CC BY
65
УДК 004.056.5
Н. В. Евглевская, Ан. А. Привалов
Петербургский государственный университет путей сообщения
Ал. А. Привалов
ФГУП «ЗащитаИнфоТранс»
МОДЕЛЬ ПРОЦЕССА ПОДГОТОВКИ ЗЛОУМЫШЛЕННИКА К ИНФОРМАЦИОННОМУ ВОЗДЕЙСТВИЮ НА АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ УПРАВЛЕНИЯ ЖЕЛЕЗНОДОРОЖНЫМ ТРАНСПОРТОМ
Рассматривается комплексная математическая модель процесса подготовки организованного злоумышленника к информационному воздействия на автоматизированные системы управления железнодорожным транспортом. Новизна предлагаемой модели заключается в комплексном учете возможностей злоумышленника по оказанию информационного воздействия, осуществляемого на основе данных, добываемых агентурной технической и компьютерной разведками. Модель позволяет численно определить критериальные требования к полноте и периодичности контроля безопасности информации на объектах информатизации с учетом особенностей их построения и функционирования.
автоматизированная система управления железнодорожным транспортом (АСУ ЖТ), организованный злоумышленник, метод топологического преобразования, стохастическая сеть, эквивалентная функция.
Введение
Известно, что исправная и бесперебойная работа автоматизированных систем управления железнодорожным транспортом (АСУ ЖТ) обеспечивает безопасность основных технологических процессов. Именно поэтому указанные автоматизированные системы создаются на основе использования выделенного, защищенного и недоступного для других пользователей инфокомму-никационного ресурса. Сложность обеспечения штатной работы современных автоматизированных систем управления (АСУ) в последнее время существенно возросла из-за участившихся случаев пиратства и террористических актов, реализуемых организованными злоумышленниками с целью демонстрации силы и/или устрашения. Злоумышленниками все чаще используются не только способы и средства физического уничтожения, но и новые - информационные средства воздействия на технологические процессы [1]. По оценкам ведущих специа-
17
листов антитеррористических организаций, осуществление таких (информационных) воздействий на социально значимые объекты будет иметь последствия, гораздо большие по степени экономических потрясений и человеческих потерь со средствами физического уничтожения. При этом целью информационного воздействия является, как правило, главный производственный процесс, реализуемый на поражаемом объекте. Впервые возможности этого нового вида террористического оружия были продемонстрированы в 2010 г. на закрытой телекоммуникационной сети ядерного центра в г. Натанз (Иран), что привело к срыву штатного управления ядерным реактором и запуску заблаговременно внедренных аварийно-опасных программ [1]. Специалисты отмечают [2], что успешно реализованное информационное воздействие может многократно увеличить эффективность применения средств физического уничтожения.
Поскольку АСУ ЖТ является системой, реализующей технологический производственный процесс, обеспечивающий безопасность железнодорожных перевозок, имеющих большое социальное и экономическое значение, очевидно, что указанные системы также могут оказаться под угрозой данного вида воздействия, несмотря на то, что они, казалось бы, недоступны для других пользователей.
Согласно нашему анализу, информационные воздействия на технологические процессы организуются на основе данных, добываемых злоумышленником из информации, циркулирующей в инфокоммуникационных сетях и обрабатываемой на объектах информатизации. Для достижения своих целей и осуществления информационного воздействия организованный злоумышленник должен реализовать ряд частных процессов:
- добывание данных об объекте информатизации (т. е. выявление его принадлежности к интересующему ведомству), его месте и роли в реализации производственного технологического процесса, степени использования средств вычислительной техники и т. д.;
- вскрытие, т. е. установление факта наличия каналов утечки информации и выявление наиболее информативных из них;
- скрытая установка аппаратуры выделения, обработки и передачи злоумышленнику информации (АСИ) с выявленных каналов утечки;
- вскрытие инфокоммуникационной сети, используемой для реализации главного технологического процесса;
- внедрение потенциально опасных программ, обеспечивающих несанкционированный доступ к обрабатываемой и передаваемой информации с целью ее хищения, модификации, блокирования и т. д.;
- выбор наиболее эффективного вида информационного воздействия и его реализация.
Отметим, что первые три из перечисленных процессов реализуются злоумышленником с использованием сил и средств агентурной и агентурно-технической разведки, последующие - компьютерной разведки.
