Вероятностная модель оценки защищенности средств вычислительной техники с аппаратно-программным комплексом защиты информации от несанкционированного доступа Текст научной статьи по специальности «Компьютерные и информационные науки»

использования при проектировании, строительстве, эксплуатации и ремонте наукоемких изделий в судостроительной отрасли.

2. РД «Руководство по проведению логистического анализа». Предназначен для ЛА качества принимаемых решений по наукоемким изделиям на стадии их проектирования, строительства, эксплуатации и ремонта с целью снижения затрат на обеспечение постпроизводственных стадий ЖЦ изделий.

3. «Методика создания баз данных по результатам логистического анализа». Предназначена для определения перечня таблиц реляционной базы данных, в которую заносятся результаты ЛА.

4. ОСТ...«Словарь понятий по интегрированной логистической поддержке кораблей ВМФ РФ».

В заключение следует отметить, что внедрение ИЛП должно обеспечить:

• эффективное управление поставками пред-

метов снабжения на основе учета и анализа запасов на складах, а также на торпедно- и ракетно-технических базах различного административного подчинения;

• внедрение информационных технологий, дающих возможность построения производственной кооперации в виде «виртуальных» предприятий, обеспечивающих все этапы ЖЦ корабля, вооружения и техники;

• сокращение затрат на эксплуатацию и ремонт кораблей, вооружения и техники, исключающие использование бумажной документации на основе внедрения ИЭТР;

• повышение конкурентоспособности изделий, произведенных в интегрированной среде с использованием системы ИЛП на всех этапах ЖЦ кораблей, вооружения и техники;

• гарантию качества выпускаемых изделий за счет электронного документирования всех выполняемых процессов и процедур.

ВЕРОЯТНОСТНАЯ МОДЕЛЬ ОЦЕНКИ ЗАЩИЩЕННОСТИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ С АППАРАТНО-ПРОГРАММНЫМ КОМПЛЕКСОМ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

В.В. Карпов

Для реализации системного подхода к решению проблемы обеспечения информационной безопасности необходимо комплексное использование методов моделирования систем и процессов защиты информации [1]. Целями такого моделирования являются поиск оптимальных решений задач синтеза систем защиты информации (СЗИ), управления механизмами защиты, оценки эффективности использования средств и методов защиты и т. п.

Модель с позиций математического моделирования представляет логическое или математическое описание компонентов и функций, отображающих наиболее существенные свойства моделируемого объекта или процесса.

Моделирование системы заключается в построении некоторого ее математического аналога, адекватного с точностью до целей моделирования исследуемой системы, и выявления с помощью построенной модели необходимых свойств реальной системы.

Исходной посылкой при разработке значительного числа моделей защищенных систем является очевидное предположение о возникновении некоторого ущерба в случае нарушения за-

щищенности информации и необходимости расходования средств на обеспечение защиты данных. Полная ожидаемая стоимость финансовых потерь может быть выражена суммой расходов на защиту и потерь от ее нарушения (рис. 1).

Очевидно, что оптимальным решением было бы выделение на защиту информации средств в размере Copt, поскольку именно при этом обеспечивается минимизация общих финансовых потерь.

С (стоимость)

/ Стоимость /' / у f защиты ' /

Ро p t

Стоимость ущерба

_^Рзащ (уровень

безопасности)

Рис. 1. Стоимостные зависимости защиты информации

С

o p t

Чтобы воспользоваться данным подходом к решению задачи, необходимо:

- знать или уметь определять ожидаемые потери при нарушении защищенности информации;

- уметь рассчитывать показатели, характеризующие зависимость между уровнем защищенности и финансами, затрачиваемыми на защиту информации.

Специалистами фирмы IBM [1] предложена следующая эмпирическая зависимость ожидаемых потерь от i-й угрозы информации:

Ri=10(Si+Vi-4),

где Si - коэффициент, характеризующий возможную частоту возникновения соответствующей i-й угрозы; Vi - коэффициент, характеризующий значение возможного ущерба при ее возникновении.

