Постановка задачи оценки информационной безопасности сложных информационно-технических систем Текст научной статьи по специальности «Компьютерные и информационные науки»

Кириллов А. Л.

Постановка задачи оценки информационной безопасности сложных информационно-технических систем

Современный этап

развития общества КИРИЛЛОВ Александр Леонардович — док-характеризуется возра- тор технических наук, профессор кафедры ма-стающей ролью инфор- тематики и моделирования социально-поли-мационной сферы, пред- тических процессов Северо-Западной акаде-ставляющей собой сово- мии государственной службы купность информации,

информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет только возрастать. Так, например, в 2001 г. зафиксированный объем потерь составил (в целом по наиболее развитым государствам) около 150 млрд долларов, а в последующие годы эта цифра выросла еще больше. И это притом, что достоянием гласности становится лишь около 15% преступлений в области информационной безопасности.

Одной из важнейших составляющих, обеспечивающих соблюдение национальных интересов Российской Федерации в информационной сфере, является защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и

телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В этих целях необходимо повысить безопасность информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации, а также методов контроля их эффективности.

В последние годы в Российской Федерации уже реализован комплекс мер по совершенствованию обеспечения необходимого уровня информационной безопасности:

- начато формирование базы правового обеспечения информационной безопасности;

- приняты Закон Российской Федерации «О государственной тайне», Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», ряд других законов;

- развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.

Вместе с тем анализ сложившегося положения дел в области обеспечения информационной безопасности Российской Федерации требует безотлагательного решения целого комплекса задач, одной из таких задач, из числа первоочередных и до сих пор не решенных, остается задача разработки критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности.

Решение указанной задачи обязательно упирается в необходимость выбора соответствующих показателей эффективности и критериев принятия решений. При этом необходимо учитывать, что этот выбор не является вполне однозначным и определенным. Существует бесконечное множество вариантов такого выбора, каждый из которых вполне корректен. С этой точки зрения, конкретное решение задачи построения системы критериев и показателей эффективности для реализации какой-либо из целей исследования может отличаться от общепринятых и не должно претендовать на всеобщность и обязательность.

В нашем случае целью исследования является построение совокупности методов, которые могли бы позволить оценить последствия и эффективность принятия тех или иных технических решений в области обеспечения информационной безопасности сложных организационно-технических систем. В данной статье в качестве меры информационной безопасности выбрана количественная оценка потенциально предотвращенного ущерба функционированию конкретной системы.

Ядром модели оценки эффективности систем обеспечения информационной безопасности по критерию предотвращенного экономического ущерба должна стать модель проникновения в информационные системы нарушителя с дифференциацией по типам информационных искажений, вносимых ими. Указанная модель должна иметь в качестве своих выходных характеристик количественные оценки числа успешных попыток искажения различных типов данных хранящихся и обрабатываемых в соответствующих информационных системах.

1. Основные предположения и допущения

- Будем называть заявкой любую попытку несанкционированного доступа к ресурсам информационной системы.

- Заявка находится в системе до тех пор, пока не пройдет входной контроль.

- Входной контроль заключается в проверке формальных атрибутов, дающих право доступа к ресурсам данной информационной системы.

- Отказом определенного ресурса информационной системы будем называть необнаруженное поступление заявки в соответствующий элемент информационной системы.

- Отказ данного элемента информационной системы влечет за собой ущерб пропорциональный времени пребывания заявки в информационной системе.

- Обнаружение заявки в информационной системе требует определенного времени (зависящего от типа элемента информационной системы, подвергшегося успешной атаке) для устранения последствий искажения информации (восстановление).

- Заявке, прошедшей входной контроль, становится доступным любой элемент (ресурс) информационной системы.

- Все потоки переходов в данной модели предполагаются простейшими, т. е. стационарными, ординарными и без последействия.

