D:\\Докторская диссертация ределенных автоматизированных информационных систем таможенных органов

Вид материалаДиссертация

Содержание


Актуальность работы.
Целью диссертации
Задачи исследования
Практическая ценность работы.
Рис. 1. Обобщенная структура РАИС таможенных органов
Рис. 5. Модель адаптивного управления процессами обеспечения безопасности информации в РАИС
Рис. 7. Логическая структура АСВД ТО
Свуцто, асвд то, соби еаис то
Подобный материал:
  1   2   3


На правах рукописи


Скиба Владимир Юрьевич



d:\\Докторская диссертацияределенных автоматизированных информационных систем таможенных органов


Специальность: 05.13.19 – «Методы и системы защиты информации, информационная безопасность»


Автореферат диссертации на соискание ученой степени
доктора технических наук



Работа выполнена в Государственном образовательном учреждении высшего профессионального образования «Санкт-Петербургский государственный политехнический университет».


Официальные оппоненты:




Доктор технических наук, профессор Присяжнюк Сергей Прокофьевич










Доктор технических наук, профессор Гаценко Олег Юрьевич










Доктор технических наук, профессор Жуков Игорь Юрьевич


Ведущая организация – Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации.


Защита «__» ____________ 2010 г. в __ часов на заседании диссертационного совета Д 212.229.27 Государственного образовательного учреждения высшего профессионального образования «Санкт-Петербургский государственный политехнический университет» по адресу: 195251, г. Санкт-Петербург, ул. Политическая 29/1, ауд. 175.


С диссертацией можно ознакомиться в библиотеке Государственного образовательного учреждения высшего профессионального образования «Санкт-Петербургский государственный политехнический университет».



Автореферат разослан

«__» _____________ 2010 г.







Ученый секретарь
диссертационного совета

профессор

В.В. Платонов


Общая характеристика работы

Актуальность работы. В Концепции национальной безопасности Российской Федерации угрозы национальным интересам России в информационной сфере поставлены в один ряд с угрозами в экономической, внутриполитической, социальной, международной, военной, пограничной, экологической сферах. В соответствии со Стратегией развития информационного общества в Российской Федерации информационное общество характеризуется высоким уровнем развития информационных и телекоммуникационных технологий и их интенсивным использованием гражданами, бизнесом и органами государственной власти. Одной из основных задач определено противодействие использованию потенциала информационных и телекоммуникационных технологий в целях угрозы национальным интересам России. Для решения поставленных задач сформу­лированы направления реализации стратегии, среди которых обеспечение безопасности функционирования информационных и телекоммуникацион­ных систем ключевых объектов инфраструктуры России. В Доктрине информационной безопасности Российской Федерации выделяются четыре вида угроз информационной безопасности, одним из которых являются угрозы безопасности информационных и телекоммуникационных систем.

Распределенные автоматизированные информационные системы (РАИС) таможенных органов включены в Перечень критически важных информационных систем Российской Федерации. Следовательно, научные исследования в области обеспечения информационной безопасности РАИС таможенных органов являются актуальными и своевременными.

Крупный вклад в развитие теории и практики информационной безопасности внесли И.И. Быстров, В.А. Герасименко, О.Ю. Гаценко, А.А. Грушо, В.С. Заборовский, П.Д. Зегжда, Д.П. Зегжда, В.А. Конявский, А.А. Малюк, А.А. Молдовян, Л.Г. Осовецкий, М.П. Сычев, С.П. Присяжнюк, С.П. Расторгуев, А.Г. Ростовцев, В.А. Садовничий, А.А. Стрельцов, А.А. Тарасов, Л.М. Ухлинов, В.П. Шерстюк, А.Ю. Щербаков и др. В их работах разработана концепция защиты информации, обоснованы принципы реализации управляемых процессов обеспечения безопасности информации и принципы построения систем защиты информации объектов информатизации и электронных документов на основе построения изолированной программной среды с использованием программно-аппаратных средств защиты информации, рассмотрены теоретические аспекты и методология организации криптографической защиты информации, развита технология создания информационно-безопасного программного обеспечения в условиях наличия непреднамеренных и намеренных несанкционированных включений – закладок, а также сформулированы основные модели угроз и нарушителей технологической и эксплуатационной безопасности информации. В тоже время, данные работы либо предполагали замкнутый или детерминированный цикл разработки АИС, либо были ограничены только одним направлением обеспечения безопасности информации, например, предусматривающего применение встраиваемых аппаратно-программных средств защиты информации, криптографических методов или средств обеспечения сетевой безопасности.