Суммарная стоимость потерь определяется

формулой: R= 2 Ri • Vi

Оценка ожидаемых потерь при нарушении защищенности информации принципиально может быть получена лишь тогда, когда речь идет о коммерческой тайне. Оценка уровня потерь при нарушении защищенности информации, содержащей государственную и военную тайну, в достаточно строгом виде до настоящего времени не получена [1].

Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо знать: полный перечень угроз информации, потенциальную опасность проявления каждой из угроз, размеры затрат, необходимых для противодействия каждой из угроз.

В работе [2] представлен строго теоретический подход к моделированию систем защиты, основывающийся на посылке, что потенциально возможные проявления угроз и размеры потенциально возможного ущерба являются случайными событиями, поэтому они могут быть охарактеризованы законами распределения и типовыми характеристиками.

Основными положениями разработанной на основе указанного подхода динамической модели оценки потенциальных угроз являются следующие.

1. Понятие среднего коэффициента возможного проявления угрозы каждого типа - X, который рассматривается как случайная переменная с известным распределением вероятностей f(X).

2. Предположение, что количество проявлений угрозы rt в течение фиксированного периода времени зависит только от продолжительности периода наблюдения и среднего коэффициента проявления, в силу чего для числа проявления угроз справедливым признано распределение Пуассона:

_ (Xt)re_lt

P(r=r/X)=-,

r!

где 1 - число периодов времени, за которое определены значения г^.

3. Представление распределения среднего коэффициента в виде гамма-распределения с параметрами, характеризующими эффективность защиты и определяемыми по рекуррентным зависимостям.

4. Получение безусловного распределения вероятностей числа проявлений угрозы за заданный период времени.

Оценка ожидаемого ущерба на основе описанной модели выполняется в следующей последовательности:

- рассматривается средний ущерб от проявления угроз и принимается нормальная функция его распределения;

- корректируются параметры распределения среднего ущерба по данным наблюдения за проявлениями угроз и размером имевшего место ущерба на нескольких интервалах времени различной продолжительности;

- строится окончательное распределение размера ожидаемого ущерба путем выделения неопределенных параметров из функции распределения вероятностей ущерба.

Однако в связи с тем, что необходимые фактические данные о проявлениях угроз и их последствиях практически отсутствуют, применение указанной модели и соответствующих методик весьма ограничено.

Учитывая сложность получения фактических данных о проявлениях угроз, представляется целесообразным с практической точки зрения использовать при построении модели защиты теоретико-эмпирический подход [1], основанный на синтезе основных положений эмпирического и теоретического подходов.

В этом случае на основе теоретико-вероятностных методов строятся модели, необходимые для определения и прогнозирования показателей защищенности, а на основе сбора и обработки статистических данных, полученных в ходе теоретических исследований и практических разработок вариантов защиты информации, формируются исходные данные, необходимые для практического использования моделей.

Рассмотрим метод оценки безопасности информации на основе теоретико-эмпирического подхода к моделированию СЗИ.

Пусть дана автоматизированная система (АС), базирующаяся на комплексе средств вычислительной техники в составе локальной вычислительной сети (ЛВС) ПЭВМ.

В АС используется СЗИ от несанкционированного доступа (НСД), представляющая собой аппаратно-программный комплекс.

СЗИ от НСД взаимодействуют с потоками случайных событий - попыток НСД, обусловленных действиями злоумышленников, неправиль-

ным распределением прав доступа, использованием несанкционированного программного обеспечения, ошибками в программно-технических комплексах идентификации и аутентификации и т.д.

Выполняя функции защиты от них, СЗИ производит обнаружение некоторой части попыток НСД, классифицирует их и обеспечивает необходимую реакцию с целью блокирования. Пропущенные запросы НСД поступают в информационную систему и могут нанести вред.

В соответствии с этим при выборе критериев качества СЗИ целесообразно исходить из анализа тех основных функций, для выполнения которых она предназначена:

- оперативное обнаружение попыток НСД с одновременной классификацией;

- оперативное противодействие НСД.

