Синтез систем захисту інформації з використанням логіко-імовірнісних методів

Размещено на http://www.allbest.ru/

НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ УКРАЇНИ

“КИЇВСЬКИЙ ПОЛІТЕХНІЧНИЙ ІНСТИТУТ”

УДК 681.3.06

Синтез систем захисту інформації з використанням логіко-імовірнісних методів

Спеціальність 05.13.21 - Системи захисту інформації

Автореферат

дисертації на здобуття наукового ступеня кандидата технічних наук

Тимошенко Андрій Олександрович

Київ-2002

АНОТАЦІя

Тимошенко А.О. Синтез систем захисту інформації з використанням логіко-імовірнісних методів.- Рукопис.

Дисертація на здобуття наукового ступеня кандидата технічних наук за спеціальністю 05.13.21 - системи захисту інформації. Національний технічний університет України “Київський політехнічний інститут”, Київ, 2002.

Дисертація присвячена розробці сукупності моделей, методів і алгоритмів, що можуть бути застосовані для розв'язання задачі побудови системи захисту інформації, оброблюваної в інформаційній системі з відкритою архітектурою.

З використанням методів логіко-імовірнісного моделювання розроблено аналітичну модель захищеної інформаційної системи з відкритою архітектурою. Сформульовано задачу побудови оптимальної системи захисту інформації, оброблюваної в інформаційній системі з відкритою архітектурою. Розроблено обчислювальний алгоритм розв'язання задачі побудови оптимальної системи захисту інформації, оброблюваної в інформаційній системі з відкритою архітектурою, в якому використовується розроблена модель. Розроблено формалізовані методики застосування розробленого алгоритму для побудови систем захисту інформації, оброблюваної в інформаційних системах різної структури. Практичне застосування розроблених методик дало успішні результати і підтвердило ефективність їхнього використання.

Ключові слова: математична модель, логіко-імовірнісний метод, загроза інформації, механізм захисту інформації, оптимальна система захисту інформації.

ABSTRACT

Tymoshenko A.O. Synthesis of the information security systems using a logical-probability methods.- Manuscript.

Thesis for a candidate's degree by speciality 05.13.21 - information security systems. - National Technical University of Ukraine “Kyiv Polytechnical Institute”, Kyiv, 2002.

The dissertation is devoted to the elaboration a set of mathematical models, methods and algorithms applied for the solution of the problem of designing of information security systems for computer systems with open architecture.

The mathematical model of the secure computer system with open architecture for the evoluation of the information security level using logical-probability modelling methods was designed. The problem of synthesis of the optimal information security system for computer systems with open architecture was formulated. The algorithm for the solution of the problem of designing of the optimal information security system for computer systems with open architecture was designed. The practical method for using the algorithm for the solution of the problem of designing of the optimal information security system proposed.

Key words: mathematical model, logical-probability method, information threat, information security mechanism, optimal information security system.

АННОТАЦИя

Тимошенко А.А. Синтез систем защиты информации с использованием логико-вероятностных методов.- Рукопись.

Диссертация на соискание ученой степени кандидата технических наук по специальности 05.13.21 - системы защиты информации. Национальный технический университет Украины “Киевский политехнический институт”, Киев, 2002.

Диссертация посвящена разработке совокупности моделей, методов и алгоритмов, применимых для решения задачи построения системы защиты информации, обрабатываемой в информационной системе с открытой архитектурой.

Сформулирована задача разработки модели защищенной информационной системы с открытой архитектурой, позволяющей моделировать ее поведение в условиях риска, оценивать вероятность предотвращения заданного множества угроз информации выбранными механизмами защиты и соотносить ее со стоимостью средств защиты, реализующих различные механизмы. Предложено строить такую модель на основе принципов построения модели системы безопасности с полным перекрытием, с использованием аппарата логико-вероятностной теории безопасности и ее логико-вероятностных методов. Сформулирована задача построения оптимальной системы защиты информации, обрабатываемой в информационной системе, с учетом ограничений на стоимость средств защиты.

Определена структура и параметры модели защищенной информационной системы с открытой архитектурой. В качестве моделируемой характеристики выбрана вероятность сохранения защищенности обрабатываемой информации, определенная как вероятность предотвращения множества угроз информации, которые могут быть реализованы по отношению ко множеству объектов информационной системы, реализованным в системе защиты информации множеством механизмов защиты. Обоснована возможность рассмотрения в качестве элементов множества объектов моделируемой информационной системы, по отношению к которым рассматриваются попытки реализации угроз информации, информационных пакетов, обрабатываемых на различных уровнях стека протоколов.

На основании результатов анализа различных подходов к определению понятия эффективности обоснована возможность представления в разрабатываемой модели множества угроз информации множеством показателей эффективностей их реализации, определенных как показатели оценки риска, связанного с реализацией угроз информации на различных уровнях стека протоколов.

Исследованы особенности реализации угроз информации и функционирования механизмов защиты в информационной системе с открытой архитектурой. Показано, что в разрабатываемой модели защищенной информационной системы должно быть учтено множество альтернативных путей перехода системы из одного состояния в другое, соответствующих различным сценариям развития опасного состояния при реализации угроз информации и различным вариантам предотвращения угроз информации механизмами защиты, а также ранжирование показателей значимости механизмов защиты, реализованных на различных уровнях стека протоколов, в порядке, обратном нумерации уровней стека протоколов.

С использованием логико-вероятностного метода разработана аналитическая модель защищенной информационной системы с открытой архитектурой, позволяющая оценивать уровень защищенности обрабатываемой информации от заданного множества угроз. Проведен анализ полученной модели и экспериментально подтверждена ее конструктивность.

