Д.т.н., проф. Пількевич І.А., к.т.н., доц. Лобанчикова Н.М.
Житомирський військовий інститут ім.
С. П. Корольова, Україна
МОДЕЛІ ОЦІНКИ МІЦНОСТІ ЗАХИСТУ
ІНФОРМАЦІЇ В ІНФОРМАЦІЙНИХ СИСТЕМАХ
Постановка задачі. Постійне впровадження новітніх
інформаційних технологій та модернізація інформаційної системи, що
використовується, як правило, підвищує ефективність та доходність підприємств.
В останні роки спостерігається основна тенденція в області інформаційних
технологій, яка пов’язана з тим, що все більше компаній завершують процес
побудови інформаційних систем (ІС) та переходять до етапу їх експлуатації.
Інформаційна
система – це складна, розподілена в просторі система, що складається з безлічі
зосереджених (локальних) підсистем (інформаційних вузлів), які мають у
розпорядженні програмно-апаратні засоби реалізації інформаційних технологій, та
безлічі засобів, що забезпечують з’єднання і взаємодію цих підсистем з метою
надання територіально видаленим користувачам широкого набору послуг у сфері
інформаційного обслуговування.
Наявність
засобів захисту інформації є характерною рисою будь-якою сучасної інформаційної
системи. Ефективність захисту інформації в інформаційних системах досягається
застосуванням засобів захисту інформації.
Метою
роботи є розробка засобів оцінки захищеності інформаційно-комунікаційних систем.
Об’єктом
досліджень є процес захисту інформаційно-комунікаційних систем.
Предметом
досліджень є моделі оцінки міцності захисту інформації в інформаційних системах.
Наукова
новизна одержаних результатів полягає в тому, що з метою оцінки захищеності
інформаційно-комунікаційних систем вперше сформульовані вербальні моделі оцінки
міцності захисту інформації в ІС.
Відомо [1], що під час оцінки міцності захисту
інформації в ІС використовується класичний підхід з врахуванням трьох моделей:
моделі загроз, моделі дій порушника та безпосередньо моделі захисту інформації.
Модель
загроз складається для
конкретної ІС та повинна враховувати особливості функціонування, склад ІС,
технологію обробки інформації та ін.
Для безпеки інформації мають бути визначені основні
види загроз, які можуть бути реалізовані стосовно ІС і повинні враховуватись у
моделі загроз (загрози об’єктивної природи, випадкові та навмисні загрози
суб’єктивної природи).
Тому при формуванні моделі загроз необхідно визначити
перелік суттєвих загроз, класифікувати їх за результатом впливу на інформацію
та описати методи і способи їхнього здійснення. Перелік загроз має бути
максимально повним і деталізованим. Для кожної з загроз необхідно визначити:
1) на порушення яких властивостей
інформації або ІС вона спрямована (рекомендується користуватись чотирма
основними градаціями – порушення конфіденційності, цілісності, доступності інформації,
а також порушення спостереженості та керованості ІС);
2) джерела виникнення (які суб’єкти ІС або
суб’єкти, зовнішні по відношенню до неї, можуть ініціювати загрозу);
3) можливі способи здійснення загроз.
Модель дій порушника – це абстрактний формалізований або неформалізований
опис дій порушника, який відображає його практичні та теоретичні можливості,
апріорні знання, час та місце дії та ін.
По відношенню до ІС порушники можуть бути внутрішніми
(з числа співробітників, користувачів системи) або зовнішніми (сторонні особи
або будь-які особи, що знаходяться за межами контрольованої зони).
Модель дії порушника повинна
визначати:
–
категорії осіб, з числа яких може бути порушник;
–
можливу мету порушника та її градацію за ступенями
небезпечності для ІС;
–
припущення про кваліфікацію порушника;
–
припущення про характер його дій.
Порушники можуть відноситися до таких категорій осіб:
адміністратори; користувачі; інші посадові особи організації; відвідувачі з
інших установ та організацій; технічний персонал; розробники ІС, програмного
забезпечення, комплексної системи захисту інформації; особи, що здійснюють
цілеспрямовану розвідку за межами контрольованої зони тощо.
Метою порушника може бути:
–
отримання необхідної інформації у потрібному обсязі
та асортименті;
–
наявність можливості вносити зміни в інформаційні
потоки відповідно до своїх намірів (інтересів, планів);
–
нанесення збитків шляхом знищення (пошкодження)
матеріальних та інформаційних цінностей.
Припущення про кваліфікацію порушника – це припущення
про рівень його можливостей та знань.
В літературі, наприклад у [2], рекомендовано
класифікувати порушників за рівнем можливостей, що надаються їм засобами ІС.
Класифікація є ієрархічною.
