Научная статья на тему 'Система поддержки принятия решений по защите информации «Оазис»'

Система поддержки принятия решений по защите информации «Оазис» Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
254
103
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Система поддержки принятия решений по защите информации «Оазис»»

УДК 004.056

СИСТЕМА ПОДДЕРЖКИ ПРИНЯТИЯ РЕШЕНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ «ОАЗИС»

(Работа выполнена в рамках реализации ФЦП «Научные и научно-педагогические кадры инновационной России»

на 2009-2013 гг., ГК№ П757 и № П1032)

И.В. Бондарь; А.В. Гуменникова, к.т.н.; В.В. Золотарёв, к.т.н.; А.М. Попов, д.ф.-м..н. (Сибирский государственный аэрокосмический университет им. акад. М.Ф. Решетнева, г. Красноярск, [email protected], [email protected], [email protected], [email protected])

Представлена система поддержки принятия решений по защите информации. Предлагается методика оценки устойчивости систем защиты информации к негативным воздействиям различных типов, основанная на векторном представлении угроз и геометрическом моделировании атак на информационные ресурсы. Ключевые слова: анализ устойчивости, анализ риска, система защиты информации.

Решение задачи создания оптимальной по одному (нескольким) критерию системы защиты информации (СЗИ) имеет некоторые особенности:

• высокая неопределенность исходной информации, трудность ее получения;

• необходимость учета многих требований к СЗИ при оценке и выборе рационального варианта, преимущественно их качественный характер, противоречивость взаимосвязей;

• сложная опосредованная связь показателей качества СЗИ с показателями качества информационной системы (ИС).

Задача требует особых, часто уникальных методик и средств. В литературе встречается разный математический аппарат для создания подобных методик (например [1, 2]), эксплуатируются разные идеи (например [3]). Авторы данной работы тоже предлагали всевозможные варианты использования методик оценки защищенности [4].

Интерес представляет разработка системы поддержки принятия решений для задач создания оптимальной СЗИ с учетом некоторых предложений:

- использовать профили защиты стандарта ГОСТ ИСО/МЭК 15408, усиленные полной структурой возможных угроз;

- представить угрозы, цели и меры защиты как систему графов, смоделировать их взаимодействие;

- показать достижение целей, положений политики безопасности (или меру доверия);

- создать имитационную модель СЗИ и программно реализовать предлагаемый подход.

Область охвата, глубина и строгость при исследовании СЗИ принимают аналитический вид (например, глубина - это количество уровней дерева, строгость - мера минимизации разноранго-вых связей и т.д.).

Важной является связь профилей защиты технического характера с организационными мерами ГОСТ Р ИСО/МЭК 27001-2006, с требованиями для этапов цикла Деминга: к СЗИ, к системам (процессам), поддержку которых требуется обеспечить.

Целью данной работы является повышение эффективности принятия решений в области защиты информации. Для этого разработаны программный продукт для анализа защищенности ресурсов предприятий по требованиям стандартов информационной безопасности, система его обновления и сопровождения.

Принцип его действия в следующем: по результатам сбора данных формируется модель информационной инфраструктуры, моделируются угрозы, выбираются варианты контрмер (рекомендаций), а модель отражает их эффективность.

В структуру программного средства входят сервер БД, модуль сбора информации и модуль анализа.

Сервер БД обслуживает БД с таблицами угроз, целей защиты, требований, аргументов, матриц смежности и т.д., обеспечивает целостность и сохранность данных при хранении и обработке.

Модуль сбора информации - web -приложение. Опрос оптимизирован так, чтобы за приемлемое время обеспечить возможность сбора информации, необходимой для анализа.

Модуль анализа является модельно-алгорит-мическим инструментарием для аналитика.

При разработке системы использовался комплекс стандартов. ГОСТ ИСО/МЭК 15408-2002 охватывает движение от базовых механизмов безопасности до требуемой функциональности объекта оценки и затем до общего функционала ИС, оценивая полноту СЗИ с технической точки зрения, не рассматривая при этом комплекс организационных мер. Вывод о защищенности ИС делается на основе оценки всех ее составляющих, реализация уязвимостей которых способна привести ИС в недопустимое состояние [2].

Стандарты линии ISO 27000 опираются на подход «сверху вниз», обусловливающий концептуальное единство СЗИ, охватывающий комплекс организационных мер в качестве элементов управления на верхних уровнях информационной инфраструктуры.

Стандарты BSI предлагают гибкий инструмент адаптации информационных технологий к ме-

няющимся требованиям информационной безопасности [4] и включают категории с единым управлением и однородной политикой безопасности (анклавы).

Исходные данные процесса оценки - это активы организации, отнесенные к анклавам. Классификация дает возможность применять категории требований защиты для анклава и осуществлять поэтапную оценку защищенности ИС.