Сформулирована задача математического программирования, которую необходимо решить для построения оптимальной системы защиты информации. Разработан численный алгоритм ее решения с использованием разработанной модели защищенной информационной системы, экспериментально подтверждена сходимость разработанного алгоритма к оптимальному решению.

Разработаны формализованные методики определения множества и характеристик угроз информации, а также множества механизмов защиты, включаемых в модель конкретной информационной системы, основанные на результатах выполненной классификации известных угроз и типовых механизмов, результатах анализа статистических данных об инцидентах с безопасностью в распределенных вычислительных сетях и разработанной иерархии выбранных классификационных признаков угроз информации.

Обоснованы и выбраны принципы организации программного комплекса средств автоматизации проектирования систем защиты информации. Разработанные в диссертации модели, методы и алгоритмы использованы при создании программного комплекса средств автоматизации проектирования систем защиты информации, обрабатываемой в информационных системах с открытой архитектурой.

Полученные в процессе работы над диссертацией результаты апробированы при решении задач построения систем защиты информации, обрабатываемых в информационной системах различного типа, практически подтверждена их достоверность и эффективность.

Ключевые слова: математическая модель, логико-вероятностный метод, угроза информации, механизм защиты информации, оптимальная система защиты информации.

Дисертація є рукописом.

Робота виконана у Фізико-технічному інституті Національного технічного університету України "Київський політехнічний інститут" (НТУУ "КПІ") на кафедрі інформаційної безпеки.

Науковий керівник - доктор технічних наук, професор Новіков Олексій Миколайович, НТУУ "КПІ", завідувач кафедри інформаційної безпеки.

Офіційні опоненти: доктор технічних наук, професор Горбенко Іван Дмитрович, Харківський національний університет радіоелектроніки, завідувач кафедри безпеки інформаційних технологій;

кандидат фізико-математичних наук Антонюк Анатолій Олександрович, Інститут програмних систем НАН України, старший науковий співробітник.

Провідна установа - Інститут проблем реєстрації інформації НАН України, відділ цифрових моделюючих систем.

Захист відбудеться " 17 " лютого 2003 р. о 15 годині на засіданні спеціалізованої вченої ради Д 26.002.03 НТУУ "КПІ" за адресою : 03056, Київ-56, пр. Перемоги, 37, корпус №. 35, аудиторія № 006.

З дисертацією можна ознайомитися в науково-технічній бібліотеці НТУУ "КПІ" за адресою: 03056, Київ-56, пр. Перемоги, 37.

Автореферат розісланий " 14 " січня 2003 р.

Вчений секретар спеціалізованої вченої ради Д 26.002.03, доктор технічних наук Коваленко І.І.

ЗАГАЛЬНА ХАРАКТЕРИСТИКА РОБОТИ

Актуальність теми. Розвиток сучасного суспільства неможливий без розширення використання систем інформаційного забезпечення (інформаційних систем, ІС), основу яких складають засоби обчислювальної техніки, засоби телекомунікації і мережеві комп'ютерні технології. Розширення використання ІС, у свою чергу, вимагає їхнього подальшого вдосконалення в частині забезпечення інформаційної безпеки, найважливішою складовою якої є забезпечення захисту інформації від несанкціонованого доступу. Однієї з найбільш складних задач, що приходиться розв'язувати розробникам систем захисту інформації (СЗІ) в ІС - забезпечення достатнього рівня захищеності інформації при обмежених ресурсах, виділених на створення СЗІ.

Одним із головних напрямків розвитку інформаційних технологій, що визначає ефективність сучасних ІС, є технологія систем з відкритою архітектурою. Суть даної технології полягає в забезпеченні можливості перенесення прикладних систем між різними платформами (мобільності застосувань) і взаємодії між ними (інтероперабельності) завдяки декомпозиції правил взаємодії між компонентами на набір чітко специфікованих протоколів. На жаль, ці корисні властивості ІС з відкритою архітектурою несуть у собі джерело додаткових уразливостей, що істотно знижують захищеність оброблюваної інформації. На сьогоднішній день проблема захисту інформації в ІС з відкритою архітектурою далека від остаточного розв'язання. По-перше, у стандартах і нормативних документах, що регламентують порядок захисту інформації в ІС, відсутні методики побудови (синтезу) СЗІ (тобто, визначення необхідного набору механізмів захисту, який забезпечує достатній рівень захищеності інформації). По-друге, відомі математичні моделі захищених ІС в недостатній мірі враховують особливості ІС з відкритою архітектурою, а також їхнє функціонування в умовах ризику, при невідомих імовірностях реалізації загроз інформації і різних величинах збитку від реалізації загроз.

Врахувати стохастичний характер поведінки систем, що моделюються, дозволяють логіко-імовірнісні методи (ЛІМ). Результати успішного використання цих методів при розв'язанні задач забезпечення безпеки функціонування структурно-складних систем (ССС) різного виду приведені в роботах О.С.Можаєва, І.А.Рябініна, Г.М.Черкесова та ін. Однак, їхнє застосування при побудові СЗІ для ІС з відкритою архітектурою в умовах обмеженості виділених ресурсів вимагає дослідження особливостей таких ІС і розробки, з урахуванням виявлених особливостей, відповідних моделей, методів і алгоритмів. Усе це зумовлює актуальність задач, розв'язанню яких присвячена дана робота.

Зв'язок роботи з науковими програмами, планами, темами. Дисертаційна робота виконана відповідно до тематики науково-дослідних робіт, що виконуються у Фізико-технічному інституті НТУУ "КПІ" та є логічним продовженням досліджень, що проводилися здобувачем в ТОВ "Інститут комп'ютерних технологій" під час виконання науково-дослідних робіт "Розробка пакета нормативної документації по захисту інформації в засобах обчислювальної техніки від несанкціонованого доступу" № держреєстрації 0197U016364 та "Розробка класифікатора автоматизованих систем і стандартних функціональних класів (профілів) захищеності інформації" № держреєстрації 0197U016390.