Процесс оперативного обнаружения НСД при

условии идеальной надежности средств контроля может быть описан схемой принятия решения, представленной в таблице 1.

Таблица 1

Действительное событие Решение, принятое СЗИ Условное обозначение события Вероятность события Значения вероятности

НСД нет, А НСД нет, А НСД есть, А НСД есть, А НСД нет, В НСД есть, В НСД нет, В НСД есть, В АВ АВ АВ АВ Р1 Р2 Рз Р4 Р1 Р2 Рз =1- Р4 Р4

Здесь вероятности Р1-Р4 определяются вероятностями составляющих событий А и В по формулам Байеса.

По указанной схеме качество распознавания НСД можно характеризовать вероятностями Р2 и Р3, которые соответствуют событиям АВ и АВ . Заметим, что вероятности Р2 и Р3 определяют методическую достоверность распознавания НСД: О = 1 - (Р2 + Рз).

Таким образом, в качестве общей характеристики качества процесса обнаружения НСД можно использовать методические вероятности распознавания НСД Рм(у), зависящие от свойств метода контроля у по обнаружению НСД.

Другой существенной характеристикой процесса обнаружения НСД является время обнаружения т0, которое может задаваться функцией распределения Г(0 и основными моментами.

Преобразуем схему принятия решения с учетом характеристик надежности средств обнаружения НСД (табл. 2):

Заметим, что из-за отказов и сбоев в средствах защиты возможно появление ошибок Р2* и Р3*, причем возможен пропуск НСД, что увеличивает составляющую, обусловленную методической вероятностью пропуска НСД.

Таким образом, средства защиты осуществляют преобразование исходного потока НСД в потоки обнаруженных и пропущенных запросов НСД.

Поток пропущенных НСД определяет Р3* и вероятность обеспечения защиты.

Таблица 2

Действительное событие Действительное состояние СЗИ Принятое решение Условное обозначение события Значения вероятности

НСД нет, А Исправна, С НСД нет, В А С В Р1

НСД нет, А Исправна, С НСД есть, В А С В Р2

НСД есть, А Исправна, С НСД нет, В А С В Рз =1- Р4

НСД есть, А Исправна, С НСД есть, В А С В Р4

НСД нет, А Неисправна, С НСД нет, В А С В Р 1*

НСД нет, А Неисправна, С НСД есть, В А С В Р2*

НСД есть, А Неисправна, С НСД нет, В А С В Рз*

НСД есть, А Неисправна, С НСД есть, В А С В Р4*

Под защищенностью АС от НСД будем понимать свойство, обусловленное возможностью противостоять несанкционированным воздействиям на программное обеспечение, информационные массивы или технические средства системы.

Свойство защищенности обусловлено, с одной стороны, закономерностями реализации угроз, а с другой - наличием в информационной системе средств защиты от НСД.

Защищенность АС от НСД может быть оценена следующими показателями:

- вероятностью защиты - Z(t);

- средним временем между пропущенными НСД - Тп;

- вероятностью пропуска определенного числа попыток НСД на интервале работы;

- средним числом пропущенных НСД на интервале времени работы;

- интенсивностью потока пропущенных НСД

- МО.

Вероятность обеспечения защиты означает вероятность отсутствия несанкционированных запросов к информации на выходе средств защиты и определяется следующим образом:

Z(t) = Р{тнсд > 1 - Е^), где Г(0 = Р{ц+1 - ^ = тнсд ^ ^ является функцией распределения случайной величины тНСД ,

которая представляет собой время между двумя соседними пропусками НСД.

Вероятность обеспечения защиты и вероятность пропуска НСД связаны зависимостью: г(0 = 1 - Z(t).

Функция Z(t) обладает следующими свойствами: 0 < Z(t) < 1, Z(0) = 0, Z(~) = 0.

Среднее время между пропусками НСД:

т =

ппр .

2 тнсд ,

пр

=1

где Тнсд - время между двумя последовательными пропусками ошибок; пПр - количество попыток НСД, пропущенных за время эксплуатации или испытаний.

