В. В. Меньших, Е. В. Петрова
доктор физико-математических наук, профессор
ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ И СИНТЕЗ МАТЕМАТИЧЕСКОЙ МОДЕЛИ ЗАЩИЩЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ОВД КАК СЕТИ АВТОМАТОВ
THEORETICAL SUBSTANTIATION AND SYNTHESIS OF MATHEMATICAL MODEL OF INTERNAL AFFAIRS BODIES PROTECTED INFORMATION SYSTEM AS AN AUTOMATA NETWORK
Обосновывается целесообразность математического моделирования функционирования защищенной информационной системы ОВД на основе использования методов теории автоматов. Предложена модель защищенной информационной системы, построенная с помощью сети автоматов.
The expediency of mathematical modelling of Internal Affairs Bodies protected information system functioning on the basis of using automata theory methods is proved. The protected information system model constructed by means of an automata network is suggested.
Введение. В настоящее время в деятельности органов внутренних дел широкое применение получили информационные технологии. Они позволяют значительно повысить эффективность работы подразделений ОВД, главным образом за счет повышения оперативности обработки и обмена данными. Однако в процессе своего функционирования информационные системы (ИС) подвержены постоянному воздействию угроз информационной безопасности (ИБ) [1]. В целях обеспечения информационной безопасности этих систем создаются системы защиты информации (СЗИ) на основе использования определенного комплекса средств защиты информации, что, безусловно, требует определенных материальных затрат. Поэтому для последующей оптимизации функционирования защищенной информационной системы (ЗИС) представляется целесообразным провести математическое моделирование протекающих в ней процессов.
Моделированию процессов защиты информации в информационных системах посвящено немало исследований. Одними из наиболее распространенных методов моделирования таких систем являются методы теории графов, используемые, например, в [2]. Графовые модели позволяют исследовать отношения между множествами объектов (элементов системы). При этом вершинами графа являются элементы системы, а дуги моделируют взаимоотношения между ними. Использование методов теории графов является весьма эффективным при оптимизации различного рода структур, однако оказывается неэффективным, когда возникает необходимость моделирования динамики изменения систем или их элементов. Для моделирования систем с учетом динамики их изменения широко применяются методы теории массового обслуживания. Одним из ключевых понятий теории массового обслуживания является понятие очереди — линейной цепочки выстроившихся друг за другом заявок на обслуживание. Однако процессы в информационных системах весьма сложны, и некоторые из них могут протекать одновременно. И, хотя эта проблема может быть решена путем использования многоканаль-
ных систем массового обслуживания, более перспективным представляется подход, основанный на использовании методов теории автоматов [3, 4]. Одной из разновидностей автоматов можно считать сети Петри. Подход, основанный на использовании сетей Петри, используется в работе [5], однако в ней рассматривается лишь один из аспектов информационной безопасности ЗИС, связанный с защитой от вредоносных программ.
В данной статье предлагается вариант синтеза математической модели защищенной информационной системы с помощью сети автоматов.
Описательная модель функционирования. Пусть множество угроз информационной безопасности ЗИС классифицируется на п типов угроз:
[ик}, к = 1,п .
Угрозы разных типов могут действовать одновременно в разных комбинациях. Одновременное действие нескольких угроз будем рассматривать как новую угрозу.
В процессе функционирования ЗИС могут происходить события следующих типов:
ик — воздействие угрозы ик, к = 1, ..., п на ЗИС;
иI — ликвидация угрозы ик, к = 1, ., п (противодействующая реакция СЗИ);
е — отсутствие угроз и реакций СЗИ.
Эти события влияют на состояние ЗИС. Одновременное либо последовательное появление в системе нескольких событий есть новое событие. Это можно интерпретировать как бинарную операцию композиции событий о, относящихся к угрозам одного типа: ик (к = 1, ., п). Эта операция обладает следующими свойствами.