Для определения категории требований защиты анклава применяется таблица возможных последствий его незащищенного состояния, составленная на основе BSI Standard 100-2 «IT-Grundschutz Methodology». Пользователь определяет категорию обстоятельств реализации группы угроз: незначительные последствия, существенные или фундаментальные.

Модель информационной инфраструктуры основана на четырех измерениях.

1. Этапы классического цикла менеджмента (цикла Деминга) (серия ISO/IEC 27000). Требования информационной безопасности категорирова-ны и имеют отношение к этапам цикла Деминга. Цикл замкнутый, для полной картины требуется устанавливать связность.

2. Основные уровни иерархии информационной инфраструктуры. На каждом уровне угрозы и их источники, элементы СЗИ и подходы к оценке эффективности различны.

3. Требования защиты, категорированные по уровням.

4. Анклавы. Объекты оценки, полностью охваченные профилями защиты по методологии ГОСТ Р ИСО/МЭК 15408-2002, сгруппированные по категориям стандарта BSI и анклавам. Требования ISO 27000 применимы к анклавам.

Методика анализа устойчивости систем защиты. В СЗИ входят множества элементов и всевозможных угроз на ИС, а также множество угроз, в котором любая угроза не может быть представлена как комбинация других. Назовем такие угрозы независимыми, а множество независимых угроз - базисом угроз. Выберем в качестве пространства для построения геометрической модели СЗИ пространство Rn (его размерность совпадает с мощностью базиса угроз) [5].

Предположим, что любая угроза, направленная на СЗИ, практически ориентирована на конкретные элементы.

Введем в модель СЗИ совокупность векторов пространства Rn, каждый из которых отвечает элементу, входящему в состав СЗИ.

Для средств защиты определим множество угроз. Для каждого элемента СЗИ значения координат соответствующего вектора явно указывают на угрозы, направленные против него.

Каждый вектор находится в первом координатном ортанте, однако различные координаты вектора имеют разную чувствительность. Для

большей наглядности построим в Я" поверхность выпуклого многогранника, каждая из вершин которого совпадала бы с концом одного из векторов, а концы векторов, не являющихся вершинами, лежали бы внутри многогранника. Поверхность многогранника вместе с векторами будем рассматривать в качестве геометрической модели СЗИ. Результат воздействия любой угрозы естественно формализовать при помощи сжатия поверхности многогранника вдоль вектора атаки (рис. 1).

Аз ' А <-

_____- --/7 P2

X" " \ ________ ----- ' ' / /

/ / / / /у

х W 4 \ \ \ у \ * /1 / / s ' /

ч\ \ 4 V \ / / ' j / / ' /

\\\ Ч ' S t / \ / / / /

\ 4 Ж : / Ai

/ \ / /

/ \' / /

/ V N\ /

А2/ Рз

Рис. 1. Геометрическая модель исходной СЗИ

и результат проведенной атаки

Такой способ моделирования чрезвычайно прост, по смыслу он соответствует тому, что угроза всегда направлена против ИС в целом, а ее непосредственное воздействие на элементы СЗИ -это лишь способ проявления. Векторы, отвечающие нечувствительным к данной атаке элементам, не изменят своего положения в рассматриваемом пространстве.

По результатам проведения угрозы или комбинации угроз можно судить о чувствительности ИС к возмущающим воздействиям атаки. Если геометрическая модель изменилась незначительно (указывается допустимый порог), можно сделать вывод о нечувствительности ИС к возмущающему воздействию атаки. Иначе делается вывод о недостаточности внедренных защитных мер. Описанный механизм проводится в несколько итераций до тех пор, пока ИС не останется невозмущенной после воздействия угрозы или комбинации угроз.

Эффективная реализация мониторинга позволяет снизить экономические затраты на вводимые средства защиты. Альтернативой являются превентивные организационные меры или планы реагирования на угрозы (рис. 2).

Множество угроз

Комбинации угроз

Информационная система

СЗИ

Персонал

Множество ресурсов

Планы реагирования

Время реагирования . 4.

Ответственный персонал

Мероприятия

Атакованные ресурсы

Возможные последствия

Множество требований

Подмножество выполненных требований

Рис. 2. Структура плана реагирования

Множество требований

Л

Множество выполненных требований

Механизм

работает

некорректно

СЗИ

Множество механизмов защиты

1 I 2 I 3 I 4

M

СЗИ нечувствительна к воздействию

СЗИ чувствительна к воздействию

Планы реагирования

Дополнительные защитные меры

Рис. 3. Анализ защищенности ИС

Рассмотрим алгоритм анализа защищенности ИС (рис. 3). С использованием кластеризации по исходным статистическим данным определяются группы атак, входящих в комбинации; формируется множество требований. Оценивается чувствительность механизмов защиты к воздействию. По итогам формируются необходимые рекомендации.

