УДК 004.056 Дата подачи статьи: 04.05.16
DOI: 10.15827/0236-235X.115.051-059
СИНТЕЗ СИСТЕМ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ УПРАВЛЕНИЯ ОТ РАЗРУШАЮЩИХ ПРОГРАММНЫХ ВОЗДЕЙСТВИЙ
Е.Б. Дроботун, к.т.н., докторант, йтоЪоЫп@хакер.ги (Военная академия воздушно-космической обороны им.. Маршала Советского Союза Г.К. Жукова, ул. Жигарева, 50, г. Тверь, 1 70022, Россия)
Информатизация и автоматизация различных объектов производства, в том числе создающих потенциальную угрозу обеспечению безопасности жизнедеятельности, сделала обеспечение безопасности функционирования таких объектов одной из наиболее острых проблем современности. Процессы информатизации и автоматизации обусловливают появление новых видов угроз информационной безопасности, направленных на нарушение функционирования производственных объектов, которые могут быть подвергнуты деструктивным информационно-техническим воздействиям, и создающих потенциальную угрозу обеспечению безопасности жизнедеятельности. Данные факторы в сочетании с возрастающим уровнем зависимости общества от устойчивости функционирования объектов, создающих потенциальную угрозу обеспечению безопасности жизнедеятельности, требуют принятия комплекса мер (в том числе и технического характера), направленных на снижение риска нарушения или полного прекращения функционирования таких объектов в условиях информационно-технических воздействий.
В статье представлен один из возможных подходов к построению рациональной (с точки зрения обеспечения требуемого уровня защищенности и минимального влияния системы защиты на защищаемую автоматизированную систему) системы защиты от разрушающих программных воздействий как основного вида информационно-технических воздействий, которым могут быть подвергнуты автоматизированные системы.
Ключевые слова: автоматизированная система управления технологическими процессами, потенциально опасный производственный объект, информационная безопасность, разрушающее программное воздействие, защита от разрушающих программных воздействий.
Внедрение АСУ технологическими и производственными процессами на объектах промышленности обусловило то, что обеспечение безопасности их функционирования стало одной из наиболее острых проблем современности. В настоящее время необходимым условием эффективного и безопасного функционирования таких объектов является обеспечение защищенности АСУ этими объектами от различного рода информационно-технических воздействий, в том числе с помощью вредоносных программ и разрушающих программных воздействий (РПВ).
Наиболее известным случаем информационно-технического воздействия на потенциально опасный объект может служить информационно-техническая атака, проведенная, предположительно, спецслужбами США и Израиля на объекты Иранской атомной инфраструктуры с помощью вредоносной программы Stuxnet. Используя уязвимости операционной системы, эта вредоносная программа, по некоторым данным, вывела из строя 1 368 из 5 000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвала сроки запуска ядерной АЭС в Бушере [1, 2].
АСУ технологическими процессами (ТП) имеют более высокие степени риска по сравнению с системами, предназначенными только для хранения, обработки и предоставления информации, вплоть до рисков нарушения ТП и работоспособности системы, выброса вредных веществ, техногенных катастроф и человеческих жертв.
В связи с этим при обеспечении защиты АСУ технологическими и производственными процессами от информационно-технических воздействий,
помимо конфиденциальности, целостности и доступности информации (как указано в ГОСТ Р 50922-2006), прежде всего необходимо обеспечить безопасность самого технологического или производственного процесса.
Целью защиты технологических или производственных процессов, а также систем управления ими является обеспечение требований управляемости, наблюдаемости и устойчивости этих процессов и систем. При невыполнении этих требований возможны деструктивные действия на АСУ ТП, связанные с потерями управляемости технологического или производственного процесса, включающими блокировку управления и (или) несанкционированное управление; наблюдаемости технологического или производственного процесса (модификация параметров процессов и (или) фальсификация измерений датчиков); работоспособности системы (авария или остановка технологического или производственного процесса и (или) деградация вычислительных ресурсов) (рис. 1) [3-5].
Все деструктивные воздействия на АСУ ТП являются производными трех причин: нарушение доступности (отказ в обслуживании) критически важной информации, нарушение ее целостности (модификация) и нарушение конфиденциальности (утечка).
Для технологических или производственных процессов основным направлением защиты является обеспечение доступности и целостности информации, поскольку нарушения конфиденциальности (утечки) информации непосредственно угрозу безопасности этим процессам не создают. Однако при этом следует учитывать, что утечка так
С
с
Безопасность объектов производства
Информационная безопасность
DC
X
Другие виды безопасности
Информационная безопасность автоматизированных систем
обработки, хранения и предоставления информации
Информационная безопасность АСУ технологическими и производственными процессами
Безопасность информации от информационно-технических воздействий
а
Объект защиты
Информационные активы ^ (информация) ^
Свойства информации
0.
