УДК 004.036.5
СТРАТЕГИЯ УПРАВЛЕНИЯ РИСКАМИ НА ОСНОВЕ ИНФОРМАЦИИ О СОСТОЯНИИ СИСТЕМЫ ЗАЩИТЫ С ИЗБЫТОЧНОСТЬЮ В МОМЕНТ КОНТРОЛЯ
Насыров И.К., ФГБОУ ВПО «КГЭУ», д-р техн. наук, профессор
Андреев В.В., ФГБОУ ВПО «КГЭУ», канд. физ.-мат. наук, с.н.с.
Контакты: [email protected]
Исследуются вопросы оптимального управления векторными случайными процессами, описывающих состояние системы защиты информации (СЗИ) на основе приложений леммы Дуба. В отличие от случая, где исследовались стратегии профилактик в предположении, что система защиты информации находится в двух состояниях - ноль (отказ) или единица (рабочее состояние), в данной работе изучаются резервированные системы более сложной структуры, причем предполагается, что состояние СЗИ контролируется периодически. Информация о состоянии системы, получаемая в моменты контроля учитывается при принятии решений об обслуживании системы. Ключевые слова: оптимальное управление, защита информации, принятие решения.
I Введение и постановка задачи
В настоящее время обрабатываемая информация все более часто рассматривается компаниями как актив, имеющий ценность, в связи, с чем должна быть обеспечена достаточная ее защита от различных видов угроз [ 1^3].
Известно, что стойкость к взлому системы защиты информации может быть обеспечена только в вероятностной форме. Не существует абсолютно стойких к взлому защит и всегда существует ненулевая вероятность реализации угроз информационной безопасности (ИБ). Таким образом, наиболее существенными характеристиками для компаний с позиций анализа и управления процес-
41
сами обеспечения их ИБ являются вероятности реализации угроз ИБ, а также потери, которые организации понесут в случае реализации данных угроз. Эти две составляющие, как правило, комбинируются в одну комплексную характеристику - риск информационной безопасности. При реализации политики ИБ предприятия большое значение уделяется анализу и управлению рисками как вероятностным процессом. На этапе управления рисками производится идентификация и снижение рисков ИБ, которые могут воздействовать на информационную систему, до приемлемого уровня с учетом специфики организации и сферы ее деятельности.
Отметим также, что управляющее воздействие на эксплуатируемую СЗИ должно осуществляться либо в соответствии с программой эксплуатации, которую составляют заранее исходя из априорных сведений о системе, либо в виде так называемой позиционной стратегии, соответствующей управлению состоянием СЗИ (а, следовательно, и рисками ИБ) по принципу обратной связи [4^7]. В последнем случае управляющее воздействие на СЗИ формируется апостериорно, на основании дополнительной информации о состоянии системы, которая становится известной при измерении параметров ее состояния в процессе эксплуатации. Такое управление СЗИ, а следовательно и рисками ИБ, будем называть эксплуатацией системы по состоянию, что является предметом исследования в настоящей работе.
Для увеличения надежности любой вычислительной системы применяется резервирование, основанное на включении в состав защиты избыточных средств - добавочных механизмов защиты. Под резервированием [ 4; 5; 8] понимают включение в систему защиты избыточных механизмов реализующих те же функции защиты, что и основные, но иным способом и средствами. Это позволяет предотвратить появление одной и той же уязвимости в резервируемом и в резервном средствах защиты.
42
Таким образом, целью настоящей работы является построение математической модели управления рисками ИБ посредством измерения параметров состояния СЗИ в процессе эксплуатации, причем сама система защиты информации является зарезервированной.
II Общий подход к профилактике СЗИ с избыточностью
В дальнейшем СЗИ будем рассматривать как сложную техническую систему с избыточностью по надежности. Избыточность меняется в зависимости от выполняемых системой задач. Рассмотрим сначала общую математическую схему эксплуатации СЗИ с избыточностью по состоянию.
