ТЕОРЕТИЧЕСКОЕ ОБОСНОВАНИЕ МЕТОДИКИ ПРОЕКТИРОВАНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В ВИРТУАЛЬНЫХ СРЕДАХ И ОБЛАЧНЫХ ПЛАТФОРМАХ
Нащекин П.А.1
Цель статьи: повышение эффективности систем защиты информации в условиях высокой неопределенности исходных данных.
Метод: моделирование систем защиты информации методами теории нечетких множеств, теории возможностей и теоретической информатики.
Полученный результат: показано, что существующие модели и методы проектирования систем защиты информации недостаточно полно отражают специфику систем защиты информации как сложных организационно-технических систем. Поведение таких систем отражает динамику слабоструктурированных процессов, характеризующихся высокой степенью неопределенности вследствие нестационарности, неточности и недостаточности наблюдений, нечеткости и нестабильности тенденций. При несомненных достоинствах и широком признании статистического (вероятностного) подхода применение его ограничено в процессах создания систем защиты информации таких систем. Обоснована актуальность научной задачи разработки методики проектирования систем защиты информации в виртуальных средах и облачных платформах в условиях высокой неопределенности. Предлагаемое теоретическое обоснование абстрагировано от конкретных видов облачных сервисов и моделей их размещения. Исследована модель системы защиты, представленная иерархией уровней защиты сопоставленной архитектуре информационной системы, реализующей облачные сервисы: композиции иерархически взаимосвязанных уровней виртуальных устройств обработки, хранения и/или передачи данных, аппаратных и/ или программных средств, необходимых для их работы. С использованием основных положений теоретической информатики показано, что параметры оценки эффективности механизмов защиты применимы и как параметры для оценки нейтрализуемых угроз безопасности информации. Теоретическое обоснование методики проектирования систем защиты информации в виртуальных средах и облачных платформах позволило предложить процедуру вычисления семантического порога предпочтения при выборе механизмов защиты, нейтрализующих определенные в «Модели угроз и потенциального нарушителя информационной безопасности» угрозы, разработать и практически применить в процессах проектирования государственных информационных систем метод выбора предпочтительных механизмов защиты, нейтрализующих угрозы безопасности информации на уровнях защиты в общей архитектуре таких систем.
Ключевые слова: механизмы защиты, угрозы безопасности информации, уровни защиты, нечеткие множества, нечеткие числа, лингвистическая переменная, возможность, неопределенность, риски, ущерб.
Введение
Перспективы развития государственных информационных систем (ГИС) связаны с реализацией виртуальных сред и облачных платформ, предоставляющим пользователям возможность доступа к информационным ресурсам из сети Интернет, больший по сравнению с традиционными системами спектр услуг в плане многопользовательской структуры и обеспечивающих удобство и легкость в работе. Важным аспектом является экономичность облачных вычислений и доступность электронных информационных ресурсов для различных слоев населения.
Согласно проекту ГОСТ «Требования по защите информации, обрабатываемой с использованием технологии облачных вычислений» защищаемая ГИС, реализующая облачные технологии, представляет собой многоуровне-
D0I:10.21681/2311-3456-2020-06-14-22
вую систему2: уровень оборудования, уровень виртуализации, уровень управления и уровень оркестровки.
Система защиты информации (СЗИ) таких систем должна обеспечивать защиту от актуальных угроз безопасности информации (БИ) как традиционных средств вычислительной техники (СВТ), нейтрализация которых осуществляется также на нескольких уровнях защиты: BIOS (Basicinput-outputsystem - базовая система ввода-вывода), аппаратный, операционная система (ОС), сетевой, система управления базами данных (СУБД), функциональное (прикладное) программное обеспе-
2 Проект ГОСТ Р Защита информации. Требования по защите информации, обрабатываемой с использованием технологий «Облачных вычислений». Основные положения. URL: http://docs.cntd.ru/document/1200102839
1 Нащекин Павел Александрович, директор НТЦ «Система», Москва, Россия. E-mail:[email protected]
чение, так и актуальных угроз БИ, характерных для конкретной облачной платформы в соответствии с «Моделью угроз и потенциального нарушителя информационной безопасности в ГИС, реализующей облачные технологии» (далее - модель угроз и нарушителя - МУН) 34.
Практика применения средств виртуализации и облачных платформ вГИСпоказывает, что длязащитыиинформации недостаточно уже имеющихся механизмов защиты (МЗ), резлиз^щви фунзцти ззщиты.рассчи-танных на примпнчние в трачициотныоКВТизоэтомч в настоящее время активно разрабатываются новые, в частности, криптографические МЗ [1].
Методика гфчакизроззн и я СЗп чви р^ил ь пыхсре-дах и облачлых плаифоимпх предполагает изполкюо-вание уже имеющихся МЗ на перечисленных ранее уровнях и вкпюизетв тебямцтод(прицоауру) иыборк предпочтительных МЫ, иктоеые п^гаибил(^(а нейтрализуют актуальные угрозы БИ на уровнях защиты. Методика пизи ни уч иачтатьми оЕесявенти1клеоае-тико-семантичк^с^зсз аспекты ароанизапии аимплекс-ной системы защиты ГИС [2,3]
СЗИ предеьаиляеи c^/D^oPi ерoжииеopгaччевииoннo-техническую систему ецвeдeнлькoтоpoй итрпи^^пии^ы^-намику слабоструктурированных процессов (систем) [4] и характертч^тся выcoиoе спепинью неоп|зедчиен-ности вследствиеии-тацы^с^н^^рткити, неточности и недостаточности наблюдений, нечеткости и нестабильности тенденций. Рапоз1атриваепое чеcкасим не ыыеез статистической приседы: нeвoзмoыьoпoльиеcс изИорки статистически однородных событий из их генеральной совокупности, лиопюдaчеыи ¡в иеиеменныв опа^инх условиях наблюдения. То еыаь изассеиески пo^cии^ее-мой статистики не существует [5].
