МАРКОВСКИЕ МОДЕЛИ ОЦЕНКИ БЕЗОПАСНОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ С УЧЕТОМ ВОЗДЕЙСТВИЯ НА АВТОМАТИЗИРОВАННУЮ ИНФОРМАЦИОННУЮ СИСТЕМУ ВНУТРЕННИХ УГРОЗ
А.П. Росенко
MARKOV'S MODELS OF ESTIMATING PRIVILEGED INFORMATION SECURITY SUBJECT TO THE INFLUENCE UPON AUTOMATED INFORMATION SYSTEM OF INTERNAL DANGERS
A.P. Rosenko
The paper reveals the problems connected with the usage of Markov's random processes for the estimation of internal dangers (ID) influence upon privileged information (PI) security.
Рассматриваются вопросы, связанные с применением Марковских случайных процессов для оценки влияния внутренних угроз (ВУ) на безопасность конфиденциальной информации (НИ).
УДК 861.327.8
1. Общие сведения
Исследования показывают, что в результате воздействия внутренних угроз (ВУ) на автоматизированную информационную систему (АИС) имеют место более 80% случаев несанкционированного доступа к конфиденциальной информации (КИ) [1,2,3].
В то же время анализ также показывает, что методология исследования теории безопасности КИ, циркулирующей в АИС, определяется тремя факторами [3]:
- количеством возможных ВУ, воздействующих на человеко-машинную АИС, перечень которых с течением времени изменяется за счет появления новых угроз, модернизации существующих и т.п.;
- сложностью формализованного представления большинства ВУ, т.к. по своей природе они являются качественными, не имеющими количественной оценки, а иногда и четкого описания, что вызывает существенные затруднения при их анализе и формализации;
- ограниченностью применения существующих методик, т.к. событие реализации ВУ является редким по сравнению с возможным количеством ВУ, воздействующим на АИС.
Указанные обстоятельства свидетельствуют о том, что для оценки безопасности КИ, циркулирующей в АИС, представляется возможным описать ее исходы от воздействия ВУ переходами из одного случайного состояния в другое.
Рис. 1. Упрош
Представим АИС в виде упрощенной схемы (см. рис.1) [3].
Как видно из рис.1 наиболее существенными элементами АИС являются:
- носители КИ - любые материальные носители информации, характерные для рассматриваемой АИС, доступ к которым строго регламентирован;
- каналы передачи информации, под которыми понимаются каналы, в которых формируется, накапливается, хранится, передается информация ограниченного распространения;
- пользователи - это сотрудники или любые другие лица, которые в соответствии с трудовым договором или в результате заключения двустороннего соглашения имеют право доступа к КИ исходя из производственной необходимости.
Таким образом, как видно из рис. 1, ВУ могут воздействовать на все элементы АИС с целью реализации одной или нескольких угроз. Не трудно заметить, что представленная на рис. 1 информационная система обладает признаками, присущими сложным системам.
Для оценки безопасности КИ в процессе функционирования такой системы, по аналогии с [5, 6], в качестве системного критерия может быть принята вероятность РБИ (), как вероятность безопасности КИ при воздействии на нее ВУ в течение времени t.
I схема АИС.
2. Аналитические критерии безопасности конфиденциальной информации
Пусть на АИС в момент времени t действует г -ая ВУ. Тогда РБИ, ($) есть вероятность безопасности КИ при воздействии на нее г -ой ВУ.
Указанная вероятность может быть определена следующим выражением,
РБИ г () = Ругр., (Рр.угр., () (1)
где: Ругр г () - вероятность возникновения
г -ой угрозы в течение времени t;
Рпар угр. () - условная вероятность того,
что г -ая угроза в течение времени t будет парирована.
С точки зрения воздействия на АИС ВУ, возможные их исходы являются случайными событиями в силу случайности появления тех или иных ВУ.
Предположим, что на АИС в момент времени t воздействует г -ая ВУ. Указанная ситуация представлена на рис. 2.
В соответствии с рис. 2 следует, что в процессе функционирования АИС существует некоторая опасность, связанная с воздействием на нее г-ой ВУ.
Рис. 2. Логико-вероятностный процесс воздействия на АИС внутренней угрозы.
