ТИБМЗИ 2010 Загинайлов
.pdfходя из жизненного опыта и здравого смысла.
Исходным базисом нестрогой математики служит совокупность трех посылок:
1) в качестве меры характеристик изучаемых систем вместо числовых переменных или в дополнение к ним используются лингвистиче-
ские переменные. Если, например, нас интересует такая характеристика, как вероятность доступа нарушителя к защищаемой информации, то в лингвистическом измерении значениями этой характеристики могут быть: «крайне незначительная», «существенная», «достаточно высокая», «весьма высокая» и т.п.;
2)простые отношения между переменными в лингвистическом измерении описываются с помощью нечетких высказываний, которые имеют следующую структуру: «из А следует В», где А и В - переменные в лингвистическом измерении. Примером такого отношения может быть следующее: если в системе охранной сигнализации вероятность отказов датчиков «значительная», то для предупреждения проникновения на контролируемую территорию посторонних лиц интенсивность организационного контроля за этой территорией должна быть «повышенной». Переменными здесь являются - «вероятность отказов датчиков» и «интенсивность организационного контроля», а лингвистическими значениями - «значительная» и «повышенная» соответственно.
Примером также может служить принятые в международном стандарте безопасности информационных технологий «Общие критерии» (ГОСТ Р ИСО/МЭК – 15408) уровни безопасности – «базовый», «средний», «высокий» условно соответствующие уровням возможностей нарушителей компьютерной системы соответственно – «низкий», «умеренный», «высокий».
3)сложные отношения между переменными в лингвистическом измерении описываются нечеткими алгоритмами. В качестве примера рассмотрим нечеткий алгоритм сложного отношения между переменными: «надежность компонентов системы защиты информации» и «интенсивность контроля хранилища носителей защищаемой информации»
Совершенно очевидно, что интенсивность контроля хранилищ носителей должна быть тем больше, чем выше степень угрозы хищения носителей, находящихся в хранилище.
Степень угрозы хищения в свою очередь зависит от надежности:
защиты территории, на которой расположены хранилища;
защиты помещений, в которых находятся хранилища;
замков на дверях хранилищ;
81
библиотекарей хранилищ.
Аппарат нестрогой математики может быть рекомендован для использования в таких ситуациях, в которых строгое описание систем и процессов их функционирования или невозможно или нецелесообразно в силу самого характера решаемой задачи. Так, в настоящее время нет необходимых данных для строгого определения значений параметров, определяющих степень уязвимости информации в ИС, эффективность систем защиты информации и т.п.
В нестрогой математике нечёткость рассуждений последовательно проводится вплоть до алгоритма решения соответствующей задачи.
Методы неформального оценивания. Нередки случаи, когда значения параметров моделируемых систем не удаётся получить методами математической статистики или методами аналогии со значениями других, схожих с определяемыми, значения которых известны. Такая ситуация бывает особенно характерной для систем с высоким уровнем неопределённости и не имеющих достаточной предыстории функционирования. Именно такими являются системы защиты.
Из неформальных методов оценивания наиболее известными являются методы экспертных оценок. Экспертными оценками называются такие методы поиска решений сложных, не поддающихся формализации задач, которые основаны на суждениях (оценках, высказываниях) специально выбираемых (назначаемых) экспертов. Эти методы достаточно просты по своей сущности, они нашли широкое отражение в специальной литературе.
Последовательность и содержание решения задач методами экспертных оценок в самом общем виде могут быть представлены следующим образом:
разработка постановки задачи;
обоснование перечня и содержания тех параметров задачи, для определения значений которых целесообразно использовать экспертные оценки;
обоснование форм и способов экспертных оценок;
разработка реквизитов (бланков, инструкций и т.п.), необходимых для проведения экспертных оценок;
подбор и подготовка (обучение, инструктаж) экспертов, привлекаемых для решения задачи;
организация и обеспечение работы экспертов;
контроль и первичная обработка экспертных оценок;
базовая обработка экспертных оценок.
По способам привлечения экспертов к решению задач различают:простые суждения,
82
интервьюирование
и анкетирование.