Мета і задачі дослідження. Мета дисертаційної роботи полягає у розробці і практичній реалізації сукупності моделей, методів і алгоритмів, що можуть бути застосовані при розв'язанні задачі побудови системи захисту інформації, оброблюваної в ІС з відкритою архітектурою, базуються на методах логіко-імовірнісної теорії безпеки ССС, нелінійної цілочисельної оптимізації і теорії прийняття рішень та враховують функціонування ІС в умовах ризику, при невідомих законах і числових характеристиках розподілу спроб реалізації загроз. алгоритм інформація безпека архітектура

Для досягнення поставленої мети в роботі ставляться і розв'язуються наступні задачі:

аналіз відомих вимог і існуючих підходів до розв'язання задачі побудови СЗІ в ІС з відкритою архітектурою, особливостей математичних моделей, що використовуються при цьому;

аналіз задачі побудови СЗІ і розробки необхідних для цього математичних моделей як окремого випадку задачі забезпечення безпеки ССС з використанням ЛІМ;

постановка задачі розробки моделі захищеної ІС з відкритою архітектурою і задачі побудови оптимальної системи захисту інформації, оброблюваної в ІС;

дослідження особливостей ІС з відкритою архітектурою з погляду забезпечення захисту інформації, визначення структури і набору параметрів розроблювальної математичної моделі;

розробка, з використанням ЛІМ, математичної моделі захищеної ІС з відкритою архітектурою;

розробка алгоритму розв'язання задачі побудови оптимальної СЗІ з використанням розробленої моделі і врахуванням обмежень на сумарну вартість засобів захисту;

розробка формалізованих методик визначення значень параметрів математичної моделі захищеної ІС з відкритою архітектурою довільної структури;

обґрунтування, вибір принципів побудови і реалізація програмного комплексу засобів автоматизації проектування СЗІ в ІС з відкритою архітектурою.

Методи дослідження. При виконанні роботи використовувалися методи теорії ймовірностей і математичної статистики, алгебри логіки, теорії множин, теорії графів, теорії прийняття рішень, нелінійної цілочисельної оптимізації.

Наукова новизна отриманих результатів полягає у наступному:

Запропоновано підхід до розв'язання задачі побудови системи захисту інформації, оброблюваної в ІС з відкритою архітектурою, з використанням ЛІМ.

Розроблено, з використанням ЛІМ, математичну модель захищеної ІС з відкритою архітектурою, що дозволяє оцінювати рівень захищеності оброблюваної інформації.

Розроблено алгоритм розв'язання задачі побудови оптимальної системи захисту інформації, оброблюваної в ІС з відкритою архітектурою, з використанням розробленої моделі і врахуванням обмежень на сумарну вартість засобів захисту.

Розроблено формалізовані методики визначення значень параметрів моделей захищених ІС з відкритою архітектурою довільної структури.

Практичне значення отриманих результатів полягає в тому, що розроблені моделі, алгоритми і засоби автоматизації дозволяють у вигляді завершеної технології розв'язувати важливу практичну задачу побудови системи захисту інформації, оброблюваної в ІС з відкритою архітектурою довільної структури, від заданої множини загроз.

Результати дисертаційної роботи використані в системах захисту інформації, оброблюваної в ІС, що розроблені ТОВ "Інститут комп'ютерних технологій" та використовуються в ЗАТ "Утел", Українському процесинговому центрі і ряді інших організацій, а також впроваджені в навчальний процес у Фізико-технічному інституті НТУУ "КПІ".

Особистий внесок здобувача. У роботах, що написані в співавторстві, автору належать: [1,8] - обґрунтування підходу і розробка логіко-імовірнісних моделей функціонування захищеної ІС з відкритою архітектурою; [2] - дослідження особливостей реалізації загроз інформації і функціонування механізмів захисту інформації, оброблюваної в ІС з відкритою архітектурою; [3] - обґрунтування підходу до оцінки ефективності дій порушника в ІС з відкритою архітектурою і розробка відповідних методик; [4] - обґрунтування підходу до побудови оптимальної СЗІ і розробка алгоритму визначення множини механізмів захисту, що забезпечують оптимальний рівень захищеності інформації; [7] - обґрунтування підходу і розробка ієрархії характеристик загроз інформації для оцінки збитку, що наноситься оброблюваної в ІС інформації; [5,6,9-11] - дослідження і обґрунтування вибору множини механізмів захисту для реалізації в СЗІ різних ІС.

Апробація результатів дисертації. Основні теоретичні положення дисертаційної роботи і отримані з їхнім використанням практичні результати доповідалися і обговорювалися на I Міжнародній науково-практичній конференції "Безпека інформації в комп'ютерних системах і зв'язку" (м. Гурзуф, 1995 р.), II Міжнародній науково-практичній конференції "Безпека інформації в комп'ютерних системах і зв'язку" (сел. Партенит, 1996 р.), другій науково-технічній конференції "Правове, нормативне і метрологічне забезпечення системи захисту інформації в Україні" (м. Київ, 2000 р.), третій науково-технічній конференції "Правове, нормативне і метрологічне забезпечення системи захисту інформації в Україні" (м. Київ, 2001 р.), п'ятій міжнародній науково-практичній конференції "Безпека інформації в інформаційно-телекомунікаційних системах" (м. Київ, 2002 р.), науковому семінарі у Фізико-технічному інституті НТУУ "КПІ", науковому семінарі у Інституті прикладного системного аналізу НТУУ "КПІ".

Публікації. Основні теоретичні і практичні результати дисертаційної роботи викладені в 6 статтях у провідних фахових виданнях, 5 тезах доповідей на конференціях.