- конфиденциальность;
- целостность; доступность
У)
Направленность
и результат защиты ^-
Обеспечение
- конфиденциальности;
- целостности;
- доступности
У)
Деструктивные действия:
- копирование;
- уничтожение;
- модификация;
- блокирование;
- перехват;
- разглашение;
- хищение (носителя информации)
Безопасность технологических и производственных процессов от информационно-технических воздействий
£
Объект защиты
Технологический (производственный) процесс
J
^Свойства технологического ^
(производственного) процесса ^-
- наблюдаемость;
- управляемость; устойчивость
Направленность
защиты ^-
Обеспечение
- доступности;
- целостности;
- конфиденциальности
Результат защиты
Обеспечение
- наблюдаемости;
- управляемости;
- устойчивости
Деструктивные действия:
- блокировка управления;
- несанкционированное воздействие на управление;
- фальсификация результатов измерения датчиков;
- потеря наблюдаемости технологического (производственного) процесса;
- авария или остановка технологического (производственного) процесса;
- деградация вычислительных ресурсов
Л
J)
J:
Рис. 1. Декомпозиция свойств безопасности АСУ Fig. 1. Decomposition of automated control systems' safety properties
называемой технологической информации об АСУ (о составе, характеристиках управляемого процесса, программного и программно-аппаратного обеспечения, о размещении, коммуникациях и т.п.) может в случае ее хищения использоваться для деструктивных информационно-технических воздействий [5].
Одним из основных способов деструктивных информационно-технических воздействий на автоматизированные системы являются воздействия с помощью различных программ, в том числе и специально созданных для таких воздействий (вредоносных программ). Такой вид воздействий относится к РПВ на автоматизированную систему.
К программам, с помощью которых осуществляются РПВ, следует отнести программы, способные выполнять любое непустое подмножество из множества следующих функций [6]:
- скрывать признаки своего присутствия в системе;
- обладать способностью к самодублированию, в том числе к созданию своих модифицированных копий;
- обладать способностью к ассоциированию себя с другими программами;
- обладать способностью к переносу своих фрагментов в иные области оперативной или внешней памяти, в том числе находящиеся на удаленном компьютере;
- получать несанкционированный доступ к компонентам или ресурсам системы;
- разрушать или искажать код программ в оперативной памяти;
- наблюдать за процессами обработки информации и принципами функционирования средств защиты;
- сохранять фрагменты информации из оперативной памяти в некоторой области внешней памяти;
- искажать, блокировать или подменять выводимый во внешнюю память или канал связи информационный массив, образовавшийся в результате работы прикладных программ;
- искажать находящиеся во внешней памяти массивы данных;
- подавлять информационный обмен в компьютерных сетях, фальсифицировать информацию в каналах связи;
- нейтрализовывать работу тестовых программ и средств защиты информационных ресурсов системы;
- постоянно или кратковременно изменять степень защищенности конфиденциальных данных;
- приводить в неработоспособное состояние или разрушать компоненты системы;
- создавать скрытые каналы передачи данных;
- инициировать ранее внедренные РПВ.
При этом стоит отметить, что РПВ возможны с
помощью не только специально созданных для этого вредоносных программ [7], но и многих других программ, изначально не создававшихся с целью этих воздействий (например, с помощью утилит анализа сетевого трафика возможны перехват и искажение информации, циркулирующей в информационно-вычислительной сети, с помощью различных системных утилит возможно изменение конфигурации и настроек операционной системы с целью нарушения корректности ее функционирования и т.п.).
Согласно [8], технические меры защиты информации (с точки зрения противодействия РПВ), реа-
лизуемые в АСУ в рамках ее системы защиты, должны обеспечивать (рис. 2):
- идентификацию и аутентификацию субъектов и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность АСУ и информации;
- доступность технических средств и информации.
Помимо этого, реализация технических мер в рамках системы защиты от РПВ должна обеспечивать доступность обрабатываемой в АСУ информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также при необходимости конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации); должна соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ и управляемого (контролируемого) объекта и (или) процесса и не должна отрицательно влиять на штатный режим функционирования АСУ [8].
На основании перечисленных требований задачу синтеза системы защиты от РПВ можно представить как задачу выбора таких рациональных структуры и параметров системы защиты A* от РПВ для АСУ технологическими и производственными процессами, чтобы система защиты, отвечающая выбранным структуре и параметрам, позволяла обеспечить минимальное снижение качества функционирования K этой автоматизированной системы при сохранении требуемого уровня защиты от РПВ Q, при ограничениях на ресурсы R и стоимость создания системы защиты О.
