В.В. Меньших, О.В. Толстых
доктор физико-математических наук, профессор
МОДЕЛЬ РАСПРОСТРАНЕНИЯ И УСТРАНЕНИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОБЪЕКТЕ
ИНФОРМАТИЗАЦИИ
MODEL OF DISTRIBUTION AND ELIMINATION OF INFORMATION SECURITY THREATS ON INFORMATION OBJECT
Предложена модель распространения различных типов угроз информационной безопасности на объекте информатизации и их устранения средствами системы защиты информации.
The model of distribution of various types of threats of information security on an object of informatization is presented and the ways of their elimination by means of an information security system are offered.
Введение. В настоящее время современные информационные технологии активно внедряются в деятельность органов внутренних дел. Однако использование этих технологий, обеспечивая повышение эффективности решения служебных задач сотрудниками, вместе с тем существенно увеличивает риск возникновения угроз информационной безопасности (ИБ) на объектах информатизации. В целях противодействия этим угрозам создаются системы защиты информации (СЗИ) [1].
В связи с этим актуальной является задача выбора варианта системы защиты информации (СЗИ) на объекте информатизации. В интересах решения этой задачи необходимо разработать модель, позволяющую оценивать не только процесс распространения, но и процесс устранения угроз.
Объект информатизации в общем случае включает в себя локальные вычислительные сети, отдельные автоматизированные рабочие места, вспомогательные технические средства и системы. Каждый элемент объекта информатизации может оказаться объектом воздействия нарушителей или оказаться вовлеченным в процесс распространения угроз информационной безопасности в связи с тесной взаимосвязанностью элементов между собой и их территориальным расположением. При этом источники угроз при взаимодействии с элементами объекта информатизации могут порождать различные угрозы этим элементам. Например, некоторые вредоносные программы воздействуют только на файлы определенного типа. Поэтому компьютер, в памяти которого нет файлов данного типа, сам не подвергаясь угрозе, выступает в качестве распространителя угрозы.
Частично данная задача решалась в [2—5], где использовался аппарат теории графов, теории сетей Петри и теории автоматов [6, 7], но в этих публикациях не учитывалась описанная выше особенность распространения угроз ИБ на объектах информатизации, моделирование которой осуществляется в настоящей статье.
Процесс моделирования включает несколько этапов.
Начальный этап: разработка графовой модели объекта информатизации.
В каждом объекте информатизации могут быть выделены отдельные компоненты:
совокупность информационных средств, различающихся информационными ресурсами и способами их обработки (К);
совокупность вспомогательных технических средств, обеспечивающих
функционирование информационных систем (V);
персонал (Ь).
Каждый из компонентов в свою очередь может быть разделен на множество элементов, которые могут подвергаться различным угрозам ИБ. Следовательно, объект информатизации представляет собой многоуровневую иерархическую систему.
Между элементами рассматриваемой системы существуют различного вида взаимоотношения, которые могут способствовать распространению угроз ИБ.
Поэтому для решения задачи обеспечения ИБ объекта информатизации необходимо выявить взаимоотношения между отдельными элементами для изучения их влияния на показатели обеспечения ИБ объекта информатизации в целом в интересах последующей оптимизации этих показателей.
Взаимоотношения между отдельными элементами являются проявлением осуществляемых политик безопасности информационных систем, используемых на данном объекте информатизации. Обратимся к рассмотрению только тех взаимоотношений между элементами компонентов объекта информатизации, которые влияют на распространение угроз ИБ на этом объекте.
Традиционно все взаимоотношения между элементами систем любой природы сводятся к бинарным отношениям следующих основных видов [8]:
топологическим (Т), характеризующим отношения соответствия элементов друг
другу;
функциональным (Р), характеризующим существование соответствия между элементами, в частности отношения вида «иметь функцию»;
информационным (/), характеризующим отношения передачи информации между элементами;
временным, характеризующим причинно-следственные отношения между элементами, в частности отношения типа «завершиться ранее начала выполнения другого действия».