Неформальные методы поиска оптимальных решений. Реше-
ние проблем защиты информации связано с поиском оптимальных решений, т.е. таких вариантов действий, которые при заданных затратах ресурсов обеспечивают максимальную эффективность процессов или достижение заданной эффективности процессов при минимальных затратах ресурсов.
Процедуры поиска оптимальных решений являются наиболее сложными процедурами, осуществляемыми при создании, организации и обеспечении функционирования больших систем, поэтому разработке методологии поиска оптимальных решений в различных ситуациях уделяется повышенное внимание. К настоящему времени разработан достаточно «представительный» арсенал методов поиска оптимальных решений в самых различных ситуациях.
Особенно трудными для реализации являются те задачи, в постановке которых имеются неопределенности. А именно такие задачи возникают при решении проблем защиты информации. В связи с этим особый интерес представляют развиваемые в последние годы неформальные методы поиска оптимальных решений. При этом обозначилось два направления использования неформальных методов в решении оптимизационных задач:
1)сведение сложной неформальной задачи к формальной постановке в целях использования уже реализованных формальных методов;
2)неформальный поиск оптимального решения, т.е. непосредственная реализация процедуры поиска.
Неформальное сведение задачи к формальной постановке заключается в формировании строго выраженных условий задачи, т.е. подлежащих поиску переменных, ограничений, которым должны удовлетворять переменные, и целевой функции, подлежащей максимизации или минимизации в процессе поиска оптимального решения. Для этих целей, могут использоваться методы теории нечетких множеств, эвристическое программирование и эволюционное моделирование.
Методы непосредственного поиска решений:
- экспертные оценки (количественные, лингвистические);
- неформально-эвристическое программирование ( эргатические модели, неформальные аналогии);
- управление продуктивным мышлением (мозговой штурм, психо
-интеллектуальная генерация, логический анализ).
83
6.3 Модели систем и процессов защиты информации
Моделирование системы заключается в построении некоторого её образа, адекватного (с точностью до целей моделирования) исследуемой системе, и имитации на ней процессов функционирования реальной системы с целью получения характеристик реальной системы.
В общем случае классификацию моделей по масштабу, способам моделирования, характеру моделируемых систем можно представить следующим образом:
масштаб моделей: частные, общие;
способ моделирования: аналитический, статистический;
характер моделируемых систем: детерминированные, стохас-
тические (вероятностные).
Поскольку на процессы защиты информации подавляющее влияние оказывают случайные факторы, то, очевидно, все основные модели систем защиты информации неизбежно должны быть стохастическими. Хотя не следует исключать и детерминированный характер моделей хотя бы применительно к частным моделям.
Для описания процессов функционирования стохастических систем необходимы средства отображения влияния случайных факторов.
Такие средства содержатся в целом ряде достаточно хорошо разработанных к настоящему времени методов:
статистических испытаний или Монте-Карло;
теории массового обслуживания;
теории вероятностных автоматов (машина Тьюринга) и др.
Общая модель процесса защиты информации. Общая модель
процесса защиты информации может быть рассмотрена применительно к объекту информатизации, на котором информация в различных формах хранится, обрабатывается и передаётся с использованием технических систем. Графически модель представлена на рис.6.1.
Где:
{Yj} - j –я угроза (дестабилизирующий фактор) воздействия на объект защиты (информацию);
Оi - i - й объект защиты;
{Cn}- n – е средство защиты информации (объекта защиты);
P ijk - вероятность негативного воздействия j-й угрозы на i - й объект в k-м его состоянии (без применения средств защиты);
P ijnk - вероятность негативного воздействия с учётом нейтрализации воздействия j-й угрозы на i - й объект в k-м его состоянии применением n–го средства защиты;
Pi - вероятность надёжной защиты i –го объекта.
