Научная статья на тему 'Методика комплексной оценки угроз информации объекту информатизации'

Методика комплексной оценки угроз информации объекту информатизации Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
736
112
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ОБЪЕКТ ИНФОРМАТИЗАЦИИ / УГРОЗЫ ИНФОРМАЦИИ / СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ / МЕТОДИКА ОЦЕНКИ УГРОЗ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Серпенинов Олег Витальевич, Денисов Андрей Александрович, Болдырев Александр Борисович

Показана актуальность решения задачи по обеспечению заданного уровня информационной безопасности объектов информатизации от различных видов угроз. Проведен анализ возможных каналов утечки и воздействия на информацию. Предложен подход к построению модели угроз объекту информатизации, позволяющий оценить вероятность их реализации. Разработана методика комплексной оценки угроз информации объекту информатизации.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Серпенинов Олег Витальевич, Денисов Андрей Александрович, Болдырев Александр Борисович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Методика комплексной оценки угроз информации объекту информатизации»

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №3/2016 ISSN 2410-700Х_

Предложенная конструкция вальца дорожного катка комбинированного действия объединяет в себе положительные качества осцилляторных и вибрационных катков (совместное действие крутильных и вертикальных колебаний). Это способствует повышению производительности вибрационного катка за счет уменьшения количества проходов, требуемых для достижения нормативной плотности.

Рисунок 2 - Подвижные и неподвижные эксцентрики дебалансных валов: 10- подвижный эксцентрик; 11 - неподвижный эксцентрик

Результаты анализов показывают, что дорожные катки вибрационного действия еще не в достаточной мере соответствуют потребностям дорожно-строительной отрасли. Однако существуют потенциальные пути для их функционального и технологического совершенствования, и в первую очередь за счет качественного регулирования уплотняющих силовых воздействий в процессе уплотнения. Список использованной литературы:

1. Патент РФ № 2014125325/03, 23.06.2014.

Серебренников В.С., Дубков В.В. Осцилляторный валец дорожного катка с изменяемой величиной крутильных колебаний // Патент России № 151654. 2014. Бюл. № 10.

2. Пермяков В.Б., Дубков В.В., Серебренников В.С. Аналитическое описание процесса уплотнения асфальтобетонной смеси вибрационным катком. // Омский научный вестник. - 2008. - №1(64). - С.67-71.

3. Пермяков В.Б., Дубков В.В., Серебренников В.С. Модель уплотнения асфальтобетонной смеси вибрационным катком. // Известия ВУЗов. Строительство. - 2008. - №10. - С.84-90.

4. Серебренников В.С. Обоснование режимных параметров вибрационных катков для уплотнения асфальтобетонных смесей : дис... канд. техн. наук. - Омск, 2008. - 170 с.

© Серебренников В.С., 2016

УДК 004.056

Серпенинов Олег Витальевич

кандидат технических наук, профессор кафедры связи и МПО войск (сил) факультета военного обучения Денисов Андрей Александрович кандидат социологических наук, зам. начальника факультета военного обучения

Болдырев Александр Борисович кандидат социологических наук, начальник кафедры связи и МПО войск (сил) факультета военного обучения г.Ростов-на-Дону, Южный Федеральный университет

МЕТОДИКА КОМПЛЕКСНОЙ ОЦЕНКИ УГРОЗ ИНФОРМАЦИИ ОБЪЕКТУ ИНФОРМАТИЗАЦИИ

Аннотация

Показана актуальность решения задачи по обеспечению заданного уровня информационной

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №3/2016 ISSN 2410-700Х_

безопасности объектов информатизации от различных видов угроз. Проведен анализ возможных каналов утечки и воздействия на информацию. Предложен подход к построению модели угроз объекту информатизации, позволяющий оценить вероятность их реализации. Разработана методика комплексной оценки угроз информации объекту информатизации.

Ключевые слова

Объект информатизации; угрозы информации; система защиты информации; методика оценки угроз.

