CC BY
162
И. В. Машкина, Е. А. Рахимов, В. И. Васильев
Россия, г. Уфа, УГАТУ
МЕТОДИКА ПОСТРОЕНИЯ МОДЕЛИ КОМПЛЕКСНОЙ ОЦЕНКИ УГРОЗ ИНФОРМАЦИИ, ЦИРКУЛИРУЮЩЕЙ НА ОБЪЕКТЕ ИНФОРМАТИЗАЦИИ
Повышение эффективности систем защиты информации (СЗИ) объектов информатизации (ОИ) вызывает необходимость разработки и практического применения методического обеспечения, затрагивающего вопросы комплексной оценки угроз безопасности информации, анализа информационных рисков, оценки уровня защищенности ОИ. Одним из первых этапов разработки СЗИ является анализ потенциально возможных угроз информации, хранимой, обрабатываемой и передаваемой по каналам связи на ОИ, при этом необходимо составить как можно более полную их совокупность и разработать модель угроз ОИ. На основе изучения различных подходов к классификации угроз [1,2,3], в настоящей работе предпринята попытка возможно более полного анализа угроз безопасности информации. При анализе угроз в первую очередь выявляются источники угроз, которыми могут быть:
- проектировщики и изготовители программно-аппаратных средств;
- внешний злоумышленник, осуществляющий проникновение в информационную среду ОИ через модем, широкополосный модем или беспроводную точку доступа;
- пользователь данного сегмента сети, соседнего сегмента или удаленный пользователь, осуществляющий воздействие на защищаемую информацию с нарушением прав и правил (нарушитель).
Далее выявляются собственно угрозы конфиденциальности, целостности, доступности. Причем в работе предлагается рассматривать множество угроз как множество каналов несанкционированного доступа, утечки информации и деструктивных воздействий на информационную среду ОИ (НСДУВ). При этом каждый канал НСДУВ рассматривается, с одной стороны, на множестве элементов угроз, с другой - на множестве элементов среды распространения носителя информации. Под элементом угрозы понимается потенциально возможное действие, совершаемое злоумышленником (нарушителем). Нарушение информационной безопасности тогда можно рассматривать как последовательно реализуемые элементы угроз, что в итоге может привести к нанесению ущерба.
Такой подход позволяет оценить вероятности осуществления угроз злоумышленником (нарушителем) как вероятности реализации каналов НСДУВ.
Подход к рассмотрению «компьютерной угрозы» как виртуального технического канала получения информации сформулирован в [2]. В данной работе каналом НСДУВ считается путь распространения носителя информации при манипулировании злоумышленника (нарушителя) информационными потоками с целью достижения определенного воздействия на информационную среду ОИ. Простейшая структура канала НСДУВ содержит: ПК или другую аппаратуру злоумышленника, среду распространения носителя информации, информационную среду ОИ. Функционирование канала осуществляется как действие или последовательность действий (элементов угроз) злоумышленника(нарушителя) по манипулированию информационными потоками на множестве элементов физической среды распространения носителя. Составим список таких потенциально возможных действий (элементов угроз):
- попытка проникновения злоумышленника с подключением к среде распространения носителя информации;
- посылка ложных заявок на обработку;
- фильтрация информации идентификации и аутентификации;
- поиск точек входа в информационную среду ОИ или ПК последовательным перебором известных уязвимостей;
- сборка мусора на диске и в оперативной памяти;
- внедрение мобильных вредоносных кодов и программ;
- несанкционированный доступ к наборам данных;
- изменение базы данных защиты (настроек СЗИ) с последующим несанкционированным получением и использованием прав доступа;
- криптоанализ.
