УДК 004.414.23
МОДЕЛЬ ВЫБОРА МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ НЕЧЕТКИХ АВТОМАТОВ
(Работа выполнена при финансовой поддержке Минобрнауки России в рамках базовой части Госзадания «Проведение научно-исследовательских работ (фундаментальных научных исследований, прикладных научных исследований и экспериментальных разработок)»)
В.В. Борисов, д.т.н., профессор (Смоленский филиал Национального исследовательского университета МЭИ, Энергетический проезд, 1, г. Смоленск, 214013, Россия); М.М. Гончаров, ведущий специалист (РН-Информ (филиал в г. Воронеже, участок в г. Смоленске), ул. Кирова, 4, г. Воронеж,, 394018, Россия, [email protected])
Статья посвящена решению актуальной задачи выбора мероприятий по обеспечению безопасности для различных информационных систем. В ней рассматриваются обобщенные нечеткие автоматы и изменение их структуры для решения поставленной задачи. Предлагаются модель выбора мероприятий по обеспечению информационной безопасности на основе нечеткого автомата и методика ее построения. Модель представляет собой разновидность нечеткого автомата, который может находиться сразу в нескольких активных состояниях, что позволяет рассматривать одновременное влияние нескольких мероприятий, а также их взаимодействие между собой и воздействие на системные параметры с течением времени. Предложена поэтапная методика построения нечеткого автомата в соответствии с требованиями к модели. Представлен способ выбора мероприятий на основе предлагаемой модели. Приведен пример применения способа оценки мероприятий на основе описанной модели. Предлагаемая модель и способ выбора мероприятий по обеспечению информационной безопасности позволяют адекватно описывать взаимодействие мероприятий и системных концептов, влияющих на риски, для различных информационных систем в условиях неопределенности и анализировать одновременное воздействие мероприятий различных групп (влияющих на угрозы и уязвимости системы) на результирующий уровень рисков. Кроме того, с помощью данной модели можно оценивать реализацию мероприятий по этапам, а также учитывать их влияние на информационные ресурсы с течением времени. Разработанные модель и способ можно использовать при проектировании средств поддержки принятия решений в области информационной безопасности.
Ключевые слова: нечеткая логика, нечеткие автоматы, моделирование, информационная безопасность, угрозы, уязвимости.
A MODEL OF THE INFORMATION SECURITY EVENTS CHOICE BASED ON FUZZY AUTOMATA Borisov V. V., Dr. Tech. Sc., Professor (Smolensk Branch of the Moscow Power Engineering Institute, Energeticheskiy proezd, 1, Smolensk, 214013, Russian Federation);
Goncharov M.M., Leading Engineer (RN-Inform (Voronezh Branch, Smolensk area), Kirova St., 4, Voronezh, 394018, Russian Federation, [email protected]) Abstract. The article is devoted to solving the current problem of the choice of security measures for various information systems. This paper considers generalized fuzzy automata and adaptation of their structure to solve assigned tasks. A model of choice of
measures to ensure security based on the fuzzy automata and a method of its construction is suggested. The model is a kind of fuzzy automata, which can be simultaneously in several states. It allows considering the simultaneous effect of several events, as well as their interactions with each other and the impact on the system parameters over time. A phased method of constructing fuzzy machine according to the model requirements is proposed. A method for selecting actions based on the proposed model is presented. The paper also shows the application of the method for evaluating interventions based on the described model. The proposed model and the method for choosing information security measures can provide adequate description of the interaction between events and system concepts that affect the risks for a variety of information systems under uncertainty, the ability to analyze a simultaneous impact of measures from various groups (affecting the threats and vulnerabilities of the system) on the resulting risks level. Besides, the proposed model allows assessing the implementation of measures in stages, as well as considering the impact on information resources over time. The developed model and method can be used in designing decision-support tools in the feild of information security.
Keywords: fuzzy logic, fuzzy automata, modeling, information security, threats, vulnerabilities.
В настоящее время нет единого подхода к обеспечению информационной безопасности для различных информационных систем. При этом данный процесс включает в себя различные этапы в зависимости от назначения и специфики системы. Тем не менее для различных информационных и информационно-управляющих систем общими являются этапы оценки рисков (уязвимо-стей, угроз, возможного ущерба) информационной безопасности, обоснованного выбора мероприятий по обеспечению информационной безопасности, мониторинга реализации этих мероприятий и оценки эффективности осуществления политики информационной безопасности в целом [1].
Предлагаются модель и способ выбора мероприятий по обеспечению информационной безопасности, основанные на использовании аппарата нечетких автоматов, применение которого позволяет реализовать расширенные возможности по формализованному представлению, моделированию и оценке различных системных параметров и факторов влияния внешней среды в условиях неопределенности.