Практика работиш слуии^ыми чКц-
дительно докипыо^^е^р, зти иьиотиреетныe методы ьpе-менимы ограниченно при моделировании сложных недетерминиЕюванныхл^дессот, причцп1 к этим n|TO-цессам можнотииоо и ыетcтвиаиo тесапсци-
онированному доступу к облачным сервисам. В работах [6,7] показано, чтотеория вероятностей является частным случаем теории вoзмкжнocтей. (твою ени-редь математической основой последней является интервальный анализитеозия свукикиимеoжecтв (ИМо В качестве подхода к решению проблемы высокой неопределенности в процессе разработки методики проектирования поз р аио^пиирь^иь^^ средах и облазных платформах будем использовать методы теории НМ [8,9], теории возможностей [10] и теоретической информатики [11]i
Согласно стандарту международного союза электросвязи (ITU-T) Е.40) [ ITU-B. RecоеmеnPиMon ЕДОв. Ои lecommunicationN бtworаSecuritрRequ¡ гете it- 20Вч] количественная оценка риска угрозы ИБ в сети связи, определяется двумя ха°актеристиками - вероятностью
3 ГОСТ Р 56938-2016. Защита информации при использовании технологий виртуализации. Общиеположения.
URL: https://files.stroyinf.rU/Data2/1/4293754/4293754619.pdf
4 Всё по ГОСТу. Защита информации п ри использовании технологий виртуализации
URL: https://habr.com/ru/company/cloud4y/blog/352178/
угрозы и последствием от реализации этой угрозы (т.е. ущербом) [12]. Что касается первой характеристики, то здесь целесообразно оценивать не вероятность, а возможность реализации угроз БИ имеющимися МЗ с использованием экспертных оценок. Экспертные оценки касаются, в частности, определения рейтингов потенциала нападения и стойкостиМЗ.соотношение которых и определяет возможность реализации угрозы БИ иди возможность еенейтралияадии. цчитается, что патенциял наиадения яависитотутоиня мотивации злоумышленника, его квалификации и имеющихся ресурсов. Мотивация влияет на выделяемое на атаки время и, ниямажно, на иривлекаооыв рису|ааыи подбор на-вадающих .
Неопределенность обусловлена также оценками па-рамафовяффеятнвнистиМЗ, таких как стоимость МЗ, срьдневзиешенное количества нФ°з, нейтрализуемых МЗ, величина предотвращаемого риска, степень доверия и coоластимocти средств зашили, возаожеотть примененияМи в ^пим^и и оМмачных платформах.
Таким образом, особую актуальность приобретает научоая задача оетодики проектирования
СЗИввиртуальяых яредеи в ибоанныхплитформах в условиях высокой неопределенности. Актуальность за-оачи г^с^дтвофл^т^г^«^тоя а ирттерыяни ной, поли-
тичиявой, эноомн1иче^о^1^н^/1, экиломиачимости и значимости объектов социально-экономических отрас-леч апя он^ттучецио и^рины нциотиl, бизопасности адуyдapcтвaФпннодзавя доб.
Для повышения эффективности СЗИ необходимо обеспечить адекватность применяемых моделей и ме-тодоя г^фтом морепфди дт статистятеской (вероятностной) концепции к концепции создания методического базиса нооииове монедоу тоории возмож-
тостеф и матоматипеской информо™ки,которые как нельзя лучше подходят для описания и решения задач с высонмж степенью неопртитленлоеви.
1т Пуитднювка яддачи
В рамках методики проектирования СЗИ в виртуальных срадни и облачных нлaтфopмaплcоцадхем модель СЗИ с распределением МЗ по нейтрализуемым угрозам да яи мревннх защтны,пидмложиннпю в работе [13] и уточняющую более общую модель защиты с полным перекрытием. При построении данной модели в каче-стза иcяедцоУ изятaастяствeмтнн тиоылкl, состоящая в том, что в СЗИ как для традиционных СВТ, так и для виртуальных сред и облачных платформ должен содер-жатася пи янойимй мшпе оищя УЖ для наЗтрализации любой потенциально возможной угрозы БИ.
Представим модель СЗИ в виде кортежа МОВСЗИ =< (ПК}, (ПО}, (Ы1}, (РЯ}, (ТЯ}.
Здесь
иги е1Л1 - уровни защиты в СЗИ, и = 1,1/, и - количе-ствоуровней защиты;
е ив - множество актуальных угроз БИ для ГИС, п = \,И, И- количество актуальных угроз;
Мг = {тгк}= иМги = {тгЫК „}, где - подмножество МЗ уровня~защиты иги ей?, квКи- подмножество индексов к = \,К МЗ на этом уровне, иКи = К, глКи = 0;
prJePR,j = l,J, множество параметров оценки эффективности МЗ;
требований к МЗ:
tr eTR- множество
Ч , Лля П1Я1 1 don _
tr_ =vsKa^stn,zii, гАе допустимый уровень ри-
™tu
ска от реализации угрозы, st
максимально допусти-
мые затраты на средства защиты (для класса функционально-однотипных МЗ).
Угрозу представим в виде вектора
^а = {р*,исН*-,пк*=р'*хискщ-} [14], где -оценка возможности реализации угрозы щп, иск-ущерб от реализации угрозы риск от реали-
зации угрозы щп.
Требуется сформировать структуру СЗИ путем распределения тгы еМг по множеству актуальных угроз БИ щп е на уровнях защиты иги е ХШ.:
МсэИ
--vMn={mz, |maxposs(mzkl,ugn)-,...,
и 1 кеК,
тах рояя {тгы, )}.
