CC BY
78
78
Общетехнические задачи и пути их решения
УДК 004.056.53
Н. В. Евглевская, А. А. Привалов, Е. В. Скуднева
Петербургский государственный университет путей сообщения Императора Александра I
МАРКОВСКАЯ МОДЕЛЬ КОНФЛИКТА АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ С СИСТЕМОЙ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ НАРУШИТЕЛЯ
Автоматизированная система обработки информации и управления (АСОИУ) является сложной организационно-технической системой, в которой наряду с целевым процессом передачи информации реализуется и технологический процесс управления сетевыми ресурсами и качеством предоставляемых услуг электросвязи. Нарушение этого технологического процесса может привести к отказу самой АСОИУ. В статье рассмотрена марковская модель конфликта автоматизированных систем обработки информации и управления с системой деструктивных воздействий нарушителя. В данной модели нарушитель предпринимает серии согласованных атак, которые приводят к изменению состояния АСОИУ. Восстановлением АСОИУ управляет автоматизированная подсистема администрирования безопасности информации.
марковская модель, автоматизированная система обработки информации и управления (АСОИУ), интенсивность потоков перехода.
Введение
Обеспечение безопасности информации является весьма важным аспектом развития современного общества. В связи с тем, что в АСОИУ обрабатывается и хранится конфиденциальная и секретная информация, данная проблема актуальна при проектировании и эксплуатации АСОИУ [1].
Сложность обеспечения устойчивой работы современных АСОИУ в последнее время возросла из-за участившихся деструктивных информационных воздействий, реализуемых нарушителями, целью которых, как правило, является главный производственный процесс, реализуемый на поражаемом объекте.
Достаточно вспомнить о компьютерном черве Stuxnet и вирусе Shamoon, посредством которых было оказано воздействие на закрытые телекоммуникационные сети центра по обогащению ядерного топлива в Иране и в Саудовской Аравии [2]. В сентябре 2010 г. вирусом Stuxnet была заражена компьютер-
ная система ядерной программы Ирана. 15 августа 2012 г. компьютерная сеть нефтяной компании Saudi Arabian Oil Company (Saudi Aramco) подверглась атаке вируса Shamoon. Попав на компьютер, Shamoon пытается похитить важную информацию, после чего стереть главную загрузочную запись. При этом дальнейшее использование операционной системы становится невозможным.
Анализ показывает, что информационные воздействия на АСОИУ реализуются нарушителем на основании данных, добываемых с использованием средств компьютерной, акустической и ПЭМИН-разведок, которым, в свою очередь, противодействует входящая в структуру АСОИУ подсистема администрирования безопасности информации.
Известны модели, которые ориентированы на определение вероятностно-временных параметров системы деструктивных воздействий нарушителя [2, 3], а также системы управления безопасностью АСОИУ. Однако эти модели не позволяют совместно согласо-
2015/1
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
79
ванно оценить возможности указанных систем, взаимодействующих при информационном противоборстве. Поэтому для выработки требований к подсистемам администрирования безопасности информации представляет практический интерес создание математической модели конфликта АСОИУ с системой деструктивных воздействий нарушителя.
1 Постановка задачи
и/или работоспособного состояния АСОИУ приводит к изменению пространства параметров, наблюдаемых системой информационного противоборства, и нарушитель реализует следующую атаку на АСОИУ Далее описанный процесс возобновляется.
Функции распределения времени вскрытия системы и реализации атаки нарушителем [2], а также длительности цикла управления АСОИУ со стороны администратора службы безопасности [3] имеют вид
Пусть имеется АСОИУ, в которой циркулирует, обрабатывается и хранится конфиденциальная информация. Указанная система функционирует в условиях атак нарушителя на охраняемые сведения, утрата которых может привести к существенному экономическому, экологическому или иному ущербу. Под атакой здесь понимается совокупность согласованных по месту, времени и цели программно-аппаратных воздействий со стороны нарушителя на элементы АСОИУ для нанесения указанной системе существенного ущерба или вывода ее из строя.
Восстановлением АСОИУ и нейтрализацией последствий атак нарушителя управляет автоматизированная подсистема администрирования безопасности информации (АПАБИ).
Реализация нарушителем атак на АСОИУ приводит к изменению ее состояния, которое может быть зафиксировано оператором АПА-БИ. При этом под состоянием будем понимать число атак, успешно реализованных нарушителем. Процесс восстановления безопасного
F (t) _2 h(sk ) 1 - ек* fpa (t) _ 2 ,, У
к _1 g (sk ) -sk
fyac (t) _ 2
f (s ) 1 -
_ Ф ' (si) -si
(1)
Требуется определить вероятность и время пребывания АСОИУ в состоянии безопасности.
2 Решение
Положим, что рассматриваемая АСОИУ имеет n возможных состояний, и представим описанный в постановке задачи процесс в виде графа состояний (рис. 1).