При таком воздействии АИС может находиться в следующих состояниях:
« О » - начальное состояние АИС;
«ВУ » - состояние, когда 7-ая ВУ не проявляется с вероятностью р7;
« ВУ » - состояние, когда 7-ая ВУ проявилась с вероятностью qi = 1 — pi;
«П» - состояние парирования ВУ, с вероятностью г;
« П » - состояние непарирования последствий проявления ВУ с вероятностью
г = 1 — г .
Конечные состояния ВУ и П соответствуют благополучному исходу при воздействии на АИС 7-ой ВУ.
Состояние П соответствует неблагополучному исходу при воздействии на АИС 7-ой внутренней угрозы.
Тогда в соответствии с рис. 2 вероятность благополучного исхода от воздействия на АИС 7-ой ВУ определиться следующим образом:
РБИ7 = Рг + ЧгГг , (2)
а вероятность неблагополучного исхода
&И, = ЧгГг . (3)
Так как вероятности РБИг и QБИг составляют полную группу событий, то
РбЩ + QБИ1 = 1. (4)
Из(4)следует, что
РБИ1 = 1 QБИÍ .
Таким образом, с точки зрения воздействия на АИС ВУ, в соответствии с выражением (1)-(4) следует, что количественной мерой, характеризующей последствия от воздействия 7-ой ВУ на АИС, является вероятность благополучного исхода РБИ7 ,
или вероятность противоположного события, т.е. вероятность неблагополучного исхода Qш. . В то же время анализ выражения
(4) также показывает, что для количественной оценки последствий воздействия ВУ на АИС достаточно определить любую составляющую, например Qш.. Определение другой составляющей не представляет сложности.
3. Марковская модель оценки безопасности конфиденциальной информации со счетным множеством состояний и непрерывным параметром
Марковский процесс характеризуется свойством без последствий, при котором вероятность нахождения АИС в любом из возможных состояний зависит только от вероятности предшествующего состояния [4].
В марковском процессе с непрерывным параметром переходы АИС из состояния в состояние задаются интенсивностями переходов, т.е. такой процесс является марковским с непрерывным параметром.
Свойство марковского процесса с непрерывным параметром (временем) определяется свойством без последствий потока событий, под воздействием которого АИС может переходить в различные состояния в случайные моменты времени непрерывно.
К таким потокам относятся пуассо-новские потоки, простейшим из которых является стационарный пуассоновский поток, который характеризуется ординарностью и стационарностью [4].
Интенсивность простейшего потока событий есть величина постоянная и применительно к марковскому процессу с непрерывным параметром обозначается как Л7. -
интенсивность перехода системы из состояния х7 в состояние х..
3.1. Общие выражения вероятностей
Р(0 и 6(0
Воздействие ВУ на АИС является случайным событием, так как угрозы, как правило, возникают в произвольный момент времени.
Предположим, что все возможные ВУ образуют случайное множество {г}, г = 1, п. В зависимости от последствий множеству {} ВУ будут соответствовать два подмножества:
{БИг}- благополучных исходов и
{БИг} - неблагополучных исходов.
Обозначим вероятности указанных исходов соответственно через Рг ^) и ^) .
Так как события из множества событий {} в момент времени t являются несовместными событиями и образуют полную группу случайных событий, то на основании теоремы сложения вероятностей можно записать:
Р^) = P0(t) + ^ Р ^),
г=1
т
6 (t) = £ 6 (t),
г=1
(5)
где: P0(t) - вероятность исходного состояния АИС; т - количество возможных несовместных событий.
Из (5) следует, что для определения вероятности Р^) и ) , необходимо определить вероятности Р0 (t), Рг (t), 6г ^).
3.2. Граф состояния АИС с учетом воздействия на нее внутренних угроз безопасности конфиденциальной информации
Для определения указанных вероятностей представим последовательность переходов АИС от исходного состояния к другому состоянию марковским случайным процессом со счетным множеством состояний и непрерывным временем. В указанных целях введем следующие допущения:
- в момент времени t = 0 ситуация исходная;
- последовательность воздействия г -ых ВУ является простейшим потоком с интенсивностью ;
- потоки благополучных исходов от воздействия на АИС г -ых ВУ является простейшим с интенсивностью, равной 1 • т{, где т{ -вероятность парирования г -ой ВУ;
- потоки неблагополучных исходов от воздействия на АИС г -ых ВУ являются простейшими с интенсивностью, равной
1 • т{ , где т{ - вероятность непарирования
г -ой ВУ.
Будем полагать, что события воздействия на АИС ВУ, парирования последствий воздействия и приведения АИС в исходное состояние происходят одновременно.