Временные отношения описывают причинно-следственные связи между элементами объекта информатизации, т. е. всегда являются проявлением существующих информационных и функциональных отношений в конкретных ситуациях использования информационных систем, например решении прикладных задач. Следовательно, учет всех информационных и функциональных отношений автоматически приведет к учету и всех временных отношений. Поэтому временные отношения в дальнейшем в работе не рассматриваются.
Данные бинарные отношения можно задать в виде графа О = (ОУ,ОЕ,И) с цветными дугами. Вершины ОУ = Ь иУ и К соответствуют множеству всех элементов объекта информатизации, дуги ОЕ = Т иР и / — множеству всех отношений; И — функция задания цвета дуг, соответствующая типам угроз информационной безопасности.
Полученный граф О = (ОУ, ОЕ,И) описывает общую структуру процесса распространения угроз на объекте информатизации. Для более гибкого описания этого процесса преобразуем полученный граф в Петри-подобную сеть.
1-й этап: разработка сетевой модели распространения угроз информационной безопасности.
Преобразуем граф О = (ОУ, ОЕ, И) в цветную сеть ^ = {е,0(х} ,И, )
следующим образом:
- множество вершин Уг е ОУ, соответствующее элементам объекта информатизации, преобразуем во множество позиций аг е Х1;
- множество дуг е ОЕ, отражающих возможность распространения угроз информационной безопасности, преобразуем во множество переходов г^е г|(1), при этом в отличие от классических сетей, где цветными являются только фишки, будем считать, что переходы так же являются цветными.
Функцию задания цвета переходов будем обозначать, как и в графе, И, которая задавала цвета дугам этого графа. Отношение инцидентности вершин и дуг в графе О преобразуем в обобщенные функции входов и выходов 7]\ и 1 соответственно:
если вершина у у, соответствующая позиции оу, является началом дуг еуг, ву2, ■ ■■,еур, которые были преобразованы в переходы вц, ву2,., вур, то
пЛОц) = ау,У = 1, ,р; = {Рц,...,^]р};
если вершина Ук, соответствующая позиции Ок, — конец дуг вкг, вк2,... ,вкр, то
т) = °к, к = 1,...,р;^1(^к) = {^к,...,^кр }.
Если на объекте информатизации существует угроза определенного типа, то будем считать, что эта позиция маркирована фишкой, цвет которой соответствует типу угрозы (переходы и фишки, соответствующие одному типу угроз, окрашиваются в один и тот же цвет). Будем считать, что на множестве позиций задана функция т = (тг ,т,-,тп) а® N, где т (а) — количество фишек г-го цвета в позиции о.
В соответствии с классической теорией сетей естественно предположить, что переход в цвета И1 разрешен, если входная позиция этого перехода а = Г}(0 имеет т(а ))0, т.е. во входе позиции перехода в есть хотя бы одна фишка того же цвета, что и переход в.
Срабатывание перехода в означает изменение маркировки его входной позиции
а и его выходной позиции а" следующим образом:
т(а):= т(а)-1, тг(а") = тг(а") +1.
Анализ показывает, что сетевая модель в данном виде не может быть использована для моделирования распространения угроз, т.к. допускает возможность существования конфликтов.
Действительно, если из позиции, соответствующей элементу объекта информатизации, фишка, моделирующая угрозу ИБ 1-го типа, может распространяться на несколько других элементов, это приводит к удалению фишки из позиции, маркирующей эту угрозу. Это означало бы исчезновение угрозы на соответствующем элементе объекта информатизации, что противоречит логике решаемой задачи.
Указанного недостатка можно избежать, если каждую позицию, соответствующую элементу объекта информатизации, преобразовать в так называемую позицию-«ловушку», т.е. позицию, которую не может покинуть ни одна фишка (рис. 1).
а
а
Рис. 1. Преобразование позиций в позиции-«ловушки»
После преобразования получаем сеть = (х, 0(1), И, А2,ц2), где обобщенные функции входов и выходов Ц2 и 1 соответственно задаются следующим образом:
если вершина Уу, соответствующая позиции оу, является началом дуг у ву2, ...,еур, которые были преобразованы в переходы вуи, ву2,..., вур, то
П2( Оуг) = ау,Л2 (ау) = вугу1 = 1, ,Р; 12(а]) = {вЦвур}';
если вершина Ук, соответствующая позиции Ок, — конец дуг вк1, вк2,.,вкр, то 1( вЫ ) =ак, ^2(ак ) = вЫ, к1 = 1,..,Р;^2(ак) ^к^..^ вкр }.
