроз, что характерно для несанкционированного доступа к радиосетям. В обоих случаях полагается, что предотвращение каждой из угроз на соответствующем рубеже защиты позволяет предотвратить достижение цели нарушителя. В первом случае (см. рис. 1) при выполнении Р
mM+1
= 1 для одного из значений т = 1, 2, ..., М - 1 обеспечивается предотвращение достижения цели нарушителя. Во втором случае (см. рис. 2) возможности достижения цели нарушителя при реализации М1 < M угроз соответствуют вероятности переходов PmM = 1 и PmM+1 = 0 для всех значений т = = M1, М1 + 1, ..., М - 1.
Для распределенных ИУС с каналами беспроводного доступа характерны более сложные графы реализации угроз, чем графы, приведенные на рис. 1 и 2. В них цели нарушителя могут достигаться при реализации различного числа угроз и при различных последовательностях их реализации. Это обусловлено тем, что такие ИУС пред-
Рг^
м-і м
мі
Р1 М+І'Ч ! 2«+1_,.-' рм-і М+1
Чі У
М+1і
Рис. 1. Граф реализации угроз, в котором цель нарушителя достигается только при реализации всех возможных угроз
ставляют собой комбинированные сети, включающие проводной и беспроводной сегменты. Среда их безопасности определяется, прежде всего, угрозами, действующими в беспроводном сегменте сети. Нарушитель, не имея физического доступа к сетевому оборудованию и находясь в зоне радиопокрытия, имеет возможность устанавливать логическую связь с точкой радиодоступа в сеть. При этом имеют место широкие возможности несанкционированного доступа нарушителя к радиоканалам передачи данных в пассивном и активном режимах и различные варианты достижения им своих целей. Так, в пассивном режиме нарушитель может осуществлять мониторинг («прослушивание» каналов) с анализом трафика всей сети или с перехватом пакетов, передаваемых по отдельным каналам, а в активном режиме — передавать ложные сообщения или загружать сеть через точку радиодоступа, добиваясь нарушения информационного обмена в сети вследствие отказа в обслуживании. Кроме того, нарушитель может осуществлять эти и другие угрозы одновременно.
Пример графа реализации угроз сложной структуры, характерной для ИУС с каналами беспроводного доступа, приведен на рис. 3. Граф соответствует информационной системе и некоторой цели нарушителя, для достижения которой он может реализовать М = 7 угроз. При этом цель может достигаться при различных последовательностях реализации угроз, определяемых переходами графа состояний. Для решения поставленной задачи графовым методом при подобной произвольной структуре графа он может быть путем ранжирования приведен к виду, показанному на рис. 4. Здесь все состояния распределены по уровням от уровня 0 (начальное состояние S0) до уровня 4 (заключительные состояния S7 и S8) и исключены переходы между состояниями в пределах каждого уровня. Для этого на уровнях 2 и 3 введены фиктивные состояния S4, S5, S6, S8, S/8 и переходы между ними и соответствующими действи-
Рис. 2. Граф реализации угроз, в котором цель нарушителя может быть достигнута при реализации любого числа угроз
Рис. 3. Граф реализации угроз, в котором цель нарушителя может достигаться при различных последовательностях реализации М = = 7 угроз
Рис. 4. Граф реализации угроз, полученный в результате ранжирования графа, приведенного на рис. 3
тельными состояниями, осуществляемые с вероятностью, равной 1. В результате граф реализации угроз приобретает структуру, удобную для исследования стандартными методами анализа направленных графов.
Рассматриваемая задача оптимизации состава комплекса средств защиты информации распределенной ИУС относится к классу задач дискретной оптимизации. Ее решение графовым методом состоит в определении вероятности нахождения системы в заключительном состоянии S8 для различных значений вероятностей переходов между состояниями ртп, соответствующими использованию различных средств защиты. При небольшом числе состояний графа решение может быть найдено путем прямого перебора цепей, ведущих от начального состояния S0 к заключительному состоянию S8. При большом числе состояний графа для поиска решения может быть использован метод динамического программирования и его модификации, например, рекомендуемый для решения подобных задач метод встречного решения функциональных уравнений [9].
В условиях недостаточной статистической обеспеченности и динамичного изменения условий реализации угроз, характерных для задач защиты информации [9, 11], наиболее сложным может оказаться задание вероятностных характеристик успешного функционирования средств защиты и попыток достижения нарушителем различных целей. В этом случае получают распространение
экспертные оценки вероятностных характеристик и методы нечеткого вывода, а для контроля за изменением условий реализации угроз в современных информационных системах в состав комплекса средств защиты включаются средства мониторинга безопасности. Не выполняя непосредственно функций защиты, средства мониторинга позволяют оценить текущее состояние среды безопасности и обеспечить более эффективное функционирование средств защиты за счет уточнения исходных данных, для которых оптимизируется состав комплекса средств защиты.
Литература
1. Инфокоммуникационные сети: архитектура, технологии, стандартизация / Под ред. А. А. Сахнина. М.: Радио и связь, 2004. 208 с.
2. Широкополосные беспроводные сети передачи информации / В. М. Вишневский, А. И. Ляхов, С. Л. Портной, И. В. Шахнович. М.: Техносфера, 2005. 592 с.
3. Устинов Г. Н. Основы информационной безопасности систем и сетей передачи данных. М.: СИНТЕГ, 2000. 248 с.
4. Теоретические основы информатики и информационная безопасность / Под ред. В. А. Минаева и В. Н. Саб-лина. М.: Радио и связь, 2000. 468 с.
5. Обеспечение информационной безопасности в экономической и телекоммуникационной сферах / Под ред. Е. М. Сухарева. М.: Радиотехника, 2003. 216 с.
6. ГОСТ Р ИСО/МЭК 15408-2001. Информационная технология. Методы и средства обеспечения безопасности информационных технологий. Ч. 1-3. М.: Изд-во стандартов, 2002.
7. Мальцев Г. Н., Моторин Н. М. Использование риск-анализа при оценке функционирования сложных технических систем передачи информации // Проблемы риска в технической и социальной сферах: Сб. науч. тр. Вып. 4. Риск информационной опасности. СПб.: СПбГТУ, 2005. С. 59-62.
8. Мальцев Г. Н., Теличко В. В. Метод определения риска потерь активов при разработке профиля защиты информации транспортной сети передачи данных // Информационные технологии на железнодорожном транспорте: Докл. XII Междунар. конф. «Инфотранс-2007». СПб.: ПГУПС, 2007. С. 65-70.
9. Модели развития технических разведок и угроз безопасности информации / Под ред. Е. М. Сухарева. М.: Радиотехника, 2003. 142 с.
10. Зима В. М., Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. СПб.: Изд-во СПбГУ, 1999. 368 с.
11. Гаценко О. Ю. Защита информации. Основы организационного управления. СПб.: Сентябрь, 2001. 228 с.
