Вестник Брянского государственного технического университета. 2008. №1(17)

Вид материалаДокументы

Содержание


Е – множество дуг графа. Дуга
М обеспечивает защиту множества объектов О
V – набор уязвимых мест, определяемый подмножеством декартова произведения UO: v
B – набор барьеров, определяемый декартовым произведением VM: b
U — множество возможных угроз; М
Подобный материал:

Вестник Брянского государственного технического университета. 2008. № 1(17)


УДК 519.8:004.056

В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин


оптимизация выбора состава средств инженерно-технической защиты информации на основе модели Клементса -Хоффмана


Рассмотрен подход к решению задачи моделирования процесса выбора инженерно-технических средств защиты информации при автоматизированном проектировании систем инженерно-технической защиты информации.


Широкое использование в процессе информатизации общества современных методов и средств обработки информации создало не только объективные предпосылки повышения эффективности всех видов деятельности личности, общества и государства, но и ряд проблем защиты информации, обеспечивающей требуемое ее качество. Сложность решения этих проблем обусловлена необходимостью создания целостной системы комплексной защиты информации (КСЗИ), базирующейся на стройной её организации и регулярном управлении.

Очевидно, что защита новейшей информации это - динамический процесс. Для обеспечения соответствия систем защиты информации современному уровню безопасности при их проектировании могут быть использованы специализированные системы автоматизированного проектирования (САПР), позволяющие значительно сократить время проектирования и повысить качество проектных решений. По классификации САПР КСЗИ следует относить к виду организационно – технических систем[3].

Одним из наиболее важных элементов КСЗИ является инженерно-техническая составляющая, предназначенная для решения задачи физической защиты источников информации и предотвращения её утечки по техническим каналам. Для наиболее качественного и менее трудоемкого решения задачи проектирования инженерно-технической системы защиты информации (ИТСЗИ) в современных условиях необходимо применять специализированную объектно-ориентированную подсистему автоматизированного проектирования, в дальнейшем называемую САПР ИТСЗИ[2].

Процесс проектирования ИТСЗИ объекта начинается с ввода исходных данных. Очевидно, что на эффективность системы инженерно-технической защиты влияет множество факторов, определяющих специфику каждого объекта защиты. Этими факторами являются наиболее важные характеристики объекта, такие как этажность, площадь защищаемого объекта, толщина перекрытий, типы остекления, количество входов и т.д.

Следующим этапом является моделирование объекта защиты. Модель защищаемого объекта (кабинет, этаж, здание, прилегающая территория) должна быть представлена в САПР ИТСЗИ в виде некоторой структуры данных, взаимосвязи между которыми позволяют определить множество угроз для защищаемой информации.

После создания модели защищаемого объекта проектируется система его защиты. Основная задача этого этапа – оптимизация выбора комплекса методов и средств, позволяющих полностью перекрыть все возможные каналы утечки информации. Данная задача решается методами математического моделирования. При этом основной задачей моделирования процесса защиты информации является описание процесса проектирования системы информационной безопасности, оценки эффективности принимаемых решений и выбора рационального варианта технической реализации системы защиты информации.

Специфическими особенностями рассматриваемой задачи проектирования систем защиты, по мнению ведущих специалистов, являются [4]:
  • неполнота и неопределенность исходной информации о составе информационной системы и характерных угрозах;
  • многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) системы защиты информации;
  • наличие как количественных, так и качественных показателей, которые необходимо учитывать при разработке и внедрении системы защиты информации;
  • невозможность применения классических методов оптимизации.

Модель защиты информации инженерно-техническими средствами должна [5]:

1. Использоваться в качестве: руководства по проектированию систем защиты информации, методики формирования показателей и требований к системе защиты информации, инструмента (методики) оценки системы защиты информации, модели системы защиты информации для проведения исследований (матрица состояния).

2. Обладать следующими свойствами: универсальностью, комплексностью, простотой использования, наглядностью, практической направленностью, способностью функционировать в условиях высокой неопределенности исходной информации.

3. Позволять: устанавливать взаимосвязь между показателями (требованиями), задавать различные уровни защиты, получать количественные оценки, контролировать состояние системы защиты информации, применять различные методики оценки, оперативно реагировать на изменения условий функционирования, объединять усилия различных специалистов единым замыслом.

Таким образом, моделирование процесса защиты информации представляет собой сложную задачу, для решения которой могут быть применены неформальные методы сведения сложной задачи к формальному описанию с последующим её решением формальными методами.

В настоящее время известны подходы к моделированию систем защиты информации, использующие следующие теории и методы, позволяющие свести решение задачи к формальным алгоритмам:
  • теорию нечетких множеств;
  • теорию конфликтов;
  • теорию графов;
  • формально-эвристические методы;
  • эволюционное моделирование.