Вероятность пропуска определенного числа попыток НСД на интервале работы (0,1):

К(1) = Р{т1 + т2 + тз +... + тк > 1}= | ^ (1),

п =1

где ^(1) - означает п-кратную свертку функции распределения Г(0. Среднее число пропущенных попыток НСД определяется следующим образом:

на) = | щ^м.

0

Соответственно, имеем интенсивность потока пропущенных попыток НСД:

Ь(1):

а;

Аналогично [2] процесс возникновения попыток НСД в АС на основе ЛВС ПЭВМ можно описать неординарным случайным потоком с функцией распределения времени между соседними событиями потока

Р(1) = Р{1Ш - ^ = тнсд < 1} и функцией распределения числа НСД О(п) = Р{к < 1}.

Заметим, что информационные ресурсы, являющиеся объектом НСД, размещены на ЭВМ, входящих в ЛВС. Поэтому с целью упрощения модели будем рассматривать поток попыток НСД к одной из ЭВМ сети, учитывая влияние ЛВС наличием дополнительной угрозы доступа через сеть. Это обстоятельство позволяет считать, что моменты появления несанкционированных запросов образуют ординарный рекуррентный поток.

Как уже отмечалось, несанкционированные заявки на обслуживание возникают не только по причине действий злоумышленника, но и являются результатом ошибок программного обеспечения, неправильной настройки прав доступа, несоответствия условий эксплуатации СЗИ требованиям технических условий. В любом случае, независимо от первопричины возникновения заявки на НСД реализация ее определяется программно-технической средой вычислительной системы.

При этом обслуживание НСД-запроса приводит к выполнению некоторой последовательности команд ЭВМ. Учитывая случайность момента появления заявки, случайность состояния вычислительного процесса в этот момент и случайность возможных его состояний в последующие моменты времени, можно считать процесс обслуживания НСД-запроса также случайным.

Угрозы

Механизмы защиты

У1(1).

— У2«), УзМ,

Модель нарушителя УМ,

у«а)

и,

У,'(Р

У2'(0 Уз'(0

УМ Уы'(0

УеТО

Защищаемые ресурсы АС

у+щ'т

Рис. 2. Сетевая модель СЗИ от НСД

Представим СЗИ в виде сетевой модели, состоящей из средств защиты 81 (рис. 2). На вход средств защиты поступают потоки запросов НСД, определяемые моделью нарушителя на множестве потенциальных угроз {01}. Каждое из средств защиты отвечает за защиту от угрозы определенного типа и использует соответствующий защитный механизм. Его задача состоит в том, чтобы распознать угрозу и заблокировать несанкционированный запрос.

Действие системы защиты состоит в том, что исходный поток запросов разрежается, образуя выходной поток.

Обозначим входные потоки несанкционированных запросов У^О, 1=1, ..., п, а потоки нераспознанных (пропущенных) системой защиты несанкционированных запросов У. (1). Учтем факт неполного закрытия системой защиты всех возможных каналов проявления угроз отсутствием для т входных потоков средств защиты, что означает У. (1) = У.(1). Потоки запросов на НСД, поступающие по 1-м каналам, разрежаются с вероятностями р.(у), которые зависят от используемого способа обнаружения и блокирования НСД.

На выходе СЗИ образуется выходной поток, являющийся объединением выходных потоков 1-х средств защиты и потока НСД-запросов, приходящих по т неконтролируемым каналам.

Обозначим через Ё^) функцию распределения времени между последовательно поступающими событиями потока, полученного вследствие применения к входящему потоку операции разрежения. Случайная величина тк, соответствующая интервалу времени между соседними событиями разреженного потока, может быть представлена как сумма случайного числа случайных слагае-

X

мых: тк = 2 П. , где х - случайное число.

1=1

Случайная величина х представляет собой число просуммированных интервалов в исходном потоке и распределена по закону Паскаля [3]:

Р(х=к)=ярк"\ к=1,2,...; я=1-р; 0<р<1.