Повышение эффективности систем защиты информации (СЗИ) объектов информатизации (ОИ) вызывает необходимость разработки и практического применения методического обеспечения, затрагивающего вопросы комплексной оценки угроз безопасности информации, анализа информационных рисков, оценки уровня защищенности ОИ.

Оценка эффективности СЗИ - это процесс установления соответствия между результатом защиты и поставленной целью защиты. В настоящее время комплексная оценка эффективности СЗИ от совокупности угроз на объектах информатизации, в том числе для информационно-телекоммуникационных систем не проводится из-за отсутствия необходимого методического обеспечения. Это обусловлено сложностью учета и формализации многих существенных для количественной оценки эффективности СЗИ факторов [1-4].

Показатель оценки эффективности СЗИ Э^) может быть представлен в виде:

Э(0 ы) - ы), = Mt)

где Äe(t) - показатель защищенности информации в условиях принятия мер защиты ОИ;

Äo(t) - показатель защищенности информации без принятия мер защиты ОИ.

Одним из первых этапов разработки СЗИ является анализ потенциально возможных угроз информации, хранимой, обрабатываемой и передаваемой по каналам связи на ОИ, при этом необходимо составить как можно более полную их совокупность и разработать модель угроз ОИ.

При анализе угроз в первую очередь выявляются источники и виды угроз. Предлагается рассматривать множество угроз как множество технических каналов утечки информации (КУ) и несанкционированного доступа (НСД), а также деструктивных воздействий (ДВ) на информационную среду ОИ.

Нарушение информационной безопасности тогда можно рассматривать как последовательно реализуемые элементы угроз, что в итоге может привести к нанесению ущерба.

Такой подход позволяет оценить вероятности осуществления угроз злоумышленником (нарушителем) как вероятности реализации каналов КУ, НСД, ДВ (в дальнейшем - каналы утечки и воздействия (КУВ)).

В качестве КУВ могут выступать следующие виды угроз:

- попытка проникновения злоумышленника с подключением к среде распространения носителя информации;

- посылка ложных заявок на обработку;

- фильтрация информации идентификации и аутентификации;

- поиск точек входа в информационную среду ОИ или ПК последовательным перебором известных уязвимостей;

- сборка мусора на диске и в оперативной памяти;

- внедрение мобильных вредоносных кодов и программ;

- несанкционированный доступ к наборам данных;

- изменение базы данных защиты (настроек СЗИ) с последующим несанкционированным получением и использованием прав доступа;

- криптоанализ.

Такой подход позволяет разработать модели каналов несанкционированного доступа, утечки информации или деструктивных воздействий на информационную среду отдельного персонального компьютера или сервера и объекта информатизации в целом.

Для каждого вида КУВ можно построить их модели в виде графов структуризации каналов КУВ,

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №3/2016 ISSN 2410-700Х_

отображающие физический путь распространения носителя информации с учетом взаимодействия угроз со средствами защиты.

По этой модели можно оценить вероятность реализации угрозы как произведение вероятностей успешного преодоления злоумышленником защитных барьеров. Так вероятность нарушения целостности информации злоумышленником может быть оценена в виде:

Рз =рз *грз +П рз \*рз \*Р *рз

цел Р срд V Р пмр 'V1 Р пмр) Р соа) Р ср Р ас ,

где Рзсрд - вероятность преодоления системы разграничения доступа злоумышленником;

Рзпмр - вероятность не обнаружения действий злоумышленника подсистемой мониторинга и регистрации;

Рзсоа - вероятность преодоления системы обнаружения аномалий;

Рср - вероятность отсутствия резервной копии;

Рзас - вероятность преодоления системы антивирусной защиты.

Оценка вероятности реализации несанкционированных действий злоумышленником из соседнего сегмента (из филиала организации), использующего модемный пул, беспроводную точку доступа при реализации угроз, может быть осуществлена на основе модели в виде графов структуризации каналов КУВ в случае несанкционированных действий нарушителя из соседнего сегмента:

Рз рз н=рз

пи Р sw Р ш ,

где Рзпи - вероятность перехвата информации злоумышленником через модем с использованием модемного пула;

Psw - вероятность преодоления злоумышленником защиты свитча;

Рзш - вероятность преодоления злоумышленником защиты трафика средствами шифрования.