Л = а^шт К (Д.) при V ** = {Д|(0 (Д ) — 0ГРЕБ ) Л
л(С (Д. ) < Сдоп )л( Я (Л ) < Ядоп )}, ГсК,
где K - множество показателей, характеризующих степень снижения качества функционирования АСУ при вводе в ее состав системы защиты от РПВ; Ai - потенциально возможный вариант системы защиты; V* - множество вариантов реализации системы защиты, удовлетворяющих ограничениям по стоимости и потребляемым ресурсам, а также требованиям по уровню защиты; V - множество всех возможных вариантов реализации системы защиты от РПВ; Q - эффективность системы
Цель и задачи системы защиты АСУ ТП от РПВ
Обеспечение защищенности АСУ ТП от РПВ
т
Сохранение требуемого уровня качества функционирования АСУ ТП в условиях РПВ в течение заданного времени
Со
К
Восстановление работоспособности АСУ ТП после РПВ за располагаемое время
Обеспечение минимального уровня риска от РПВ
>
Обнаружение и нейтрализация РПВ
f
X
Снижение эффективности РПВ
С X
Обеспечение восстанавливаемости АСУ ТП после РПВ
Быстрое восстановление АСУ ТП и обрабатываемой информации
Т.
Подсистема обнаружения РПВ
X
Система защиты! г АСУ ТП от РПВ Подсистема противодействия РПВ
X
Подсистема устранения последствий применения РПВ
сигнатурным поиск по коду; сигнатурный поиск по событиям; эвристический поиск по коду; эвристический поиск по событиям; проактивное обнаружение РПВ (в том числе и контроль целостности);
нейтрализация обнаруженного вредоносного кода
- изоляция программных модулей и процессов;
- разграничение прав доступа;
- защита адресного пространства процессов;
- рандомизация адресного пространства критических объектов операционной системы;
- предотвращение выполнения кода в области данных;
- оперативное устранение уязвимостей ПО;
- очистка оперативной и внешней памяти;
- самозащита системы защиты;
- создание ложных объектов атаки
Способы решения задач
- резервное копирование данных;
- создание контрольных точек восстановления системы;
- восстановление данных из резервных копий;
- восстановление системы из контрольных точе к;
- фиксация событий
Рис. 2. Декомпозиция системы защиты от РПВ Fig. 2. Decomposition of protection system against the destroying program influence
защиты; C - стоимость построения системы защиты; R - потребность в ресурсах; 0треб - требуемый уровень защиты от РПВ; CдoП - максимально допустимая стоимость построения системы защиты; Rд0п - максимально допустимая потребность в ресурсах.
Исходя из того, что, по ГОСТ 34.003-90, АСУ представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующей технологию выполнения установленных функций, степень снижения качества функционирования АСУ при вводе в ее состав системы защиты от РПВ K можно представить двумя следующими совокупностями показателей: ^ - множество показателей снижения производительности функционирования комплекса средств автоматизации, входящего в состав АСУ; ^ - множество показателей снижения производительности обслуживающего персонала.
Используя широко применяемые показатели производительности информационных систем [9, 10], снижение производительности комплекса средств автоматизации можно оценить совокупностью показателей: ^ = {^е; £пар; ^ес; Kтоткл; Жош}, где ^с - коэффициент снижения пропуск-
ной способности (количества операций, выполняемых системой за определенный период времени); £пар - коэффициент снижения параллелизма (количества операций, выполняемых системой одновременно); ^ес - коэффициент увеличения запаса ресурса (количества ресурсов, необходимых для обеспечения роста нагрузки); - коэффициент увеличения времени отклика (времени выполнения одной операции); Жош - коэффициент увеличения частоты ошибок (частоты генерации системой исключений типа «отказ в обслуживании»).
Снижение производительности обслуживающего персонала, в свою очередь, можно оценить двумя показателями: ^п = {^вып; ^д}, где ^вып -коэффициент увеличения времени выполнения операций обслуживающим персоналом при выполнении им функциональных обязанностей; ^ - коэффициент повышения дискомфорта при выполнении функциональных обязанностей.
Максимально допустимая потребность в ресурсах может быть представлена как Rдоп = ^Вдоп; Rлдоп}, где Rвдоп - максимально допустимая потребность в программных и аппаратных (вычислительных) ресурсах; Rлдоп - максимально допустимая потребность в людских ресурсах.
Варьируемыми параметрами в потенциально возможных вариантах построения системы защиты Ai от РПВ являются следующие.