84
|
|
P ijk |
|
|||
{Yj} |
|
|
|
|
Pi |
Оi |
|
P ijk |
|
|
|
|
|
|
|
|
P ijnk |
|
||
|
|
|
{Cn} |
|
|
|
|
|
|
СрЗИ |
|
|
|
|
|
|
|
|
|
|
Рис. 6.1- Общая модель процесса защиты информации
В соответствии с данной моделью обработка информации на объекте Оi осуществляется в условиях воздействия на информацию угроз (дестабилизирующих факторов) {Yj}. Для противодействия угрозам информации могут использоваться специальные средства защиты {Cn}, оказывающие нейтрализующее воздействие на дестабилизирующие факторы.
В общем случае имеется потенциальная опасность воздействия на объект защиты в любом его состоянии некоторой совокупности угроз, причём P ijk - есть вероятность негативного воздействия j-й угрозы на i - й объект в k-м его состоянии (без применения средств защиты), а P ijnk вероятность предупреждения (нейтрализации) воздействия j-й угрозы на i - й объект в k-м его состоянии применением n–го средства защиты. При этом характер и уровень воздействия одних факторов не зависит от характера и уровня действия других. Однако могут быть и взаимозависимые факторы. Точно так же и средства защиты: могут быть независимые, могут быть взаимозависимые. Таким образом, при разработке моделей процессов защиты информации надо учитывать не только воздействие угроз и средств защиты, но и взаимное воздействие угроз и средств друг на друга.
В настоящее время, когда практический опыт системной защиты незначителен, данных о взаимосвязях между собою угроз и средств защиты в научной и специальной литературе не много. Поэтому в общей модели взаимное влияние не учитывается.
С учетом обозначений, приведенных на рис. 7.1, можно вывести такиезависимости.
85
(8.1) Pi 1 (1 Pik ) k
k
Здесь k |
есть доля k-го состояния (режима работы) АСОД в |
анализируемый |
период времени. Наиболее объективным будет |
представление его в виде доли интервала времени пребывания АСОД в k-м состоянии ( ∆tk) в общей продолжительности оцениваемого интервала времени Т, т.е.
|
|
t |
|
(8.2) |
|
k |
|
T |
|||
|
k |
Для общего случая естественным будет предположить, что система защиты информации может быть неполной в том смысле, что в ней могут отсутствовать средства предупреждения воздействия не-
которых дестабилизирующих факторов. Тогда
(8.3) Pik |
Pik |
Pik |
где:
Pi'k - вероятность защищенности информации на i-м объекте в k-м его состоянии (режиме работ) от совокупного воздействия всех тех дестабилизирующих факторов, для противодействия которым в системе защиты не предусмотрены средства защиты;
В свою очередь:
(8.4) Pik |
|
|
(1 Pijk ) |
|
|
j |
|
Pi''k - то же для тех факторов, для противодействия которым в системе защиты имеются средства защиты. где j принимает значения номеров тех дестабилизирующих факторов, против которых отсутствуют средства защиты, а
(8.5) Pik |
|
|
(1 Pijk ) |
|
|
j |
|
86
где: - j" принимает значения номеров дестабилизирующих факторов, для противодействия которым в системе защиты предусмотрены средства;
- n" - значения номеров тех средств защиты информации, которые оказывают воздействие на дестабилизирующий фактор с номером j".
Вероятность надежной защиты информации в группе объектов определяется зависимостью:
(8.6) P Pi
i
Такой подход позволяет определить возможный ущерб U для ценной информации, выраженной в конкретной сумме (цене) G.
U= (1- P )*G
Так, при ценности информации выраженной в цене G=100000руб.
и Р = 0,8, ущерб U составит 20000 руб. (U= (1-08)*100000=20000руб.),
что означает то, что в случае реализации каких-либо угроз потери организации (собственника) в финансовом выражении составят 20000 руб. При этом предотвращённый ущерб составит 80000руб.
Частные модели защиты. Частные модели используются для исследования безопасности отдельных компонентов или процессов. К ним можно отнести частные модели для моделирования угроз безопасности (моделирование конкретной угрозы или некоторой совокупности), модели нарушителя, модель безопасности компьютерной системы, модели потоков информации на объекте информатизации.