Представим такой случай в виде графа состояний (см. рис. 3).
Рис. 3. Граф состояний АИС с учетом воздействия на нее ВУ.
В узлах графа обозначаются состояния АИС после воздействия на нее г-ой угрозы. Вершине графа (состояние «0») соответствует состоянию АИС до воздействия на нее г-ой угрозы.
На ребрах графа проставляются интенсивности перехода системы из исходного состояния в последующее. Обозначим интенсивности таких переходов через 11. Параметр 10 соответствует интенсивности перехода АИС в исходное состояние после воздействия г-ой ВУ. Тогда 11 гг - поток благополучных исходов от воздействия на АИС г-ой ВУ, а 11 гг - соответственно поток неблагоприятных исходов, характеризующихся вероятностью состояния 6г.
Используя граф состояния, представленный на рис. 3, определим вероятности P(t) и Q(t).
3.3. Определение вероятностей P(t) и Q(t)
В соответствии с графом состояния (см. рис.3) дифференциальные уравнения имеют следующий вид [3]:
- для вероятности исходного состояния АИС
dt
= -Л> P0
(6)
для вероятности состояния первого
уровня
dP
-P = vv (1 - S )P0 dt
-Q dt
= Л • rt • Po,
(7)
(8)
где:
Ло =2 Л • (г • (1—3) • г =2 Л • (1—г • ^);
7=1 7=1
£7 - вероятность восстановления системы после воздействия 7-ой ВУ.
Решая уравнение (6-8), получим выражение для определения Р0, Р7, Q7.
Po(t) = exp j-E Я,(1 - Г • ) • t
P (t) = x
E л • (i - r • s )
1 -expi-EЛ,(1 -r • S)• t
i=1
(9)
(10)
Qi (t) = -
Л • r
E л • (1 - r • Si)
i=1
1 - expj- £Л-(1 - Г • ^) • t
(11)
Полученные выражения (9)-(11) позволяют определить вероятности событий, переводящих АИС из нулевого, начального состояния в последующие состояния.
Зная вероятности (9)-(11) представляется возможным определить вероятности
благополучных и неблагополучных исходов при воздействии на АИС случайного множества ВУ.
Для предельного случая, когда 87 = 1,0 (7 = 1, п), т.е. когда АИС полностью восстанавливается после воздействия 7-ой ВУ, выражения (9), (10),(11) имеют вид:
Po(t) = expj - E Л • (1 - Г) • 4 =
= expi-Eл ■ ■t
Pi (t) = 0, _ Qi (t) =
E л
1 - expj - E л
n —
i=1
, • Г •t
(12)
(13)
(14)
Итак, на основании (12), (13), (14) формулы для определения вероятностей
PБИ и QБИ имеют вид:
P-БИ = exp j-E Л ■ r ■ t \,
i =1
QБИ = 1 - exp j-E Л • П •t
n —
(15)
(16)
где: 1 - суммарное время воздействия ВУ на АИС за период наблюдений;
Л7 •г7 - поток реализации угроз по 7-ой
ВУ.
Критерии безопасности КИ, определенные по (15), (16) имеют смысл критериев по множеству случаев воздействия на АИС ВУ.
4. Марковская модель оценки безопасности конфиденциальной информации с дискретным параметром
Известно, что аппарат теории Марковских процессов с дискретными состояниями широко используется при исследовании поведения различных технических систем, а так же решении прикладных задач. Указанное обстоятельство обусловлено многими причинами, основными из которых являются следующие:
- возможность представления и описания достаточно широкого класса технических систем конечным множеством возмож-
i =1
i =1
i=1
i =1
i =1
i =1
х
X
X
ных состояний, а это, в свою очередь, позволяет применять Марковские процессы для их моделирования в процессе функционирования;
- моделирование поведения технических систем на основе теории Марковских процессов позволяет получить широкий спектр прикладных задач, применение которых существенно упрощает процедуру анализа и синтеза процессов функционирования технических систем.
Марковский процесс с дискретным временем (цепь Маркова) характеризуется свойством без последствия, при котором переходы системы из состояния в состояние возможны в фиксированные моменты времени, в промежутках между которыми система сохраняет свое состояние.
4.1. Матрица переходных вероятностей Рц
Предположим, что АИС может находиться в п -возможных случайных состояниях х1зх2,...,хп. Состояние перехода АИС из г -го в Ц -ое состояние тоже является случайным и характеризуется вероятностью Рц .