Пусть в произвольный момент времени I состояние системы
может быть описано вектором X(1) . Обозначим через А множество всех состояний системы. Множество А содержит три подмножества А{А1, А2, Аз}, где А1 подобласть состояний системы, при нахождении в которой СЗИ способна выполнять возложенные на нее функции с заданным уровнем эффективности, без проведения каких либо восстановительных работ или работ по техническому обслуживанию. Подобласть А2 - подобласть состояния системы, при нахождении в которой СЗИ еще способна выполнять задачу с заданным уровнем эффективности, но должна пройти техническое обслуживание и быть возвращена в начальное состояние. При попадании вектора X(1) в подмножество А3 множества А, СЗИ не может выполнять стоящую перед ней задачу с заданной эффективностью. Считаем, что перед применением система защиты полностью прошла предусмотренное нормами техническое обслуживание (все элементы работоспособны, счетчик отсчета времени наработки системы установлен на нуль, т.е. t0 = 0). В процессе эксплуатации СЗИ предусмотрен контроль в моменты ti = iAt (г = 1, 2, 3...). Такой контроль может осуществляться автоматически и практически
43
мгновенно. В результате контроля определяется вектор Х^) и фиксируется наработка элементов системы.
Если в процессе контроля вектора X(Г) и сравнения с границей области А3 обнаруживается, что в момент ^ (г = 1, 2, ...) система не может выполнять стоящую перед ней задачу с приемлемой эффективностью в результате отказа СЗИ (взлома, появления каналов НСД к информации, сбоя в программном обеспечении (ПО) и
т.д.), то в этом случае Х() е А3 и автоматически выдается команда о прекращении функционирования системы. Если же составляющие вектора Х(^) не принадлежат в моменты контроля области А3, то это значит что, либо СЗИ функционирует без сбоев с заданной эффективностью X е А1, либо произошли сбои некоторых элементов СЗИ, что, однако незначительно повлияло на эффективность системы и она продолжает выполнять поставленную задачу. Устройства контроля может при необходимости выдавать информацию о вероятности выполнения задач с приемлемой эффективностью.
Рассмотрим теперь потери (выраженные в единицах стоимости, времени, трудозатрат и т.д.), которые связаны с эксплуатацией СЗИ. Пусть стоимость С1 будет означать средние затраты на проверку системы. Следует отметить, что все эти расходы, как правило, пропорциональны времени проверки и наладки ПО.
Введем теперь затраты С2, связанные с невыполнением СЗИ
задачи (при X() е А3). Если С2 придать смысл стоимости, то эта
стоимость связана в основном с появлением уязвимости, потерей (утечкой) информации через каналы несанкционированного доступа, внесением исправлений в ПО и восстановлением самой СЗИ. Очевидно, всегда С2 > С1.
В связи с тем, что после окончания предупредительной профилактики или аварийно - профилактического восстановления СЗИ полностью обновляется, процесс обслуживания после этих момен-
44
тов полностью повторяется. Моменты окончания восстановительных работ, в силу обновления системы, являются моментами регенерации процесса. Интервал времени между соседними моментами регенерации будем называть периодом регенерации.
Итак, стратегию обслуживания достаточно определить на периоде регенерации. Поэтому выбор стратегии обслуживания исследуемой системы защиты информации полностью определяется разбиением области А возможных состояний системы X(1к), ^ | на три непересекающихся подобласти А1з А2, А3 (А1ИА2ИА3=А), при попадании в которые вектора X(^), ^ } принимается решение о продолжении наблюдения, проведения предупредительной профилактики или аварийно - профилактического ремонта соответственно.
Поскольку А3 - подобласть состояний отказов СЗИ, то задача заключается в том, чтобы некоторым оптимальным образом определить области А1 и А2. Для решения этой задачи необходимо определить критерий, по которому производится оптимизация разбиения области А.
Пусть на рассматриваемом периоде регенерации время пребывания системы в области А1 равно t. Тогда удельные затраты за период регенерации равны
если в момент t осуществлен переход в
с(АЛ,л,)область ^ (2.1)
[с2 /1, если в момент t осуществлен переход в область
Время t пребывания системы в области А1 зависит от разбиения (А1, А2, Аз) и является случайной величиной. Поэтому за критерий, характеризующий качество проведенного разбиения (А1, А2, А3), а следовательно и качество стратегии обслуживания, принимаем средние удельные затраты, приходящиеся на единицу времени
45
безотказной работы СЗИ за период регенерации: MCi = С(А1, А2, А3). Задача теперь сводится к определению таких областей А1*, А2*, А3* (А1*иА2*иА3* = А) для которых достигается минимум средних удельных затрат и как следствие минимум риска ИБ.
С (АД А2*, Аз*)= min С(АЬ А2, А3). А1, А2, Аз (2.2)
А1иАСиА3=А
Для определения оптимального разбиения (А1*, А2*, А3*), минимизирующего средние удельные затраты С(А1, А2, А3) воспользуемся полумартингальной леммой Дуба [5 - 7]; формулировку которой без доказательства приведем ниже.