Будем считать, что с каждым переходом в ассоциируется бинарное отношение ^ ® на множестве угроз информационной безопасности — «способствовать появлению».
Будем называть переход в, которому соответствует бинарное отношение ^ (1), переходом, оснащенным бинарным отношением ^ (1).
Легко видеть, что всегда бинарные отношения ^ ® обладают свойством рефлексивности, т. е. для каждой угрозы и выполняется свойство и%(д>ы . Другие свойства бинарного отношения проявляются в зависимости от ситуации.
Доопределим правила выполнения переходов для переходов, оснащенных бинарным отношением ^ (1) . Будем считать, что переход в, имеющий цвет И, разрешен,
если в его входные позиции а =ц(в ) т(а))0, где И ----- цвет угрозы иу , для которой
и^ uj, т. е. в позиции а есть фишка, цвет которой соответствует угрозе и у, способствующей появлению угрозы и. .
Выполнение перехода в, оснащенного бинарным отношением ^(1) , означает
изменение маркировки его входной позиции а и выходной позиции а , следующим образом:
т (а ) - 1 +1 = т (а ), т. е. маркировка позиции а не изменяется в силу того, что эта позиция представляет собой «ловушку»;
у) (гР) = тт(1, гКгР) +1), т(а ) = тт( 1, ц' (а ) +1).
Будем считать, что с каждым переходом в ассоциируется бинарное отношение ^ (1) на множестве угроз информационной безопасности — «способствовать появлению».
2-й этап: разработка сетевой модели, учитывающей возможность устранения угроз информационной безопасности. Для предотвращения реализации угроз ИБ в соответствии с политикой информационной безопасности используются различные средства защиты, представляющие собой элементы СЗИ. В общем случае элементы СЗИ можно разделить на два типа:
предотвращающие распространение угроз ИБ от одного элемента объекта информатизации к другому;
устраняющие угрозы ИБ на самих элементах объекта информатизации.
Первоначально рассмотрим вопрос моделирования действий элементов СЗИ, осуществляющих предотвращение распространения угроз ИБ между элементами объекта информатизации. Для этого могут быть использованы так называемые сдерживающие дуги.
Каждому элементу СЗИ ставится в соответствие позиция, маркируемая фишками, цвет которых соответствует угрозам, предотвращаемым этим элементом. Сдерживающие
дуги направлены от позиций, соответствующих элементам СЗИ, к переходам, соответствующим блокируемым путям распространения угроз информационной безопасности соответствующих типов.
Правило запуска перехода в сетях со сдерживающими дугами следующее: переход является разрешенным, когда фишки того же цвета, что и цвет перехода, присутствуют во всех «обычных» входах, т. е. входах, соответствующих элементам объекта информатизации, и отсутствуют в «сдерживающих» входах, т. е. входах, соответствующих элементам СЗИ. Правило выполнения перехода не изменяется: удаляются фишки из всех его «обычных» входов. Сдерживающая дуга из позиции а в переход в графически изображается маленьким кружком (а не стрелкой) у конца дуги, присоединенного к переход у.
После преобразования получаем сеть =(хи5 (1), 0(1), ^(1),И, 1,я3),
где 5(и — множество позиций, соответствующих элементам СЗИ, препятствующим распространению угрозы ИБ; ^(1) — множество бинарных отношений ^ (1) для всех
ве0(1); обобщенные функции входов и выходов 7/3 и 13 не изменяются для ранее ввденных переходов, соответствующих элементам объекта информатизации, т.е.
= ^2 1 Ей 0 ,
= ^2
Ей 0
и доопределяют ранее используемые функции Ъ2 и 1 для вновь введенных позиций следующим образом:
если соответствующая элементу СЗИ позиция у может блокировать распространение угроз, описываемых переходами вуи, ву2,..., вур, то
Ъ(вг) =Ху, ]г = 1,...,Р; {вJ1, ...,в ур}е 1(Х).