Данная модель предназначена для оценки, сравнения и/или мониторинга применяемых политик информационной безопасности, обоснованного выбора мероприятий и представляет собой разновидность нечеткого автомата, который может находиться сразу в нескольких активных состояниях, что позволяет рассматривать одновременное влияние нескольких мероприятий, а также их взаимодействие между собой и воздействие на системные параметры с течением времени [2].
Модель представляется в следующем виде:
Р = < Е, 0, г, Й, 8, со, ^ >,
где Е={аь ..., ат} - конечный алфавит ввода; Q={qъ ..., q„} - набор результирующих состояний; Q'={q„+ъ ..., qm} - набор этапных состояний (они отличаются от результирующих тем, что для них не создаются символы вывода и функция вывода); 2={Ь\, ..., Ьк} - конечный алфавит вывода; Я - нечеткое начальное состояние; 8:Ех£)х[0,1]—>■ —Q - функция нечетких переходов, описывающая для каждой упорядоченной пары (состояние и входной символ) множество всех состояний, в которые возможен переход по данному входному символу; - функция вывода; ^[0,1] х
х[0,1]—[0,1] - функция принадлежности состояния, используемая в процессе расчета значения степени принадлежности нового активного состояния при переходе; ^2:[0,1]*—>[0,1] - функция мультипринадлежности, используемая при расчете значения степени принадлежности нового активного состояния, если переход в него осуществляется сразу из нескольких активных состояний.
При этом состояниям нечеткого автомата соответствуют состояния системы, а алфавиту языка автомата - набор возможных воздействий на систему, вследствие которых она изменяет свое состояние. Причем в отличие от обычных нечеткие автоматы могут находиться не в одном, а в нескольких (нечетких) состояниях с различными степенями принадлежности. Это дает дополнительные возможности по учету условий нестохастической неопределенности [3].
Функция мультипринадлежности используется в случае, если несколько активных состояний переходят в одно и то же состояние, и аккумулирует значения принадлежности этих состояний в новое активное состояние [3, 4].
Для построения нечеткого автомата предлагается следующая методика.
Этап 1. Определение набора нечетких состояний автомата. Нечеткость состояний заключается в том, что одновременно могут быть несколько активных состояний автомата и каждое из них имеет свою степень принадлежности. На основе экспертной оценки политик безопасности, предложенных специалистами по информационной безопасности, проводится декомпозиция политики на мероприятия и их отдельные этапы. Каждому этапному состоянию автомата соответствует определенный этап мероприятий по обеспечению безопасности. Каждому результирующему состоянию соответствуют системные концепты, на которые направлены рассматриваемые мероприятия. Под системными концептами понимаются характеристики информационных ресурсов защищаемой системы. Информационные ресурсы в широком смысле означают совокупность данных, организованных для эффективного получения достоверной информации. С точки зрения информационной безопасности информационные ресурсы характеризуются физической природой, способом доступа, структурой ресурса. Характеристики
физической природы описываются на основе носителей информации и средств обеспечения их работоспособности, характеристики способа доступа к информационным ресурсам - на основе используемых каналов передачи информации и способов их защиты, а характеристики структуры информационного ресурса - на основе информации о составе и внутренней структуре ресурса. Характеристики информационных ресурсов определяются на базе экспертной оценки и декомпозиции информационных ресурсов, нуждающихся в защите, в результате чего определяется перечень характеристик, на которые будут влиять проводимые мероприятия.
В рамках нечеткого автомата этапные состояния равнозначны, что позволяет одновременно учитывать мероприятия, связанные определенной политикой безопасности, несмотря на то, что они могут относиться к разным группам мероприятий и влиять на различные системные концепты.
Определим следующие наборы результирующих Q и этапных 2 нечетких состояний автомата: Q={q\, д2, ?з}, где - состояние, соответствующее возможности доступа к системе с помощью подбора пароля; q2 - состояние, соответствующее криптостойкости пароля; q3 - состояние, соответствующее возможности того, что злоумышленник получит доступ к системе с помощью пароля, хранящегося на рабочем месте; 2={ q4, q5, q6}, где q4 - состояние, соответствующее проведению инструктажа пользователей; q5 - состояние, соответствующее плановой смене пароля; q6 - состояние, соответствующее внеплановой смене пароля.
Этап 2. Формирование алфавита ввода, который состоит из символов, сигнализирующих о начале определенного мероприятия или отдельных этапов рассматриваемого мероприятия. На данном этапе следует отразить все этапы рассматриваемых мероприятий для того, чтобы можно было максимально точно описать последовательность применяемых в мероприятии действий, а также рассмотреть различный порядок и временные рамки выполнения мероприятий.