В настоящее время все большее распространение получают ведомственные или корпоративные РАИС, которые объединяют в единый контур большое число разнородных территориально распределенных объектов и включают в себя разнообразные средства вычислительной техники, различное телекоммуникационное оборудование, многообразное общесистемное и прикладное программное обеспечение. При этом необходимо учитывать, что РАИС (в том числе, таможенных органов) постоянно находятся одновременно в стадиях модернизации и эксплуатации. В этих условиях повысить эффективность обеспечения безопасности информации возможно за счет применения методов формализации спецификации системы обеспечения безопасности информации (СОБИ) и ее последующей верификации на этапах проектирования (модернизации) и эксплуатации РАИС.

Необходимость в более точном формировании требований неизбежно ведет к разработке формальных методов формализации спецификаций. Традиционный подход к формализации спецификаций систем предполагает, что детальное проектирование и разработка систем начинается после завершения разработки спецификации. Предлагаемый подход предполагает быстрое развитие по эволюционной спирали, в процессе которого спецификация РАИС подвергается постоянному уточнению. Целью является создание комбинации компонентов (функциональных и объектовых подсистем) РАИС, а не монолитной системы. Таким образом, разработка спецификаций одновременно является и формированием требований и проектированием системы. Наличие спецификаций значительно упрощает модернизацию СОБИ РАИС и позволяет вводить в эксплуатацию отдельные подсистемы, не дожидаясь завершения разработки системы в целом.

Под верификацией СОБИ РАИС понимается подтверждение соответствия системы заданным требованиям. При этом применение методов верификации на этапе проектирования СОБИ РАИС позволяет обеспечивать технологическую безопасность, т.е. обнаруживать и предотвращать нарушения безопасности информации на этапе проектирования РАИС. Применение методов верификации на этапе функционирования СОБИ РАИС позволяет обеспечивать эксплуатационную безопасность, т.е. обнаруживать и предотвращать нарушения безопасности информации на этапе эксплуатации РАИС. Все выше перечисленное определяет актуальность темы диссертационного исследования.

Целью диссертации является Объект и предмет исследования. Объектом являются РАИС таможенных органов, а предметом – модели и методы управления безопасностью информации и оценивания эффективности систем обеспечения информационной безопасности, а также средства обеспечения внутреннего аудита и мониторинга состояния объекта, находящегося под воздействием угроз нарушения его информационной безопасности.d:\\Докторская диссертациянных органов, позволяющих эксплуатировать системы в условиях постоянного изменения объектов и функций объектов защиты.

Задачи исследования:

Методы исследования. Для решения поставленных задач использовались методы теории сложности систем, теории множеств, прикладной теории алгоритмов, теории исследования операций, теории конечных автоматов, теории вероятности, а также аппарат сетей Петри и методы структурно-функционального анализа и проектирования.d:\\Докторская диссертацияие модели их жизненного цикла.

Основные научные результаты, выносимые на защиту и их новизна

Научная новизна полученных результатов заключается в том, что:d:\\Докторская диссертациястижимых состояний временных алгебраических сетей Петри (ВАСП) в глубину и ширину, а также верификации расчетных программ в составе РАИС на основе функций самосводимости.