18
Для затруднения ведения агентурной технической и компьютерной разведок используются известные, описанные в литературе методы [3, 4]. Однако методы оценки возможности реализации информационных видов воздействия на основе данных, получаемых из разных источников, в известной нам литературе не описаны.
С целью определения и последующей оценки времени, необходимого организованному нарушителю для реализации информационного воздействия на АСУ ЖТ, рассмотрим следующую постановку задачи.
1 Постановка задачи
Пусть имеется АСУ ЖТ, являющаяся объектом информационного воздействия со стороны организованного злоумышленника, который добывает данные о ее элементах силами агентурной разведки за случайное время t с функцией распределения B(t), после чего приступает к вскрытию объектов информатизации и инфокоммуникационной сети. Указанные процессы реализуются агентурной технической и компьютерной разведками злоумышленника за случайное время tK и t с функциями распределения K(t) и R(t) соответственно. Функции распределения K(t) и R(t) определяются с помощью ранее разработанных, известных моделей [5]. В случае успешного вскрытия элементов АСУ ЖТ и программно-аппаратной и аппаратурной доступности (а вероятность этих событий равна Р2 и P соответственно) злоумышленник внедряет потенциально опасные программы за случайное время t с функцией распределения P(t) и устанавливает АСИ с выявленных каналов утечки за случайное время t с функцией распределения A(t). Если добываемых сведений недостаточно для внедрения потенциально опасных программ и установки аппаратуры съема информации, то указанные выше процессы возобновляются с вероятностями (1 - Р1) и (1 - Р2) соответственно. Отметим, что вероятности Р и Р2 характеризуют программно-аппаратную и аппаратурную доступность инфокоммуникационной сети и существующих технических каналов утечки информации на объектах АСУ ЖТ.
Требуется определить среднее время T и функцию распределения F(t) времени готовности нарушителя к реализации информационного воздействия на элементы АСУ ЖТ.
2 Решение
Представим описанный в постановке задачи процесс в виде стохастической сети (рис. 1).
19
Рис. 1. Стохастическая сеть процесса подготовки злоумышленника к реализации информационного воздействия на АСУ ЖТ
На рисунке обозначено:
ГО
b(s) = J exp(-s • t)b(t)dt - преобразование Лапласа функции плотности
распределена вероятностей времени добывания данных об элементах АСУ ЖТ b(t);
ГО
r(s) = J exp(-s • t)r(t)dt - преобразование Лапласа функции плотности распределена вероятностей времени вскрытия инфокоммуникационной сети
КО;
00
к (s) = J exp(-s • t )к (t )dt - преобразование Лапласа функции плотности
о
распределения вероятностей времени вскрытия каналов утечки информации
на объектах информатизации АСУ ЖТ k(t);
00
p( s) = J exp(-s • t)p(t)dt - преобразование Лапласа функции плотно-
о
сти распределения вероятностей времени внедрения потенциально опасных программ в терминальное, серверное и телекоммуникационное оборудование
инфокоммуникационной сети АСУ ЖТ p(t);
00
a(s) = J exp(-s • t)a(t)dt - преобразование Лапласа функции плотности
о
распределения вероятностей времени установки аппаратуры съема информации вскрытия с каналов ее утечки на объектах информатизации АСУ ЖТ a(t).
Используя уравнение Мейсона и результат [5], определим эквивалентную функцию сети:
Q(s) = b( s)[ P(s)r(s)Pi + к(s)a(s)P2 - P(s + У)r(s + У)P1 -1 - (1 - Pi)r(s) 1 - (1 - P2)k(s) 1 - (1 - Рг)ф + У)
20
k(s + х)а(s + х)P.! q(0) 1 - (1 - P1)к(s + х) ^( 0
(1)
где х = --
d p( s)r (s) P1 -1 d k ( s) a( s) P)
ds 1 - (1 - P) r (s) _ s=0 ds 1 - (1 - P2) k (s) _
-1-1
s=0
Положим, функции распределения времени реализации частных процессов относятся к классу экспоненциальных с параметрами: b = 1Лд; r = 1/tp; к = 1/tK;p = 1Лп; a = 1/ta. Здесь: tR, t tK, ta и t& - среднее время добывания данных об элементах АСУ ЖТ; вскрытия инфокоммуникационной сети; вскрытия каналов утечки информации; внедрения потенциально опасных программ и установки аппаратуры съема информации соответственно.