Сформируем следующий алфавит ввода: Е={аь а2, а3}, где а\ - символ начала проведения инструктажа пользователей; а2 - символ плановой смены пароля; а3 - символ внеплановой смены пароля.
Этап 3. Формирование алфавита вывода 2 и задание функции вывода ю, которая определяет степень влияния мероприятий на системные концепты на основе значений степени принадлежности активных состояний: 2={1\, z2, х3}, Z2=w(q2), zз=w(qз).
Этап 4. Создание карты нечетких переходов между состояниями автомата. На этом этапе определяется степень влияния определенных этапов мероприятий на системные концепты. Кроме того, отдельно необходимо построить переходы между
состояниями, соответствующими этапам мероприятий, чтобы определить последовательность, возможные пути и порядок их применения. Для мероприятий, которые будут выполняться продолжительное время, создаются рекурсивные переходы, позволяющие сохранять активность состояния автомата для такого мероприятия:
8-.(<2х[0,1])хЕх0 5) > [0,1] - карта
нечетких переходов.
Этап 5. Выбор начальных состояний автомата на основе уже применяемых контрмер или политик безопасности. Если автомат описывает мероприятия, которые еще не применялись или не применяются, то активным состоянием является состояние начала применения мероприятий.
Я = (<70, м-'С^о)) - нечеткое начальное состояние И = (а . 1), так как ц'° = 1.
4 о 1 %
Этап 6. Построение графа нечеткого автомата на основе полученных данных (см. рис.). В рассматриваемом примере результирующие состояния q\ и q3 соответствуют угрозам, описывающим потенциальную опасность для информационных ресурсов или компьютерной системы. Результирующее состояние q2 соответствует уязвимости системы, описывающей слабость в системе защиты, которая делает возможной реализацию определенной угрозы. Этапные состояния q4, q5 и q6 соответствуют мероприятиям по обеспечению безопасности, которые влияют на угрозы и уязвимости.
Способ выбора мероприятий по обеспечению безопасности включает последовательный набор действий, разделенный на несколько этапов.
Этап 1. Построение нечеткого автомата для каждой из политик безопасности. Поэтапное построение нечеткого автомата было рассмотрено выше.
Этап 2. Создание набора символов ввода автомата в соответствии с порядком осуществления
мероприятий в рамках политики безопасности. На данном этапе могут быть разработаны несколько наборов, соответствующих возможным комбинациям мероприятий с различным порядком их применения.
Этап 3. Пошаговая смена состояний автомата на основе набора символов ввода. Для каждой пары (активное состояние и символ ввода) выбираются переходы в состояния, в которые из текущего состояния возможен переход по данному входному символу на основе функции нечетких переходов. При смене активных состояний рассчитывается степень принадлежности новых состояний на основе функции принадлежности и функции мультипринадлежности.
Этап 4. Получение исходящих символов автомата после каждого этапа. На основе результатов моделирования на выход автомата поступает набор сигналов, соответствующий измененным системным концептам, каждый сигнал соответствует значению степени принадлежности активного результирующего состояния, которое описывает степень влияния выполненных мероприятий на системный концепт. Полученные значения используются для оценки эффективности реализации мероприятия.
Этап 5. По результатам моделирования для каждого набора выполненных мероприятий в рамках политики безопасности есть набор символов алфавита вывода со значениями, полученными с помощью функции вывода. Оценка формируется при сравнении выходных сигналов автомата с учетом стоимости мероприятий, рассмотренных в политике. Стоит заметить, что стоимость мероприятия при таких расчетах учитывается как нормированный коэффициент или примерное значение, применяемое для сравнения мероприятий, для которых стоимость еще не известна с необходимой точностью. На основе полученных оценок специалисты могут выбирать оптимальные мероприятия либо вносить изменения в нечеткий автомат - удалять или добавлять новые мероприятия в рамках рассматриваемой политики.
Рассмотрим упрощенный пример применения способа оценки мероприятий на основе описанной модели. Допустим, в рассматриваемой политике безопасности указана последовательность мероприятий по этапам: проведение инструктажа о политике хранения паролей, затем плановая смена паролей с определенной периодичностью, а также внеплановая смена паролей в случае нарушения правил их хранения. Таким образом, набор символов ввода будет выглядеть как {аь а2, а3}. Первоначально в момент времени /0 автомат находится в состоянии q0 и на его вход подается символ а!.
В момент времени /0 активное состояние автомата определяется как
<2М = й= («Ш = 1,0)}.
В момент ^ одновременно будут три активных состояния - q!, д3 и д5:
ц'1 (9з) = 8((?4, ц'0 (?4)), а, 9з) =
= / (ц'0 (44),8(94, а, 95)) = / (1,0,10) = 1,0.