Лемма Дуба. Пусть {Is}, s = 1, 2, ... последовательность о -полей в некотором пространстве Q элементарных событий, I, с 1,+ь а {Y,s} - последовательность случайных величин, измеримых относительно Is, для которых существует MY,.
Пусть задан некоторый класс К правил определения моментов к остановки наблюдения, таких что Мк < ю.
Если существует правило, определяющее момент остановки к*, для которого
1. Мк * <да
2. М{У, / Is} =
- Ys 1, при s < k*,
- Ys 1, при s > k*,
46
почти для всех элементарных событий ю е О, где s моменты остановок наблюдений, определяемые другими правилами из класса К, и если существует константа С < ю такая, что для всех s
3.М{| - Ys /Is} - , то это правило является оптимальным, т.е.
MYk* = min MYS,
где минимум берется по всем возможным правилам остановки из класса К.
В исследуемом случае последовательность {Is} совпадает с последовательностью наблюдаемых состояний системы:
Is = \x(tk ), tk, к = 0S}
Класс правил К остановки наблюдений определяется всевозможными разбиениями пространства наблюдаемых состояний системы защиты на подобласти А1, А2, А3.
Заметим, что наблюдения прекращаются при переходе вектора состояния из области А1 в области А2иА3, причем область А3 определена заранее как область отказов СЗИ. Случайная величина Ys совпадает с удельными затратами за период регенерации С s = Ys, причем Cs зависит от наблюдаемых состояний Is и принятого правила остановки (разбиения), определяющего момент остановки s.
Проверим условия сформулированной леммы.
Поскольку для технических систем среднее время безотказной работы конечно, следовательно для любого разбиения (А1, А2, А3) конечным будет среднее время пребывания в области А1. Это зна-
47
чит, что в условие 1 выполняется для всех рассматриваемых правил остановки.
Если также предположить, что потери Ci и С2 конечны и {X(0),0je A1, т.е. в момент регенерации принимается всегда одно решение - продолжить наблюдение, то как показано в [ 4; 5; 9] условие 3 также выполняется.
Условие 2, по существу определяет алгоритм остановки наблюдений за вектором состояния системы при выходе процесса из области А1.
Пусть tk есть момент времени выхода процесса X(t) из области А1. Тогда
M
К /!h- }= MК /[{x(tt), tt}, i = 0 к - lj}
= C P{X (tk ), tk }ё A3/
ti). ti
{X (t.), t.},
i = 0, к -1
+
+^ p{x(tk), tk }e A3 /[{X(ti), tt} i = 0, к - lj}
C1 1 C2 C1
tk tk
p{{X(tk), tk }e A3/[{X(ti), ti} i = 0, к - lj}. (2.
3)
Если
P
{{X(tk), tk }e A3 /[{X(ti), tl}i = 0,k - lj}<
С
(C2 - Ci )(k -1)'
(2.4)
то из (2.3) следует
k
k
48
м С / Ь-1}< С = С- .
[к-1)< — - С^. (2.5)
1к-1
При
), -кЬ V /„ >{Сг - ^ -1> • (26)
то из (2.3) получаем
МС /С - С-, (2.7)
1к-1
Для реальной технической системы, естественным является предположение о том, что чем больше наработки, тем ниже ее надежность. В таком случае вероятность р{{х(?к ), }е А3 / 1к-1} является возрастающей функцией времени ^ = кД^ . Правая же часть неравенства (2.4) является монотонно убывающей функцией к. Поэтому, если в качестве к* взять такое к, для которого последний раз выполняется неравенство (2.4), то условие 2 леммы будет выполнено.
Таким образом все условия леммы выполняются и оптимальное правило остановки (нахождение оптимальной границы между областями А\ и А2) определяется неравенством
Р{Х&), }е Аз /[{Xа), -}I - С\, л (2.8)
(С2 - С \к -1)
49
Правило построения области А1 таково: всякая точка {x (tk-1), tk-1}, для которой выполняется неравенство (2.8) принадлежит области А1.
III Оптимальное управление рисками ИБ на основе леммы Дуба в СЗИ с избыточностью
Для удобства применения описанной в настоящей работе модели выпишем левую часть управляющего неравенства (2.8) для некоторых типовых избыточных схем соединения элементов СЗИ по надежности [4; 8].