В соответствии с такой методикой СЗИ будет представлена множеством механизмов защиты Р=(Р1, Р2, ..., Рт). Допустим, что ИС чувствительна к угрозе а1 и нечувствительна к угрозе а2. Пусть реализация угрозы а1 вывела из строя механизм защиты Р1. Тогда по алгоритму оценки делается вывод о чувствительности ИС к данной атаке. Однако после выведения из строя Р1 СЗИ становится подверженной и угрозе а2, к которой ранее она была нечувствительна.

Если на этапе идентификации угрозы а1 принять определенный комплекс мер по локализации ущерба от разрушения Р1, можно реализовать защиту от последующей угрозы а2. Комплекс мер может быть описан в планах реагирования.

Представленную информацию целесообразно использовать в БД определенной структуры [4] (рис. 4) в заданной последовательности:

- идентификация и категорирование ресурсов;

- формирование таблицы возможных последствий незащищенного состояния;

- оценка необходимого уровня стойкости функций безопасности объекта;

- оценка чувствительности системы защиты информации к негативным воздействиям;

- формирование плана реагирования на чрезвычайные ситуации.

Необходимо отметить, что формирование базы методически требует использования таких стандартов, как ISO 27000 (BS), BSI Standard 100-2 «IT-Grundschutz Methodology» (BSI), ГОСТ Р ИСО/МЭК 150408-2002 (ОК) согласно приведенной в [4] методике.

Разработанная система не только осуществляет количественную или качественную оценку защищенности ИС, но и формирует рекомендации по локализации или нейтрализации угроз в режиме реального времени.

В заключение отметим, что получены следующие результаты в обсуждаемой области: выработаны руководящие идеи оценки защищенности ИС и анализа устойчивости СЗИ к негативным воздействиям, позволяющие решать задачи поддержки принятия решений при анализе и синтезе СЗИ; разработано модельно-алгоритмическое

► Множество целей защиты (ОК)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2. Таблица возможных последствий незащищенного состояния (BSI)

Подмножество выполненных требований поддержки среды (BS)

ИС /

Анклавы

Активы д w

Информация

Распределение ценности информации по времени

1. Идентификация и категорирование ресурсов

Множество угроз (ОК)

I

Т

Система защиты информации

Механизмы защиты 1 2 3 @ ... М

Н

Подмножество выполненных функциональных требований (ОК)

3. Необходимый уровень стойкости функций безопасности объекта (ОК)

Множество рекомендаций поддержки среды (BS)

<—►

сре

I

Множество функциональных требований (ОК)

Подмножество возможных угроз

I

Комбинации угроз

Дополнительные меры защиты

Планы реагирования на негативные события, прогнозы

Рис. 4. Упрощенная структура базы данных угроз и способ ее использования

обеспечение исследования устойчивости СЗИ; получены подходы к измерению воздействия на процессы защиты информации.

Разработанное программное средство прошло апробацию на реальных задачах.

Литература

1. Шишкин В.М., Кащенко А.Г. Статистические и нелинейные модели для идентификации и оценки рисков и управления критичностью // Информация и безопасность. Воронеж: Изд-во ВГТУ, 2008. Вып. 4. С. 503-514.

2. Кочкаров А.А., Малинецкий Г.Г. Управление безопас-

ностью и стойкостью сложных систем в условиях внешних воздействий // Проблемы управления. М.: Изд-во «СенСиДат-Контрол», 2005. Вып. 5. С. 70-76.

3. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью «Авангард» // Информационное общество. М.: Изд-во ИРИО, 2002. Вып. 1. С. 38-44.

4. Бондарь И.В., Золотарев В.В., Попов А.М. Методика оценки защищенности информационной системы по требованиям стандартов информационной безопасности // Информатика и системы управления. Комсомольск-на-Амуре: Изд-во АмГТУ, 2010. Вып. 4 (26). С. 3-12.

5. Кобозева А.А., Хорошко В.А. Анализ информационной безопасности. Киев: ГУИКТ, 2009. 251 с.

УДК 004.7

МЕТОД ВЫЧИСЛЕНИЯ ОПТИМАЛЬНОЙ ПРОПУСКНОЙ СПОСОБНОСТИ ДЛЯ МАРШРУТИЗАТОРА

В.К. Зольников, д.т.н.; А.В. Сафонов

(Воронежская государственная лесотехническая академия, [email protected])

Рассмотрен метод определения необходимой пропускной способности граничного маршрутизатора для вычислительной сети. Предложен способ определения оптимальной мощности маршрутизатора для заданной сети передачи данных.

i Надоели баннеры? Вы всегда можете отключить рекламу.