Для реализации КУВ злоумышленнику первоначально необходимо осуществить этап подключения к среде распространения носителя информации. Попытка проникновения с подключением к среде распространения носителя по своему содержанию аналогична поиску точек входа последовательным перебором уязвимостей, и является характерной для злоумышленника. На этом этапе происходит сканирование злоумышленником периметра ОИ с целью обнаружения уязвимостей, эксплуатация которых позволяет ему проникнуть в сеть.

Вероятность успешного выполнения этого этапа зависит от используемых средств защиты периметра сети. На основе модели канала воздействия злоумышленника на ОИ, приводящего к нарушению доступности при посылке ложных заявок, через беспроводной адаптер с использованием точки беспроводного доступа, оценка вероятности этого этапа определяется как:

Рз рз н=рз

лз3 Р м Р уд ,

где Рзлз3 - вероятность нарушения доступности посылкой ложных заявок через беспроводной адаптер с использованием точки беспроводного доступа;

Рзм - вероятность преодоления ложными заявками межсетевого экрана;

Рзуд - вероятность успешного преодоления злоумышленником средств защиты от блокирования доступа на файл-сервере.

Наиболее сложным этапом при построении моделей КУВ ПК и ОИ в целом является оценка вероятностей их реализации. Предлагается оценивать вероятность реализации каждого канала как произведение вероятностей элементов угрозы, которые могут быть определены следующим образом:

- как статистические вероятности и вероятности, вычисленные на основе известной статистики (Рст

е[0,1]);

- методом нечеткой логики (РНл €[0,1]);

- если для выполнения элементарной угрозы необходимо преодоление существующего в системе барьера, то вероятность элемента угрозы принимается равной вероятности успешного преодоление злоумышленником существующего барьера (Рб €[0,1]).

Каждая из вероятностей элементарных угроз принадлежит одному из трех множеств: {Рст},{Рнл},{Рб}.

Таким образом, результирующие вероятности КУВ позволяют учесть динамику статистических значений элементов угроз, вероятности, полученные экспертным путем, и изменение вероятностей

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №3/2016 ISSN 2410-700Х_

преодоления барьеров при замене средств защиты в случае модернизации СЗИ или при плановом управлении защитой информации.

Используя расчетные значения вероятностей реализации КУВ, можно оценить, насколько адекватны реализованные в СЗИ механизмы и средства защиты информации существующим рискам; оценить уровень защищенности ОИ и определить, является ли он достаточным, какими мерами можно реально повысить уровень защищенности.

Методика расчета уровня защищенности информации на ОИ, основанная на ранее разработанной модели ОИ [2] и предложенной методике моделирования угроз представляется в следующем виде:

1. Проводится декомпозиция ОИ на составляющие подсистемы - сегменты.

2. Определяется объем и рассчитывается стоимость защищаемой информации в n-ом сегменте по формуле:

к

Cn=Cni+.. +...C„K= Xcnk , (1) k=1

где K - число уровней ограничения доступа (категорий важности) информации, циркулирующей в n-ом сегменте.

Стоимость информации k-ой категории важности в n-ом сегменте рассчитывается по формуле:

Cnk= Ck0*Vnk, (2)

где Co - стоимость единицы объема информации k-категории важности;

Vnk - объем информации k-категории важности в n сегменте.

Тогда формула (1) с учетом (2) приобретает вид

к

Cn= X Ck0*Vnk . (3) k=1

3. Определяется объем (V^) и цена (C^) информации, подлежащей защите, циркулирующей на ОИ:

N

Vy = X Vn , (4)

¥ n

n=1

N

Се = Iсп, (5)

п=1

где N - число сегментов на ОИ.