1. СЗИ (встроенная в операционную систему (ОС) и добавочная) рассматривается как единое устройство с функцией интенсивности отказа Ä(t), Ä'(t) > 0. В этом случае условная вероятность отказа системы, стоящая в левой части выражения (2.8) имеет вид
1 - exp
i
|A(t )dt
(3.1)
>
t
i-1
2. СЗИ состоит из одного основного элемента и п аналогичных элементов в ненагруженном резерве. Отказ системы наступает при отказе (п + 1)-го элемента. Обозначим число отказов элементов в системе к моменту через х^ и наработку функционирующего элемента к моменту ti - через в\.
Пусть ¥({) - функция распределения времени безотказной работы каждого элемента СЗИ ¥(/) = 1 - ¥(/) . Тогда левую часть выражения (2.8) можно записать так:
Р {хг = п +1/х-1,в-1, = ¥1 (3-1 + А/ )* ¥ (А/ )* ...¥(А/) (з 2)
п—хг-1 раз
50
где
F(6> + At) = 1 - F(0 + At)/f(0) (3.3)
t
F (t) * F (t) = J F (t - x)dF (x) (3.4)
0
3. СЗИ состоит из одного основного блока и n идентичных блоков в нагруженном резерве. Остальные обозначения те же, что и в предыдущем пункте. В этом случае левая часть выражения (2.8) имеет вид:
P{xt = n +1/Xi-1, tM} = qn+1-x'-1, (3.5)
где
q, = 1 - F (t)/F (ti-1). (3.6)
Рассмотрим в качестве примера частные случаи вариантов. Пусть
F (t) = 1 - e", (3.7)
тогда F (0 + At) = F (At), и из (3.2) получим
P{xk = n +1/xt -1,вк-1, tk-1}= P{xk = n +1/Xk-1}= 1 -^f (3.8)
7=0 -
Следовательно для рассматриваемого варианта неравенство (2.8) определяющее область Ai принимает вид:
51
1 - У^А/Т,_С__(3 9)
у ]\ (с - С,)(к -1) ( )
Все точки (хы, tk-1}, для которых справедливо (3.9) принадлежат области А1.
Рассмотрим варианты расчетов СЗИ при следующих значени-
о
ях параметров: X = 2,2812* 10- 1/ч (20 отказов в год), новая система ставится на эксплуатацию в момент t0 = 0 и далее назначается контроль ее состояния через каждые 200 часов (А t = 200 ч).
Первый вариант расчета проводится для СЗИ с нагруженным резервом, состоящий из одного рабочего и четырех резервных блоков в ненагруженном резерве.
Алгоритм определения моментов восстановительных работ СЗИ (профилактик или ремонтов) заключается в следующем. Наблюдение за работой системы происходит в последовательные моменты tk = kАt ^ = 0, 1, 2, ...). Если в момент tk-1 = (к - 1)Аt ^ = 1, 2, ...) в системе отказало хы Ф п+1 систем, то проверяется соотношение
1 - у'^А!,_1__(3.10)
у / (С - 1)(к -1) ( '
При выполнении неравенства (3.10) назначается наблюдение в момент ^ = 1, 2, ...). При невыполнении неравенства (3.10) в момент tk-1 осуществляется плановая предупредительная профилактика СЗИ и процесс {X (/), /} возвращается в точку (0,0) - система полностью обновляется. Если в момент tk-1 справедливо равенство х^.1 = п+1, то принимается решение о проведении планового аварийно - профилактического ремонта и процесс (х^ tk) возвращается в точку (0,0).
Результат расчета представлен в табл.1. На рис. 1 построена граница оптимального разбиения области на подобласти А1* и А2*.
52
Таблица 1. Результат расчета
Число отказавших элементов хк*.1 к 4 3 2 1 0
моменту 1к*.1 (к* > 1)
Число работающих элементов п + 1 - 1 2 3 4 5
хкм (к*>1, хкм<п) к моменту Гк*-1
Значения к* (формула (3.10)) 2 7 45 399 4431
(к - 1)ДГ 200 1200 8800 79600 886000
ным резервированием
Рассмотрим теперь случай с нагруженным резервированием для частого случая
^ (-) -1- е
-м
Тогда
Р{х. - п +1/х._1,1к-1}-(1 -е"м)
И+1-XI-1
(3.11)
Поэтому неравенство (2.8) в данном случае запишем так:
(1 - е~м )п+1-Х-1 <
С
(С2 - С)(к -1)
(3.12)
53
Рис. 1. Оптимальная граница разбиения областей А1* и Ас*. СЗИ с ненагружен-
Все точки {х£_1, ¿ы}, для которых справедливо соотношение (3.12), принадлежит области А1.