Обратимся к рассмотрению вопроса моделирования действий элементов СЗИ, осуществляющих устранение угроз ИБ на самих элементах объекта информатизации. Такие элементы можно моделировать с помощью введения дополнительно позиций-ловушек.
Обозначим Е(2 — множество позиций, соответствующих элементам СЗИ, устраняющим угрозы информационной безопасности на элементах объекта информатизации.
При этом будем считать, что с каждым переходом ве 2(2) ассоциируется бинарное отношение ‘К (2) на множестве угроз информационной безопасности — «способствовать устранению».
Как и ранее вновь введенные бинарные отношения ‘К (2) обладают свойством рефлексивности, т. е. для каждой угрозы и выполняется свойство и%(2)и . Другие свойства
бинарного отношения проявляются в зависимости от ситуации.
Порядок выполнения переходов, оснащенных бинарными отношениями, не изменяется.
После описанного выше преобразования получаем сеть = (X и х, 0, И4,14,Ъ4), где 2= 2(1) и 2(2)— множество позиций, соответствующих элементам СЗИ;
©=©(1) и ©(2) — переходы, соответствующие процессам устранения угроз ИБ на элементах объекта информатизации;
обобщенные функции входов и выходов Ъ4 и 14 не изменяются для ранее введенных переходов, соответствующих элементам объекта информатизации, т.е.
= 13 1
Хих(1) и0(1) ,
И4
Хих(1) и0(1)
и доопределяют ранее используемые функции 12 и 1 для вновь введенных позиций следующим образом: если соответствующая элементу СЗИ позиция %у, может устранять угрозы на элементе объекта информатизации, которому соответствует позиция ог с помощью перехода в, то
14(в) = {Х,аг}; 1( в) = X;14(Ху) = 14(Ху) = в;ве Ма);
функция раскраски переходов не изменяется для ранее введенных переходов, т.е. =И
0 (1) , и доопределяется для переходов множества
©(2)
в соответствии с ф ун кцио-
нальными возможностями элемента СЗИ.
3-й этап: разработка сетевой модели, учитывающей динамику распростра -нения и устранения угроз информационной безопасности. Во вновь полученной сети ^4 позиции, соответствующие элементам объекта информатизации, уже перестают быть ловушками, так как они могут терять фишки после выполнения переходов из множества , соответствующих устранению угрозы. Кроме того, возникает возможность появления конфликтов.
Каждый переход соответствует определенному процессу передачи или устранения угрозы ИБ, эти процессы имеют определенную продолжительность.
Перейдем к рассмотрению временной сети, в которой заданы времена выполнения переходов, т. е. определена функция Т : 0® [0, +¥), ставящая в соответствие каждому переходу ве 0 его длительность выполнения / > 0.
Для предотвращения конфликтов введем правило выбора последовательности выполнения выходных переходов для каждой позиции, моделирующей элемент объекта информатизации, определяемое бинарным отношением 3 — «выполняться ранее».
Пусть в 1, в2,., в$ — выходные переходы позиции а, активные в данной момент времени 11, 12,... Л — длительность выполнения переходов.
Последовательность выполнения переходов определена на основе анализа значений в соответствии со следующим условием:
если и<у то в13 ву. Тем самым определена сеть = (Хих, 0, ‘К, 3, Т, И5,15,15),
где И5 ° И4, 15 ° 14, 15 ° 14.
Разработана модель распространения и устранения угроз ИБ на объекте информатизации ОВД, позволяющая учесть возможность возникновения новых типов угроз на отдельных элементах объекта.
Численный метод реализации сетевой модели. Для численного представления процессов разработанной выше сети будем использовать матричное представление. Обозначим:
О- = (*;-) — матрицу входов в переходы, определяемую по правилу:
* -к
]к
1, если позиция а} является входом для перехода вк 0, если иначе;
о * = «)
* к ук
гу матрицу выходов из переходов, определяемую по правилу:
1, если позиция аа является выходом для перехода вк, 0, если иначе.
О = О - О составная матрица изменений.
Для наглядности строки, соответствующие переходам разного цвета, разделяются двойной линией.