- структура системы защиты, которую можно описать как = {X; B}, где L - множество составных элементов системы защиты; В - функциональные связи между ними;
- множество параметров системы защиты К
Изменение структуры и параметров системы защиты от РПВ ведет к изменению всех вышеописанных показателей.
Поскольку при построении системы защиты от РПВ возникает необходимость учета большого количества ограничений и частных показателей, задача построения системы защиты от РПВ с требуемыми характеристиками не может быть решена методом прямого синтеза (синтез оптимальной структуры с заданными характеристиками).
Исходя из этого, решение данной задачи заключается в выборе наилучших вариантов при проектировании и построении системы защиты в условиях ограничений. При этом с целью уменьшения количества вариантов, упрощения их формирования и проведения расчетов показателей, характеризующих эти варианты, необходима декомпозиция задачи выбора рационального варианта системы защиты.
В данном случае декомпозицию можно осуществить как по последовательности выполнения процедур формирования и выбора вариантов, так и по подсистемам системы защиты АСУ от РПВ (функциональная декомпозиция).
Декомпозиция по подсистемам основывается на том, что систему защиты от РПВ можно представить в виде множества подсистем, реализующих определенный перечень функций. На основании этого в качестве подсистем, обеспечивающих защищенность автоматизированной системы от РПВ, в составе системы защиты можно выделить три подсистемы: обнаружения РПВ, противодействия РПВ и устранения последствий применения РПВ (рис. 2).
Соотношение технических мер защиты (согласно [8]) и способов решения задач подсистемами системы защиты от РПВ показано на рисунке 3.
Последовательность выполнения процедур формирования и выбора вариантов будет следующей:
- формирование альтернативных вариантов для каждой подсистемы;
- оценка сформированных вариантов и выбор из них рациональных;
- формирование на основе выбранных вариантов подсистем общего рационального варианта системы защиты АСУ от РПВ.
Исходя из проведенной декомпозиции системы защиты от РПВ по подсистемам, вариант построения системы защиты А можно представить в виде
множества А = {Аобн; Апр; Аустр}, где Аобн - вариант реализации подсистемы обнаружения РПВ; АПР - вариант реализации подсистемы противодействия РПВ; Аустр - вариант реализации подсистемы устранения последствий применения РПВ.
Соответственно, структура системы защиты может быть представлена как 5 = {{Хобн, Вобн}; {Хпр; Впр}; {Хустр; Вустр}; Всз}, где Хобн - множество элементов подсистемы обнаружения РПВ; ВОБН - функциональные связи между элементами обнаружения РПВ; ХПР - множество элементов подсистемы; ВПР - функциональные связи между элементами противодействия РПВ; ХУСТР - множество элементов подсистемы устранения последствий применения РПВ; ВУСТР - функциональные связи между элементами подсистемы устранения последствий применения РПВ; ВСЗ - функциональные связи между подсистемами, входящими в состав системы защиты.
В свою очередь, параметры системы защиты могут быть представлены в виде совокупности трех множеств. X = {^Обн; Хпр, Хустр}, где ХОбн - параметры подсистемы обнаружения РПВ; ХПР - параметры подсистемы противодействия РПВ; ХУСТР -параметры подсистемы устранения последствий применения РПВ.
Задачи выбора рациональных вариантов подсистем решаются последовательно, то есть сначала формируются все возможные варианты подсистем, далее из этих вариантов выбираются рациональные (с точки зрения соответствия требованиям по эффективности выполнения задач, возложенных на подсистему). Затем из этих рациональных вариантов построения подсистем формируется множество вариантов построения системы защиты, из которых сначала отбираются варианты, приемлемые по стоимости и по потребляемым ресурсам, далее из них отбираются варианты, удовлетворяющие требованиям по обеспечению защищенности автоматизированной системы. После чего из этих отобранных вариантов выбирается рациональный вариант построения системы защиты, оказывающий минимальное влияние на качество функционирования защищаемой автоматизированной системы.
Общая схема решения задачи синтеза системы защиты АСУ ТП от РПВ показана на рисунке 4.
Из рисунка видно, что исходными данными для построения системы защиты являются следующие.