ЫКу
Здесь т^тахрогаСлц,,,,!^) - механизм защиты с
индексом кеКи выбранный на уровне защиты иги и обеспечивающий максимальную возможность нейтрализации актуальной угрозы щя е ХЮ .
Ограничение рассматриваемой модели СЗИ заключается в точечных оценках возможностей нейтрализации актуальной угрозы БИ определенным МЗ и в точечных оценках в виде значений соответствующих функций принадлежности параметров эффективности МЗ.
Согласно «Общей методологии оценки безопасности информационных технологий»5 потенциал нападения оценивается в общем и целом по той же схеме, что и степень риска от наличия уязвимостей, но с некоторыми отличиями (например, из нескольких сценариев нападения выбирается наихудший, с наибольшим потенциалом). Считается, что он является функцией уровня мотивации злоумышленника, его квалификации и имеющихся ресурсов. Мотивация влияет на выделяемое на атаки время и, возможно, на привлекаемые ресурсы и подбор нападающих [15].
Тогда возможность ) нейтра-
лизации угрозы ugi функцией защиты тг можно определить следующим образом: 1, еслиг >г ;
тщк™\) =
Здесь гИ- рейтинг по-
—, если если г < г с
тенциала нападения, г- рейтинг стойкости функции защиты. Полагаем, что для любой угрозы существует функция защиты такая, что г >г\ Уме,. Зтиг \г >г- любая
с н к с н
угроза нейтрализуется хотя бы одной функцией защиты. Величина ц^Хтг ) представляет собой точечную оценку. Преодолеть указанное выше ограничение можно путем оценки рейтингов нападения и стойкости МЗ с использованием нечетких чисел (НЧ). Такое решение обосновывается тем обстоятельством, что диапазоны рейтингов, характеризующих стойкость МЗ и потенциал нападения, представимы лингвистическими значениями [15]: диапазоны рейтингов стойкости МЗ - базовая (диапазон 10 - 17), средняя (диапазон 18 - 24), высокая (диапазон > 24) и потенциал нападения - низкий (диапазон < 10),умеренный (диапазон 10 - 17), высокий (диапазон 18 - 24) и нереально высокий (диапазон > 24). Лингвистические значения можно интерпретировать как НЧ, определенное на заданном диапазоне.
Набор операций над НЧ сводится к алгебраическим операциям с обычными числами при задании определенного интервала достоверности (уровня принадлежности), называемых мягкими вычислениями [16,17].
2. Представление качественных выражений и оценок нечеткими множествами
Важным для практических приложений в плане представления качественных выражений и оценок человека в процессе решения задач является случай 5 нечетких множеств [18], задаваемых парой (Xгде (ц :Х -»£) отображение из X в линейно упорядоченное множество 5.
В том случае, когда набор НМ Д,/ = 1,/, в X соответствует I свойствам рассматриваемого объекта, каждый элемент хеХ характеризуется вектором значений принадлежности ((^(х),..., /^(х)) выражающим степень удовлетворения этим свойством. Таким образом, строится функция ц : X [0,1]', где [0,1]' - полная решетка [11,18]. Векторозначное НМ представляется отображением: ц \Х-*Б1х...хБ[, где Б- ограниченные линейно упорядоченные множества. Примеры конечного линейно упорядоченного множества - набор лингвистических значений лингвистической переменной «Рейтинг нападения» = {низкий, умеренный, высокий, нереально высокий}, «Рейтинг стойкости МЗ» = {базовый, средний, высокий}.6
3. Операции над нечеткими числами
Для практических вычислений удобно работать с НЧ специального вида: треугольными и трапециевидными. Трапециевидное число имеет функцию принадлежности, задаваемую формулой
0, х<а1илих> а,, х-а,
-1-,а1<х<а2,
«2-«! , (1)
1, а2<х<аг,
th(x) =
5 Опубликована в августе 1999г (Common Methodology for Information Technology Security Evaluation) с целью унификации процедуры сертификации по «Общим критериям» (Международный стандарт ISO/IEC 15408:1999 Common Criteria for IT Security Evaluation, Национальный стандарт ГОСТ Р ИСО/МЭК 15408:2002 Критерии оценки безопасности информационных технологий (КОБИТ) и Руководящий документ Гостехкомиссии Росиии «Безопасность информационных технологий. Критерииоценкибезопасностиинформацион-ныхтехнологий»)
- X
,а3 <х<а.
ал~аз где цй^ <аъ< а4.
Лингвистическая переменная - это переменная, значениями которой могут быть не только числовые значения, но и слова и словосочетания естественного или искусственного языка. Смысл каждого лингвистического значения выражается в виде нечеткого подмножества универсального множества X
6
Оно обычно обозначается как Ä = (al,ai,a3,a4). В случае аг = аъ, получается треугольное число А = (а,,а2,а4).
Имея в виду принцип расширения НМ и применяя его к арифметическим операциям и трапециевидным НЧ получают следующие правила сложения и вычитания [16]:
(а1,а2,а3,а4) + (Ь1,Ь2,Ь3,Ь4) = (а1+Ь1,(¡4+^) (2) (Oj^fi^aJ-C^.Ä,,^) = (а,-Ъ4,аг -¿3,03 + b2,a4 + bt). (3)
Произведение и частное от деления трапециевидных чисел уже не будут трапециевидными, но будут криволинейно трапециевидными. В данном случае можно написать приближённые равенства:
(öpfl^'^'^M^l^'^'^t) " '^1>а2 (4)
(а1,а2,а3,а4)/(й1,62,й3,64) = (а1/й4,а2/¿3,03/62,04/^). (5)
Предполагается, что НЧ положительны, т.е. ^ > 0 и \ >0. Точность вычислений по формулам (2-5) зависит от учитываемого количества а-срезов.