Практическая ценность работы. Реализация результатов работы. Апробация и публикация основных результатов работы. Основные результаты диссертации опубликованы в 2 монографиях, 1 учебном пособии, 17 статьях (в том числе в 8 изданиях, рекомендованных ВАК для опубликования результатов диссертаций на соискание ученой степени доктора наук), 57 отчетах по НИОКР, использовались при разработке 2 учебных программ в МГТУ им. Н.Э. Баумана и 47 правовых нормативных актов ФТС России. Основные результаты работы более 40 раз докладывались на международных и отечественных конференциях и семинарах.

Структура и объем работы. Диссертация состоит из введения, шести глав, заключения и списка литературы. Общий объем работы составляет 321стр. машинописного текста, 27 рисунков и 7 таблиц. Список литературы содержит 470 наименований, включая труды автора.

Содержание работы

Введение. Обоснована актуальность темы диссертации, дана краткая ее характеристика, сформулированы цель и основные задачи исследования, приведены положения, выносимые на защиту, кратко изложено содержание разделов диссертации.

Глава 1. Анализ современного состояния в области обеспечения безопасности информации в РАИС таможенных органов и постановка научной проблемы. Проведен структурно-функциональный анализ РАИС таможенных органов (Рис. 1) и, в первую очередь, ЕАИС ТО. Структура ЕАИС ТО является иерархической и соответствует структуре таможенных органов, при этом подразделения таможенных органов размещаются более чем в десяти тысячах территориально-разнесенных административных зданиях. Элементами ЕАИС ТО являются технически, информационно и программно совместимые комплексы средств автоматизации (локальные вычислительные сети с телекоммуникационным оборудованием, общим и специальным программным и информационным обеспечением), объединенные ведомственной интегрированной телекоммуникационной сетью. Всего эксплуатируется более 10 тыс. ЛВС и более 300 комплексов специальных программных средств, объединенных логически в более чем 50 функциональных (основных, вспомогательных и обеспечивающих) подсистем. Техническая архитектура и функционально-программная инфраструктура ЕАИС ТО постоянно подвержена изменениям, связанным с разработкой и вводом в эксплуатацию новых компонент и непрерывной доработкой эксплуатируемых компонент (в связи с изменениями нормативно-правовой базы или совершенствованием процессов таможенного оформления и контроля). Ежегодно осуществляется дооснащение средствами вычислительной техники, телекоммуникационным оборудованием, общесистемным программным обеспечением и сертифицированными средствами защиты информации.



Рис. 1. Обобщенная структура РАИС таможенных органов


Приведено обобщенное описание модели угроз безопасности информации, характеризуемой наличием внешних и внутренних источников угроз, а также объективными и субъективными факторами их проявления. При этом выделены технологические и эксплуатационные угрозы. Модель нарушителя включает в себя как внутренних и внешних санкционированных пользователей ЕАИС ТО, так и злоумышленников.

На основании проведенного структурно-функционального анализа обоснована мультикаскадная спиралевидная модель жизненного цикла РАИС, в которой для каждой функциональной или объектовой подсистемы циклически повторяется классическая каскадная модель, причем период цикла для каждой подсистемы различен и не совпадает по времени начала и окончания. Приведена формальная постановка научной проблемы, обоснована методическая схема диссертационного исследования.

Глава 2. Математический аппарат формализации спецификаций и их верификации. Анализ известных методов формализации спецификации и верификации протоколов и систем (сети Петри, язык АДА, язык SPECIAL для системы HDM, конечные автоматы, исчисление взаимодействующих процессов и т.д.) позволил выделить аппарат алгебраических сетей Петри как наиболее мощное средство для формализации спецификаций СОБИ РАИС. Необходимость адекватного представления сложного характера процессов обеспечения безопасности информации в РАИС обусловила целесообразность расширения аппарата алгебраических сетей Петри за счет введения временных параметров. В результате были предложены ВАСП.