Для построения математической модели процесса защиты информации при проектировании рассматриваемых комплексных систем информационной безопасности была использована модель с полным перекрытием, обедняющая эти подходы. Она позволяет оценить защищенность информационной системы, рассчитать затраты на построение системы защиты, а также определить оптимальный вариант построения системы информационной безопасности. При реализации данной модели были использованы: теория графов - для представления системы защиты, теория нечетких множеств – для определения значений вероятностных величин и теория вероятностей – для расчета интегральных вероятностных показателей.

В предлагаемой модели безопасности с полным перекрытием (модели Клементса-Хоффмана) описывалось взаимодействие «области угроз», «защищаемых объектов» (ресурсов информационной системы) и «системы защиты» (механизмов безопасности информационной системы) [6].

Для описания системы защиты информации с полным перекрытием рассматривались три множества:
  • множество угроз U = {ui}, i = ;
  • множество объектов защиты O = {oj}, j = ;
  • множество механизмов защиты M = {mk}, k = .

Элементы множеств U и O находятся между собой в отношениях «угроза – объект», определяемых двухдольным графом G(X,E), где Х – множество вершин графа X = {xi+j}, i = , j = , а Е – множество дуг графа. Дуга i, Oj> существует только тогда, когда Ui является средством получения доступа к объекту Oj .

Цель защиты состоит в том, чтобы перекрыть каждую дугу графа и воздвигнуть барьер для доступа на этом пути.

Общая постановка задачи формулируется в следующем виде: множество средств защиты информации М обеспечивает защиту множества объектов О от множества угроз U. В идеале каждое средство mк должно характеризовать некоторое ребро i, Oj> из указанного графа. В действительности эти средства выполняют функцию «брандмауэра», обеспечивая некоторую степень сопротивляемости попыткам проникновения, это основная характеристика, присущая всем элементам множества М.

Применение множества средств защиты М преобразует 2–дольный граф в 3–дольный.

В защищённой системе все рёбра представляются в виде i , Мк> и к, Oj>. При этом одно и то же средство защиты может перекрывать более одной угрозы и защищать более одного объекта.

Развитие этой модели предполагает введение еще двух элементов:

1. V – набор уязвимых мест, определяемый подмножеством декартова произведения UO: vp = i, oj>. Таким образом, под уязвимостью системы защиты будет пониматься возможность осуществления угрозы ui в отношении объекта oj (на практике под уязвимостью системы защиты обычно понимается не сама возможность осуществления угрозы безопасности, а те свойства системы, которые способствуют успешному осуществлению угрозы либо могут быть использованы злоумышленником для осуществления угрозы).

2. B – набор барьеров, определяемый декартовым произведением VM: bq = i, oj, mk>. Барьеры представляют собой пути осуществления угроз безопасности, перекрытые средствами защиты.

Таким образом, процесс защиты информации можно представить с помощью 5–мерного кортежа

S={O, U, M, V, B},

где: О — множество защищаемых объектов; U — множество возможных угроз; М — множество средств защиты; V — множество уязвимых мест, представляющих собой пути проникновения в систему; В — множество барьеров, представляющих собой те точки, в которых требуется осуществить защиту информации в системе.

Система защиты с полным перекрытием предусматривает средства защиты на каждый возможный путь проникновения. В такой системе каждому уязвимому месту vp соответствует барьер bq (рисунок).




Рис. Модель инженерно-технической системы защиты информации


В идеале каждый барьер защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. Прочность барьера характеризуется величиной остаточного риска Ri, связанного с возможностью осуществления угрозы yi в отношении объекта oj при использовании барьера bq.

Эта величина определяется по формуле

Ri = Pi Qj (1 – Pq) ,

где,

Величину защищенности всей системы можно определить по формуле

(1)

где Pi – вероятность появления угрозы yi; Qj – величина ущерба при удачном осуществлении угрозы yi в отношении защищаемого объекта oj; Pq – степень сопротивляемости барьера bq, характеризующаяся вероятностью его преодоления.

В зависимости (1) знаменатель показывает суммарную величину остаточных рисков, связанных с возможностью осуществления угроз безопасности U в отношении объектов защиты O при использовании механизмов защиты M. Суммарная величина остаточных рисков характеризует общую уязвимость системы защиты, а защищенность системы определяется как величина, обратная ее уязвимости. При отсутствии в системе барьеров bq, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты Pq принимается равной 0.

Построение системы защиты информации требует затрат на построение барьера bq. Пусть затраты на создание барьеров защиты определяются как C = {cq}.

Таким образом, если реализован барьер защиты bq и при этом осуществляется угроза V = {y}i, то суммарный ущерб составит

jq = Qj + cq.