Аналогично ц'1 (9) = / (1,0, 0,8) = 0,8, ц'1(^ ) = / (1,0, 0,9) = 0,9.
Получаем
ЯаС ('1) = {(95, ц'1 (95)), (91, ц'1 (91)), (92, ц'1 (92))} =
= {(95,1,0), (91,0,8), (92,0,9)}.
Затем на вход автомата подается символ а2 и происходит смена состояний. В момент /2 активными будут состояния q5, q6, q! и q3:
ц'2 (9б) = / (1,0,1,0) = 1,0.
Состояние qз в момент /2 должно рассчитываться через степень мультипринадлежности, так как в это состояние одновременно происходит переход из двух состояний - q! и q5: = {^, \г},
где V = /(ц'2 (95), 8(95, а2,93)) = /(1,0,5) = 0,75; V = / (ц'2 (9), 8(9, а, Ъ)) = / (0,9, 0,8) = 0,85;
(9) = / (^, ^) = тах(0,75, 0,85) = 0,85;
0>ас ('2) = {(95,1,0), (96,1,0), (92, 0,9), (93, 0,85)}.
С течением времени может потребоваться внеплановая смена паролей, в этом случае на вход автомата подается символ аз и происходит смена состояний: ц'2(93) = / (1,0,0,9) = 0,9,
Яа'('2) = {(95,1,0), (96,1,0), (92 , 0,9), (9з, 0,9)}.
По результатам моделирования на выходе автомата получаем ^(0,9), 73(0,9)}.
На основе модели также можно провести расчет другой политики безопасности, которая не включает в себя предварительный инструктаж пользователей. Тогда набор символов ввода будет выглядеть как {а2, а3}. В таком случае расчет будет отличаться от предыдущего тем, что начальное состояние ()ас1(10) = Й={(д5,1,0)}, а на вход автомата будут подаваться символы а2 и а3. В результате получаем ^3(0,9)}.
Если в политике будет указана лишь плановая смена паролей, то символом ввода будет только а3 и в итоге получаем ^3(0,5)}.
Результаты моделирования различных политик безопасности используются лицами, ответственными за обеспечение безопасности, с целью определения наиболее эффективной политики. Для этого проводится сравнение результатов моделирования с учетом стоимости мероприятий и их соответствия поставленным требованиям.
Предлагаемая модель и способ выбора мероприятий по информационной безопасности позволяют обеспечить адекватное описание взаимодействия мероприятий и системных концептов, влияющих на риски для различных информационных систем в условиях неопределенности, и воз-
можность анализа одновременного воздействия мероприятий различных групп (влияющих на угрозы и уязвимости системы) на результирующий уровень рисков. Кроме того, с помощью данной модели можно оценивать поэтапную реализацию мероприятий, а также учитывать их влияние на информационные ресурсы с течением времени.
Учет нечеткости состояний модели, нечеткие переходы, возможность сохранения активных состояний в предлагаемой модели и применение функции мультипринадлежности позволяют определить и учесть различную степень влияния мероприятий на разные параметры системы, формализовать описание и одновременное воздействие нескольких активных мероприятий на риски, использовать одну и ту же модель для моделирования воздействия различных комбинаций мероприятий на системные параметры и риски.
Литература
1. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2010. 312 с.
2. Гончаров М.М. Модель и способ анализа рисков информационной безопасности компьютерных систем на основе гибридных нечетких моделей // Нейрокомпьютеры: разработка, применение. 2012. № 5. С. 9-15.
3. Mordeson J.D., Malik D.D. Fuzzy automata and languages: theory and applications, Chapman & Hall, London, 2002.
4. Борисов В.В., Круглов В.В., Федулов A.C. Нечеткие модели и сети. 2-е изд. М.: Горячая линия-Телеком, 2012. 284 с.
References
1. Astakhov А.М. Iskusstvo upravleniya informatsionnymi riskami [Information risks management skills]. Moscow, DMK Press, 2010, 312 p.
2. Goncharov M.M. A model and a method of information security risks analysis for computer systems based on hybrid fuzzy models. Neyrokompyutery: razrabotka, primenenie [Neurocomputers: design, application]. Moscow, Radiotekhnika Publ., 2012, no. 5, pp. 9-15 (in Russ.).
3. Mordeson J.D., Malik D.D. Fuzzy automata and languages: theory and applications. Chapman & Hall Publ., London, 2002.
4. Borisov V.V., Kruglov V.V., Fedulov A.S. Nechetkie mo-deli i seti [Fuzzy models and nets]. Moscow, Goryachaya liniya-Telekom Publ., 2012, 284 p.