При этом:
• s - состояние безопасности информации в АСОИУ;
• s2 - состояние АСОИУ, обусловленное успешной реализацией технической разведки и атаки нарушителем; интенсивность перехода в это состояние равно A,(t);
Рис. 1. Размеченный граф состояний АСОИУ
ISSN 1815-588Х. Известия ПГУПС
2015/1
80
Общетехнические задачи и пути их решения
• s. - состояние, в которое переходит АСО-ИУ в результате успешной реализации (i - 1)-й атаки нарушителем с интенсивностью X (t);
• sn - состояние, в которое переходит АСОИУ в результате успешной реализации (n - 1)-й атаки нарушителем с интенсивностью X (t).
На АСОИУ, пребывающую в состоянии s2, ..., s., ..., sn,воздействует поток восстановлений, имеющий интенсивность p(t) и переводящий ее в состояние безопасности s1.
Составим систему уравнений Колмогорова
[4].
^ = Ц(») Ё P (I)-ВД Я(1 )l2,
dt к=2
^ = Pi(t Mt )12 - P2(t Mf) -
at
- P2(t ),
dPP(t) = P_i)(t )X(t) - P (t )p(t) -- P (t )Mt),
(2)
aPn (t)
dt
= P(n-1)(tЖ1) - Pn (tЖ1).
Начальными условиями являются:
Л(0) = 1; P2(0) = 0;
.Pi (0) = 0; ...Pn (0) = 0;
Ё Pk (t) = 1,(i = 1,2,..., n).
к=1
Данная система дифференциальных уравнений может быть решена любым известным в математике методом.
С учетом (1) определим интенсивности потоков перехода АСОИУ из одного состояния в другое:
^ (12) (t) =
= /a (t) =
1 - Fpa (t)
h( sk Ykt
Ё g '(sk)
Ё h( Sk ) Ё g '(sk )
ste
1 Ё h(sk ) .1 - eSk k=1 g '(sk ) -sk
p(t) =
■/уАС (t)
1 - FyAC (t)
/ ( st )est
=1 9'(si)
Ё
1 Ё/Ж . 1 -es
Ё ф'(s.) -s.
Ё h(Sk ) Ё g'(Sk )
Ё/р. s,ev
i=1 ф (Si)
es
i=1 ф (si)
(3)
Анализ результатов информационного воздействия на реальные автоматизированные системы [5] показывает, что для осуществления деструктивного воздействия нарушителю достаточно успешно реализовать не более трех атак. Поэтому без потери общности допустим, что n = 4.
Тогда граф состояний примет вид, представленный на рис. 2.
Тогда система уравнений (2) преобразуется к виду:
= P2(t )p(t) + P3(t )p(t) +
dt
+P4(t ) - P1(t Ж1 )12;
dЖ=P(t )Mi )12 - P2 (i )Mf ) - P (i ¥(f );
dt
= P2(f)Mf) - P3(f )X(f) - P3(f )n(f);
dt
Рис. 2. Размеченный граф состояний АСОИУ при n = 4
2015/1
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
81
dpt- = РгЦ )Щ) - P,(t >ц(»).
at
Z P4(t) = 1.
i=1
Начальные условия:
Pi(0) = 1, Р2 (0) = Рз (0) = Р4 (0) = 0.
Решениями системы дифференциальных уравнений являются вероятности пребывания АСОИУ в состояниях st, ... s4, т. е.:
Pi(t) =
p(t)
P(t) + ^i2(t)
+ (1 ^(t) ) e~(ц(t )+^i2(t ))t.
КО + ^12(t) ’
P2(t) = -
A(t) A(t)
a(t) a(t) - M (t)
eM (t )t +
A(t) A(t)
a(t) a(t) - M (t)
a(t )t.
P3 (t) = A(t Of} [1 + (a(t )t - 1)ealt )t ] + a2(t)
+A(t )X(t) x
x eM(t)t - [1 + (M(t) -a(t))t]ea(t)t .
x т ;
(M (t) -a(t ))2
P (t) = 1 - P(t) - P(t) - P 3(t),
(4)
(5)
(6)
(7)
где
A(t) =
p(t) -X 12(t) . p(t)+я 12(t у
p(t)
A(t) = X12 (t X1 - +. (t)
P(t) + X12(t) M (t) = -(^(t)+X12(t»; a(t) = -(X(t) + p(t)).
);
Время, в течение которого АСОИУ будет находиться в состоянии безопасности, можно определить подстановкой в (4) вместо Px(t) значения уровня P , предъявляемого к системе требований по безопасности. Полагая p(t) = const и l12(t) = const, получим
- ln(-
-Ц + PTpe6 - Ц + PT
T =
■ треб
треб '
12
(ц + X12)
(8)
где Ртреб - требуемое значение вероятности пребывания системы в состоянии безопасности [6].
Таким образом, поставленная задача решена.