Целью создания системы защиты информации является решение проблемной ситуации, связанной с защитой информационных ресурсов организации. Проблемная ситуация (задача принятия решения) появляется только тогда, когда существует цель, которую нужно достичь, и возможны различные способы ее достижения (альтернативы), а также существуют факторы, ограничивающие возможности достижения цели (в первую очередь – финансовые).

Процесс принятия решения всегда есть компромисс. Для рассматриваемой задачи таким компромиссом является одновременное удовлетворение двум противоречивым требованиям:
  • минимизации суммарных затрат (С → min);
  • максимизации защищенности информационных ресурсов организации (S → max).

Поставленная задача относится к задачам принятия решений в условиях неопределенности.

Для принятия решения в таких задачах необходимо оценить суммарные затраты путем составления математической модели в виде матрицы результатов решений, или оценочной матрицы . Здесь А – множество альтернатив (возможностей выбора), F – множество негативных факторов (угроз), оказывающих воздействие на информационные объекты организации, а Y – множество возможных исходов. Под альтернативами , понимаются варианты построения барьеров bq из различных механизмов защиты mk  M, k = , имеющихся в распоряжении. Под факторами fj  F, , подразумеваются угрозы yi. Результат, ожидаемый при каждом сочетании вариантов решения и объективных условий, соответствует суммарным затратам jq = Qj + cq.

Таким образом, формируется оценочная матрица(таблица):

Таблица

Оценочная матрица эффективности и стоимости средств защиты



f1



fj



fn

a0

01 = Q1



0j = Qj



0n = Qn

a1

11 = Q1 + c1



1j = Qj + c1



1n = Qn + c1













ai

i1 = Q1 + ci



ij = Qj + ci



in = Qn + ci













am

m1 = Q1 + cm



mj = Qj + cm



mn = Qn + cm


В приведенной таблице а0 – начальное состояние системы без средств защиты.

Для принятия решения необходимо привести все значения к безразмерному виду, чтобы иметь возможность их оценить. При использовании метода свёртки и нормализации критериев задача сводится к нахождению экстремума функции (в данном случае – минимума, поскольку затраты надо минимизировать):

.

Все ij приводятся к безразмерному виду по следующей формуле:

,

где max(ij) – максимальное значение ij в данном столбце.

Для исключения влияния размерности шкал вводятся нормировочные коэффициенты pj (один на столбец). Каждый коэффициент pj рассчитывается по формуле

,

затем все sij приводятся к нормальному виду:

nij = sij pj.

В этом случае значения безразмерны и нормированы, т.е. их можно сравнивать между собой.

Для получения окончательного результата необходимо сложить значения получившихся исходов Y (nij = sij pj) построчно и выбрать в образовавшемся векторе оптимум, соответствующий решению задачи (в данном случае – минимуму).

Если значение суммарных затрат для альтернативы ai отвечает заданным требованиям по минимуму, а показатель защищенности S для данной альтернативы – требованиям по максимуму (или, по крайней мере, удовлетворяет владельца информационной системы), то этот вариант построения барьеров защиты bq является оптимальным.

Данный метод используется, если точно известны затраты на создание системы защиты и возможный ущерб в денежном выражении. Если ущерб выражен в относительных единицах, то сначала необходимо провести нормализацию и свертку значений ущерба Qj и затрат на систему защиты cq и только потом – суммарных затрат qj.

В настоящее время системы автоматизированного проектирования решения в сфере информационной безопасности являются новыми и недостаточно исследованы. Широко известны и применяются лишь системы автоматизации аудита информационной безопасности, такие как «Кондор», «Авангард» или «Гриф»[1].


Список литературы
  1. Аверченков, В. И. Аудит информационной безопасности: учеб. пособие для вузов / В.И. Аверченков. - Брянск: БГТУ, 2005.
  2. Аверченков, В. И. Организационная защита информации: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2005.
  3. Аверченков, В.И. САПР технологических процессов, приспособлений и режущих инструментов: учеб. пособие для вузов/ В.И.Аверченков, И.А.Каштальян, А.П. Пархутик.– Минск: Высш. шк., 1993.
  4. Домарев, В.В. Энциклопедия безопасности информационных технологий. Методология создания системы защиты информации/ В.В. Домарев. – Киев: ТИД «ДС», 2001. – 668 с.
  5. Торокин, А. А. Основы инженерно-технической защиты информации/ А.А. Торокин. - М.: Ось-89, 1995.
  6. Хоффман, Л. Д. Современные методы защиты информации / Л.Д. Хоффман; под ред. В.А. Герасименко. – М.: Сов. радио, 1980. – 264 с.


Материал поступил в редколлегию 11.12.07.