Снижение объема вычислений при операциях над НЧ достигается применением чисел (Ь^)-типа. Функции принадлежности НЧ (Ь^)-типа задаются с помощью не-возрастающих на множестве неотрицательных действительных чисел функций действительного переменного ¿О) и R(x) [16].
С нечётким трапециевидным числом Ä = (ai,a2,a3,a4) связывают две числовые характеристики: среднее значение и дисперсию, - вычисляемые по формулам [16]: а, + 2а2 + 2а3 + а4
Е(А) = -Уаг(Л) =
(а4 - + 2(а4 - a^ja, -а2) + 3(а3- а2)2.
24
4. Семантика информационных описаний МЗ и угроз БИ
Согласно основным положениям теоретической информатики [11] под информационным описанием А(тг) любого МЗ будем понимать структурированную совокупность сведений вида (р)А{тг): АИЧ^ИКш),;^,»
Здесь сведения {{р^А^^тг) интерпретируются как «механизм защиты тг из Ш, характеризуется возможностью (семантической достоверностью) р, нейтрали-зацииугрозы БИ ы^еД», А— подмножество угроз БИ щп из £Л?, которыемогут быть нейтрализованы МЗ тг , Другими словами, возможность нейтрализа-
ции механизмом защиты тгкугрозы БИ ugn можно записать в виде ровв{тгк^П)= ) = ры, Ры представляет собой НЧ, значение которого Цф(тг ) показывает правдоподобность того, что действительное значение величины щ. равно ).
Формальное определение информационного описания А{тг) механизмов защиты позволяет сделать вывод о том, что параметры оценки эффективности МЗ применимы и к оценке нейтрализуемых угроз БИ.Следовательно, применительно к нейтрализуемым угрозам БИ можно оценить стоимость нейтрализации угрозы БИ, средневзвешенное количество МЗ, нейтра-
лизующих угрозу, величину предотвращаемого риска, степень доверия и совместимость средств защиты при нейтрализации угрозы, степень применимости МЗ при нейтрализации конкретной угрозы в виртуальных средах и облачных платформах.
5. Параметры эффективности механизмов защиты
На множествах актуальных угроз ugneUG и МЗ mzkeMZ определено нечеткое отношение MÜ. В нашем случае poss(mzk,ugn)=pkn - оценка возможности нейтрализации функцией защиты mzk актуальной угрозы ugn. В предельном (классическом) случае = X^ug^mz,)^ если уф°за ugn однозначно нейтрализуется средством защиты mzk и ^Mu(uSn'mzk) = XMu(.uSn'mzk) = ° - если угроза не нейтрализуется.
Оценку эффективности МЗ будем вычислять с использованием параметров, представленным ниже. Полагаем, что количественные оценки значений параметров представимы НЧ, определенными на соответствующих шкалах (универсальных множествах). Значения параметров зафиксированы на момент времени оценки МЗ.
1. Параметр рг..
Стоимость механизмов защиты. Количественную оценку параметра можно определить в виде НЧ mzku(P'1) на универсальной шкале стоимостей.
Стоимость нейтрализации актуальной угрозы. Обозначим через mz^pr^ значение параметра pt\ для средства защиты тгы. Тогда значение ugn(pr\) параметра pf[ для угрозы ugn можно определить следующим образом:
ugn{prd = тах{min{тгы{prx) | ры > 0}}.
ы «ел„ '
Здесь rnrnfaz^pr^)\рЫи>Щ - минимальное значение параметра рг1 для тгы, нейтрализующих угрозу ugn на уровне uru eUR, ugn^prx) - максимальная стоимость нейтрализации актуальной угрозы имеющимися функциями защиты. На каждом уровне защиты выбираются МЗ с минимальной стоимостью, а для нейтрализации угрозы по всем уровням системы защиты рассматривается наихудший вариант - применяется функция защиты с максимальной стоимостью.
2. Параметр рг2.
Оценка средневзвешенного количества угроз, нейтрализуемых функцией защиты mz^
\
РГ2 =
I UGk\-sm-
\UGk\-sm-h')
maxi v ь,
где 1Юк ={и£„ |рЫи >0} - множество угроз, нейтра-
n
лизуемых функцией защиты тгы, ятя"4" = ^1ркпи - сумма
оценок возможностей нейтрализации угроз средством защиты тгы, тах(|£/Сд. |-луи"4*)- максимальная разни-
ца между количеством угроз и суммой оценок возможностей нейтрализации угроз средствами защиты тгы на и-ом уровне.
Оценка средневзвешенного количества МЗ, нейтрализующих актуальную угрозу ugn:
4g„ (pr2) = min {max {тгы (pr2) | ры > 0}}.
u kzKu
По уровням защиты выбираются МЗ с максимальной оценкой средневзвешенного количества нейтрализуемых угроз. Для оценки нейтрализации угрозы на всех уровнях защиты рассматривается вариант применения функций защиты с минимальной средневзвешенной оценкой количества нейтрализуемых угроз. 3. Параметр ргу
Величина предотвращаемого функцией защиты тгы риска от реализации актуальных угроз.
Риск от реализации угрозы ранее был определен как rskug- = pug■ xmcä» Тогда гаА^ = шах*,rskug" х(1-рЫи)) - максимальный риск от реализации угроз, которые не были нейтрализованы функцией защиты mzы на уровне защиты и и значение параметра ргъ для тгы можно определить следующим образом:
ргъ =
{ шах Л rsk
rsk
, don
ug„(pr4)-
: min{max{тгы(pr4) | ~Pknu > 0}}
u keKu
совместимости тгк с тгр р - нечеткое число. Обратное может быть неверным: тг] может быть несовместим с В предельном (классическом) случае = = если тгк полностью со-
вместим с и = = 0 - если
несовместимы.