X — матрица разрешенных переходов, т.е. таких переходов в[, для которых в маркировке ц выполняется следующее условие: /I > Х[ ® , где ® — матричная опе-
рация логического умножения, которая определяется по следующему правилу:
если А = (агу), где ' = 1,...,п у = 1,...,щ В = (Ьу.к), где у = 1,...,щ к = 1,...,/ — лот
гические матрицы, то С = А ® В — логическая матрица, такая, что ск = V агу л Ьк.
гк у=1 гу ук
К — матрица соответствующих разрешенным переходам бинарных отношений. Маркировка ц задается отдельно для каждого цвета фишек.
Для пояснения способа формирования этих матриц рассмотрим пример сети, содержащей переходы 3 цветов (рис. 2).
в1
а
Рис. 2. Пример трехцветной сети Матрицы, описывающие эту сеть, имеют следующий вид:
о- =
(1 0 0 0 0 0] Г1 1 0 0 0 0] [ 0 1 0 0 0 0^1
1 0 0 0 0 0 1 0 1 0 0 0 0 0 1 0 0 0
1 0 0 0 0 0 , О + = 1 0 0 1 0 0 , О = 0 0 0 1 0 0
0 0 1 0 0 0 0 0 1 0 1 0 0 0 0 0 1 0
10 0 0 1 0 0) 10 0 0 1 0 10 0 0 0 0 1
' 1 1 0 0 0'' 0 0 0 0^ Г1 0 0 0 0 0
Х1 = 0 0 0 0 0 , К 1 = 1 1 0 0 0 , 1 = 0 0 0 0 0 0
,0 0 0 0 0, ,1 1 0 0 0, 0 0 0 0 г
После выполнения разрешенных переходов в1, в2 сеть получает маркировку I, в соответствии с которой позиции а2 ,а3 получат не только белую, но и серую и черную фишки (рис. 3).
Достижимая маркировка сети определяется по формуле: ^ = mv (х V Ж) 0 Б, которая развернуто представляется следующим образом:
Г1 0 0 0 0
= 0 0 0 0 0
Л0 0 0 0 0
Г1 1 1 0 0 0 ^
0 1 1 0 0 0
Л0 1 1 0 0
ГГ
V
1 1 0 0 0 0
0 0^ ' 0 0 0 0 0
0 0 V 1 1 0 0 0
0 г Ч 1 1 0 0 0
0
^0 1 0 0 0 0Л 0 0 1 0 0 0
0 0 0 1 0 0
0 0 0 0 1 0
Л0 0 0 0 0 1,
Заключение. Разработанные математическая модель и численный метод позволяют имитировать процесс распространения и устранения угроз информационной безопасности на объектах информатизации органов внутренних дел, что может быть использовано при проектировании или модификации систем защиты информации этих объектов.
ЛИТЕРАТУРА
1. Герасименко В.А., Малюк А.А. Основы защиты информации: учебник для высших учебных заведений Министерства общего и профессионального образования РФ. — М.: МИФИ, 1997. — 538 с.
2. Меньших В. В., Лунев Ю .С. Моделирование действий дестабилизирующих факторов на распределенные информационные системы с помощью аппарата сетей Петри // Системы управления и информационные технологии. — 2008. — № 1(31). — С. 71—75.
3. Меньших В. В., Петрова Е. В. Применение методов теории автоматов для моделирования информационных процессов // Вестник Воронежского института МВД России. — 2009. — № 1. — С. 121—130.
4. Меньших В.В., Петрова Е.В. Синтез автоматной модели функционирования информационной системы в условиях воздействия угроз информационной безопасности // Инженерная физика. — 2010. — № 3. — С. 43—44.
5. Меньших В. В., Толстых О. В. Моделирование возникновения угроз информационной безопасности на объекте информатизации // Информация и безопасность. — 2011. — Вып. 1. — С. 117—120.
6. Кудрявцев В. Б., Алешин С. В., Подколозин А.С. Введение в теорию автоматов. — М.: Наука, 1985. — 320 с.
7. Питерсон Дж. Теория сетей Петри и моделирование систем. — М.: Мир, 1984.
— 264 с.
8. Логико-лингвистические модели в военных системных исследованиях / Н. Г. Бублик [и др.]; под ред. Е. А. Евстигнеева. — М.: Военное издательство, 1988.
— 232 с.