Временной алгебраической сетью Петри называется кортеж S=0>, где Р={p1,…,pn} и F={f1,…,fm} – конечное множество позиций типа «р» (LIFO, «last in, first out») и типа «f» (FIFO, «first in, first out») соответственно; T={t1,…,tr} – конечное множество переходов; А={a,b,…} – конечный алфавит; – отображение, помечающее дуги, соединяющие позиции с переходами и переходы с позициями; D – вектор с временными параметрами сети, определяющий длительности (задержки) срабатывания переходов; Q – вектор, определяющий активизированные в переходы сети, элементы вектора принимают значения 0 или 1 (переход не выполняется или выполняется); Н – вектор, определяющий время инициализации (активизации) выполнения переходов; τ – время функционирования сети; M: PF  A* и M0: PF  A* – текущая и начальная маркировка позиций.

Для каждого элемента x  PFT сформулированы понятия множеств выходов и входов .

Динамика функционирования ВАСП описывается:
  • условием возбуждения перехода:



    (1)
  • условием завершения выполнения перехода:



    (2)
  • рекуррентными уравнениями динамики изменения состояния сети:

k = k + k
Qk = Qk-1 + Uk – Uk
Hk = Hk-1 + kUk – (kUk – D)  Uk


(3)

где k – интервал между тактами срабатывания переходов сети.

Последовательность переходов tk  T* (kN, tk = t1…tk, {ti}T, T* – множество конечных слов на алфавите T) называется разрешенной для маркировки М и дает маркировку M (обозначается ), если выполнены следующие условия:

а) tk =   M = M;

б) .

Маркировка M называется достижимой из маркировки М, если существует конечная последовательность tk  T*, такая, что . Множеством достижимых маркировок ВАСП начиная с маркировки М называется множество . Множество достижимых маркировок ВАСП S начиная с начальной маркировки позиции М0 обозначается R(S) = [M0). Множество достижимых маркировок позволяет определить три языка:

  1. Множество переходов t ВАСП S, разрешенных при начальной маркировке M0: .
  2. Множество последовательностей переходов tk ВАСП S, разрешен­ных из маркировки M0 за i тактов: .
  3. Множество последовательностей переходов tk ВАСП S, при которых достигается маркировка M, начиная с маркировки M0: .

С использованием языков L(S), L*(S) и L(S, M) рассмотрены свойства ВАСП. Позиция x называется ограниченной, если n  N – такое, что при M  R(S) имеет место |M(x)|  n, где |a| обозначает длину слова a. Сеть S называется ограниченной, если ограниченна каждая ее позиция. Сеть S называется сетью без блокировки, если для любого x  L*(S) существует переход t  T, такой, что x  t  L*(S).

Теорема 1. ВАСП S ограничена тогда и только тогда, когда множество R(S) конечно.

Теорема 2. Множество X  A* является кодексом, если и только если пересечение любых двух свободных моноидов, заданных образующими Xi и Xj (Xi  X, Xj  X) не содержит слов a  X*, таких, что

{x| xi  Xi, xi  a} \ {xj | xj  Xj, xj  a}  V, V {xj | xj  Xj, xj  a} \ {x| xi  Xi, xi  a}  .

Теорема 3. ВАСП является корректной, если она является ограни­ченной, активной и без блокировок, а множество всех слов образует кодекс.

В главе также определены основные операции с ВАСП: объединение, исключение, дополнение.

Глава 3. Комплекс моделей, методов и методики формирования спецификации СОБИ РАИС. Под спецификацией СОБИ РАИС понимается описание структуры и функций РАИС с использованием ВАСП. Разработка спецификации СОБИ РАИС основывается на следующих принципах (правилах) формализации:

Правило 1. Каждому элементу СОБИ и РАИС (включая ресурсы) ставится в соответствие позиция ВАСП. При этом маркировка позиции отражает состояние специфицируемого элемента.

Правило 2. Каждому процессу (операции) по обработке информации сопоставляется один или несколько переходов ВАСП. При этом инцидентные дуги перехода определяют элементы РАИС, задействованные при выполнении операции. Маркировка входящих и выходных дуг перехода определяет необходимое состояние задействованных элементов до начала выполнения операции (предусловия) и после окончания операции (постусловия). Каждому переходу назначается временной параметр задержки срабатывания перехода, характеризующий длительность выполнения операции.