- данные о структуре защищаемой автоматизированной системы У = {Уп, Уа, Ус}, где Уп - составные компоненты ПО автоматизированной системы; УА - составные аппаратные компоненты АСУ; УС - функциональные связи между компонентами автоматизированной системы;
- максимально допустимая стоимость создания системы защиты Сд0П;
- максимально допустимые ресурсы, необходимые для функционирования системы RдoП;
Подсистема обнаружения РПВ
Сигнатурный поиск по коду
Сигнатурный поиск по событиям
Эвристический поиск по коду
Эвристический поиск по событиям
Проактивное обнаружение РПВ
Нейтрализация вредоносного кода
Подсистема противодействия РПВ
Изоляция программных модулей и процессов
Разграничение прав доступа
Защита адресного пространства процессов
Рандомизация адресного пространства критических объектов операционной системы
Предотвращение выполнения кода в области _данных_
Оперативное устранение уязвимостей ПО
Очистка оперативной и внешней памяти
Самозащита системы защиты
Создание ложных объектов атаки
Подсистема устранения последствий _применения РПВ_
Резервное копирование данных
Создание контрольных точек восстановления операционной системы
Восстановление данных из резервных копий
Восстановление операционной системы из контрольных точек
Фиксация событий
Технические меры защиты от РПВ
Обнаружение (предотвращение) вторжений
Антивирусная защита
f Управление доступом субъектов доступ к объектам доступа
Защита машинных носителей информации
Ограничения программной среды
Контроль (анализ) защищенности информации
Идентификация и аутентификация субъектов и объектов доступа
Доступность технических средств и информации
)
3> )
D )
Целостность АСУ
Регистрация событий безопасности
3
)
Рис. 3. Соотношение технических мер защиты от РПВ с задачами подсистем системы защиты от РПВ
Fig. 3. Ratio of technical measures ofprotection from destroying program influence to subsystems' tasks of a protection system against destroying program influence
- данные об угрозах и уязвимостях: БД актуальных угроз, БД актуальных уязвимостей;
- данные о потенциальном нарушителе (профиль нарушителя) X = ^к; Xо; Xм; Xc }, где Xк -уровень компетенции нарушителя; X0 - уровень оснащенности нарушителя; XМ - уровень мотивации нарушителя; Xc - класс нарушителя (внутренний или внешний).
Формирование множества всех возможных вариантов построения подсистем (блок 4) осуществ-
ляется методом морфологического анализа [11, 12], при этом
- для подсистемы обнаружения РПВ исходными данными является совокупность множеств {!обн; 5обн; ^обн}, а формируемыми данными -множество вариантов построения подсистемы обнаружения РПВ Кобн;
- для подсистемы противодействия РПВ исходными данными является совокупность множеств ^ш; BПР; ^ПР}, а формируемыми данными -
Исходные данные
Исходные данные о нарушителе:
- класс нарушителя (внутренний, внешний);
- уровень компетенции нарушителя;
- уровень оснащенности нарушителя;
- уровень мотивации нарушителя
- максимальная допустимая стоимость создания системы защиты;
- максимально допустимые ресурсы, потребляемые системой защиты
Х- БД уязвимостей; Л Исходные данные об АСУ ТП: "Ч
- БД угроз | I - множество составных элементов АСУ ТП 1
I I (программные и аппаратные); I
I I - множество функциональных связей между I
^у элементами АСУ ТП;_^
2)
V I
I Модель угроз для I 1 АСУ ТП _j
Перечни актуальных для защищаемой АСУ ТП угроз и уязвимостей
Методика моделирования сценариев нарушителя
I
Сценарии действий нарушителя 1
X
Методика оценки рисков от РПВ
Значения рисков
от РПВ +
Методика описания угроз АСУ ТП
Профили атак на АСУ ТП _±_
Метод формирования требований к системе 3 J за щиты АСУ ТП от РПВ
^^^^^^^юдик^формировани^фебованийклодсистеме
обнаружения РПВ
С
Методика формирования требований к подсистеме _противодействия РПВ_
' Методика формирования требований к подсистеме устранения "Л последствий применения РПВ
Требования к
подсистемам
4
Методика формирования множества вариантов _подсистемы обнаружения РПВ_
Методика формирования множества вариантов подсистемы противодействия РПВ
М поМ
/-V
viV J\\K
Модель АСУ ТП
С
Формирование актуального для защищаемой АСУ ТП перечня угроз Формирование актуального для защищаемой АСУ ТП перечня уязвимостей
Метод формирования рационального варианта построения системы защиты от РПВ
Методика формирования множества вариантов системы защиты от РПВ
Множество вариантов построения системы защиты ...........1...........