3 Результаты моделирования
С использованием (3), а также результатов [2, 3] было установлено, что интенсивность перехода АСОИУ, обусловленная успешной реализацией технической разведки и атаки нарушителем l(t), и интенсивность потока восстановлений p(t), переводящего ее в состояние безопасности, изменяются в пределах l12(t) = 0,05-0,07 (1/мин.); p(t) = 0,03-1 (1/мин.). Это дает основание полагать, что длительность ведения разведки нарушителем изменяется от 5 до 15 мин.; длительность реализации атаки - в пределах 3-8 мин.; длительность восстановления АСОИУ в зависимости от глубины ее поражения - 1-30 мин.
По формуле (8) рассчитано время, в течение которого АСОИУ будет пребывать в состоянии безопасности sr
На рис. 3 представлены графики вероятностей пребывания АСОИУ в состояниях s. при разном времени проведения разведки, атаки нарушителем, а также восстановления системы.
Заключение
Анализ полученных результатов позволяет сделать следующие выводы.
Разработанная модель работоспособна, чувствительна к изменению исходных данных, адекватно отображает процесс разведки и атак нарушителя, а также процесс восстановления безопасного состояния АСОИУ.
ISSN 1815-588Х. Известия ПГУПС
2015/1
82
Общетехнические задачи и пути их решения
1
0 10 20 30 40 50 60 70 80 90 100 t (мин.)
1
0 10 20 30 40 50 60 70 80 90 100 t (мин.)
Рис. 3. Графики вероятностей пребывания АСОИУ в состояниях s . при различном времени проведения разведки, атаки со стороны нарушителя и восстановления системы
2015/1
Proceedings of Petersburg Transport University
Общетехнические задачи и пути их решения
83
1
0 10 20 30 40 50 60 70 80 90 100 t (мин.)
1
0,9
0,8
F1(t) 0,7
P2(t) 0,6
J3_(t)_ 0,5
P4(t) 0,4
0,3
0,2
0,1
t = p 15 м тн., t = 3 м шн., t = 1 в мин.
0 10 20 30 40 50 60 70 80 90 100 t (мин.)
Рис. 3. Графики вероятностей пребывания АСОИУ в состояниях s . при различном времени проведения разведки, атаки со стороны нарушителя и восстановления системы (окончание)
ISSN 1815-588Х. Известия ПГУПС
2015/1
84
Общетехнические задачи и пути их решения
Полученные в ходе моделирования значения среднего времени пребывания АСОИУ в состоянии безопасности позволяют на этапе технического проектирования системы определять рациональную периодичность и глубину контроля безопасности информации за счет использования вычисленных значений в качестве критериальных.
Достижение уровня предъявляемых требований по безопасности может быть обеспечено при длительности цикла управления АСОИУ, не превышающим одной десятой длительности времени подготовки и реализации нарушителем атаки на защищаемую систему, т. е. р-1 < 0,1^-1.
Следует ожидать, что на защищаемую систему нарушитель будет оказывать не одиночные воздействия, а серии согласованных атак. При этом возможность успешной реализации атаки остается практически при любой системе защиты, если мероприятия по защите неадекватны и не согласованы с действиями нарушителя. Отсюда возникает задача создания такой системы администрирования безопасности, которая имеет в своем составе подсистему поддержки принятия решений по выбору мероприятий и мер защиты, обеспечивающую оценку, прогнозирование и минимизацию возможностей нарушителя по реализации атак. К сожалению, отечественные стандарты в области безопасности информации (руководящие документы, ГОСТы и т. д.) и имеющийся в них методический аппарат не позволяют в полной мере реализовать перечисленные выше функции.
Таким образом, предложенная модель позволяет разработать методику оценки кибербезопасности автоматизированных систем
обработки информации и управления, функционирующих в условиях информационного противоборства.
Библиографический список
1. Вероятностные модели обеспечения информационной безопасности автоматизированных систем обработки информации и управления / П. И. Ти-тубалин, В. С. Моисеев. - Казань : Школа, 2008.
- 144 с.
2. Модель процесса подготовки злоумышленника к информационному воздействию на автоматизированные системы управления железнодорожным транспортом / Н. В. Евглевская, А. А. Привалов, Ал. А. Привалов // Бюл. результатов науч. исследований. - 2012. - № 5 (4). - С. 17-26.
3. Об оценке длительности цикла управления телекоммуникационной сетью ОАО «РЖД» / А. А. Привалов, А. П. Вандич, Д. А. Полторацкий // Материалы V междунар. конгресса «Цели развития тысячелетия и инновационные принципы устойчивого развития арктических регионов». - СПб. : Ар-ктич. обществ. академия наук, 2012. - С. 92-95.
4. Теория случайных процессов и ее инженерные приложения / Е. С. Вентцель, Л. А. Овчаров.
- М. : Высш. шк., 2000. - 383 с.
5. Информационное противоборство в войнах и вооруженных конфликтах / В. С. Киреев, Р. В. Максимов, А. А. Погорелов и др. - СПб. : ВАС, 2005. -120 с.
6. ГОСТ РВ 51987-2002. Информационная технология. Комплекс стандартов на автоматизированные системы. Типовые требования и показатели качества функционирования информационных систем. Общие положения. - М. : Госстандарт России, 2001. - 53 с.
2015/1
Proceedings of Petersburg Transport University