Несложно видеть, что выражение (1) содержит ряд слагаемых функций. Применяя к каждой из них разложение Хевисайда и осуществляя почленный переход от изображений по Лапласу в пространство оригиналов с учетом указанного выше предположения, получим функцию плотности распределения вероятностей времени готовности нарушителя к реализации информационного воздействия на АСУ ЖТ:
f(t) = K(t) - 43(t) + 42(t) - Ф4(t)] /Q(0X
(2)
з p• P • b • r • exp(s41i • t) з b • P2 • к • a • exp(sm2i • t)
где Фl(t) = ъ: 1 .-------------- У У Ф2(t) = Z, 2 ----- Ф i
i=1 3 • y0,.2 + 2 • sA 21 + 22
=13 • Vt2 + 2 • Vt •B1 + B2
ф2 i
з p • р • b • r • exp(s43i • t) з к • P • b • a • exp(sm4i • t)
Фз(t) = Ът—^— I3',; Ф4(t) = Z 1 A i
i=1 3 • Vt2 + 2 • s'3i • B3 + B4
1 3 • s94 + 2'24/ ' A3 + '4
A1 = b + a + kP2; A2 = ba + bkP2 + akP2; A3 = b + a + 3x + kP2;
A4 = ab + 2bx + bkP2 + 2 xa + akP2 + 3x2 + 2 xkP2;
B1 = b + p + rP1; B2 = bp + brP1 + prP1; B3 = b + p + 3y + rP1;
'У
B 4 = pb + 2by + bpP1 + 2 yp + prP1 + 3 y + 2 yrP1 - коэффициенты разложения слагаемых функций (1);
s411 = -b; s'12 = -p; s'13 = -rP1; 21 = -b; s'22 = -a; s423 = -kP2; s431 = -(b + y); s'32 = -(p+y); s'33 = -(P1r+y); s441 = -(b + x);
> 42
-(a + x); s
ф43
-(P2k + x) - полюса слагаемых функций (1).
Интегрируя каждое из слагаемых (2) по t с переменным верхним пределом, получим искомую функцию распределения
21
F (t)
1
6(0)
з Ф1 з фз
[ Z------- (1 - eSp1i) - Z----L (1 - ) +
i=1 Sp1i i=1 Sp3i
3 Ф2 s 3 Ф4/ s +Z---------- (1 - eSp 2i) - Z--------(1 - eSp 4i)]
i=1 Sp2i i=1 Sp 4i
(3)
и среднее время, необходимое нарушителю для реализации информационного воздействия на АСУ ЖТ:
T =
6(0)
3 ф!г. з ф3. з ф2. з ф4.
Z —L-Z —L+Z —L -Z —L
i=1 Sp1i2 i=1 sp3i2 i=1 Sp2i2 i=1 Sp4i2
(4)
где Ф1 Ф2., Ф3., Ф4. - i-е коэффициенты ряда вычетов, соответствующего слагаемым функциям в (1), численно равные:
Ф1,
p • P1 • b • r
3 • V + 2 • SP1i ^ B1 + B 2
Ф2,
b • P2 • к • a
3 • s 2 + 2 • sp2i • i1 + Ai
p2i2 P2
Ф3 =
p • P1 • b • r
3 • s , 2 + 2 • sp3i • B3 + B4
p3i2 p3i
Ф4 =
к • P1 • b • a
3 ^ Sp4i2 + 2 ^ Spi ^ i + A4
Таким образом, поставленная задача решена.
3 Результаты моделирования
По формулам (3) и (4) произведены расчеты, результаты которых представлены в виде графиков на рис. 2 и 3.
F(t) 1
0.8 0.6 0.4 0.2 0
0 600 1200 1800 2400 3000 3600 4200 4800 5400 6000 t (мин)
Рис. 2. Семейство функций распределения времени готовности злоумышленника к воздействию при различной программно-аппаратной и аппаратурной доступности
Т = 2 О 00 н); Р1 = 0,95 ; Р2 = 0,9
Т = 5 17 (ми н); Р1 = 0,6; Р2 = 0 ,45
Т = 1 468 (м ин); Р 1 = 0,2 ; Р2 = 0,5
te = 2 Е=5 о о [н); tp = 100 мин)
22
F(t) 1
0.8
0.6
0.4
0.2
0
Т = 760(ми н); tR = 100 (ми н); tp = 50 (мин )
^ Т = 1188 (м ин); tx = : 150 (м ин); tp = = 100 (м ин)
Т = 2141(м ин); tE = : 300 (м ин); tp = = 150 (м ин)
Р1 = 0,2; Р2 = 0,15
0 600 1200 1800 2400 3000 3600 4200 4800 5400 6000 t
(мин)
Рис. 3. Семейство функций распределения времени готовности злоумышленника к воздействию при различном среднем времени вскрытия инфокоммуникационной сети и технических каналов утечки информации
При расчетах предполагалось, что среднее время внедрения потенциально опасных программ t и установки аппаратуры съема информации с каналов ее утечки t не превышает 3 и 50 минут соответственно [3, 4].