Такой подход позволяет разработать модели каналов несанкционированного доступа, утечки информации или деструктивных воздействий на информационную среду отдельного персонального компьютера или сервера (НСДУВ ПК) и объекта информатизации в целом (НСДУВ ОИ). При разработке модели НСДУВ ПК используется структура типового ПК в виде:
В соответствии со структурой рассматриваются:
- потенциально возможные действия злоумышленника и несанкционированные действия удаленного пользователя (использование скоростного канала через сетевой адаптер, менее скоростного канала через модем и дистанционный перехват излучений ПК злоумышленником);
- угрозы в случае прямого доступа нарушителя к ПК через его внешние разъемы (копирование информации с жесткого диска на различные носители информации, загрузка с различных носителей информации, внедрение вредоносных программ с носителей информации);
- угрозы в случае прямого доступа к ПК с возможностью его вскрытия (подключение жесткого диска к оборудованию нарушителя, внедрение закладных устройств). Принят перечень типовых средств защиты и контроля защищенности ПК: система разграничения доступа (СРД), подсистема мониторинга и регистрации изменений (ПМРИ), антивирусная система (АС), система резервирования (СР), система шифрования (СШ), система обнаружения аномалий (СОА), средства защиты от ПЭМИ - электромагнитный экран (ЭМЭ).
ЦП
\ ^
ОЗУ
2
5
6
4
7
Рис. 1. Структура типового ПК
Для каждого вида канала построены модели в виде графов структуризации каналов НСДУВ ПК, отображающие физический путь распространения носителя информации на множестве элементов структуры ПК с учетом взаимодействия угроз со средствами защиты на ПК. Пример такой модели для случая удаленного
доступа злоумышленника (нарушителя) к информационной среде ПК через сетевой адаптер с целью нарушения целостности приведен на рис.2.
Рис. 2 Модель удаленного доступа злоумышленника /нарушителя к информационной среде ПК через сетевой адаптер с целью нарушения
целостности
По этой модели можно оценить вероятность реализации угрозы как произведение вероятностей успешного преодоления злоумышленником (нарушителем) защитных барьеров. Так, для приведенного примера:
рз =рз *( рз +(1-рз )*рз )*р * р (1)
А уцел А срд V А пмр Vх А пмр/ А соа/ А ас А ср > \А/
где рзуцел - расчетная вероятность нарушения целостности информации злоумышленником;
рзсрд- вероятность преодоления системы разграничения доступа злоумышленником;
рзпмр - вероятность необнаружения действий злоумышленника подсистемой мониторинга и регистрации;
рзсоа - вероятность преодоления системы обнаружения аномалий;
рср - вероятность отсутствия резервной копии;
рас - вероятность преодоления системы антивирусной защиты.
На основе анализа всех потенциально возможных сценариев действий злоумышленника (нарушителя) разработана структурная вербальная модель каналов НСДУВ на информационную структуру ПК, представленная в следующей табличной форме.
Таблица 1
Вариант нарушения/канал НСДУВ Цель воздействия Структура канала на множестве элементов ПК и барьеров Элемент воздействия или источник информации, источник опасного сигнала Местонахождение источника информации или элемента воздействия или источника опасного сигнала Вероятность реализации Скорость канала Время доступа Производительность кана-
Удаленный доступ
1а) С подключением к сети
1б) Съем ПЭМИ
Прямой доступ к ПК
Прямой доступ к компьютеру со взломом
Далее рассматриваются все потенциально возможные каналы НСДУВ ОИ в целом на множестве элементов типовой структуры сети, частью которой (расположенной в помещениях одного здания) является объект информатизации. Введем следующие обозначения элементов структуры сети и средств защиты: рабочая станция (РС), файл-сервер (ФС), межсетевой экран, широкополосный модем (ШМ), беспроводная точка доступа (БТД), маршрутизатор (МР), линия связи (ЛС), switch (SW). Построены модели в виде графов структуризации каналов НСДУВ в случае несанкционированных действий нарушителя из соседнего сегмента, из филиала организации, использующего модемный пул, беспроводную точку доступа при реализации угроз, состоящих из элементов, описанных выше. Используя представление каналов в виде графов, можно оценить вероятности их реализации.
Пример модели канала НСДУВ ОИ при поиске нарушителем точек входа последовательным перебором уязвимостей через модем с использованием модемного пула приведен на рис. 3 на множестве элементов среды распространения носителя информации.
Pн ,= p *pн
л- пи3 А sw А ш
где Рнпи3 - расчетная вероятность перехвата информации нарушителем через модем с использованием модемного пула;
Psw - вероятность преодоления нарушителем защиты свитча;
Рнш - вероятность преодоления нарушителем защиты трафика средствами шифрования.