1. Отсутствие угроз и реакций СЗИ не меняет исходного состояния ЗИС:
и+ о е = е О и+ = и+, и- о е = е О и- = и-.
2. Повторное появление одного и того же события, будь то возникновение или ликвидация некой угрозы, равносильно однократному появлению этого же события (свойство идемпотентности):
и+ о и+ = и+, и- о и- = и- .
Замечание: очевидно, что свойства 1 и 2 выполняются, в частности, и для события е: е о е = е .
3. Действие угрозы и+ компенсируется реакцией СЗИ и- :
и+ о ик = ик о и+ = е.
Введенная таким образом операция композиции событий коммутативна, но не ассоциативна.
Рассмотрим вектор и = (и1,и2,...,ип). Каждая координата ик принимает значение либо и+, либо и-, либо е. Обозначим множество всех возможных таких векторов как
и. Очевидно, что оно будет содержать 3п элементов: и = [т.,7 = 1,3п}. Назовем это множество множеством событий информационной безопасности.
Композицией двух векторов и. и и. будет вектор, координаты которого получаются путем композиции координат исходных векторов:
иои. =и °ц и ои.,...,и. °ип.).
Рассмотрим теперь множество векторов угроз информационной безопасности ЗИС и+ =[ик = (ц,/2,...,/п),7 = 1,. ,2п}, где ук е [е,и+}, к = 1,п , и множество векторов реакций системы защиты информации на эти угрозы и - = {<- = (п,п2,...,пп),7 = 1,.,2п}, где пк е [е, и~к }, к = 1, п .
Очевидно, что и = и к о и- .
Таким образом, полученная модель позволяет описать множество процессов, протекающих в защищенных информационных системах.
Теоретическое обоснование использования автоматных моделей. Как уже
было отмечено выше, при моделировании функционирования защищенной информационной системы важно учитывать динамику изменения ее состояния. В свете этого целесообразно представить ЗИС в виде динамической системы.
В соответствии с классическим определением [3] динамической системой Е называется сложное математическое понятие, определяемое следующими аксиомами:
(a) Заданы множество моментов времени Т, множество состояний Q, множество мгновенных значений входных воздействий X, множество допустимых входных воздействий 0 = [в: Т ® X}, множество мгновенных значений выходных величин У и множество выходных величин О = [с: Т ® У}.
(b) (Направление времени.) Множество Т есть некоторое упорядоченное подмножество множества вещественных чисел.
(c) Множество входных воздействий 0 удовлетворяет следующим условиям:
1. (Нетривиальность.) Множество 0 непусто.
2. (Сочленение входных воздействий.) Назовем отрезком входного воздействия в(кН ] для ве 0 сужение 6 на (/х, t2 ]п Т. Тогда если 6,0 е0
и ^ < г2 < ^, то найдется такое 6 е 0, что 6^2] = 6^2] и в1нн] = 6('^3].
(ё) Существует переходная функция (отображение) состояния 8: Т х Т х Q х0® Q,
значениями которой служат состояния q() = 8(^т, q,в)е Q, в которых оказывается система в момент времени t е Т, если в начальный момент времени те Т она была в начальном состоянии q = q(т)е Q и если на неё действовало входное воздействие в е0. Функция 8 обладает следующими свойствами:
1. (Направление времени.) Функция 8 определена для всех t >т и не обязательно определена для всех t < т.
2. (Согласованность.) Равенство 8^; t, q,в) = q выполняется при любых t е Т, любых q еQ и любых в е0.
3. (Полугрупповое свойство.) Для любых t1 < t2 < t3 и любых q еQ и 6е0 имеем
8( 3; ^, q,в)= 8(tз; 12,8( 2; tl, q,в),в).
4. (Причинность.) Если 6,6 е 0 и в(т{] = в[т{], то
8(Г;Т, q ,в)=8(t;т, q, 6).