2. Обозначения

- Я — интенсивность потока заявок, поступающих в систему. В силу сделанных предположений, поток заявок будет пуассоновским, поэтому его можно характеризовать с помощью единственного параметра— интенсивности, при этом: Я■At — вероятность поступления заявки от момента времени t до момента времени t+Лt;

- у— интенсивность прохождения входного контроля данной заявкой; у ■ Лt — вероятность преодоления системы входного контроля от момента времени t до момента времени t+Лt;

- ¡л— интенсивность обнаружения заявки в системе;

Л ■ Лt — вероятность обнаружения системой обеспечения информационной безопасности заявки, успешно преодолевшей входной контроль, от момента времени t до момента времени t+Лt;

- Рк] — вероятность поступления данной заявки в определенный элемент информационной системы;

- р — интенсивность восстановления данного элемента информационной системы;

1

- — — среднее время устранения последствий (восстановления), р предполагается, что весь этот промежуток времени системе наносится соответствующий ущерб;

- х — математическое ожидание количества заявок в системе;

- г — математическое ожидание количества заявок, прошедших входной контроль;

- и — вероятность того, что данный элемент информационной системы не подвергся успешной информационной атаке (заявка не попала в данный элемент либо последствия предыдущих успешных атак на данный элемент уже устранены);

- V - вероятность события, заключающегося в том, что данный элемент информационной системы подвергся успешной атаке и последствия ее либо не обнаружены, либо еще не устранены (отказ элемента).

3. Графы состояний и система уравнений математической модели

На верхнем графе изображен процесс поступления заявок в систему. В первом состоянии заявка проходит формальный входной контроль

(пароли, допуски и т. д.). Во втором — анализ соответствия и корректно-

Рис. 1

Рис. 2

сти, который должна производить система обеспечения безопасности информации. Выход из этого состояния происходит по двум путям:

- заявка окончательно отвергается;

- заявка пропускается на вход информационной системы для дальнейшей обработки.

Необходимо отметить, что заявка, не прошедшая входного контроля, поступает на вход системы неопределенное количество раз, симулируя настойчивого нарушителя.

Интенсивность Тк определяется по формуле:

P

ГК = ^,

'пк

где РПк — вероятность «правильного набора пароля»; ГПк — среднее время «правильного набора пароля». В свою очередь:

Р 1 - Р

ъ = , а = ^,

' Ок ' Ок

где Р0к — вероятность правильного анализа заявки; 'Ок — среднее время анализа заявки.

Все не отвергнутые на этом этапе заявки поступают в обслуживаемую системой безопасности информационную систему. Любая заявка к-го типа может поступить на обработку в любой из т элементов информационной системы с вероятностью Рк1 (к — тип заявки, / — тип элемента). Для всех Рк: должно соблюдаться условие нормировки (полная группа событий):

т

^^ 1.

к=1

Отказы информационной системы вследствие поступления не отвергнутых заявок описываются графом, изображенным на рис. 2. Здесь:

■ р — интенсивность обнаружения и восстановления отказа ./-го элемента информационной системы;

■ сс — интенсивность отказов /-го элемента информационной системы вследствие поступления не отвергнутых заявок.

Указанные выше интенсивности вычисляются по формулам: Р = Р°/

р/ = р т +(1-р )Т ' где:

Т0/ — среднее время обнаружения заявки системой безопасности

в ./'-ом элементе информационной системы, Р0/ — вероятность обнаружения заявки системой безопасности

в /-ом элементе информационной системы, Тв/ — среднее время восстановления /-го элемента информацион-

ной системы.

^ = ХодА ,

Здесь Рк/ — вероятность поступления заявки к-го типа в элемент /-го типа.

Учитывая взаимосвязь обоих графов, а также простейший характер потоков перехода из состояния в состояние, можно получить следующую систему дифференциальных уравнений (2п+т):

хк =Як-Гкхк, гк =Гкхк

и/ =ру-°1и1, и/ + ^ =1

к = 1,...,п; / = 1,...,т.

(лл +ак )),

Решение этой системы уравнений необходимо производить при следующих начальных условиях:

Хк (0) = 0;

гк (0) = 0; к = 1,...,п; и/ (0) = 1; / = 1,...,т. V/ (0)=0;

к=1

Проинтегрировав данную систему уравнений на промежутке времени от 0 до Т, можно получить математическое ожидание ущерба от проникновения в систему нарушителей различных типов по следующей формуле:

'2 т

В (Т2 -Т1 )= IЪР?! (( ),

О < т1 < т2 < т

в — ущерб, наносимый функциональной системе при искажении соответствующего информационного ресурса в единицу времени. Система обеспечения информационной безопасности воздействует на данную информационную (информационно-управляющую) систему через параметры: у /л, р.