Структура і обсяг дисертації. Дисертаційна робота складається із вступу, п'яти розділів з висновками, загальних висновків, списку використаних джерел з 108 найменувань і 7 додатків. Робота викладена на 310 сторінках, основний зміст на 136 сторінках, містить 26 рисунків, 6 таблиць. У додатках приведені допоміжні статистичні дані та результати їхнього дослідження, вихідні тексти програмної реалізації розробленого алгоритму і результати його обчислювального дослідження, документи про впровадження результатів роботи.

ОСНОВНИЙ ЗМІСТ РОБОТИ

У вступі надано загальну характеристику роботи, обґрунтовано актуальність проведених досліджень, сформульовано мету, намічено коло задач, що підлягають розв'язанню, визначено наукову новизну та практичне значення отриманих результатів.

У першому розділі здійснено аналіз особливостей задачі побудови СЗІ в ІС з відкритою архітектурою, обґрунтовано важливість розробки і практичної реалізації сукупності придатних для її розв'язання моделей, методів і алгоритмів, здійснено постановку задач, що потребують розв'язання.

Аналіз вимог міжнародних стандартів, які регламентують побудову ІС з відкритою архітектурою, показав, що як елементи таких систем розглядаються програмні та апаратні засоби, що реалізують протоколи взаємодії різних рівнів. Аналіз особливостей ІС з відкритою архітектурою і багаторівневим стеком протоколів взаємодії B₁,...,B_n з погляду забезпечення захищеності інформації показав наступне:

у зв'язку з повною відкритістю описів міжрівневих протоколів взаємодії В_і порушник має можливість створити і впровадити в ІС засоби, що реалізують протокол будь-якого рівня;

оскільки на і-му рівні стека протоколів В_і обробляється вся інформація, що породжена на більш високих рівнях B_і+1,...,B_n, а сам протокол В_і залежить від протоколів усіх нижчих рівнів B₁,...,B_і-1, загрози інформації, що реалізовані на більш низьких рівнях стека протоколів, мають більш серйозні наслідки.

Аналіз діючої в Україні нормативної бази в області технічного захисту інформації в ІС, а також аналогічних міжнародних документів, показав, що при розв'язанні задачі побудови СЗІ ІС має розглядатися як функціонуюча в умовах ризику. При цьому можуть бути невідомі як закони і характеристики розподілу спроб реалізації загроз інформації, так і величини потенційного збитку від їхньої реалізації. Процес побудови СЗІ являє собою процес вибору і реалізації засобів захисту з метою зниження ризику до прийнятного рівня та з урахуванням адекватності вартості засобів захисту величині потенційного збитку.

Аналіз особливостей приведених у літературі, зокрема, у працях Л.Д. Хоффмана, В.О Герасименка, Д.П. Зегжди та ін., описів відомих моделей функціонування СЗІ показав, що найбільш повно факт функціонування ІС в умовах ризику враховується в так званій моделі системи безпеки з повним перекриттям. У цієї моделі розглядаються відносини між множиною O об'єктів ІС, що захищаються, множиною T загроз і множиною M механізмів захисту. Основною характеристикою загроз є ймовірність їхньої реалізації. Вважається, що несанкціонований доступ шляхом реалізації загроз із множини T до кожного об'єкта з множини O пов'язаний з деякою величиною збитку, причому цей збиток може (чи не може) бути визначений кількісно. Складність використання даної моделі полягає в тому, що вона не визначає порядок запобігання загроз інформації механізмами захисту, а визначає тільки загальний підхід до синтезу і аналізу СЗІ.

Аналіз літератури, присвяченої забезпеченню безпеки ССС, зокрема, праць В.В.Горшкова, В.А.Заславського, О.С.Можаєва, І.А.Рябініна, Г.М.Черкесова та ін., показав, що при цьому широко використовуються ЛІМ. У цих методах як параметри логічних моделей поведінки ССС використовуються булєві змінні, що характеризують факт наявності відповідних ініціюючих умов (ІУ) порушення безпеки і факт працездатності елементів ССС. У процесі переходу до ймовірнісної моделі ці змінні замінюються відповідними ймовірностями виникнення ІУ та ймовірностями збереження працездатності елементів ССС. На підставі аналізу теоретичних основ ЛІМ був зроблений висновок про те, що з їхнім використанням можна забезпечити розв'язання задачі розробки необхідної для побудови СЗІ моделі захищеної ІС.

З урахуванням проведеного аналізу, сформульовано мету і задачі дисертаційної роботи. Здійснено постановку задачі розробки моделі захищеної ІС з відкритою архітектурою. Модель має бути розроблена з використанням ЛІМ та будуватися на основі моделі системи безпеки з повним перекриттям. Вона має дозволяти оцінювати рівень захищеності множини O об'єктів ІС, що забезпечується обраною множиною механізмів захисту M, від заданої множини загроз T. З урахуванням вимоги адекватності вартості засобів захисту величині потенційного збитку, виконано постановку задачі побудови оптимальної СЗІ і розробки алгоритму її розв'язання. Оптимальна СЗІ повинна включати засоби захисту, що реалізують множину механізмів захисту M_o та забезпечують максимальний рівень захищеності множини O об'єктів ІС від заданої множини загроз T при дотриманні обмеження C_o на сумарну вартість засобів захисту.

В другому розділі досліджено умови, особливості і закономірності функціонування ІС з відкритою архітектурою з погляду забезпечення захисту інформації, визначено характеристику, що моделюється, а також структуру і набір параметрів розроблюваної математичної моделі захищеної ІС.