@2 ©2©
■ (ни^— (сАЦфс)
Рис. 3. Модель канала утечки информации при перехвате информации нарушителем через модем с использованием модемного пула
Построены модели в виде графов структуризации аналогичных каналов НСДУВ ОИ, реализуемых злоумышленником.
Злоумышленнику первоначально необходимо осуществить этап подключения к среде распространения носителя информации. Попытка проникновения с подключением к среде распространения носителя по своему содержанию аналогична поиску точек входа последовательным перебором уязвимостей и является характерной для злоумышленника. На этом этапе происходит сканирование злоумышленником периметра ОИ с целью обнаружения уязвимостей, эксплуатация которых позволяет ему проникнуть в сеть Вероятность успешного выполнения этого этапа зависит от используемых средств защиты периметра сети.
Пример модели канала воздействия злоумышленника на ОИ, приводящего к нарушению доступности при посылке ложных заявок, через беспроводной адаптер с использованием точки беспроводного доступа, показан на рис . 4.
БСА )I ПК
©<_
Рис. 4. Модель канала деструктивного воздействия злоумышленника на ОИ, приводящего к нарушению доступности при посылке ложных заявок через беспроводной адаптер с использованием точки беспроводного доступа
Вероятность этого этапа определяется как:
Pз _= pз *pз
А лз3 А м А уд ?
где P3лзз- расчетная вероятность нарушения доступности посылкой ложных заявок через беспроводной адаптер с использованием точки беспроводного доступа;
Pзм - вероятность преодоления ложными заявками межсетевого экрана;
Pзуд - вероятность успешного преодоления злоумышленником средств защиты от блокирования доступа на файл-сервере.
На основе анализа потенциально возможных каналов НСДУВ ОИ, реализуемых злоумышленником (нарушителем), разработана структурная вербальная модель каналов НСДУВ ОИ, приведенная далее в табличной форме:
Таблица 2.
Канал / совокупность элементов угроз Цель воз- дейст- вия Структура канала Элемент воздействия или источник информации, источник опасного сигнала Вероят- ность реали- зации канала Местонахождение источника информации или элемента воздействия или источника опасного сигнала
Каналы, реализуемые злоумышленником
Каналы, реализуемые нарушителем
Наиболее сложным этапом при построении моделей НСДУВ ПК и ОИ в целом является оценка вероятностей реализации каналов НСДУВ. В работе предлагается оценивать вероятность реализации каждого канала как произведение вероятностей элементов угрозы; при этом вероятности элементов угроз могут быть определены следующим образом:
- как статистические вероятности и вероятности, вычисленные на основе известной статистики (Pст £[0,1]);
- методом нечеткой логики ^нл £[0,1]);
- если для выполнения элементарной угрозы необходимо преодоление существующего в системе барьера, то вероятность элемента угрозы принимается равной вероятности успешного преодоление злоумышленником (нарушителем) существующего барьера ^Б £[0,1]).
Каждая из вероятностей элементарных угроз принадлежит одному из трех множеств: ^0!-},^™},^}. Таким образом, результирующие вероятности каналов НСДУВ позволяют учесть динамику статистических значений элементов угроз, вероятности, полученные экспертным путем, и изменение вероятностей преодоления барьеров при замене средств защиты в случае модернизации СЗИ или при плановом управлении защитой информации. Используя расчетные значения вероятностей реализации каналов НСДУВ, можно оценить, насколько адекватны реализованные в СЗИ механизмы и средства защиты информации существующим рискам; оценить уровень защищенности ОИ и определить, является ли он достаточным, какими мерами можно реально повысить уровень защищенности.
В работе предложена методика расчета уровня защищенности информации на ОИ, основанная на ранее разработанной модели ОИ [4] и предложенной методике моделирования угроз. Кратко изложим методику.
1. Проводится декомпозицию ОИ на составляющие подсистемы - сегменты.
2. Определяется объем и рассчитывается стоимость защищаемой информации в п-ом сегменте по формуле:
к
Сп=Сп1+.. +...СпК= ^Спк , (1)
к=1
где К - число уровней ограничения доступа (категорий важности) информации, циркулирующей в п-ом сегменте.