С учетом этого выражение для Г(1) можно записать в виде:

1

и

8

и

8

и

81

и

и

~ М ■ <

= Е ЧРк-Ч(0, к=1

где ЖкШ = Р{л1 + П2 + Пз + ••• + Пк < t} - функция распределения суммы независимых случайных величин с функцией распределения Г(0; пк - длительность интервала времени между появлением (к) и (к-1) событий потока Vi(t).

Обозначим через ф(э) преобразование Лапласа плотности функции распределения Г(0, то есть положим:

Ф(8)= | е- .

0

Для разреженного потока соответствующее преобразование Лапласа согласно [4] имеет вид:

*(») = . 1 - Рi i(s)

С учетом свойства независимости объединяемых потоков [4] плотность восстановления суммарного выходного потока определяется через плотности восстановления объединяемых потоков следующим образом:

И т

ИЕ(t) = ЕМ(1,У) + Е ИКО. i=1 j=1

Преобразование Лапласа для плотности восстановления рекуррентного потока, полученного в результате разрежения некоторого другого пото-

ГА-, . / Ч ЧФ(Э)

ка, имеет вид [4]: щэ) =-.

1 - Ф(э)

Если потоки стационарны, то:

а "

И(э) = —, где Т = | tf(t)dt - математическое

Т 0

ожидание времени т .

Тогда для суммарного потока можно записать:

hv (s) =

Е qi ¡(s) + m j(s) i =i1 - 9i(s) j=i 1 - 9j(s)

поскольку для неконтролируемых потоков qi = 1. Согласно теореме восстановления [5]:

lim h(t) = — .

T

Отсюда для среднего времени между соседними пропусками попыток НСД запишем:

Tv

1

£qi m i Е^ + Е — i=1Ti j=1 Tj

где Ть Tj - средние времена между событиями ^ j-х потоков НСД.

Определим случайную величину Yt как длину интервала времени от момента t до будущего момента пропуска НСД-запроса.

Обозначим через Ф^О функцию распределения Yt ьго потока. Согласно [5] плотность распре-

деления функции Ф^) связана с функцией распределения Г$) следующей зависимостью: dФi(t) _ 1 - Ца)

dt

Ti

где Гi (t) - функция распределения времени между последовательными пропущенными НСД-запросами на выходе ьго средства защиты; Т -среднее время между пропусками НСД-запросов i-м средством защиты.

Учитывая определение для показателя защищенности, можно записать:

dФi(t) Zi(t) _ _ МZi(t)Jt

-= , откуда: Ф: (t) = [ i dt.

dt Т i I Т:

Таким образом, если функция распределения Г1(1) имеет преобразование Лапласа, то можно получить выражения для Г выходного потока, затем найти Ф^О, Ф2(0 и ZЕ(t).

При большом числе составляющих потоков к, т оценку для показателя защищенности можно получить, используя предельные результаты и полагая, что суммарный поток стремится к пуассо-новскому. В этом случае для оценки защищенности можно использовать формулу:

Z(t) » ехр{-И£(!)}.

Для случая исходных пуассоновских потоков эта формула является точной.

Таким образом, имеем выражение для показа-

теля защищенности: Z(t) = ехр-| - Е^|.

Рассмотрим далее вычисление моментов функции распределения числа пропущенных НСД-запросов. Преобразование Лапласа для функции восстановления рекуррентного потока

тт/ ч (э) имеет вид: щэ) = —г-,.

8[1 - Ф(8)]

В случае стационарного рекуррентного пото-1

ка: Нс (э) = -

Ts2

В свою очередь, для разреженных потоков

имеем: H(s) =

q (s)

i, Hc(s) =

q

s[1 - 9(s)] " Ts

Для дисперсий можно записать:

2

® 2(s) =

® 2(s) =

2q (s) s[1 - P9(s)][1 - 9(s)]'

2[1 - P9(s)] s2T[1 - 9(s)]'

Поскольку исходные потоки являются независимыми, то функция восстановления суммарного выходного потока и дисперсия определяются следующим образом:

к т

Н£(8) = ЕЩ(8) + Е Hj(s) , i=1 j=1 j

ez(s) = 2 оi(s) + 2 о ,?(s). i=i j=i

Соответственно, для стационарных рекуррентных потоков имеем:

k q. m 1

Hol (s) = 2-^2 + 2—^, i=lTjS2 j=l Tjs2

k qt m t

HC£ (t) = 2 — + 2 —.