Для обеспечения работоспособности приведенной выше базовой модели необходима разработка комплекса методов и методик вычисления параметров, являющихся входными для данной модели. Исследования и разработки должны проводиться в следующих основных направлениях:

- исследование потока входных заявок по типам и объемам;

- разработка методик оценки эффективности систем безопасности при входном контроле заявок;

- разработка методик оценки способности систем информационной безопасности к обнаружению заявок, прошедших входной контроль;

- разработка методов и методик восстановления работоспособности подсистем и элементов информационных систем при их отказе, обусловленном поступлением в них заявок, прошедших основные виды контроля со стороны систем безопасности информации;

- исследование и разработка методик оценки ущербов. Необходимо отметить, что все эти исследования (за исключением первых двух направлений) должны проводиться применительно к каждой конкретной информационной системе, как существующей, так и разрабатываемой.

Предложенная выше система обыкновенных дифференциальных уравнений является математической моделью функционирования информационной системы общего вида в условиях постоянного внешнего воздействия, конечной целью которого является нанесение ущерба ее нормальной деятельности. Достижение этой цели осуществляется путем искажения информации о состоянии и деятельности подсистем и элементов данной организационно-технической системы за счет

получения несанкционированного доступа к вычислительным ресурсам и банкам данных обслуживающих ее информационных систем.

Одним из предположений данной модели, существенно ограничивающим ее возможности, является предположение о том, что «атакованный» элемент информационной системы не подвергается новой информационной атаке до тех пор, пока не будут устранены последствия предыдущей атаки. Введение этого предположения в случае, если среднее время между атаками превосходит суммарное среднее время обнаружения и восстановления последствий информационных атак, незначительно влияет на итоговые оценки и в то же время снижает размерность системы дифференциальных уравнений. В противном случае, необходимо при формулировании математической модели строить описание, опираясь не на состояния информационной системы, а на состояния, в которых может находиться заявка. Такой подход может достаточно существенно увеличить размерность соответствующей системы уравнений, однако решение о выборе модели должно приниматься с учетом конкретной ситуации. Отличие такой модели от предыдущего случая заключается в соответствующем изменении графов состояний, при этом система предположений и допущений практически не изменяется.

Граф состояний для такой модели (модели заявок) можно представить на рис. 3:

Соответствующая приведенному выше графу система уравнений математической модели, описывающая процесс информационных атак без учета указанного выше ограничения, будет выглядеть следующим образом (2п+2пт уравнений):

хк =\ -ГЛ

¿к=гл -(лк+а )

'к]ук]

к

Рис. 3

Легко видеть, что количество дифференциальных уравнений данной математической модели значительно больше, чем в предыдущем случае. Так, при количестве типов входных заявок равном 7, а количестве типов информационных ресурсов, подвергающихся атакам, равном 5, мы будем иметь в первом случае 19 уравнений, а в данном случае — 84 уравнения.

Решение этой системы уравнений необходимо производить при следующих начальных условиях:

Хк (0 ) = 0; '

¿к (0) = 0; к = 1,...,п;

У/к (0) = 0; / = 1.....т.'

в (0) = 0;

Проинтегрировав данную систему уравнений на промежутке времени от 0 до Т, можно получить математическое ожидание ущерба от проникновения в систему нарушителей различных типов по следующей формуле:

т п

в(Т2 Т.)= V(М(()>,

0 < Т1 < Т2 < Т

Входными параметрами этих моделей являются введенные выше константы:

- ?к — интенсивность поступления заявки к-го типа на вход информационной системы.

Данный параметр характеризует среднюю частоту попыток несанкционированного доступа к информационным ресурсам соответствующей ИС. Типы заявок предполагаются следующими:

■ маскировка под зарегистрированного пользователя;

■ несанкционированное использование программного обеспечения;

■ использование ошибок в программном обеспечении;

■ использование программных закладок;

■ использование разрушающих программных воздействий;

■ использование незарегистрированных компьютерных средств;

■ использование ошибок при эксплуатации программного обеспечения.

- РПк — вероятность успешного преодоления входного контроля;

- ТПк — среднее время успешного преодоления входного контроля. Последние два параметра являются характеристиками систем обеспечения информационной безопасности. Количественные значения этих параметров зависят от программно-технических решений, принятых при проектировании и создании ИС.

- Р0к — вероятность правильного анализа заявки;

- Т0к — среднее время анализа заявки;

Здесь предполагается, что система обеспечения информационной безопасности имеет возможность контролировать запросы на доступ к информационным ресурсам обслуживаемой ею системы и отсеивать те, которые не соответствуют или не вполне соответствуют информационной предыстории технологических процессов.