4. Определяются коэффициенты ущерба по формуле

С

а п = ^, (6)

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

С1

где аn - доля ущерба, который может быть нанесен в случае реализации угроз информации в п-ом сегменте ОИ.

а =

5. Описывается множество КУВ ОИ, которые могут привести к нарушению конфиденциальности, целостности, доступности и оценивается вероятность их реализации на основе вышеприведенных выражений. После этого определяется степень защищенности ОИ от совокупности актуальных угроз.

Используя предложенный подход, можно сравнивать различные комплексы средств защиты по уровню защищенности, обеспечивая требуемый уровень защиты с учетом экономичности безопасности. Таким образом, основное назначение разработанной методики комплексной оценки угроз состоит в создании предпосылок для объективной оценки общего состояния информационной системы с точки зрения уровня защищенности информации в ней. Основной направленностью этой методики является не просто оценка угроз информации как таковых, а еще и оценка потерь, которые могут иметь место при реализации различных угроз. Необходимость в таких оценках возникает при анализе ситуации защищенности ОИ с

_МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ «СИМВОЛ НАУКИ» №3/2016 ISSN 2410-700Х_

целью выработки решений по организации защиты информации. Список использованной литературы:

1. Домарев В.В. Безопасность информационных технологий. Системный подход.- К.: ООО ТИД ДС, 2004.-992с.

2. Тищенко Е.Н., Серпенинов О.В. Оценка потребительского качества услуг провайдинга внешнего защищенного документооборота // Вопросы экономики и права. 2014. №5. с. 72-76.

3. Беленький П.П, Серпенинов О.В., Тищенко Е.Н. Формирование экономической модели подготовки специалистов по направлению подготовки «Информационная безопасность»//Бизнес. Образование. Право. 2015. №4 (33). с.59-62.

4. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. - СПб.: Наука и техника, 2004.-384 с.

© Серпенинов О.В., Денисов А.А., Болдырев А.Б., 2016

УДК 692.53

Симбирцева Светлана Алексеевна

Магистрант ТГУ г. Тольятти, РФ E-mail: [email protected]

ИССЛЕДОВАНИЕ ДИАГРАММЫ ДЕФОРМИРОВАНИЯ АРМАТУРЫ

Аннотация

Диаграммы деформирования бетона и арматуры являются исходной базой для построения алгоритма расчета железобетонных конструкций при разных режимах нагружения.

Ключевые слова

Напряжения, диаграммы деформирования бетона, арматуры, прочность, железобетонное сечение,

уравнение равновесия.

Диаграммы состояния (деформирования) арматуры ss - as используют при расчете железобетонных элементов по нелинейной деформационной модели.

Диаграмма арматуры разделяется на два участка: линейный от as = 0 до as=as.ei и нелинейный от as=as.ei до Os=Os.u,

где as.ei - предел упругости арматуры, равный Rs.„ns.ei,

os.u - сопротивление арматура разрыву, равное Rs.njsu',

ssu - относительная деформация, соответствующая as.и.

Исходные диаграммы деформирования арматуры для железобетонных конструкций описываются двумя диаграммами. Первая диаграмма связывает напряжения as с деформациями £s в трещине и описывается уравнениями для свободной арматуры, при этом в формулах индекс формально заменяется на индекс (s). Вторая диаграмма as — £sm связывает напряжения в арматуре в трещинах as со средними ее деформациями £sm, которые из-за сцепления арматуры с бетоном оказываются меньше деформаций £s. Работу растянутого бетона на участке с трещинами учитывают коэффициентом В.И. Мурашева. Вводится коэффициент, так называемый средний, секущего модуля деформаций арматуры на участке между трещинами vsm, который вычисляется по зависимостям, где коэффициенты заменяются на их значения для «средних» диаграмм.

Для высокопрочных арматурных сталей принимают криволинейную или кусочно-линейную зависимости, смоделированные по данным экспериментальных диаграмм деформирования арматуры.

i Надоели баннеры? Вы всегда можете отключить рекламу.