Для визначення структури моделі було досліджено особливості реалізації загроз і функціонування механізмів захисту в ІС з відкритою архітектурою. З використанням схем функціональної цілісності (СФЦ) були отримані логічні вирази, що описують розвиток небезпечного стану (НС) при реалізації загроз інформації і їхньому запобіганні механізмами захисту:

(1)

(2)

де F_Nз -логічна функція, що описує умови збереження захищеності інформації при її обробці в ІС з N-рівневим стеком протоколів; X_i - логічна змінна, що відображає факт працездатності засобів ІС, що реалізують протокол i-го рівня; Y_i - логічна змінна (Y'_i - її інверсія), що відображає факт наявності спроби реалізації загрози інформації на i-му рівні стека протоколів; Z_i - логічна змінна (Z'_i - її інверсія), що відображає факт працездатності механізму захисту інформації на i-му рівні стека протоколів; F_Nн - логічна функція, що описує умови порушення захищеності інформації при її обробці в ІС з N-рівневим стеком протоколів.

Аналіз отриманих виразів показав, що в розроблюваній моделі повинна бути врахована наявність альтернативних шляхів розвитку НС при реалізації загроз інформації.

З використанням (1) було отримано вираз для визначення показників значущості механізмів захисту, реалізованих на різних рівнях стека протоколів ІС. Відповідно до правил імовірнісної логіки, показник значущості був визначений як імовірність істинності булєвої різниці логічної функції (1) по логічній змінній Z_i. Аналіз отриманого виразу показав, що, при рівних імовірностях працездатності механізмів захисту, реалізованих на різних рівнях стека протоколів , завжди виконується умова:

(3)

тобто, показники значущості механізмів захисту, реалізованих на різних рівнях стека протоколів, ранжовані по убуванню від більш низького рівня стека протоколів до більш високого.

Для врахування функціонування ІС в умовах ризику як характеристику, що моделюється, запропоновано використовувати ймовірність збереження захищеності оброблюваної інформації, визначену як імовірність P запобігання множини загроз інформації T множиною механізмів захисту M.

Для забезпечення достовірності результатів моделювання поведінки ІС запропоновано як елементи множини об'єктів O вибрати такі, відносно яких може бути достовірно оцінена ймовірність реалізації загроз. Результати дослідження статистичних даних про реалізацію загроз інформації в розподілених обчислювальних мережах довели, що вимогам достовірності в цілому відповідає оцінка відносної частоти спроб реалізації загроз інформації на різних рівнях стека протоколів взаємодії ІС. На підставі цих результатів як елементи множини об'єктів O запропоновано розглядати інформаційні пакети, оброблювані на різних рівнях стека протоколів. Множину механізмів M запропоновано представляти в моделі у вигляді M={M_ij}, i {1,…,L},j{1,…,N},де M_ij - цілочисельний параметр, значення якого (0 чи 1) відображає факт наявності механізму захисту від і-ї загрози на j-му рівні стека протоколів, L- кількість виявлених загроз інформації, включених у множину загроз T, N- кількість рівнів стека протоколів ІС. Як характеристику механізмів захисту в модель запропоновано включити множину коефіцієнтів міцності механізмів K={K_ij}, де K_ij-коефіцієнт міцності механізму захисту від i-ї загрози на j-му рівні стека протоколів, що характеризує ступінь його надійності, тобто, ймовірність запобігання загрози при наявності механізму.

Для врахування функціонування ІС в умовах ризику характеристика загроз інформації повинна враховувати ймовірнісний характер спроб реалізації загроз і різну величину збитку від їхньої реалізації. Як таку характеристику запропоновано використовувати показник ефективності реалізації загрози. На підставі аналізу опублікованих у працях Б.Г.Волика і І.А.Рябініна, І.А.Ушакова та ін. підходів до визначення поняття ефективності зроблений висновок про те, що як модель дій порушника можна прийняти модель системи миттєвої дії з адитивними показниками ефективності окремих елементів. З урахуванням того, що як елементи множини об'єктів ІС, що захищаються, обрані інформаційні пакети, оброблювані на різних рівнях стека протоколів, для оцінки показника ефективності реалізації загроз запропоновано використовувати вираз:

(4)

де Q_ij - показник, що характеризує частку збитку, внесену -ю загрозою інформації, реалізованою на j-му рівні стека протоколів, у сумарний ефект дій порушника; R_ij - показник, що характеризує імовірність реалізації -ї загрози інформації на j-му рівні стека протоколів. Показник ефективності реалізації загрози інформації у вигляді (4) являє собою показник оцінки ризику, пов'язаного з реалізацією даної загрози. При цьому множина загроз T у моделі відображається множиною показників ефективності E їхньої реалізації, E={E_ij}, i {1,…,L}, j{1,…,N}. Таким чином, розроблювана математична модель забезпечує можливість оцінки ймовірності збереження захищеності інформації P як функції множини загроз T з показниками ефективності їхньої реалізації E та множини реалізованих у СЗІ механізмів захисту M з коефіцієнтами міцності K:

. (5)

У третьому розділі здійснено розробку і дослідження математичної моделі захищеної ІС з відкритою архітектурою довільної структури.

З цією метою виконані усі визначені в класичному ЛІМ етапи побудови моделі: змістовний опис поведінки ІС; опис сценарію поведінки ІС мовою продукцій; побудова, з використанням СФЦ, граф-схеми розвитку НС у ІС; визначення логічної функції небезпеки системи (ФНС); перетворення ФНС у форму, що дозволяє виконувати безпосередні розрахунки ймовірнісних характеристик. Зазначені етапи ЛІМ були виконані для ІС з дворівневим і трирівневим стеком протоколів при спробі реалізації однієї загрози інформації. Отримані результати були узагальнені на випадок ІС з довільним стеком протоколів для довільної множини загроз.