(е) Задано выходное отображение 1:Т х Q ® У, определяющее выходные величины у(;) = 1(^ q(t)). Отображение (т,t]® У, задаваемое соотношением Г А А(г,8(г;т, q,в)), Ге (т,t], называется отрезком выходной величины, т. е. сужением 0)^1 ] некоторого сое О на (т,t] (здесь символ / А g означает, что отображение Г ® О ставит в соответствие элементу / е Г элемент g е О).
Покажем, что рассматриваемая защищенная информационная система является динамической. Действительно, ЗИС в каждый момент времени может находиться в одном из множества состояний. Поскольку нас интересует вопрос ее информационной безопасности, то можно считать, что состояние ЗИС характеризуется вектором угроз
информационной безопасности, действие которых реализуется в системе в данный момент времени.
Входными воздействиями можно считать векторы возникающих угроз информационной безопасности и векторы действий СЗИ по их ликвидации (векторы реакций СЗИ). При этом очевидно, что не составит труда определить множество мгновенных значений входных воздействий, а также множество допустимых входных воздействий. Нетривиальность множества входных воздействий, а также условие сочленения входных воздействий очевидны.
Аналогичным образом можно определить множество мгновенных значений выходных величин и множество выходных величин. При этом под выходными величинами следует понимать интересующие нас характеристики системы, позволяющие судить об эффективности ее защиты. В частности, поскольку нас интересует вопрос реализации в системе тех или иных угроз информационной безопасности, можно отождествить выходные величины с состояниями системы.
Знание состояния системы q(^) в момент времени tl и отрезка входного воздействия в = в(к {] (под которым следует понимать те угрозы информационной безопасности и реакции СЗИ, которые возникали в течение промежутка времени t2 ]) позволяет на основе введенной выше операции композиции о определить состояние q(^) в момент времени t2, при том, что t1 < t2. Другими словами для рассматриваемой ЗИС можно определить переходную функцию (отображение) 8 : Т х Т х Q х0® Q . Выполнение свойств (ё)—1 — (ё)—4 также очевидно. Выходное отображение также может быть задано; его вид зависит от поставленной задачи исследования поведения ЗИС.
Таким образом, рассматриваемая система действительно относится к классу динамических систем.
Динамическая система называется стационарной [3], если ее реакция на заданный отрезок входного воздействия при условии, что система находилась в заданном состоянии, не зависит от того, в каком промежутке времени осуществлялся этот опыт. Другими словами для таких систем основные соотношения (структура) не меняются во времени.
Очевидно, что рассматриваемая ЗИС является стационарной.
В соответствии с [3] динамические системы можно подразделить на системы с непрерывным временем и системы с дискретным временем.
В контексте исследуемой задачи процессы, протекающие в ЗИС, можно представить как последовательность некоторых операций, осуществляемых в дискретные моменты времени [6]. Это позволяет отнести рассматриваемую систему к динамическим системам с дискретным временем.
Итак, защищенная информационная система может рассматриваться как стационарная динамическая система с дискретным временем. Согласно [3] такая система представляет собой автомат.
Таким образом, для моделирования функционирования защищенной информационной системы ОВД в условиях воздействия угроз информационной безопасности целесообразно использовать методы теории автоматов. Более того, с учетом отождествления выходных величин с состояниями ЗИС, характеризуемыми векторами реализованных в системе в данный момент угроз, для моделирования функционирования ЗИС удобно использовать автоматы Мура [4]. Данный подход к моделированию процессов обеспечения информационной безопасности проиллюстрирован в статьях [7—9].
Синтез математической модели ЗИС на базе коллектива автоматов. Система защиты информации должна решать следующие задачи:
предотвращать реализацию вредоносного воздействия возникающих угроз информационной безопасности в системе с требуемой степенью эффективности;
эффективно и своевременно обнаруживать угрозы, реализовавшие свое вредоносное воздействие в системе, преодолев средства предотвращения угроз; эффективно устранять обнаруженные угрозы.