Степень совместимости тгк с другими средствами защиты по параметру рг5 определим следующим образом:
РГ5:
ISK
где SVk = {mzj | рц > 0}- множество функций защиты, соК
= - сумма степеней со-
sv
i=i
V ""W.
Предполагаем, что актуальная угроза нейтрализуется хотя бы одним механизмом защиты.
Величину предотвращаемого риска от реализации угрозы оценим следующим образом
ug„ (РЪ) = min { max {тгы (pr3) | ры > 0} }.
ы keKu
По уровням защиты выбирается функция защиты, которая может допустить максимальный ущерб от реализации угрозы. В целом по уровням защиты принимается вариант причинения минимального ущерба от реализации угрозы.
4. Параметр рг4
Степень доверия к МЗ
Степень доверия prA = sdm2k к функции защиты можно определить по методике, представленной в работе [19]. Согласно [19] количественная оценка степени доверия функциизащиты вычисляется с использованием пяти критериев: kr* - оценка компании-разработчика (наивысшие оценки для российских компаний), kr2 - объем предоставляемых исходных кодов, krf - оценка исследований средства защиты по требованиям БИ; krf - оценка технологии производства средства защиты; 5) krf оценка технической поддержки средства защиты. Критерии kr2 и krf позволяют оценить выполнение требований БИ разработчиком, а критерии krf и кг^ха-рактеризуют степень технологической независимости изготавливаемых МЗ.
Степень доверия к МЗ по отношению к нейтрализуемым угрозам вычисляется как
На уровнях защиты оценка осуществляется по МЗ с максимальной оценкой степени доверия. СЗИ в целом оценивается по МЗ с наименьшими степенями доверия. 5. Параметр рг5.
Степень совместимости механизмов защиты. На множестве тиг^еМ^ определим отношение следующим образом: цзг(тг:,т2]) = рц - степень
вместимости mzj с mzk.
Оценка степени совместимости механизмов защиты по отношению к нейтрализуемым угрозам:
ugniPb) = тт{тах{т2ь(/?г5)| рк >0}}
u ki к. .
На уровнях защиты применяются МЗ с максимальной оценкой степени совместимости. Структура СЗИ при нейтрализации угрозы характеризуется наименее совместимыми МЗ.р^
6. Параметр рг6.Применимость в облачных платформах. Количественную оценку параметра можно определить в виде НЧ пяы{рг6) на универсальной (бальной) шкале.
Применимость по отношению к угрозам ИБ. Обозначим через тгы(рг6) значение параметра рг6 для механизма защиты тгы. Тогда значение ugn(pr6) параметра рг6 для угрозы ugn определим следующим образом:
^aUG.
Здесь тгап{тгиы{рг6)\рыи >0} - минимальное значение параметра рг6 для тгы, нейтрализующих угрозу ugn
на уровне urueUR, ugn{pr6) - максимальная возможность применения функций защиты для нейтрализации актуальной угрозы БИ. На каждом уровне защиты выбираются МЗ с минимальной возможностью применения, а по всем уровням системы защиты - функцияза-щиты с максимальной возможностью применения.
6. Метод выбора предпочтительных механизмов защиты в структуре СЗИ
Формирование структуры СЗИ путем выбора предпочтительных МЗ mz^ e.MZ осуществляется на уровнях защиты uru sUR путем их распределения по множеству нейтрализуемых угроз БИ ugneUG, обеспечивающего максимальную возможность нейтрализации этих угроз. Для реализации такого распределения необходимо определить решающее правило выбора предпочтительных МЗ, которое связано с формированием семантического порога предпочтения при распределении МЗ по нейтрализуемым угрозам БИ [20].
Ранее мы определили, что возможность нейтрализации механизмом защиты mzk угрозы БИ ugn представи-
ма НЧ ры. Это определение можно представить в виде отношения MU:
Mü-
ntz,
mzr
[ т
А1 Ai
Ug2 ■■■ u8n
А 2 ••• Рш
Pl 2 ••• PlN
Pkl Pkl'
PkM
Тогда на базе отношений МЯ и КО можно сформировать отношение МСг, представленное ниже: т щ2 • • • и%ы
тг2 ^(^21) ^(^22)-
мё--
mz«l »^(mgxHorrigк1)...HorrigKN)
В нечетких множествах Д, Д.....Аи представлены возможности ры нейтрализации угроз Д,Д,...,Ду, п = \,И,
функциями защиты mzk: ^(АЛ^САг). Вычислим значение ^'следующим образом:
>VaSPw).
MR =
mz,
mzr
mr.,
mrn,
mr„
mr,,
mr„
KG-
Pri Pri
Prj
kgn kg„ ... kgß
sjn
Элементы в матрице определим следующим образом: , _ _, для всех тгк е МХ, рг] е КЯ,
,тгы
pg' = min(max( Д (рк1) min Д (рк2)), (Д(^,) min Д Срн)),...,
(Д(А1)™пЛ(р№)),(Д(А2)т1пД(Аз)). -.(Дм пппД,))) к к к
В этом случае порог предпочтения pg при выборе МЗ для нейтрализации угроз БИ заключатся в поиске в отношении MU такого наибольшего значения, которое меньше pg': pg = rmn{Pkn}\ ры >pg'}.
На множествах MZ и параметров эффективности PR определим отношение MR- :MZxPR->[mrrj]. Здесь тгщ НЧ, отражающее оценку возможного значения параметра эффективности pr} ePRдля mzk gMZ.
Отношение MR представим в матричной форме: [ ргх рг2 ... pfj ]
и8пеиС.