При моделировании угроз используются как стохастические (вероятностные) модели, методы статистического анализа так и методы неформального анализа. Современные модели нарушителя характеризуются неформальным описанием, т.е все нарушители распределяются по уровню возможностей, для каждого уровня возможностей определяются возможные способы НСД и т.д. – неформальная модель нарушителя.
В теории компьютерной безопасности функционирование системы и её безопасность выражается политикой безопасности системы. Описание функционирования системы и обеспечение её безопасности осуществляется с использованием модели безопасности. В рамках описания системы и доказательства её безопасности используются как неформальные методы (модели), так и формальные.
87
Неформальное описание используется в системах с дискреционной политикой безопасности. Уровень защищённости этих систем не высок. Неформальное описание политики безопасности в частности приводится в руководствах операционных систем семейства Windows.
Преимуществом формального описания является отсутствие противоречий в политике безопасности и возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности. Такое решение проблемы защищенности информации и проблемы построения системы защиты позволяет привлечь в теорию защиты точные математические методы. То есть доказывать, что данная система в заданных условиях поддерживает политику безопасности.
Частные модели позволяют определить экстремальные показатели с точки зрения безопасности информации и систем её обработки.
Такими показателями являются:
наиболее ценная (важная) информация;
наиболее уязвимые элементы систем обработки информации;
наиболее опасная угроза;
наиболее опасный злоумышленник;
наименее надёжный механизм защиты;
наиболее надёжная политика безопасности компьютерной системы (ОС, СУБД)
Контрольные вопросы и задания
1.Перечислите основные задачи теории защиты информации.
2.В чём заключаются особенности теории защиты информации?
3.Какие принципы общетеоретического характера положены в основу формирования теории защиты информации?
4.Что включает в себя методологический базис теории защиты информации?
5.В чём заключён смысл применения лингвистических переменных в защите информации? Приведите пример.
6.Поясните суть метода неформального оценивания.
7.Что представляет собой моделирование системы защиты?
8.Как классифицируются модели по масштабу, способам моделирования, характеру моделируемых систем?
9.Какие показатели определяются с использованием общей модели процесса защиты информации?
88
10.Какие экстремальные показатели, с точки зрения безопасности информации и систем её обработки, позволяют определить частные модели?
89
Глава 7 СОСТАВ И ОСНОВНЫЕ СВОЙСТВА ЗАЩИЩАЕМОЙ
ИНФОРМАЦИИ
7.1 Основные свойства информации, обуславливающие необходимость её защиты
С развитием производства и ускорением темпов развития общества информация приобрела свойства товара и стала объектом рыночных отношений и объектом гражданских прав (прав собственности) закреплённых в Гражданском кодексе, в том числе и исключительных (имущественных) прав на объекты интеллектуальной собственности.
Информационные ресурсы включаются в состав имущества государства, юридических и физических лиц, и как любой другой ресурс, обладающий свойством товара, имеет свою товарную или потребительскую стоимость – ценность (цену).
Однако не всегда ценная информация может быть выражена в цене. Поэтому к ценной информации также относят информацию, являющуюся важной (значимой) для тех или иных субъектов.
Информация во внешнеполитической, военной, разведывательной, контрразведывательной и оперативно-розыскной деятельности, собственником которой является государство, имеет наивысшую ценность с точки зрения её важности. Например, информация о деятельности разведывательных служб не имеет цены, однако ущерб от разглашения такой информации общеизвестен – политический (моральный) ущерб для целого государства и его престижа. Поэтому сохранение этой информации в секрете – сохранение конфиденциальности, является важнейшей задачей предотвращения такого ущерба.
Или, например, личная и семейная тайна. Разглашение информации об усыновлении ребёнка может привести к тяжёлым последствиям (моральным), как для ребёнка, так и для приёмных родителей. Такая информация не имеет цены, но является важной, так как в результате наносится моральный ущерб. Сохранение в тайне этой информации – является условием поддержания прав личности на личную и семейную тайну, закреплённых в Конституции РФ и конституциях все демократических государств.
Для обеспечения ценности информации как объекта собственности и как товара, обладающего определёнными потребительскими свойствами, необходимо обеспечит такие свойства как конфиденци-
90