Значения вероятностей программно-аппаратной доступности Р инфокоммуникационной сети и аппаратурной доступности Р2 технических каналов утечки информации на объектах АСУ ЖТ изменялись в пределах 0,2.. .0,95. Величина среднего времени вскрытия инфокоммуникационных сетей t и каналов утечки информации t на объектах АСУ ЖТ определялась на основе данных промежуточного моделирования указанных процессов и варьировалась от 50 до 300 минут.
Заключение
Анализ полученных результатов позволяет сделать следующие выводы:
1. Несмотря на то что АСУ ЖТ используют выделенный, защищенный и недоступный для других пользователей инфокоммуникационный ресурс, существует реальная угроза информационного воздействия на ее элементы организованным злоумышленником, например за счет использования «боевых вирусов» [1, 2] и недекларируемых программно-аппаратных возможностей (закладок).
2. Предложенная модель является работоспособной, чувствительной к изменению исходных данных, адекватно отображает процесс подготовки
23
злоумышленника к информационному воздействию на АСУ ЖТ и позволяет определить его вероятностно-временные характеристики. Так, например, при потенциальных возможностях существующей аппаратуры съема информации и программно-аппаратных средств «взлома» инфокоммуникационных сетей [3, 4] злоумышленник может внедрить в АСУ ЖТ «боевой вирус» за время, не превышающее 10 часов с вероятностью не менее 0,9.
3. В отличие от ранее известных, модель позволяет комплексно оценить возможности злоумышленника по оказанию информационного воздействия, осуществляемого на основе добываемых различными видами разведки данных. Кроме того, появляется возможность сопоставительного анализа и оценки угроз информационной безопасности не только за счет учета потенциальных, описанных в специальной литературе, возможностей злоумышленника, но и времени их возникновения.
4. Функции распределения времени вскрытия объектов информатизации, инфокоммуникационной сети и технических каналов утечки информации заранее известны и соответствуют рациональным алгоритмам ведения злоумышленником агентурной, агентурно-технической и компьютерной разведок. Это позволяет на этапе технического проектирования АСУ ЖТ осуществлять количественно обоснованное распределение средств зашиты и контроля безопасности информации с учетом потенциальных возможностей злоумышленника, особенностей построения и условий функционирования элементов системы. Указанные функции могут быть определены при помощи ранее разработанных авторами моделей, например [5].
5. Полученные в ходе моделирования значения среднего времени и вероятности готовности злоумышленника к информационному воздействию к заданному моменту времени позволяют на этапе непосредственной эксплуатации АСУ ЖТ определять рациональную периодичность и глубину контроля безопасности информации за счет использования вычисленных значений в качестве критериальных.
6. Использование предложенной модели в составе единой системы мониторинга и администрирования (ЕСМА) инфокоммуникационных сетей железнодорожного транспорта позволит прогнозировать время изменения условий их функционирования из-за информационного воздействия и заблаговременно предпринять обоснованные меры по его предотвращению (нейтрализации).
Библиографический список
1. Противостоять и скрывать: тайные войны Обамы и удивительное использование американской силы / Д. Сангер [Электронный ресурс]. - Режим доступа : http://ru.wikipedia. org/wiki/Stuxnet.
24
2. Пять фактов о самом опасном компьютерном вирусе современности / Р Ланг-нер [Электронный ресурс]. - Режим доступа: http://www.factroom.ru/facts/ Stuxnet.4459.
3. Защита информации. Вас подслушивают? Защищайтесь! / Д. Б. Халяпин. - М. : НОУ ШО «Баярд», 2004. - 432 с.
4. Безопасность корпоративных сетей / Т А. Биячуев. - СПб. : ГУИ ИТМО, 2004. -
161 с.
5. Метод топологического преобразования стохастических сетей и его использования для анализа систем связи ВМФ / А. А. Привалов. - СПб. : ВМА, 2001. - 186 с.
© Евглевская Н. В., Привалов Ан. А., Привалов Ал. А., 2013
25