Сумма ^Г/«/^.интерпретируется как количество значи-
1
мых параметров рг, характеризующих тгк, а ц^т^^ представляет собой взвешенную оценку возможности нейтрализации актуальной угрозы щп механизмом защиты тгк (степень предпочтения при выборе механизма защиты тгк для нейтрализации актуальной угрозы и£»). Отметим, что и ранее определенные значения (АгХ-^САлг) (тиг )(отношение мО)и
вычисленные
значения
На множествах параметров РК и актуальных угроз 1Ю сформируем отношения КБ- цк6 Для всех рг] ePRи всех к§р- оценка угрозы щп
по параметру рг, определяемая необходимостью нейтрализации угрозы щп механизмами защиты тгк. Оценки к£м в виде НЧ вычисляются в порядке, представленном в разделе 5.
В матричной форме отношение принимает вид [ Щ2 ]
к8п *#12 - к8ш
к§21 к§22 ... Щ2Ы
Ц. {тЦш) отражают оценки возможностей нейтрализа-
N
ции угрозы функцией защиты тг . Но при определении значения цЛры) не делаются предположения относительно корректности реализации МЗ или, проще говоря, не учитываются их параметры эффективности: степень доверия, параметры стоимости, средневзвешенное количество нейтрализуемых угроз и т.д. Значения критериев эффективности функций защиты учтены в вычисленных значениях (т^).
Согласно принятому подходу формируется матрица W: V-A (mgu)mm ^(mgl2),..., ^ (mf^Jmin^(mgw)
2i)min\(mg22),..., ^ (mg^min ^(mg2N)
W =
VAmgkl)mmß;,(mgk2),..., Ц- (mg^n (mgN)
Семантический порог предпочтения МЗ относительно нейтрализуемых угроз определим из условия:
т к ^ лг-1 к Ах
Семантический порог предпочтения применим для выбора МЗ, наиболее эффективно нейтрализующих угрозы щп е СЛ? по уровням защиты и в структуре СЗИ в целом.
Мп = {тгы | ц2 Оигь,и£п) > рЦ} - множество механизмов защиты тг^, которые нейтрализуют угрозу и#„ на уровне защиты игие1Л1 с возможностью, превышающей вычисленный семантический порог предпочтения.
Теоретическое обоснование методики проектирования СЗИ в виртуальных средах м облачных платформах позволило разработать и практически применить в процессах проектирования ГИС метода выбора предпочтительных МЗ, нейтрализующих угрозы БИ в соответствии с МУН с оценкой возможности, превышающей вычисленный семантический порог предпочтения.
Заключение
1. Существующие методики, модели и методы проектирования систем защиты информации как традиционных средств вычислительной техники, так и виртуальных сред и облачных платформ недостаточно полно отражают специфику систем защиты информации как сложных организационно-технических систем. Поведение таких систем отражает динамику слабоструктурированных процессов, характеризующихся высокой степенью неопределенности вследствие нестационарности, неточности и недостаточности наблюдений, нечеткости и нестабильности тенденций. Обоснована актуальность научной задачи разработки методики проектирования систем защиты информации в виртуальных средах и облачных платформах в условиях высокой неопределенности.
2. Возможность нейтрализации угроз безопасности информации известными механизмами защиты определяется по соотношению рейтингов стойкости механизмов защиты и потенциала нападения. Эти рейтинги представлены в нормативных документах значениями лингвистических переменных, определенными экспертами на бальных шкалах в виде диапазонов (интервалов). Значения лингвистических переменных предложено интерпретировать (формализовать) как нечеткие числа, представляющих собой частный случай нечетких множеств, определенных на конечных шкалах действительных чисел.
3. Исследована формальная модель многоуровневой системы защиты информации, в которой качественные выражения и оценки представлены нечеткими множествами, где значения функций являются нечеткими числами. В предложенной модели для механизмов защиты определены параметры эффективности, такие как стоимость механизмов защиты, средневзвешенное количество угроз, нейтрализуемых механизмом защи-
ты, величина предотвращаемого механизмом защиты риска от реализации актуальных угроз, степень доверия к механизмам защиты, возможность совместимости механизмов защиты и применимость в облачных платформах. Количественные оценки значений параметров представимы нечеткими НЧ, определенными на соответствующих шкалах (универсальных множествах).
4. Исследовано формальное представление семантики информационных описаний механизмов защиты и угроз безопасности информации, по результатам которого сделан вывод о том, что параметры оценки эффективности механизмов защиты распространяются и на нейтрализуемые ими угрозы безопасности информации. Применительно к нейтрализуемым угрозам предложены оценки стоимости нейтрализации угроз, средневзвешенное количество механизмов защиты, нейтрализующих угрозу, величина предотвращаемого риска, степени доверия и возможности совместимости механизмов защиты при нейтрализации угрозы и возможности применимости механизмов защиты при нейтрализации конкретной угрозы в виртуальных средах и облачных платформах.
5. Предложен метод выбора предпочтительных механизмов защиты для проектируемой структуры системы защиты информации.Выбор связан с вычислением семантического порога предпочтения путем обработки нечетких отношений, значения в которых представлены нечеткими числами и которые через параметры эффективности связывают множества МЗ и актуальных угроз БИ.
6. Определен семантический порог предпочтения, применяемый в процедуре выбора механизмов защиты, характеризующихся наибольшей возможностью нейтрализации угроз на уровнях защиты.