Для ІС з дворівневим стеком протоколів був отриманий наступний вираз логічної ФНС:

(6)

де X₁ - змінна (X₁'- її інверсія), що відображає факт наявності спроби реалізації загрози на нижньому рівні стека протоколів (0 - немає загрози, 1- є загроза); X₂ - змінна (X₂'- її інверсія), що відображає факт наявності спроби реалізації загрози на верхньому рівні стека протоколів; Y₁ - змінна (Y₁'- її інверсія), що відображає факт наявності механізму захисту на нижньому рівні стека протоколів (0 - немає, 1- є); Y₂ - змінна (Y₂'- її інверсія), що відображає факт наявності механізму захисту на верхньому рівні стека протоколів.

Оскільки вираз (6) являє собою диз'юнктивну нормальну форму з взаємно ортогональними членами, на його основі з урахуванням набору параметрів розроблюваної моделі був отриманий вираз для функції оцінки ймовірності порушення захищеності інформації :

(7)

і вираз для ймовірнісної функції оцінки захищеності інформації:

(8)

де E₁- показник ефективності реалізації загрози інформації на нижньому рівні стека протоколів; E₂- показник ефективності реалізації загрози інформації на верхньому рівні стека протоколів; M₁- параметр, значення якого (0 чи 1) відображає наявність механізму захисту на нижньому рівні стека протоколів; K₁- коефіцієнт міцності механізму захисту, реалізованого на нижньому рівні стека протоколів; M₂- параметр, значення якого відображає наявність механізму захисту, реалізованого на верхньому рівні стека протоколів; K₂- коефіцієнт міцності механізму захисту, реалізованого на верхньому рівні стека протоколів.

Для ІС з трирівневим стеком протоколів були отримані такі вирази:

(9)

(10)

(11)

З урахуванням рекурентного характеру виразів (7) і (10), (8) і (11), їх було узагальнено на випадок ІС з N рівнями стека протоколів:

(12)

(13)

де N- кількість рівнів стека протоколів ІС; E_j - показник ефективності реалізації загрози інформації на j-му рівні стека протоколів; M_j - параметр, значення якого (0 чи 1) відображає наявність механізму захисту, реалізованого на j-му рівні стека протоколів; K_j - коефіцієнт міцності механізму захисту, реалізованого на j-му рівні стека протоколів.

Для ІС з N рівнями стека протоколів і множини T, що містить L загроз інформації, був отриманий наступний вираз:

 (14)

де L- кількість загроз інформації, включених до множини загроз T; N- кількість рівнів стека протоколів ІС; E_ij - показник ефективності реалізації і-ї загрози на j-му рівні стека протоколів; M_ij- параметр, значення якого (0 чи 1) відображає наявність механізму захисту від і-ї загрози, реалізованого на j-му рівні стека протоколів; K_ij - коефіцієнт міцності механізму захисту від і-ї загрози, реалізованого на j-му рівні стека протоколів.

Для перевірки конструктивності розробленої моделі був досліджений вплив на ймовірність збереження захищеності інформації наявності чи відсутності механізмів захисту інформації M_іj, реалізованих на різних рівнях стека протоколів ІС. При цьому враховувалося, що поведінка функції (14) цілком визначається характером і поведінкою функцій-співмножників (13).

Для дослідження залежності функцій-співмножників (13) від M_j використовувалася доведена в роботах З.Бірнбаума, І.А.Рябініна і Г.Н.Черкесова еквівалентність виразу для визначення показника значущості механізму захисту як імовірності істинності булєвої різниці функції працездатності по відповідній змінній, наступному виразу:

(15)

де .

З урахуванням (13):

(16)

Дослідження (16) при різних значеннях показників ефективності реалізації загроз інформації E_j і різних значеннях M_j показали, що, незалежно від закону зміни E_j, найбільшу значущість мають механізми M_j, що реалізовані на більш низьких рівнях стека протоколів. Цей результат співпадає з виявленим ранжуванням показників значущості механізмів захисту, реалізованих на різних рівнях стека протоколів ІС. На підставі отриманих результатів був зроблений висновок про конструктивність розробленої моделі і правильне відображення в ній виявлених умов і закономірностей функціонування ІС з відкритою архітектурою

У четвертому розділі сформульовано задачу математичного програмування, що підлягає розв'язанню при побудові оптимальної СЗІ, розроблено алгоритм її розв'язання, здійснено обчислювальне дослідження розробленого алгоритму.

При розв'язанні задачі побудови оптимальної СЗІ як цільову функцію (ЦФ) запропоновано використовувати отриманий у вигляді (14) вираз для оцінки ймовірності збереження захищеності інформації. Обмеження на вартість засобів захисту запропоновано представити в такий спосіб:

(17)

де C(M)- вартість реалізації множини механізмів захисту M={M_ij}, i {1,…, L}, j {1,…, N}; L- кількість загроз інформації, включених до множини загроз T; N- кількість рівнів стека протоколів ІС; M_ij - параметр, значення якого (0 чи 1) відображає факт наявності/відсутності механізму захисту від і-ї загрози на j-му рівні стека протоколів; C_ij - вартість реалізації механізму захисту від і-ї загрози на j-му рівні стека протоколів; C_o- обмеження на сумарну вартість засобів захисту.

Для обґрунтування вибору методу оптимізації було досліджено поведінку частинних похідних в області M_ij [0,1], E_ij [0,1], K_ij [0,1]. Дослідження показало, що в цій області ЦФ (14) не має локальних екстремумів, отже, для оптимізації може бути застосований градієнтний метод.