В соответствии с кругом решаемых задач, в СЗИ можно выделить три подсистемы: подсистему предотвращения угроз информационной безопасности, под которой будем понимать комплекс программных и аппаратных средств, а также методов, направленных на предотвращение реализации вредоносного воздействия угроз в системе;
подсистему обнаружения угроз информационной безопасности, под которой будем понимать комплекс программных и аппаратных средств, а также методов, направленных на обнаружение угроз, реализующих свое вредоносное воздействие в системе;
подсистему устранения угроз информационной безопасности, под которой будем понимать комплекс программных и аппаратных средств, а также методов, направленных на устранение обнаруженных угроз.
В работе [7] приводится автоматная модель функционирования подсистемы обнаружения угроз информационной безопасности, в работе [8] — подсистемы устранения угроз информационной безопасности. В работе [9] приводится модель функционирования собственно информационной системы под воздействием потока угроз и потока реакций СЗИ.
Можно показать, что модель функционирования подсистемы предотвращения угроз информационной безопасности может быть построена на основе автомата из [9], моделирующего функционирование системы. Поток реакций СЗИ в этом случае будет представлять собой не устраняющие воздействия, а предотвращающие. Поток угроз на выходе этого автомата будет являться потоком непредотвращенных угроз информационной безопасности.
Таким образом, все процессы, протекающие в защищенной информационной системе (ЗИС), моделируются автоматами трех типов:
автомат А (моделирует функционирование собственно информационной системы и подсистемы предотвращения угроз информационной безопасности);
автомат В (моделирует функционирование подсистемы обнаружения угроз информационной безопасности);
автомат С (моделирует функционирование подсистемы устранения угроз информационной безопасности).
На основе данных автоматных моделей строится математическая модель функционирования защищенной информационной системы ОВД в целом. Это реализуется путем построения сети автоматов или структурного автомата.
В соответствии с общими положениями теории автоматов [4], структурный конечный автомат задается:
конечным множеством абстрактных автоматов;
конечной схемой их соединения с указанием взаимного влияния частей схемы. Конечное множество абстрактных автоматов задано. Обратимся к построению схемы их соединения.
Поток угроз ЗИС подвергается действию комплекса постоянно функционирующих в системе мер предотвращения угроз, то есть действию потока предотвращающих реакций СЗИ. В результате этого не все возникающие угрозы реализуются в ИС. Как уже было отмечено, этот процесс моделируется автоматом типа А. На выходе автомата подсистемы предотвращения угроз формируется поток непредотвращенных угроз. Этот поток должен поступить на вход автомата, моделирующего собственно функционирование системы (также автомат типа А). Кроме того, на вход этого автомата поступает
поток устраняющих реакций СЗИ, формируемый подсистемой устранения угроз. На выходе формируется поток угроз, реализовавшихся в системе. Этот поток необходимо подать на вход автомата подсистемы обнаружения угроз (автомат типа В). Кроме того, на вход этого автомата необходимо подать поток устраняющих воздействий СЗИ (с выхода автомата подсистемы устранения). Этот поток несет информацию, необходимую для своевременного удаления из списка обнаруженных угроз тех, которые уже были устранены. На выходе формируется поток обнаруженных угроз. Этот поток необходимо подать на вход автомата подсистемы устранения угроз (автомат типа С), который, как уже было сказано выше, формирует на выходе поток устраняющих реакций СЗИ, подаваемый на входы автомата, моделирующего собственно функционирование системы и автомата подсистемы обнаружения.
Исходя из вышесказанного, схема соединения автоматных моделей будет выглядеть так, как показано на рис. 1.
'Цоток предотвращающих реакций СЗИ
I Поток
непредотвращенных
А угр°з А
/\
II
Подсистема предотвращения угроз ИБ
Поток угроз, гал^овавшихся в ИС
Поток устраняющих реакций СЗИ
111
в
Подсистема Подсистема
устранения угроз ИБ обнаружения угроз ИБ
1 Поток обнаруженных угроз
! ЗИС ОВД
Рис. 1. Структурный автомат, моделирующий функционирование ЗИС
На рис. 1 Н : Z1 х Z2 ® Z — оператор конкатенации вида
Н(г,12)= (і1,12) = 1, где є Z1, 12 є Z2, 1 є Z .