- Т0/ — среднее время обнаружения заявки системой безопасности в j-ом элементе информационной системы;

- Р0/ — вероятность обнаружения заявки системой безопасности в /-ом элементе информационной системы; Предполагается, что система безопасности обнаруживает заявки, прошедшие в систему при возникновении последствий соответствующих информационных искажений, и восстанавливает информационную целостность обслуживаемой ИС. Например, посредством использования резервных копий.

- Тв/ — среднее время восстановления j-го элемента информационной системы;

- Рк/ — вероятность поступления заявки к-го типа в элемент j-го типа. Данный параметр по существу является характеристикой нарушителя. В случае, если статистических данных для соответствующих оценок не имеется, эти вероятности без большой ошибки можно считать равными друг другу. Варьируя значения этого параметра, можно моделировать различные типы целенаправленных атак.

в ,вк/ —ущербы, наносимые функциональной системе при искажении соответствующего информационного ресурса в единицу времени. Получение конкретных количественных значений этой группы параметров возможно только статистически либо с помощью вычислительных экспериментов на математических или имитационных моделях исследуемой системы различной степени сложности. Обычной практикой (иногда единственной возможностью) является также использование экспертных оценок.

Отметим, что обе представленные здесь базовые модели используют в качестве входных одну и ту же систему параметров и поэтому могут выбираться в зависимости от целей и задач исследования. Разработанные выше модели носят в достаточной степени открытый характер и могут использовать в качестве входных практически любой набор параметров и с этой точки зрения являются открытыми. Количество типов информационных атак, разнородных элементов информационной системы, а также экономических и иных их последствий, учитываемых в этих моделях, ограничивается только вычислительной мощностью компьютера и качеством алгоритмов численного решения соответствующих систем дифференциальных уравнений. Такой подход позволяет постоянно улучшать характеристики

комплексной модели за счет совершенствования методов и методик расчета входных параметров базовых моделей. В то же время ее работоспособность не зависит от способа получения этих входных параметров. Как уже было показано выше, получение этих параметров является сложной задачей, требующей проведения большого объема как теоретических, так и экспериментальных исследований.

Определенные трудности при практической реализации комплексной методики создает то обстоятельство, что вычисления на основе предложенных выше базовых математических моделей связаны с численным интегрированием систем дифференциальных уравнений большой размерности. Легко видеть, что число уравнений при моделировании реальных систем может составлять от нескольких десятков до нескольких сотен. В связи с этим необходима разработка или выбор достаточно эффективных по точности и быстродействию численных методов интегрирования выведенных выше дифференциальных уравнений. Обратим внимание на то, что уравнения базовых модулей представляют собой уравнения типа Риккати:

бх

— = ? (х).

Одним из наиболее распространенных и эффективных методов численного интегрирования систем обыкновенных дифференциальных уравнений является метод Рунге-Кутта, реализованный в большинстве стандартных математических оболочек. Данный метод основан на том, что при интегрировании системы уравнений на малое время (т), значения переменных можно зафиксировать, и тогда интеграл описанной выше системы можно представить в виде:

Хк ( +т) = Хк ()+ \гк [х ( + у ))у, (*

0

Используя для вычисления интеграла в правой части уравнения (*) квадратурные формулы различной степени точности, получают различные же формы метода Рунге-Кутта. Однако при интегрировании систем дифференциальных уравнений базовых моделей методом Рунге-Кутта выясняется, что вычислительная погрешность вместе с ростом размерности системы уравнений растет чрезвычайно быстро и становится неприемлемой уже при числе уравнений системы более 20.

Попытки же соответственного уменьшения шага интегрирования приводят к тому, что для получения решений с приемлемой степенью точности не хватает вычислительной мощности современных компьютеров. В математической литературе отмечается этот недостаток методов типа Рунге-Кутта при интегрировании систем обыкновенных дифференциальных уравнений, решения которых содержат экспоненты с отрицательными показателями или четные тригонометрические функции. Анализ систем уравнений базовых моделей показывает, что ее решения содержат экспоненты с отрицательными показателями. Этот факт с необходимостью вытекает из того, что при составлении указанных уравнений использовалось предположение о пуассоновском характере потоков переходов из состояния в состояние.

В связи с этим возникает необходимость построения методов численного интегрирования указанных уравнений методами отличными от методов типа Рунге-Кутта. Рассмотрим метод интегрирования систем уравнений базовых моделей, опирающийся на физический смысл этих уравнений. Действительно, любое из уравнений базовой модели можно записать в виде:

п

X] = X(X)Рк К), (**)

к=1

Легко заметить, что все уравнения базовых моделей имеют такой вид. Слагаемые в правых частях этих уравнений описывают переходы системы из состояния в состояние. Поэтому, умножая обе части каждого из уравнений на получим:

п

^ = &к (хк )йрк,

к=1

где dPk = АкИк (х )М, Рк — вероятность соответствующего перехода из состояния в состояние.