7. Теоретическое обоснование методики проектирования систем защиты информации в виртуальных средах и облачных платформах абстрагировано от видов предоставляемых государственными информационными системами облачных сервисов и от моделей размещения и позволило разработать и практически применить в процессах проектирования систем защиты информации метод выбора предпочтительных механизмов защиты, наиболее эффективно нейтрализующих угрозы безопасности информации в соответствии с моделью угроз и нарушителя. Выбор основан на сравнении оценок возможностей нейтрализации имеющимися механизмами защиты угроз безопасности информации с вычисленным семантическим порогом предпочтения.
Литература:
1. Минаков С.С.Основные криптографические механизмы защиты данных, передаваемых в облачные сервисы и сети хранения данных// Вопросы кибербезопасности, 2020. № 3(37) С. 66-75. D0I:10 21681/2311-3456-2020-03-66-75
2. Бутусов И.В., Нащекин П.А., Романов А.А. Теоретико-семантические аспекты организации комплексной системы защиты информационных систем // Вопросы кибербезопасности, 2016. №1(14). С. 9-16. D0I:10 21681/2311-3456-2016-01-09-16
3. Ряполова Е.И., Шрейдер М.Ю., Боровский А.С.Метод обработки информации для поддержки принятия решений в управлении облачным сервисом// Вопросы кибербезопасности №3(27). 2018. С. 39-46. D0I:10.21681/2311-3456-2018-3-39-46
4. Simon H. The Structure of Ill-structured Problems / H. Simon // Artificial Intelligence. 1973. Vol. 4. P. 181-202.
5. Щербаков Е.С., Корчагин П.В. Применение методов теории возможностей при моделировании систем защиты информации // Вопросыкибербезопасности, №1(19). 2017. С. 2-5. DOI: 10.21681/2311-3456-2017-1-2-5
6. Yager R. A foundation for a theory of possibility // J. of Cybernetics, 1980. Vol. 10. №. 1-3. P. 177-209.
7. Пытьев Ю. П. Возможность. Элементы теории и применения, Эдиториал УРСС, 2000. 237 с.
8. Zadeh L.A. Fuzzy Sets. Information and Control. 8 (1965). pp. 338-353
9. Zadeh L.A. PRUF - A Meaning Representation Language for Natural Language // Intern J. of Man-Machine Studies, 1978. Vol.10. N4. P.395-399,451-460
10. Дюбуа Д. Теория возможностей: приложения к представлению знаний в информатике / Д. Дюбуа, А. Прад/ М.: Радио и связь, 1990.
11. Чечкин А.В. Математическая информатика. М.: Наука. Гл. ред. физ.-мат. лит. 1991. 416 с.
12. Бельфер Р.А.,КалюжныйД.А., Тарасова Д.В.Анализ зависимости уровня риска информационной безопасности сетей связи от экспертных данных при расчетах с использованием модели нечетких множеств // Вопросы кибербезопасности, №1(2). 2014. С. 33-39
13. Мурзин А.П., Бутусов И.В., Романов А.А. Адаптация системы защиты информации автоматизированных систем управления к нейтрализуемым угрозам // Приборы и системы. Управление, контроль, диагностика. Автоматизированные системы управления, 2017. №10. С. 1-7
14. Оладько В.С. Модель выбора рационального состава средств защиты в системе электронной коммерции // Вопросы кибербезопасности, 2016. №1 (14). С. 17-23
15. Комплексная защита информации. Анализ уязвимостей и оценка стойкости функций безопасности. URL: http://rpcnix.blogspot. ru/2012/04/1999.html
16. Сапкина Н. В. Свойства операций над нечеткими числами // Вестник ВГУ, серия: системный анализ и информационные технологии, 2013. № 1. С. 23-28
17. Аньшин В.М., Демкин И.В., Царьков И.Н., Никонов И.М. Применение теории нечётких множеств к задаче формирования портфеля проектов (теория возможностей). URL: https://www.hse.ru/data/620/907/1224/Publ2_Anshin.pdf
18. Нечеткие множества в моделях управления и искусственного интеллекта / Под ред. Д. А. Поспелова. М.: Наука. Гл. ред. физ.-мат. лит., 1986. 312 с. (Проблемы искусственного интеллекта).
19. Захаренков А.И., Бутусов И.В., Романов А.А. Метод количественной оценки степени доверенности программно-аппаратных средств // Приборы и системы. Управление, контроль, диагностика. Автоматизированные системы управления, 2017. С.34-39
20. Нащекин П.А. Перспективы информатизации основных видов деятельности в государственной системе правовой информации // Приборы и системы. Управление, контроль, диагностика. Автоматизированные системы управления. 2020. № 5. с. 1-6.
THEORETICAL JUSTIFICATION OF THE METHOD DESIGN OF INFORMATION SECURITY SYSTEMS IN VIRTUAL ENVIRONMENTS AND CLOUD PLATFORMS
Naschekin P. A.7
The purpose of the article is to improve the efficiency of information security systems in conditions of high uncertainty of source data.
Method: modeling of information security systems using fuzzy set theory, possibility theory, and theoretical computer science.
The result: it is shown that the existing models and methods of designing information security systems do not fully reflect the specifics of information security systems as complex organizational and technical systems. The behavior of such systems reflects the dynamics of weakly structured processes characterized by a high degree of uncertainty due to unsteadiness, inaccuracy and insufficiency of observations, indistinctness and instability of trends. While the statistical (probabilistic) approach has obvious advantages and is widely recognized, its application is limited in the process of creating information security systems for such systems. The relevance of the scientific task of developing a methodology for designing information security systems in virtual environments and cloud platforms under conditions of high uncertainty is justified. The proposed theoretical justification is abstracted from specific types of cloud services and their placement models. The model of the security system is studied, which is represented by a hierarchy of security levels compared to the architecture of an information system that implements cloud services:
7 Pavel Nashchokin, Director of the Federal state unitary enterprise "Sistema" of the FSO of Russia, Moscow, Russia. E-mail: [email protected]
a composition of hierarchically interconnected levels of virtual devices for processing, storing and/or transmitting data, hardware and/or software necessary for their operation. Using the main provisions of theoretical computer science, it is shown that the parameters for evaluating the effectiveness of security mechanisms are also applicable as parameters for evaluating neutralizable threats to information security. Theoretical substantiation of methods of designing of systems of information protection in virtualized environments and cloud platforms made it possible to offer calculation procedure of the semantic threshold preferences when choosing protection mechanisms, defined in neutralizing "a threat Model and a potential intruder information security" threats, to develop and apply in the process of designing public information systems the method of choice preferred defense mechanisms, neutralizing security threats information on security levels in the overall architecture of such systems.