Для розв'язання задачі побудови оптимальної СЗІ сформульовано наступну задачу нелінійного цілочисельного програмування з одним обмеженням:

(18)

(19)

(20)

При розв'язанні сформульованої задачі математичного програмування з використанням градієнтного методу як напрямок руху на черговій ітерації використовується запропонований в роботах М.С.Фінкельштейна, В.Л.Волковича, А.Ф.Волошина, В.А.Заславського і І.А.Ушакова напрямок, що відповідає найбільшій питомій значущості за критерієм витрат. Цей напрямок являє собою напрямок _ij, що відповідає максимальному значенню P(M_ij)/C(M_ij), де P(M_ij)- збільшення P(M) при збільшенні значення M_ij на величину кроку, а C(M_ij)- збільшення C(M) при збільшенні значення M_ij на величину кроку, яка, з урахуванням цілочисельності M_ij, дорівнює 1.

Розроблено наступний алгоритм розв'язання задачі (18) - (20).

Крок 0. Вважаємо , , , . На підставі характеристик обраних механізмів визначаємо множину номерів рівнів стека протоколів, на яких вони можуть бути застосовані , задаємо , і переходимо до кроку 1.

Крок 1. Якщо

J_i^(s) = , i I, то закінчуємо обчислення, M^(s)- оптимальне рішення.

Крок 2. Обчислюємо



і визначаємо

.

Крок 3. Якщо

^(s+1) = 0, то закінчуємо обчислення, M^(s)- оптимальне рішення.

Крок 4. Вважаємо

M_nm^(s+1) = M_nm^(s)+1

M_ij^(s+1) = M_ij^(s),, i I, in , j J

M_nj^(s+1) =M_nj^(s), j {1,…,m-1}

M_nj^(s+1) =0, j {m+1,…, sup J_n^(s) }

J_i^{(s+1) =} J_i^(s), i I, in,

J_n^(s+1) = J_n^(s) \ {m, …, sup J_n^(s)}

і переходимо до кроку 5.

Крок 5. Якщо

C(M^(s)) C₀ < C(M^(s+1)),

то закінчуємо обчислення, M^(s)- оптимальне рішення. У протилежному випадку вважаємо s=s+1 і переходимо до кроку 1.

Крок 6. Закінчення алгоритму.

Отримане в результаті виконання даної процедури значення M^(s) визначає множину механізмів захисту M_o, яку необхідно реалізувати в ІС для забезпечення максимальної ймовірності збереження захищеності інформації при дотриманні обмеження C_o на загальну вартість засобів захисту.

У розробленому алгоритмі, завдяки врахуванню вигляду ЦФ (14) і обмежень (17), вдалося істотно зменшити обсяг обчислень, необхідних для визначення значень _ij на черговій ітерації. Крім цього, для врахування ранжування показників значущості механізмів захисту, реалізованих на різних рівнях стека протоколів, була здійснена модифікація градієнтного методу, яка полягає в наступному. Якщо на черговій ітерації в рішення M^(s+1) включений механізм M_nm^(s+1), реалізований на більш низькому рівні стека протоколів m, то з рішення M^(s+1) вилучаються механізми, що реалізовані на більш високих рівнях стека протоколів, тобто M_nj^(s+1)=0, j{m+1,…,sup J_n^(s)}. Подальша оптимізація по компонентах M^(s+1), що відповідають вилученим механізмам, не виконується.

Результати обчислювального дослідження розробленого алгоритму, що було проведено для різних варіантів вхідних даних, дозволили зробити висновок про його стійку збіжність. Крім цього, експериментально підтверджена ефективність здійсненої модифікації градієнтного методу, що дозволила знизити обсяг обчислень більш ніж на 10% та знаходити рішення, що забезпечують більш ніж на 6% високу ймовірність збереження захищеності інформації.

У п'ятому розділі розроблено формалізовані методики визначення значень параметрів математичної моделі захищеної ІС довільної структури, обґрунтовано принципи побудови програмного комплексу засобів автоматизації проектування СЗІ, здійснено оцінку його ефективності і наведено приклади використання при розв'язанні практичних задач.

На підставі аналізу класифікаційних ознак загроз інформації обрано набір ознак (S_i,O_i,C_i,j), необхідний для визначення значень параметрів моделі захищеної ІС. Цей набір включає: S_i - тип i-ї загрози, обумовлений метою впливу (порушення конфіденційності, цілісності чи доступності), O_i- інформаційний об'єкт ІС, на який впливає і-а загроза, C_i - компонент ІС, у якому реалізується загроза, j- номер рівня стека протоколів. На підставі результатів класифікації за даними ознакам відомих загроз інформації і типових механізмів захисту розроблені формалізовані методики визначення множини загроз інформації T та множини механізмів захисту M, що включаються у модель захищеної ІС довільної структури.

На підставі аналізу статистичних даних про інциденти з безпекою в розподілених обчислювальних мережах і запропонованої ієрархії класифікаційних ознак загроз інформації розроблено методику оцінки значень множини E показників ефективності реалізації загроз. При цьому був використаний викладений в роботах Т.Сааті метод аналізу ієрархій.

Обґрунтовано і обрано принципи побудови і архітектуру програмного комплексу засобів автоматизації проектування СЗІ, в якому були реалізовані розроблені алгоритм та методики. До складу комплексу запропоновано включити: модуль керування, модуль опису структури ІС, модуль ідентифікації загроз, модуль ідентифікації механізмів та засобів захисту, модуль моделювання і аналізу, базу даних (БД) структурних компонентів ІС, БД загроз інформації, БД механізмів захисту, БД засобів захисту, БД моделей. На прикладі побудови СЗІ для системи електронних платежів "Клієнт-Банк" показано високу ефективність застосування розробленого комплексу, що дозволяє за рахунок автоматизації основних етапів проектування в 2-5 разів знизити витрати праці розробників.