Перший рівень визначає найнижчий рівень можливостей ведення діалогу
з ІС – можливість запуску фіксованого набору завдань (програм), що реалізують
заздалегідь передбачені функції обробки інформації.
Другий рівень
визначається можливістю створення і запуску власних програм з новими функціями
обробки інформації.
Третій рівень
визначається можливістю управління функціонуванням ІС, тобто впливом на базове
програмне забезпечення системи і на склад, а також на конфігурацію її
устаткування.
Четвертий рівень
визначається повним обсягом можливостей осіб, що здійснюють проектування,
реалізацію, впровадження, супроводження програмно-апаратного забезпечення ІС,
аж до включення до складу ІС власних засобів з новими функціями обробки інформації.
За рівнем знань про ІС усіх порушників можна
класифікувати як таких, що володіють:
1) інформацією про функціональні особливості ІС,
основні закономірності формування в ній масивів даних та потоків запитів до
них, вміють користуватися штатними засобами;
2) високим рівнем знань та досвідом роботи з
технічними засобами системи та їхнього обслуговування;
3) високим рівнем знань у галузі обчислювальної
техніки та програмування, проектування та експлуатації ІС;
4) інформацією про функції та механізм дії
засобів захисту ІС.
За місцем здійснення дії порушення можуть
класифікуватись:
– без одержання доступу на контрольовану
територію підприємства ІС;
– з одержанням доступу на контрольовану
територію, але без доступу до технічних засобів ІС;
– з одержанням доступу до автоматизованих
робочих місць кінцевих (у тому числі віддалених) користувачів ІС;
– з одержанням доступу до місць накопичення і
зберігання даних (серверів, баз даних, архівів, автоматизованих робочих місць
відповідних адміністраторів тощо);
– з одержанням доступу до засобів
адміністрування ІС і засобів керування комплексної системи захисту інформації.
Оскільки час і місце проведення навмисного несанкціонованого
доступу (НСД) передбачити неможливо, тому доцільно відтворити модель поводження
потенційного порушника, вважаючи:
а) порушник може з’явитися в будь-який час і в будь-якому
місці периметра автоматизованої системи;
б) кваліфікація і поінформованість порушника може бути на
рівні розробника даної системи;
в) інформація, що постійно зберігається, про принципи
роботи системи, включаючи секретну, порушнику відома;
г) для досягнення своєї мети порушник вибере найбільш
слабку ланку в захисті;
д) порушник може бути не тільки стороння особа, але й
законний користувач системи;
е) порушник діє один.
Відповідно до пункту «а» необхідно будувати навколо
предмета захисту постійно діючий замкнутий контур (або оболонку) захисту.
Відповідно до пункту «б» властивості перешкоди, що
складають захист, повинні по можливості відповідати очікуваній кваліфікації та
небезпеці порушника.
Відповідно до пункту «в» для входу в систему законного
користувача необхідна змінна секретна інформація, відома тільки йому.
Відповідно до пункту «г» підсумкова міцність захисного контуру
визначається його найслабшою ланкою.
Відповідно до пункту «д» при наявності декількох законних
користувачів корисно забезпечити розмежування їхнього доступу до інформації
відповідно до повноважень і виконуваних функцій, реалізуючи в такий спосіб принцип
найменшої поінформованості кожного користувача з метою скорочення збитку у
випадку, якщо має місце безвідповідальність одного з них. Розрахунок міцності
захисту має виконуватися стосовно положення порушника: за межами контрольованої
території й усередині неї.
Відповідно до пункту «е» як вихідну передумову будемо
вважати, що порушник один.
Але для різних за призначенням і принципами
побудови ІС, видом і цінностями оброблюваної в них інформації найбільш «небезпечна»
модель поводження потенційного порушника також може бути різною. Для військових
систем це рівень розвідника-професіонала, для комерційних систем – рівень
кваліфікованого користувача і т.д. Зрозуміло, що для захисту інформації від
більш кваліфікованого та обізнаного порушника буде потрібно розглянути більшу
кількість можливих каналів НСД і застосувати більшу кількість засобів захисту з
високими показниками міцності.
На підставі викладеного для вибору вихідної моделі
поводження потенційного порушника доцільний диференційований підхід. Оскільки
кваліфікація порушника – поняття досить відносне і наближене, можна взяти за
основу чотири класи безпеки:
1-й клас – використовується для захисту життєво
важливої інформації, витік, руйнування або модифікація якої можуть призвести до
втрат для користувача. Міцність розрахована на порушника-професіонала.
2-й клас – використовується для захисту важливої
інформації при роботі декількох користувачів, що мають доступ до різних масивів
даних або формуючих свої файли, недоступні іншим користувачам. Міцність
розрахована на порушника високого класу, але непрофесіонала.