Правило 3. Каждому элементарному состоянию моделируемых элементов СОБИ и РАИС сопоставляется конкретное слово на алфавите А. Каждое слово специфицирует только одно состояние. Множество всех слов, специфицирующих состояния, образует кодекс на алфавите А.

Правило 4. Каждому постусловию и предусловию выполнения специфицируемого процесса (операции) обработки информации или по обес­печению ее безопасности сопоставляется конкретное слово на алфавите А. Множество слов постусловий и предусловий образует кодекс на алфавите А.

При этом необходимо обеспечить выполнение следующих принципов (условий) корректности спецификации СОБИ РАИС:

  1. Полнота и адекватность, т.е. отображение всех существенно значимых элементов и атрибутов, а также их взаимосвязи и характеристик процессов функционирования РАИС.
  2. Стандартность и унифицированность внутренней структуры элементов РАИС и взаимодействия между ними.
  3. Модульность, т.е. автономной организации элементов РАИС, позволяющей стандартными способами объединять элементы в сложные структуры и заменять любой элемент и их совокупности.
  4. Гибкость, т.е. практически неограниченной возможности расширения и реорганизации структуры одних компонент РАИС без изменения (или без существенного изменения) других компонент.
  5. Прозрачность, т.е. простоты изучения структурных элементов РАИС, любой их совокупности и взаимосвязей между элементами.
  6. Безопасность. Спецификация учитывает требования безопасности, если в ней четко определено функционирование СОБИ РАИС для всех нештатных ситуаций.
  7. Непротиворечивость. Спецификация непротиворечива, если ее положения не противоречат друг другу или другим спецификациям.
  8. Верифицированность. Спецификация проверяема, если разработанная система может быть подвергнута проверке на соответствие положениям этой спецификации.
  9. Правильность означает, что РАИС строго соответствует всем функциональным и интерфейсным спецификациям, а также удовлетворяет в пределах допусков всем спецификациям технических характеристик.
  10. Адаптируемость означает, что РАИС или ее подсистемы можно легко использовать или приспособить для выполнения новых функций.

В то же время, ВАСП для всей РАИС в целом может получиться достаточной большой, что существенно увеличит время ее верификации. В связи с этим предложено описывать спецификацию СОБИ РАИС в виде СМС СОБИ РАИС, которая представляет собой совокупность: SMS = i |iÎ[1,N]},{SSFj |jÎ[1,F]},{SSPk |kÎ[1,Z]},{SSKP |pÎ[1,X]}>, где SS – внешняя спецификация РАИС; SSO и SSF – множество спецификаций объектовых и функциональных подсистем РАИС (N и F соответственно количество объектовых и функциональных подсистем РАИС); SSP – множество спецификаций элементов РАИС, находящихся под контролем СОБИ; SSK – множество спецификаций специализированных компонент, разрабатываемых только для данной РАИС. Каждая спецификация представляет из себя ВАСП.

Для построения СМС СОБИ РАИС предложены методы структурной и функциональной декомпозиции. Функциональная декомпозиция заключается в разложении некоторой функции (процесса) на подфункции. Выделяется:

  1. Функциональная декомпозиция внешней спецификации (обозначение: , условие полноты: ).
  2. Функциональная декомпозиция спецификации объектовой подсистемы (обозначение: , условие полноты: и ).

Теорема 4. Для перехода t исходной ВАСП S в результате функциональной декомпозиции получена ВАСП SF. ВАСП SF является корректной функциональной декомпозицией перехода t исходной ВАСП S тогда и только тогда, когда выполняются условия:
  • для ВАСП SF существует конечное не пустое множество после­довательностей переходов L(S, M)={tk  T*} такое, что .
  • время функционирования ВАСП SF для выполнения последовательности переходов tk равно длительности срабатывания перехода t исходной ВАСП S: .