CL i=1 Ti j=lTj

Присутствующие в формулах вероятности пропуска НСД имеют реальное воплощение и являются характеристиками качества того или иного метода защиты. Основное влияние на значение указанной вероятности оказывают два фактора:

методическая вероятность используемого способа защиты и вероятность работоспособности механизма защиты в момент совершения попытки НСД.

Список литературы

1. Семкин С.Н., Семкин А.Н. Основы информационной безопасности объектов обработки информации. - Орел, 2000.

2. Герасименко В.А., Малюк А.А. Основы защиты информации. -М.: Известия, 1997.

3. Беляев Ю.К. Предельные теоремы для редеющих потоков. - М.: Советское радио, 1967.

4. Кокс Д., Смит В. Теория восстановления. - М.: Советское радио, 1967.

5. Клейнрок Л., Теория массового обслуживания. - М.: Машиностроение, 1979.

МЕТОДИКА СИНТЕЗА ОПТИМАЛЬНОГО ВАРИАНТА АППАРАТНО-ПРОГРАММНОГО КОМПЛЕКСА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА ПО КРИТЕРИЮ ЗАЩИЩЕННОСТИ

В.В. Карпов

В процессе проектирования аппаратно-программного комплекса защиты информации (АПКЗИ) решается задача создания оптимальных для защищаемой автоматизированной информационной системы (АИС) механизмов защиты, средств управления ими и механизмов общей организации работы АПКЗИ, предназначенных для обеспечения эффективного взаимодействия и координации работы всех компонентов защиты.

На выбор общей структуры АПКЗИ наибольшее влияние оказывают следующие факторы:

- требования по защищенности;

- общая структура защищаемой АИС;

- перечень угроз;

- модель нарушителя.

Первый фактор обусловлен наличием на государственном уровне требований к соответствию между классом защищенности и набором функций защиты, реализуемых соответствующей системой защиты информации (СЗИ) [1,2].

Учитывая то, что АПКЗИ является по сути функциональной подсистемой автоматизированной системы (АС), а также требование системного подхода к созданию СЗИ, можно сделать вывод об аналогии архитектур АИС и АПКЗИ [3], что подтверждает необходимость учета второго фактора.

Таким образом, если рассматривать АС как объект защиты, то синтез структуры АПКЗИ можно представить как процесс деления структуры АС на ряд подструктур, наложения на них определенных ограничений и размещения на них механизмов защиты. Например, если требования по

защищенности сформулированы для средств вычислительной техники (СВТ) и минимальной единицей защищаемой информации является файл, то декомпозиция должна распространяться до уровня управления файловой системой, на котором целесообразно размещение защитных механизмов.

Если требования сформулированы для АС, в составе которой имеется СУБД, то необходимо деление структуры до уровня управления доступом к записям и полям записей базы данных. В этом случае механизмы защиты будут располагаться на уровне собственных средств доступа СУБД.

В результате анализа угроз, оценки вероятности их реализации через модель нарушителя, определения необходимого состава и мест размещения защитных механизмов строится граф. Вершины графа соответствуют механизмам защиты, а дуги соединяют их в последовательности, определяемой последовательностью прохождения запросов на доступ к информации в защищаемой системе.

Полученный таким образом граф О является исходным для дальнейших преобразований, поскольку на его вершинах можно условно располагать различные механизмы защиты. По графу О строится направленный взвешенный граф альтернативных вариантов защиты таким образом, что каждая вершина графа е1 е Е определяет множество вершин вариантного графа Оу(Е,д), которые соответствуют возможным способам защиты, а дуги соответствуют способам соединения средств