3-й клас – рекомендується для захисту щодо
важливої інформації, постійний НСД до якої шляхом її нагромадження може
привести до витоку і більш важливої інформації. Міцність захисту при цьому повинна
бути розрахована на відносно кваліфікованого порушника-непрофесіонала.
4-й клас – рекомендується для захисту іншої
інформації, що не представляє інтересу для серйозних порушників. Однак його необхідність
диктується дотриманням технологічної дисципліни обліку й обробки інформації
службового користування з метою захисту від НСД.
Реалізація перерахованих рівнів безпеки повинна
забезпечуватися набором відповідних засобів захисту, що перекривають визначену
кількість можливих каналів НСД відповідно до очікуваного класу потенційних
порушників.
Рівень
безпеки захисту усередині класу забезпечується кількісною оцінкою міцності
окремих засобів захисту та оцінкою міцності контуру захисту від навмисних
засобів захисту й оцінкою міцності контуру захисту від навмисного НСД.
Модель захисту інформації. У загальному випадку
найпростіша модель елементарного захисту будь-якого предмету може бути у
вигляді представленому на рис. 1.
Рис. 1. Модель
елементарного захисту
Предмет захисту розміщений у замкнутій і однорідній захисній оболонці, яку
названо перешкодою. Міцність захисту залежить від властивостей перешкоди.
Принципову роль грає здатність перешкоди протистояти спробам подолання її
порушником. При цьому вважається, що міцність створеної перешкоди достатня,
якщо вартість очікуваних витрат на її подолання потенційним порушником перевищує
вартість інформації, що захищається. Але можливий і інший підхід. Відомо, що
інформація згодом втрачає свою важливість і починає застарівати, а в окремих
випадках її ціна може упасти до нуля. Тоді за умову достатності захисту можна
прийняти перевищення витрат часу на подолання перешкоди порушником над часом
життя інформації.
Якщо позначити імовірність неподолання перешкоди порушником
через 
, час життя інформації через 
, очікуваний час подолання перешкоди порушником через 
, імовірність обходу перешкоди порушником через 
, то для випадку старіння інформації умову достатності
захисту одержимо у виді наступних відношень:
якщо 
і 
,
де 
відбиває необхідність
замикання перешкоди навколо предмету захисту;
якщо 
і 
,
де 
– імовірність подолання перешкоди
порушником за час, менший ніж 
.
Для реального випадку, коли 
і 
, міцність захисту можна представити у виді:
, (1)
де 
якщо 
; 
>0 якщо 
.
Слід зазначити, що (1) справедлива для випадку, коли
порушників двоє, тобто коли один переборює перешкоду, а другий її обходить.
Припустимо, що порушник буде один і йому відомі міцність
перешкоди та складність шляху її обходу. Оскільки одночасно по двох шляхах він
йти не зможе, він вибере один з них – найбільш простий, тобто по формулі «або».
Тоді формальний вираз міцності захисту в цілому для даного випадку буде:
. (2)
Вибір і визначення конкретної величини 
спочатку можна
проводити експертним шляхом на основі досвіду фахівців. Величина 
повинна приймати
значення від 0 до 1. При 
захист втрачає всякий зміст.
Можливо також, що в однієї перешкоди може бути декілька
шляхів обходу. Тоді (2) прийме вид:
, (3)
де 
– число шляхів обходу перешкоди.
Для випадку, коли порушників більше ніж один і вони діють одночасно (організована група) по кожному шляху, цей
вираз з урахуванням сумісності подій буде мати вигляд:
.
У тому випадку, коли інформація, що підлягає захисту, не
застаріває або періодично оновляється, тобто коли нерівність 
постійна або ж коли
забезпечити нерівність 
за будь-якими
причинами неможливо, звичайно застосовується постійно діюча перешкода, що
володіє властивостями виявлення і блокування доступу порушника до предмета або
об’єкта захисту. Як такий захист можуть бути застосовані людина або спеціальна
автоматизована система виявлення під керуванням людини.
Зрозуміло, що параметри цієї перешкоди будуть впливати на
її міцність.
Здатність перешкоди виявляти і блокувати НСД повинна враховуватися
при оцінці її міцності шляхом введення в (3) замість 
величини 
– імовірності
виявлення і блокування НСД.
Принцип роботи автоматизованої перешкоди заснований на тому,
що в ній блоком керування виробляється періодичний контроль датчиків виявлення
порушника. Результати контролю спостерігаються людиною. Періодичність
опитування датчиків автоматом може досягати тисячних часток секунди і менше. У
цьому випадку очікуваний час подолання перешкоди порушником значно перевищує
період опитування датчиків. Тому такий контроль часто вважають постійним. Але
для виявлення порушника людиною, що керує автоматом контролю, тільки малого
періоду опитування датчиків недостатньо.