Методика оценки стоимости системы защиты от РПВ
Методика оценки ресурсов, необходимых для функционирования систем ы защиты от РПВ
Варианты построения системы защиты, удовлетворяющие по
стоимости и ресурсам
■
Методика оценки эффективности системы защиты
8
Варианты построения системы защиты, удовлетворяющие требованиям защищенности
Методика оценки эффективности вариантов подсистемы обнаружения РПВ
Методика оценки эффективности вариантов Л подсистемы противодействия РПВ у
Методика формирования множества вариантов подсистемы устранения последствий применения РПВ
Методика оценки эффективности вариантов подсистемы устранения последствий применения РПВ
Метод формирования рациональных вариантов построения подсистем _системы защиты от РПВ_
Рис. 4. Общая схема синтеза системы защиты АСУ от РПВ
Fig. 4. A general synthesis scheme of a automated control system's protection system against destroying program influence
множество вариантов построения подсистемы противодействия РПВ УПР;
- для подсистемы устранения последствий применения РПВ исходными данными является совокупность множеств {Хустр, Вустр, Хустр}, а формируемыми данными - множество вариантов построения подсистемы противодействия РПВ КУСТР.
Формирование множеств рациональных вариантов построения подсистем (К*обн, V*пp, К*устр) осуществляется отбором из полученных на первом этапе множеств (Коби, Упр, Кустр) (блок 5) по условиям
- соответствия эффективности функционирования подсистемы обнаружения РПВ требуемой эффективности:
^ОБИ = {ЛОБШ 1 боБИ (ЛОБШ )- боБН ТРЕБ }, где эффективность Q0БН выражается вероятностью обнаружения РПВ и вероятностью ложной тревоги -QoБН = {Роби, Рлт оби},
- соответствия эффективности функционирования подсистемы противодействия РПВ требуемой эффективности:
*ПР ={ЛПР/ 1 0ПР (ЛПР/ ) ^ бпр ТРЕБ
}, где эффективность QПР выражается вероятностью блокирования
РПВ и вероятностью ложного блокирования -Qпp = {Рбл, Рлт бл},
- соответствия эффективности функционирования подсистемы устранения последствий применения РПВ требуемой эффективности:
''уСТР _ {ЛУСТР/ 1 0УСТР (ЛУСТР/ ) — 0УСТР ТРЕБ }, где эффективность QУСТР выражается вероятностью восстановления системы за требуемое время и вероятностью восстановления данных за требуемое время - QyСТР = {РСИСТ, РдАш}.
Для формирования требований по эффективности функционирования подсистем используются модель АСУ и модель угроз для нее. В модели АСУ на основе данных о структуре системы (блок 1) {Уп, Уа, Ус} формируются перечни актуальных для защищаемой автоматизированной системы угроз и уязвимостей. Исходные данные берутся из соответствующих БД [13, 14].
Модель угроз для АСУ (блок 2) формирует множество профилей возможных атак на АСУ с помощью РПВ. Профиль атаки описывается следующим образом: {Нат, 2ат, Рат, Мат}, где Нат - атакуемый элемент АСУ (цель атаки); 2ат - средство проведения атаки; Рат - вероятность успешного заверше-
ния атаки; MAT - возможный ущерб от атаки на автоматизированную систему.
Исходными данными для модели угроз являются перечни актуальных для защищаемой автоматизированной системы угроз и уязвимостей, полученные в модели автоматизированной системы, а также данные о нарушителе (множество профилей нарушителя). Профили нарушителей, а также сценарии их действий формируются исходя из уровня опасности и критичности защищаемого объекта с помощью методов экспертных оценок [15].
На основе полученного множества профилей атак формируются требования к подсистемам (блок 3) в виде требуемых значений показателей эффективности функционирования подсистем:
- для подсистемы обнаружения РПВ - требуемые вероятность обнаружения и вероятность ложной тревоги: QoБн треб = {Pobh треб; Pлт обн треб};
- для подсистемы противодействия РПВ -требуемые вероятность блокирования и вероятность ложного блокирования: Qnp треб = {Pktc треб; Pлт БЛ треб};
- для подсистемы устранения последствий применения РПВ - требуемые вероятность восстановления системы и вероятность восстановления данных: Qyctp треб = {Pcmct треб; PдАн треб}.
Для выбора рационального варианта построения системы защиты A* с использованием морфологического анализа формируется множество возможных вариантов построения системы защиты V (блок 6). Исходными данными при этом являются множества рациональных вариантов построения подсистем - V^h, V*np, V*yctp.
Из полученного множества отбираются варианты V*, удовлетворяющие по стоимости:
v* ={Д VC (д)
- СДОП } и по потребляемым ресурсам: V* = {Д | R (Д )- Ядоп } (блок 7).
Далее из множества V* отбираются варианты построения системы защиты V**, удовлетворяющие требуемому уровню защищенности автоматизированной системы: V** = {Д | Q(Д )> QTPEБ}
(блок 8). Уровень защищенности автоматизированной системы можно определить обобщенным коэффициентом защищенности по методике, изложенной в [16].