ВИСНОВКИ

У результаті виконання дисертаційної роботи отримані наступні результати:

Сформульовано задачу розробки і практичної реалізації сукупності моделей, методів і алгоритмів, що можуть бути застосовані для розв'язання задачі побудови системи захисту інформації, оброблюваної в ІС з відкритою архітектурою. На основі аналізу показано, що при розв'язанні задачі побудови СЗІ ІС повинна розглядатися як функціонуюча в умовах ризику, при невідомих законах і числових характеристиках розподілу спроб реалізації загроз інформації, а також потребуючих оцінки величинах потенційного збитку від реалізації різних загроз. Обґрунтовано можливість і виконано постановку задачі розробки, з використанням ЛІМ, моделі захищеної ІС з відкритою архітектурою. Виконано постановку задачі побудови оптимальної СЗІ з урахуванням обмежень на сумарну вартість засобів захисту.

Досліджено особливості ІС з відкритою архітектурою з погляду забезпечення захисту інформації, виявлено закономірності функціонування таких систем, яки необхідно врахувати в моделі, що розробляється: множина альтернативних шляхів розвитку НС при реалізації загроз інформації і ранжування показників значущості механізмів захисту, реалізованих на різних рівнях стека протоколів. З урахуванням виявлених закономірностей і умов функціонування ІС визначено структуру і набір параметрів моделі. Обґрунтовано можливість, на відміну від класичного ЛІМ, відображення в моделі множини загроз інформації не ймовірностями, а показниками ефективності реалізації, що характеризують ступінь ризику, пов'язаного з реалізацією загроз на різних рівнях стека протоколів

З використанням ЛІМ розроблено математичну модель захищеної ІС, що дозволяє оцінювати ймовірність збереження захищеності оброблюваної інформації при впливі на неї довільної множини загроз та відрізняється врахуванням умов і закономірностей функціонування ІС з відкритою архітектурою.

Розроблено алгоритм розв'язання задачі побудови оптимальної СЗІ з урахуванням обмежень на вартість засобів захисту на основі модифікованого градієнтного методу, у якому на кожній ітерації як напрямок руху приймається напрямок, що відповідає найбільшій питомій значущості за критерієм витрат і, для врахування закономірностей функціонування механізмів захисту, виконується відповідне коректування вектора змінюваних параметрів. Модифікація методу дозволила знизити обсяг обчислень більш ніж на 10%, а також знаходити рішення, що забезпечують більш ніж на 6% високу ймовірність збереження захищеності інформації.

Розроблено формалізовані методики визначення множини і характеристик загроз інформації та множини механізмів захисту, що включаються в модель захищеної ІС довільної структури, які базуються на результатах здійсненої класифікації відомих загроз інформації і типових механізмів захисту, результатах аналізу статистичних даних про інциденти з безпекою в розподілених обчислювальних мережах і розробленій ієрархії класифікаційних ознак загроз інформації.

Обґрунтовано і обрано принципи побудови і архітектуру програмного комплексу засобів автоматизації проектування СЗІ, що забезпечуює, за рахунок автоматизації основних етапів проектування, зниження витрат праці розробників у 2-5 разів.

Розроблені в дисертації моделі, методи і алгоритми були використані при створенні програмного комплексу засобів автоматизації проектування систем захисту інформації, оброблюваної в ІС з відкритою архітектурою. Даний комплекс засобів автоматизації впроваджений у навчальний процес у Фізико-технічному інституті НТУУ КПІ. Спроектовані з використанням розробленого комплексу системи захисту інформації впроваджені і успішно експлуатуються в ряді державних і комерційних установ України.

СПИСОК ОПУБЛІКОВАНИХ ПРАЦЬ по темі дисертації

Новиков A., Тимошенко A. Построение логико-вероятностной модели защищенной компьютерной системы // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. - 2001. - Вип. 3. - с. 101-105.

Здобувачем обґрунтовано підхід і розроблені логіко-імовірнісні моделі функціонування захищеної ІС з відкритою архітектурою.

Новіков О.М., Тимошенко А.О. Логіко-функціональні моделі безпеки інформації в інформаційно-обчислювальних системах з відкритою архітектурою // Наукові вісті Національного технічного університету України “Київський політехнічний інститут”. - 2002.- № 2. - с.40-46.

Здобувачем досліджено особливості реалізації загроз інформації і функціонування механізмів захисту інформації, оброблюваної в ІС з відкритою архітектурою.

Новиков А.Н., Тимошенко А.А. Оценка эффективности действий злоумышленника при реализации угроз информации в распределенных компьютерных системах с открытой архитектурой // Радиотехника. Всеукраинский межведомственный научно-технический сборник. - 2002.- Вып. 126. - с. 31-41.

Здобувачем обґрунтовано підхід до оцінки ефективності дій порушника в ІС з відкритої архітектурою, розроблені відповідні методики.

Новиков A., Тимошенко A. Определение множества механизмов защиты, обеспечивающих оптимальный уровень защищенности информации // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. - 2002.- Вип. 4. - с. 98-105.

Здобувачем обґрунтовано підхід до побудови оптимальної СЗІ і розроблено алгоритм визначення множини механізмів захисту, що забезпечують оптимальний рівень захищеності інформації.

Тимошенко А. Комплекс средств защиты информации от несанкционированного доступа в распределенных вычислительных сетях // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. - 2000.- Вип. 2. - с. 204-208.

Здобувачем обґрунтовано функції та множину механізмів захисту для реалізації в комплексі захисту інформації від несанкціонованого доступу.

Кондратюк В., Тимошенко A. Принципы построения системы централизованного контроля и аудита средств защиты корпоративной компьютерной сети // Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. - 2001.- Вип. 3. - с. 105-110.

Здобувачем обґрунтовано функції та множину механізмів захисту для реалізації в системі централізованого контролю та аудиту засобів захисту корпоративної комп'ютерної мережі.

...