Объектовая декомпозиция заключается в разложении некоторой системы (подсистемы, объекта) на подсистемы, компоненты. Выделяется:

  1. Объектовая декомпозиция внешней спецификации (обозначение: , условие полноты ).
  2. Объектовая декомпозиция спецификации функциональной подсистемы (обозначение: , условие полноты: и ).

Методы декомпозиции СМС СОБИ РАИС необходимы для детализации либо элементов, задействованных при обеспечении безопасности информации (метод структурной декомпозиции), либо самих процессов обеспечения безопасности информации или модели нарушителя (метод функциональной декомпозиции). Пример фрагмента СМС для информационной технологии представления участниками ВЭД сведений таможенным органам в электронной форме приведен на Рис. 2.

Разработана методика структурно-функционального формирования СМС (СФС) СОБИ РАИС (Рис. 3), которая основывается на принципах многоступенчатой оптимизации при соблюдении ряда условий, наиболее существенным из которых является вариантность разработки. При СФС СОБИ рассматривается трехуровневое дерево критериев и ограничений, формируемых при выборе конкретного варианта структуры СОБИ. Это дерево связывает первый уровень (СОБИ в целом) – со 2-м (промежуточным) уровнем, на котором располагаются различные подсистемы СОБИ.



а) исходная сеть



б) объектовая декомпозиция позиции p3



в) функциональная декомпозиция перехода t1

Рис. 2. Пример объектной и функциональной декомпозиции СМС



Рис. 3. Схема методики СФС СОБИ РАИС

В свою очередь, 2-й уровень связан с 3-м (нижним), охватывающим отдельные элементы – программно-аппаратные средства, входящие в различные подсистемы СОБИ.

На первом этапе методики СФС СОБИ РАИС формируется множество вариантов структур и осуществляется локальная оптимизация, в рамках которой выбираются состав и структура подсистем (локально оптимальные или близкие к оптимальным варианты). Для конкретного задания функции оценки на этом этапе используются методы теории нечетких многокритериальных задач оптимизации. Пусть A – множество допустимых структур СОБИ, z1, z2, ..., zn – целевые функции,  – множество мер неопределенности, адекватно отражающих неполноту информации об условиях функционирования СОБИ. На высоких уровнях абстракции множеством  охватываются структурные, параметрические, режимные и эксплуатационные меры неопределенности. Множество допустимых исходов при сочетании элементов множества действий с элементами множества мер неопределенности, может быть описано декартовым произведением A. Целевые функции при этом получают смысл отображений: . Рациональный принцип принятия решений S в этом случае определяется следующими условиями:

  1. S (A, , Z)  A, т.е. решениями могут быть лишь допустимые структуры СОБИ;
  2. a  S (A, , Z) и b  A при Z (a, ) = Z (b, );      b  S (A, , Z), т.е. две структуры, имеющие одинаковые векторные оценки, либо обе являются, либо обе не являются решениями;
  3. S (A, , Z)  eff (A, , Z), где множество eff (A, , Z) – эффек­тивная граница образа множества A, полученного с помощью отображения Z, и является множеством всех допустимых векторных оценок. Определение вариантов структур СОБИ, оптимальных по Парето, представляет собой классическую задачу векторной оптимизации, состоящей в определении множества: ;
  4. S (A, , Z)  , т.е. существует, по крайней мере, одно решение;
  5. если (A, , Z) и (B, , Z) – две ситуации принятия решений, то , т.е. лучшие структуры для множества A остаются лучшими структурами для сокращенного множества B, если эти структуры нельзя исключить из рассмотрения.

Существенным моментом при оптимизации структур СОБИ РАИС является построение иерархического дерева критериев. При обосновании структуры подсистем СОБИ в качестве критериев (целевых функций) используются только наиболее значимые критерии эффективности обеспечения безопасности информации. При обосновании состава элементов подсистем СОБИ обязательным условием является использование полного множества обоснованных критериев эффективности СОБИ.

На втором этапе осуществляется спецификация рациональной структуры СОБИ в виде СМС СОБИ РАИС.