Необхідно ще і час на вироблення сигналу тривожної
сигналізації, тобто час спрацьовування автомата, тому що воно часто значно
перевищує період опитування датчиків і тим самим збільшує час виявлення
порушника. Практика показує, що звичайно сигналу тривожної сигналізації досить
для припинення дій порушника, якщо цей сигнал до нього дійшов. Але оскільки
фізичний доступ до об’єкта захисту поки ще відкритий, подальші дії охорони
зводяться до визначення місця й організації блокування доступу порушника. На цю
дію також буде потрібний час.
Таким чином, умову міцності перешкоди з виявленням і блокуванням
НСД можна представити у виді співвідношення:
, (4)
де 
– період опитування
датчиків;
– час спрацьовування
тривожної сигналізації;
– час визначення
місця доступу;
– час блокування
доступу.
Якщо позначимо суму 
через 
, одержимо співвідношення:
. (5)
Процес контролю НСД і несанкціонованих дій порушника в
часі представлений на рис. 2.
Рис. 2. Діаграма дій порушника
З діаграми рис. 2 зрозуміло, що
порушник може бути не виявлений у двох випадках. Коли: 1) 
; 2) 
.
У першому випадку потрібна
додаткова умова – влучання інтервалу часу 
в інтервал 
, тобто необхідна синхронізація дій порушника з частотою
опитування датчиків виявлення. Для розв’язання цієї задачі порушникові
прийдеться таємно підключити вимірювальну апаратуру в момент виконання
несанкціонованого доступу до інформації, що є досить складною задачею для
сторонньої людини. Тому вважаємо, що свої дії з частотою опитування датчиків
він синхронізувати не зможе і може розраховувати лише на деяку ймовірність
успіху, що виражається в імовірності влучення відрізка часу 
у проміжок часу між
імпульсами опитування датчиків, рівний 
.
Відповідно до визначення геометричної ймовірності з курсу
теорії ймовірності одержимо вираз для визначення ймовірності успіху порушника в
наступному виді:
. (6)
Тоді ймовірність виявлення несанкціонованих дій порушника
буде визначатися виразами:
; (7)
. (8)
При 
порушник буде
виявлений напевно, тобто 
. В другому випадку, коли 
, імовірність успіху порушника буде визначатися за аналогією
з попереднім співвідношенням:
. (9)
Імовірність виявлення і блокування несанкціонованих дій
порушника:
; (10)
. (11)
При 
спроба НСД не має
сенсу, тому що вона буде виявлена напевно. У цьому випадку 
.
Таким чином, розрахунок міцності перешкоди з
властивостями виявлення і блокування можна робити по формулі:
, (12)
де 
– число шляхів обходу
цієї перешкоди.
Для більш повного представлення міцності перешкоди у виді
автоматизованої системи виявлення і блокування НСД необхідно враховувати
надійність її функціонування і шляхи можливого обходу її порушником.
Імовірність відмовлення системи визначається по відомій
формулі [3]:
, (13)
де 
– інтенсивність відмовлень групи технічних
засобів, що складають систему виявлення і блокування НСД;
– інтервал часу функціонування системи виявлення і
блокування НСД.
З урахуванням можливого відмовлення системи контролю міцність
перешкоди буде визначатися за формулою:
, (14)
де 
і 
визначаються відповідно (11) і (13);
і кількість шляхів
обходу j визначаються експертним шляхом
на основі аналізу принципів побудови системи контролю та блокування НСД.
Таким чином, захисні перешкоди бувають двох видів: контрольовані
і не контрольовані людиною. Міцність неконтрольованої перешкоди розраховується
за (3), а контрольованої – за (14). Аналіз даних формул дозволяє сформулювати перше
правило захисту будь-якого предмета: міцність
захисної перешкоди є достатньою, якщо очікуваний час подолання її порушником
більший часу життя предмета захисту або більший часу виявлення і блокування
його доступу при відсутності шляхів таємного обходу цієї перешкоди.
Література:
1. Хорошко В. А.
Методи й засоби захисту інформації / В. А. Хорошко,
А. А. Чекатков. – К. : Юніор, 2003. – 400 с.
2. Грищук Р. В.
Теоретичні основи моделювання процесів нападу на інформацію методами теорії диференціальних
ігор та диференціальних перетворень : монографія / Р. В. Грищук. – Житомир
: Рута, 2010. – 280 с.
3. Воронина В. А.
Обеспечение безопасности объектов /
В. А. Воронина, В. А. Тихонов. – М. : Горячая
линия-Телеком, 2010. – 272 с.