Пример расчета для СЗИ с нагруженным резервом, состоящий из одного рабочего и четырех резервных блоков представлен в табл. 2. По результатам расчетов на рис. 2 построена граница оптимального разбиения области на подобласти А1* и А2*. Процедура расчета номера к*, при котором проводятся предупредительные профилактики аналогична предыдущей для ненагруженного резерва. По результатам расчетов на рис. 2 построена граница оптимальных разбиений области исправной работы СЗИ на подобласти А1* и А2*.
Таблица 2. Расчет для СЗИ с нагруженным резервом
Число отказавших элементов СЗИ хкм к 4 3 2 1 0
моменту Гкм (к*>1), хк*-1=п=4
Число работающих элементов СЗИ п+1- 1 2 3 4 5
хк*-1 (к*>1, хкм<п), к моменту Гкм
Значения к* 4 8 45 372 2501
Значения к* (формула (3.12)) 2 5 11 29 77
(к - 1)ДГ 200 800 2000 5600 15200
Рис. 2. Оптимальная граница разбиения области А1* и А2*. СЗИ с нагруженным
резервированием
54
После построения границы между областями А1* и А2* оптимальная стратегия эксплуатации СЗИ с позиций минимального риска ИБ сводится к следующему если в момент наблюдения (к = 1 , 2, 3, ...) СЗИ отказала, то при числе имеющихся в ней отказов Хк-1, меньшем соответствующего значения границы оптимального
упреждения {(хк-1, /к-1 )е Д*}, наблюдение (контроль) за СЗИ продолжается, то есть следующее наблюдение назначается в момент в противном случае {хк-1, /к-1 )е Д2 } проводится плановая предупредительная профилактика СЗИ. Если к моменту наблюдений 1к, (к = 1, 2, ...) система отказала (хы = п + 1), то выполняется плановое аварийно - профилактическое восстановление.
Выводы
В основе теории разработанных в работе моделей эксплуатации сложных систем по состоянию лежит общая теория управляемых случайных процессов. Немарковские случаи управления применительно к задачам профилактики систем основывается на общих идеях теории статистического последовательного анализа.
Показано, что эксплуатация СЗИ по состоянию в силу достаточно подробной информации, имеющейся при контроле системы, обеспечивает лучшие значения показателей эксплуатации системы (связанных с работоспособностью и надежностью в процессе применения), в частности управления рисками информационной безопасности.
Для увеличения надежности СЗИ наряду с применением методов эксплуатации систем по состоянию в работе проанализированы в общем виде вопросы применения резервирования, основанные на включении в состав системы защиты избыточных средств -в данном случае - добавочных механизмов защиты с целью расширения функций как добавочных, так и встроенных механизмов защиты. Эффективность общей методики проиллюстрирована на конкретных примерах.
55
Источники
1. Петренко С.А., Симонов С.В. Управление информационными рисками экономически оправданная безопасность. М.: Компания АйТи; ДМК Пресс 2004. 384 с.
2. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. СПб.: «Наука и Техника», 2004. 384 с.
3. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, 1996, кн. 1 и 2, 1994.
4. Гнеденко Б.В., Беляев Ю.К., Соловьев А.Д. Математические методы в теории надежности. М.: 1965, 521 с.
5. Байхелат О., Франкен П. Надежность и техническое обслуживание. Математический подход. М.: Радио и связь. 1988. 392 с.
6. Барзилович Е.Ю., Каштанов В.А. Некоторые математические вопросы теории обслуживания сложных систем. М.: Сов. Радио. 1970. 272 с.
7. Дуб Дж. Вероятностные процессы. М.: 1956.
8. Кокс Д. Смит Теория восстановления. М.: 1967.
9. Ширяев А.Н. Статистический последовательный анализ. М.: Наука. 1976.
THE RISK CONTROL STRATEGY ON BASE OF INFORMATION ABOUT STATE OF PROTECTION SYSTEM WITH REDUNDANCY IN INSTANT OF CONTROL Nasyrov I.K., Andreev V.V.
The problem of optimal control of vectorial random processes describing of state of protection information system on base Doob's lemma is investigated. In this work a redundant systems with more complicated structure are discussed. The state of protection information system is periodically registered. Information on system state obtained in control moments is taking into account in making of decision for system service. Keywords: optimal control, protection of information, making of decision
Дата поступления 02.02.2016.
56