Поток угроз ЗИС задается вектором вероятностей возникновения, а поток предотвращающих реакций СЗИ — вероятностей предотвращения угроз ИБ.
С учетом декомпозиции автоматов типа А, В, и С, произведенной в [9], [7], и [8], соответственно, схема, изображенная на рис. 1, примет вид, изображенный на рис. 2.
Приведенные на рис. 2 операторы Н1А , Н А, НВ, НВ, НС, НС, используемые для параллельного соединения при декомпозиции автоматных моделей, также описаны в [9], [7] и [8] соответственно.
Заключение. В интересах оптимизации функционирования защищенных информационных систем моделирование протекающих в них процессов представляется
весьма актуальным. При этом особое значение имеет учет динамики изменения состояния моделируемой системы.
В работе показано, что защищенная информационная система может быть представлена в виде стационарной динамической системы с дискретным временем. Это позволило использовать для ее моделирования методы теории автоматов. Кроме того, показано, что в контексте рассматриваемой задачи использование методов теории автоматов является наиболее целесообразным.
Получена описательная модель основных процессов, протекающих при функционировании защищенной информационной системы. Предложены автоматные модели этих процессов.
Рис. 2. Автоматная модель функционирования защищенной информационной системы
с учетом декомпозиции ее составляющих
Построена математическая модель защищенной информационной системы ОВД как сеть конечных автоматов. Данная модель позволяет при задании потоков угроз информационной безопасности, предотвращающих реакций СЗИ, а также вероятностных характеристик процессов обнаружения и устранения угроз сымитировать функциони-
рование ЗИС в условиях воздействия угроз информационной безопасности в течение заданного времени. Такая имитация необходима для последующего анализа и оценки эффективности функционирования ЗИС ОВД.
ЛИТЕРАТУРА
1. Герасименко В. А. Зашита информации в автоматизированных системах обработки данных. — М.: Энергоатомиздат, 1994. — 400 с.
2. Меньших В.В., Лукьянов А.С. Оценки сохранения конфиденциальности информации в информационно-телекоммуникационных системах // Информация и безопасность. — 2008. — №4. — С. 601 — 604.
3. Калман Р.Э., Фалб П.Л., Арбиб М.А. Очерки по математической теории систем. — М. : Едиториал УРСС, 2004. — 400 с.
4. Кудрявцев В.Б., Алешин С. В., Подколозин А.С. Введение в теорию автоматов.— М.: Наука, 1985. — 320 с.
5. Меньших В.В., Лунев Ю.С. Моделирование действий дестабилизирующих факторов на распределенную информационную систему с помощью аппарата сетей Петри // Системы управления и информационные технологии. — 2008. — №1(31). — С. 71—75.
6. Меньших В.В., Петрова Е. В. Применение методов теории автоматов для моделирования информационных процессов // Вестник Воронежского института МВД России. — 2009. — №1. — С. 121—130.
7. Зарубин В.С., Меньших В. В., Петрова Е. В. Способ моделирования процесса обнаружения угроз нарушения доступности и целостности информации в системах управления технологическими процессами // Информация и безопасность. — 2010. — №1. — С. 131—134.
8. Меньших В.В., Петрова Е. В. Автоматное моделирование процесса устранения угроз информационной безопасности в защцщенной информационной системе // Моделирование систем и информационные технологии. — 2010. — №7. — С. 72—76.
9. Меньших В.В., Петрова Е. В. Синтез автоматной модели функционирования информационной системы в условиях воздействия угроз информационной безопасности // Инженерная физика — 2010. — №3. — С. 43— 44.