Учитывая физический смысл этого уравнения, легко записать его интеграл:

X = &к (хк )Рк.

к

Если учесть, что при интегрировании на малое время т, Ркрк (хк) — есть математическое ожидание числа соответствующих переходов за время т, а

Рк =1 - ехР (-АА (х )т),

мы можем записать систему уравнений (**) в виде (при малых т):

X (+ т) = х, () +X(рк (Хк )(1 -ехр((х)т)), (***)

к =1

Обратим внимание на то, что при т—0, эта система уравнений эквивалентна (**). Действительно:

х,. (+ т)—х,. () " ._. . . X, = т-0 Л т = ^ ^ (X ) ^ (Хк ).

Ь к=1

Из (**) и (***) легко получить оценку ошибки в определении xj, если использовать экспоненциальную запись (***) уравнений (**).

n

Axj = TsPk (xk ,

k=1

у v( iV [Akfk(xИ

где Ук = X(-1)-м— , очевидно, что:

'=2 ' !

n A2f 2т2

AXj < I рк (xk f

к=1 2

В предположении, что все pk и fkограничены в совокупности, т. е. Vk,|pk (xk )< Li,

vk,\fk (x)<l2, будем иметь:

|Axj| < Lt2,L = max (L1,L2).

Это означает, что методом (***) можно решать системы дифференциальных уравнений базовых моделей. Конечно, приведенная

выше оценка сходимости метода численного интегрирования систем уравнений базовой модели является сугубо формальной и не рассматривает вопроса о скорости сходимости данного метода. Однако практические расчеты показывают, что применение разработанного здесь метода численного интегрирования позволяет интегрировать уравнения базовых моделей с приемлемой точностью в приемлемое время. В сравнении с результатами интегрирования тех же систем дифференциальных уравнений методами Рунге-Кутта до 5-го порядка точности, при одинаковой заданной погрешности, время решения сокращалось на 1-2 порядка.

Основными выходными параметрами разработанной здесь базовой методики являются (у+0) математические ожидания количества успешно проведенных внешних информационных атак. Эти параметры в рамках данной модели являются функциями времени. Типичный вид этих зависимостей приведен ниже. Одновременно на графиках иллюстрируется зависимость выходных параметров от основных показателей качества СОИБ.

График зависимости математического ожидания числа успешных атак в зависимости от времени (цифрами на графике обозначены средние времена восстановления СОИБ искаженной атаками информации).

Данный график демонстрирует несколько важных обстоятельств. Во-первых, интегральные кривые имеют ясно выраженный установившийся режим. Это значит, что с течением времени параметры системы асимптотически стремятся к некоторым предельным значениям. Наличие установившегося режима является одним из косвенных признаков адекватности модели реальной действительности. Другое положительное следствие состоит в том, что появляется возможность расчета

ущербов не в виде сложного функционала, как указывалось выше, а с помощью простой формулы:

п т

В (2 - Т. ) = ЕЕвК+в,) -Т1),

к=1]=1

где V и в — предельные значения параметров.

Во-вторых, предельные значения параметров модели в значительной степени зависят от такой характеристики СОИБ как время восстановления после успешной информационной атаки. Это обстоятельство дает нам основание считать данную характеристику одной из важнейших для СОИБ.

График зависимости математического ожидания числа успешных атак в зависимости от времени (цифрами на графике обозначены количество знаков входного пароля).

Результаты расчетов, представленные на данном графике, демонстрируют так же, как и в предыдущем случае, наличие установившегося режима системы. Переходные процессы в этом случае более медленны, поэтому предельные значения параметров (V и в) достигаются позже. С другой стороны, видно, что эти предельные значения не зависят от такой характеристики СОИБ как длина кода пароля. Эффективность СОИБ зависит от этой характеристики только в переходных режимах. Этот достаточно неожиданный вывод имеет простое физическое объяснение: «нарушитель» будет добиваться входа в систему до тех пор, пока не достигнет цели. Данные результаты еще раз подчеркивают то важное положение, что любые технические решения, какими бы эффективными они нам не представлялись, должны оцениваться по конечным показателям эффективности систем, в которые эти технические решения внедряются.