Если для каждого состояния АИС известны вероятности перехода в любое другое состояние, то можно составить матрицу переходных вероятностей вида:
РР
11 ' 1
12
Р
Р
1п
РР
РР
1 г1 1 г 2
РР
Р2
21
Р.
Рп1
Р2
Ргп
Рпп
(17)
' п1 п2 п1
Из выражения (17) следует [4, 5]: - диагональ матрицы соответствует вероятности задержки, т.е. система может задержаться в состояниях, при которых переход ее в следующее состояние не возможен;
вероятности
Рг
являются услов-
ными вероятностями, смысл которых заключается в том, что после п -го шага сис-
тема окажется в состоянии х■, если до этого находилась в состоянии хг ;
- сумма вероятностей каждой строчки матрицы (17) должна быть равна единице.
4.2. Определение вероятностей состояний автоматизированной информационной системы после к -ого перехода в последующие состояния
Пусть АИС в начальный момент (перед первым шагом) находится в состоянии хп . Тогда, для начального момента (п = 0)
вероятности всех состояний равны нулю, кроме вероятности начального состояния
Рп (0) = 1.
После первого шага (к = 1) АИС перейдет из состояния хп в одно из состояний
х1,х2,...,хп,...,хк с вероятностями Р ,Р ,...,Р ,...,Р .
п1 п2 пп пк
Тогда п -я строчка матрицы переходных вероятностей будет иметь вид:
Р(1)=Рщ;
Р2(1) = Рп2 ,...,Рп (1) = Рпп, . .,Рк (1) = Ркп . Вероятности состояний после второго шага определяется по формуле полной вероятности. Тогда
Рг(2) = £Р(1)-Р , (19)
1=1
При этом должна выполняться гипотеза о том, что АИС после первого шага может быть в любом из возможных состояний.
Тогда с учетом (19) по формуле полной вероятности матрица переходных вероятностей после к -го шага будет иметь вид:
Р (к) = £ Р} (к - 1)Р , (20)
1=1
где г = 1,2,...,к, а вероятности перехода АИС за к шагов:
(18)
Рц = Ё РпРщ (к -1):
(21)
где к > 2 .
Решение системы уравнений (21) позволяет определить любую вероятность Р (к) при известных начальных условиях:
п=1
РД0),.Р2(0),...,Pk (0), т.е. при известном начальном состоянии системы. Исходными данными в этом случае служат вероятности перехода, которые могут задаваться стохастической матрицей вида (17).
ЛИТЕРАТУРА
1. Росенко А.П. Некоторые аспекты построения систем защиты информации на основе динамических экспертных систем // Электромагнитная совместимость и имитационное моделирование инфокоммуникацион-ных систем: Сборник Поволжской государственной академии телекоммуникации информатики. - М. : Радио и связь, 2002. - С. 243-247.
2. Росенко А.П. Копытов В. В., Лепешкин О. М. Угрозы безопасности Северо-Кавказского региона в информационной сфере и пути их снижения // Угрозы безопасности России на Северном Кавказе: Монография. - Ставрополь, 2004. - С. 163 - 188.
3. Росенко А. П. Научно-теоретические основы исследования влияния внутренних угроз на безопасность конфиденциальной информации, циркулирующей в автоматизированных информационных системах // Известия ТРТУ. Материалы VII научно-практической
конференции «Информационная безопасность». - Таганрог: ТРТУ, 2005. - С. 19 - 30.
4. Тихонов В.И., Миронов М.А. Марковские процессы. - М.: Сов. Радио, 1977. - С. 488.
5. Финадорин Г.А. Использование теории случайных процессов для оценки безопасности полетов. - К.: КВВАИУ, 1983. - С. 180.
6. Росенко А.П., Клименко Е.С. О выборе критерия оценки эффективности функционирования системы защиты информации // Первая международная научно-техническая конференция. Инфотелекоммуникационные технологии в науке, производстве и образовании. - Ставрополь: Сев-Кав. ГТУ, 2004 г. -С. 207-208.
Об авторе
Росенко Александр Петрович, кандидат технических наук, доцент, заведующий кафедрой ОТ-ЗИ. Сфера научных интересов - инженерная психология, авиационная эргономика, анализ и синтез автоматизированных систем с позиций системного подхода, математические модели ЗИ на основе Марковских случайных процессов, математическое моделирование процессов, протекающих в АИС при воздействии внутренних угроз безопасности информации.