Keywords: security mechanisms, information security threats, security levels, fuzzy sets, fuzzy numbers, linguistic variable, opportunity, uncertainty, risks, damage.
References:
1. Minakov S.S. osnovnye kriptograficheskie mekhanizmy zashchity dannykh, peredavaemykh v oblachnye servisy i seti khraneniya dannykh // Voprosy kiberbezopasnosty, 2020. № 3(37) P. 66-75. D0I:10.21681/2311-3456-2020-03-66-75
2. Butusov I.,V., Nashchekin P.A., Romanov A.A. Teoretiko-semanticheskie aspekty organizatsii kompleksnoy sisitemy zashchity informatsionnykh system // Voprosy kiberbezopasnosty, 2016. №1(14). pp. 9-16
3. Ryapolova E.I., Shreider M.Yu., Borovskii A.S. Metod obrabotki informatsii dlya podderzhki prinyatiya reshenli v upravlenii oblachnymi servisami // Voprosy kiberbezopasnosty, №3(27). 2018. P. 39-46. D0I:10.21681/2311-3456-2018-3-39-46
4. Simon, H. The Structure of Ill-structured Problems / H. Simon // Artificial Intelligence. 1973. Vol. 4. P. 181-202.
5. Shcherbakov E.S., Korchagin P.V. Primenenie metodov teorii vozmozhnoste! pri modelirovanii sistem zashchity informatsii // Voprosy kiberbezopasnosty, 2017. №1(19). pp. 2-5. DOI: 10.21681/2311-3456-2017-1-2-5
6. Yager R. A foundation for a theory of possibility // J. of Cybernetics, 1980. Vol. 10. №. 1-3. P. 177-209.
7. Pyt'ev Yu. M. Vozmozhnost': elementy trorii i primeneniya. M.:URSS, 2000.
8. Zadeh L.A. Fuzzy Sets. Information and Control. 8 (1965). pp. 338-353.
9. Zadeh L.A. PRUF - A Meaning Representation Language for Natural Language//Intern.J. of Man-Machine Studies,1978. Vol.10. N4. P.395-399, 451-460.
10. Dyubua D., Prad A. Teoriya Vozmozhnostei: prilozheniya k predstavleniyu znanii v informatike. M.: Radio I svyaz', 1990.
11. Chechkin A.V. Matematicheskaya informatika. M.: Nauka. Gl. red. fiz.-mat. lit. 1991. 416 p.
12. Bel'fer R.A., Kalyuzhny! D.A., Tarasova D.V. Analiz zavisimosti urovnya riska informatsionno! bezopasnosti sete! svyazi ot ekspertnykh dannykh pri raschetakh s ispol'zovaniem modeli nechetkikh mnozhestv // Voprosy kiberbezopasnosty, №1(2). 2014. P. 33-39.
13. Murzin A.P., Butusov I.V., Romanov A.A. Adaptatsiya sistemy zashchity informatsii avtomatizirovannykh system upravlrniya k ne!tralizuemym ugrozam // Pribory i sistemy. Upravlenie, rontrol', diagnostika. Avtomatizirovannye systemy upravlrniya. 2017. №10. pp. 1-7.
14. Olad'ko V.,S. Model' vybora ratsional'nogo sostava sredstv zashchity v sisteme elektronno! kommertsii // Voprosy kiberbezopasnosti, 2016. №1 (14). pp. 17-23.
15. Kompleksnaya zashchita informatsii. Analiz uyazvimoste! i otsenka sto!kosti funktsi! bezopasnosti. Adres dostupa: URL: http://rpcnix. blogspot.ru/2012/04/1999.html
16. Sapkina N. V. Svoistva operatsii nad nechetkimi chislami // Vestnik VGU, seriya: sistemnyi analiz I informatsionnye tekhnologii, 2013. № 1. P. 23-28.
17. An'shin V.M., Demin I.V., Tsar'kov I.N., Nikonov I.M. Primenenie teorii nechetkikh mnozhestv k zadache formirovaniya portfelya proektov (teoriya vozmozhnostei). URL: https://www.hse.ru/data/620/907/1224/Publ2_Anshin.pdf
18. Nechetkie mnozhestva v modelyakh upravleniya I iskustvennogo intellekta/pod red. D.A.Pospelova/ M.: Nauka. Gl. red. fiz.-mat. lit. 1986. 312 p. (Problemy iskustvennogo intellekta).
19. Zakharenkov A.I., Butusov I.,V., Romanov A.A. Metod kolichestvennoy otsenki stepeni doverennosti programmno-apparatnykh sredstv // Pribory i sistemy. Upravlenie, control", diagnostika. Avtomatizirovannye sistemy upravleniya. 2017. №8. P. 34-39.
20. Nashekin P.A. Perspektivy informatizatsii osnovnykh vidov deyatelnosti v gosudarstvennoi sisteme pravovoi informatsii // Pribory i sistemy. Upravlenie, control", diagnostika. Avtomatizirovannye sistemy upravleniya. 2020. № 5. P. 1-6.