Рациональный вариант построения системы защиты от РПВ A * отбирается из множества вариантов V** по условию минимального снижения качества функционирования защищаемой АСУ: ДД = arg min K (Д ) (блок 9), где K - обобщенный
д eV** V '
коэффициент снижения качества функционирования защищаемой автоматизированной системы, который определяется следующим образом:
^^c+^n, где Kc=rпсKпc+r•пaрKпАР+r•ресKpЕc+ +rтотклKтоткл+rошKoш - коэффициент снижения производительности автоматизированной системы;
-&=гтвып-Ктвып+Гд-Кд - коэффициент снижения производительности обслуживающего персонала; Гс, Гп rпс, rпар, rрес, гТоткл, rош , гтвып, Гд - весовые коэффициенты значимости при соответствующих коэффициентах снижения производительности, которые определяются экспертным путем исходя из структуры защищаемой автоматизированной системы и решаемых ею задач.
Предлагаемый подход к построению систем защиты АСУ технологическими и производственными процессами может служить основой для разработки комплекса моделей и методов решения задачи структурно-параметрического синтеза систем защиты, позволяющих обеспечить, с одной стороны, требуемый уровень защищенности АСУ от РПВ, а с другой - минимальное влияние системы защиты на процессы функционирования защищаемой АСУ.
Литература
1. Маринин С. Анализ причинно-следственных факторов применения компьютерного вируса «Стакснет» против ядерных объектов Ирана // Зарубежное военное обозрение. 2011. № 8. С. 34-39; № 9. С. 30-33.
2. Дроботун Е.Б. Малварь для промышленной автоматики // Хакер. 2012. № 12 (167). С. 86-90.
3. Воронов А.А. Введение в динамику сложных управляемых систем. М.: Наука. Глав. ред. Физматлит, 1985. 351 с.
4. Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры // Тр. СПИИ РАН. 2015. Вып. 1 (38). С. 112-135.
5. Мальнев А. Противодействие реальным угрозам АСУ ТП // Информационная безопасность. 2015. № 4. С. 26-29.
6. Разрушающие программные воздействия: учеб.-мето-дич. пособие; [под ред. М.А. Иванова]. М.: Изд-во НИЯУ МИФИ, 2011. 328 с.
7. Дроботун Е.Б. Об определении компьютерного вируса и вредоносной программы // Новые информационные технологии и системы 2010: сб. матер. IX Междунар. науч.-технич. конф. Пенза, 2010. С. 104-107.
8. Требования к обеспечению защиты информации ...
2014. URL: http://www.fstec.ru/tekhnicheskaya-zashchita-infor-matsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 01.12.2015).
9. Narumoto M. Assessing system performance against key performance metrics. October 2015. URL: htpps://www/github.com/ mspnp/performance-optimization/blob/master/Assessing-System-Performance-Against-KPI.md#insertlink# (дата обращения: 01.12.2015).
10. Анализ ключевых показателей производительности.
2015. Ч. 1. URL: http://www.habrahabr.ru/company/microsoft/blog/ 271547 (дата обращения: 01.12.2015).
11. Альтшуллер Г. Найти идею: Введение в ТРИЗ - теорию решения изобретательских задач. М.: Алпина Паблишерз, 2011. 400 с.
12. Одрин В.М. Метод морфологического анализа технических систем. М.: Изд-во ВНИИПИ, 1989. 205 с.
13. Банк данных угроз информационной безопасности. Список угроз. URL: http://www.bdu.fstec.ru/threat (дата обращения: 01.12.2015).
14. Банк данных угроз информационной безопасности. Список уязвимостей. URL: http://www.bdu.fstec.ru/vul (дата обращения: 01.12.2015).
15. Орлов А.И. Экспертные оценки: учеб. пособие. М.: Изд-во ИВСТЭ, 2002. 131 с.
16. Мукминов В.А., Хуцишвили В.М., Лобузько А.В. Методика оценки реального уровня защищенности автоматизированных систем // Программные продукты и системы. 2012. № 1 (97). С. 39-42.
DOI: 10.15827/0236-235X.115.051-059 Received 04.05.16
SYNTHESIS OF PROTECTION SYSTEMS OF AUTOMATED CONTROL SYSTEMS AGAINST DESTROYING PROGRAM INFLUENCE
lDrobotun E.B., Ph.D. (Engineering), Doctoral Student, [email protected]
Military Academy of the Aerospace Defence, Zhigarev St. 50, Tver, 170022, Russian Federation
Abstract. Informatization and automation of various industrial facilities (including facilities that create potential safety threats) has made functioning safety of such objects one of the most important issues of modern age. Informatization and automation cause emergence of new types of threats for information security directed to violation of functioning of production objects that create a potential threat of safety, which can be exposed to destructive information and technical influences. These factors in combination with the increasing level of society dependence on functioning stability of the objects, which create potential safety threat, demand a package of measures (including technical measures) to decrease the risk of violation or complete cessation of such objects' functioning under information and technical influences.