Стоимость информации к-й категории важности в п-м сегменте рассчитывается по формуле[5]:
Спк= Ск()*Упи , (2)
где - Ск0 - стоимость единицы объема информации к-категории важности,
V к -объем информации к-категории важности в п сегменте.
Тогда формула (1) с учетом (2) приобретает вид
К
С
'—'П
(3).
к=1
3. Определяется объем (У^) и цена (С^) информации, подлежащей защите, циркулирующей на ОИ:
N N
^ = I У (4), СЕ = X Сп , (5)
п=1 п=1
где N - число сегментов на ОИ.
4. Определяются коэффициенты ущерба по формуле
С
«п = ^ , (6)
СI
где ап - доля ущерба, который может быть нанесен в случае реализации угроз информации в п-м сегменте ОИ.
а,
а =
5. Описывается множество каналов НСДУВ ОИ, которые могут привести к нарушению конфиденциальности, целостности, доступности.
Описывается множество каналов {8}, реализация которых возможна в данном сегменте. Множество каналов НСДУВ, реализация которых возможна в сегменте, может быть описано в матричном виде, например
1 1 1 0 0 ..0-
Х)З,Н
Р п(3*Ц) =
1 0 1 1 0 .. 1
110 0. . о
где число строк в матрице равно числу 8 потенциально возможных в п-м сегменте каналов НСДУВ, 8 £8 число столбцов равно максимальному числу элементов угроз.
Таких матриц формируется две для каждого сегмента. Одна отображает потенциально возможные действия злоумышленника, а другая - нарушителя.
В строке единицы указывают задействованные в канале элементы угроз.
6. Далее для каждого сегмента составляются две диагональные квадратные матрицы. В одной матрице по диагонали вписаны вероятности элементов угроз для случая реализации угрозы злоумышленником, в другой - нарушителем. Пример такой матрицы для п-го сегмента
т>З,Н
Р п(и*и) =
Ри1 0 0 0 0 0 0
0 Ри2 0 0 0 0 0
0
0 0 0 0 0 Р.,
где Рии - вероятность реализации элемента угрозы. Число строк и столбцов в этой матрице равно и.
7. Вычисляется матрица угроз нарушителя и матрица угроз злоумышленника.
т>З,Н т)З,Н *т>З,Н
Р п = Р п(8*Ц) * Р п(и*и)
8. После этого степень защищенности может быть вычислена по формуле
Ц = 1 - аТ(Е - РгсаСс1П(Е - (0,2 * ProdRowP3п + 0,8 *ProdRowPНп))) ,
где ProdRow - операция умножения ненулевых элементов в строке матрицы; ProdCo1 - операция умножения ненулевых элементов столбцов;
" 1" " 1 "
N 1 и 1
Е = ; е =
1 N 1
; ат = [а1...ап] =
с.
с
с.
Сп
с.
Используя предложенный подход, можно сравнивать различные комплексы средств защиты по уровню защищенности, обеспечивая требуемый уровень защиты с учетом экономичности безопасности. Таким образом, основное назначение разработанной модели угроз состоит в создании предпосылок для объективной оценки общего состояния информационной системы с точки зрения уровня защищенности информации в ней. Основной направленностью этой модели является не просто оценка угроз информации как таковых, а еще и оценка потерь, которые могут иметь место при реализации различных угроз. Необходимость в таких оценках возникает при анализе ситуации защищенности ОИ с целью выработки решений по организации защиты информации.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Щеглов А. Ю. Защита компьютерной информации от несанкционированного доступа. -СПб.: Наука и техника, 2004. -384 с.
2. Варламов О. О. Системный подход к созданию модели компьютерных угроз информационной безопасности. // Материалы VI Международной научно-практической конференции «Информационная безопасность». - Таганрог: Изд. ТРТУ, 2004.- С. 61-65 .
3. Домарев В. В. Безопасность информационных технологий. Системный подход: - К.: ООО ТИД ДС, 2004.-992 с.
4. Машкина И В.. Рахимов Е. А. Модель объекта информатизации // Материалы VI Международной научно-практической конференции «Информационная безопасность»-Таганрог: Изд. ТРТУ, 2004.
5. Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам //Гротек, 1997. - 248 с.
и