The article presents one of possible approaches to constructing rational (in the context of ensuring the demanded security level and minimum influence of protection system on a protected automated system) system of protection against destroying program influences as the main type of possible information and technical influences on automated control systems for crucial and potentially dangerous objects.
Keywords: automated control system of technological processes, potentially dangerous industrial object, information security, destroying program influence, protection against destroying program influences.
References
1. Marinin S. The analysis of cause and effect factors of the "Stuxnet" computer virus application against Iran's nuclear objects. Zarubezhnoe voennoe obozrenie [Foreign Military Review]. 2011, no. 8, pp. 34-39; no. 9, pp. 30-33 (in Russ.).
2. Drobotun E.B. Malware for industrial automatic equipment. Haker [Hacker]. 2012, no. 12 (167), pp. 86-90 (in Russ.).
3. Voronov A.A. Vvedenie v dinamiku slozhnykh upravlyaemykh sistem [Introduction to Dynamics of Difficult Operated Systems]. Moscow, Nauka, Fizmatlit Publ., 1985, 351 p. (in Russ.).
4. Gorbachev I.E., Glukhov A.P. Modeling of processes of information security violations of critical infrastructure. Trudy SPIIRAN [SPIIRAS Proc.]. 2015, no. 1 (38), pp. 112-135 (in Russ.).
5. Malnev A. Counteraction to real threats of an industrial control system. Informatsionnaya bezopasnost [Information Security]. 2015, no. 4, pp. 26-29 (in Russ.).
6. Razrushayushchie programmnye vozdeystviya [Destroying Program Influences]. Study guide. M.A. Ivanov (Ed.). Moscow, National Research Nuclear Univ. MEPhI Publ., 2011, 328 p.
7. Drobotun E.B. On the definition of a computer virus and the malicious program. Sb. dokl. IXMezhdunar. nauch.-tekhnich. konf. "Novye informatsionnye tekhnologii i sistemy 2010 " [Proc. 9th Int. Science and Technical Conf. "New Information Technologies and Systems 2010"]. Penza, 2010, pp. 104-107 (in Russ.).
8. Trebovaniya k obespecheniyu zashchity informatsii... 2014 [Requirements to Ensuring Information Security in Automated Control Systems for Production and Technological Processes on Crucial Objects, Potentially Dangerous Objects, and also the Objects Posing the Increased Hazard to Life and Human Health and for Surrounding Environment]. 2014, FSTEC Russia. Available at: http://www.fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-ros-sii-ot-14-marta-2014-g-n-31 (accessed December 1, 2015).
9. Narumoto M. Assessing system performance against key performance metrics. 2015. Available at: htpps://www/github. com/mspnp/performance-optimization/blob/master/Assessing-System-Performance-Against-KPI.md#insertlink# (accessed December 1, 2015).
10. Analizklyuchevykhpokazateleyproizvoditelnosti [Analysis of Key Performance Indicators]. 2015, part 1. Available at: http://www.habrahabr.ru/company/microsoft/blog/271547 (accessed December 1, 2015).
11. Altshuller G. Nayti ideyu: Vvedenie v TRIZ - teoriyu resheniya izobretatelskikh zadach [To Find an Idea: Introduction to TSIT - the Theory of Solving Inventive Tasks]. Moscow, Alpina Pabl., 2011, 400 p.
12. Odrin V.M. Metod morfologicheskogo analiza tekhnicheskikh sistem [A Method of Morphological Analysis of Technical Systems]. Moscow, VNIIPI Publ., 1989, 205 p.
13. Bank dannykh ugroz informatsionnoy bezopasnosti. Spisok ugroz [Information Security Threats Databank. List of Threats]. FSTEC Russia. Available at: http://www.bdu.fstec.ru/threat (accessed December 1, 2015).
14. Bank dannykh ugroz informatsionnoy bezopasnosti. Spisok uyazvimostey [information Security Threats Databank. List of Vulnerabilities]. FSTEC Russia. Available at: http://www.bdu.fstec.ru/vul (accessed December 1, 2015).
15. Orlov A.I. Ekspertnye otsenki [Expert Estimates]. Study guide. Moscow, IVSTE Publ., 2002, 131 p.
16. Mukminov V.A., Khutsishvili V.M., Lobuzko A.V. The assessment technique of real security level of an automated system. Programmnyeprodukty i sistemy [Software & Systems]. 2012, no. 1 (97), pp. 39-42 (in Russ.).