Задание на выполнение ргр по дисциплине «Методы защищенного доступа к распределенным информационным ресурсам»

В ходе выполнения расчетной - графической работы необходимо:

- спроектировать и построить марковскую модель защиты информации при заданных ограничениях (исходя из исходных данных).

- оценить сколько необходимо иметь эшелонов защиты, чтобы добиться требуемого уровня защищенности информации при использовании различных моделей, при этом эшелоны защиты информации не однородны.

- все расчеты проводятся для очаговой модели системы защиты

По результатам исследований оформить пояснительную записку. Работу представить в папке с файлами для офисных документов, с возможностью доступа к каждому листу.

Содержание пояснительной записки:

1 титульный лист

2 пояснительная записка с исходными данными

3 краткий теоретический материал

4 расчеты

5 графики

6 выводы.

Исходные данные для проведения расчетов:

1. С_инф=10000*Н…..12000*Н;- стоимость информации

2. Ц_СЗИ=5000*Н….8000*Н; - стоимость средств защиты информации

3. Количество уровней (эшелонов) защиты от 3 до 9 ( по журналу 1-3уровня, 2-4 уровня и т.д).

Н	каналы утечки информации (n)	защищены однородными защитными механизмами (m)	вероятностью преодоления с одной попытки Рп(1)	Необходимо найти вероятность преодоления или не преодоления системы защиты с ( ) попыток
	3	1	0.2	5
	5	3	0.3	6
	4	2	0.5	7
	6	4	0.6	3
	8	2	0.1	4
	2	1	0.3	7
	3	1	0.2	2
	6	3	0.5	8
	7	5	0.7	5
	7	3	0.1	4
	3	1	0.2	6
	4	2	0.4	5
	6	3	0.5	2
	8	5	0.3	7
	5	2	0.2	8

4. Все оставшиеся коэффициенты - задать самостоятельно

Н – номер по журналу.

Справочный материал

Разработка модели зашиты информации от воздействия нарушителя

Моделирование является одним из самых мощных средств, как научного познания, так и решения практических задач. Базовым понятием при формировании целей моделирования является модель. Модель занимает важнейшее место в системном подходе, инструментом которого является системный анализ. С одной стороны системный подход в моделировании реализуется в форме многоэтапного процесса, с другой- требует четкой формулировки задачи исследования, строгой логики в построении гипотез и концепций. Такой подход позволяет реализовать принцип формализации и квантификации, обеспечивающий сведение качественных характеристик систем к количественным.

Любая модель характеризуется переменными и параметрами (элементами модели).

Переменная - это величина, включенная в модель и принимающая различные значения в процессе решения задачи. Математические переменные могут быть непрерывными и дискретными. При построении модели выделяют существенные переменные, т.е. такие элементы, которые являются характеристикой существенных свойств моделируемой системы (процесса). В свою очередь существенные переменные разделяются на эндогенные и экзогенные. Первые действуют внутри модели, вторые - воздействуют на модель извне.

Параметры модели представляют собой относительно постоянные величины моделируемого объекта (системы, процесса) и образуют ее каркас. Совокупность их указывает на то , чем данный объект отличается от других. Параметры модели также разбивают на две группы - существенные и несущественные. Существенные отбираются на этапе анализа моделируемого объекта как необходимые и достаточные для него характеристики с учетом целей моделирования.

Однако переменные и параметры не в полной мере характеризуют модель. Третьей составляющей значительной части моделей являются ограничения.

Таким образом, задать (разработать) любую модель это значит определить пространство (совокупность, множество) параметров, переменных и ограничений с определенными на этом пространстве целями.

При этом необходимо иметь ввиду следующее. В большой группе задач не удается однозначно предсказать последствия принимаемых решений, поскольку некоторые явления, описываемые параметрами и переменными математической модели, определить точно не представляется возможным. В этом случае принято говорить, что принятие решения осуществляется в условиях неопределенности. При поиске решения в таких задачах выделяют два основных подхода к моделированию. В первом, предполагают, что функциональные связи модели, описывающие существенные свойства моделируемой системы, носят статистический (стохастический или вероятностный) характер. При этом каждому значению одной переменной соответствует не какое-то определенное значение, а множество возможных значений другой переменной, в том числе и множество значений целевой функции. Иначе говоря, каждому значению одной переменной соответствует определенное статистическое распределение другой переменной. Вероятностное распределение переменной (или неопределенного параметра) считается известным. Модели, построенные по такому принципу называются моделями со случайными факторами. При втором подходе к моделированию систем с неопределенностью, считают, что известна лишь область изменения переменной или неопределенного параметра, т.е. исходная информация имеет множественные условия. Особенно это характерно для моделей противоборствующих (конкурирующих) систем (как для систем защиты), где точно предсказать действия сторон зачастую оказывается невозможным. Модели, построенные на этих условиях называют моделями с неполной информацией.

В настоящее время, несмотря на большое количество проведенных исследований у нас в стране и особенно за рубежом, единая и общепринятая модель воздействия нарушителя (противника, злоумышленника) на информационные массивы, хранящиеся и обрабатываемые в ИС еще не создана. Однако, общими усилиями разработан подход к решению этой проблемы, суть которого состоит в разработке общей теории защиты (сохранении) какого-либо предмета от несанкционированного доступа (уничтожения, искажения, похищения, размножения) и приложение ее к ИС с учетом особенностей информации как предмета защиты и самих ИС, как объектов ее использования.

Разработан, опубликован и используется ряд моделей воздействия. С точки зрения используемого математического аппарата в основном все они базируются на логико-вероятностный подход.

Вариант 1. Простая вероятностная модель (рис. 2.1).

Рисунок 2.1-Простая вероятностная модель

Используемые ограничения и допущения:

1) нарушитель пытается завладеть информацией, хранящейся за некоторой преградой (защитой), совершая ограниченное k число независимых попыток воздействия;

2. преграда (защита) единственная, замкнутая (круговая), однородная и действует постоянно.

3. система защиты после каждой попытки успевает полностью восстановиться.

В качестве параметров модели выступают: вероятность преодоления защиты с одной попытки - Р⁽¹⁾_п и число попыток k .

В качестве переменной - вероятность ее не преодоления Р_нп .

Тогда в соответствии с логико-вероятностным подходом

Р⁽¹⁾_нп = 1 - Р⁽¹⁾_п (2.1)

а вероятность не преодоления системы защиты с k попыток

Р^(k)_п = 1-(1 - Р⁽¹⁾_п )^k

Р^(k)_нп = 1 - Р^(k)_п =(Р⁽¹⁾_нп )^k (2.2)

Таким образом, совершая требуемое число попыток k^Тр , нарушитель может добиться заданной цели даже при высоком уровне защищенности информации.

Пусть требуется вскрыть систему защиты с вероятностью Р_п ³ Р_п^Тр

Тогда

(2.3)

В свою очередь хранитель информации для повышения уровня защищенности может создать несколько эшелонов защиты. Это приводит к необходимости разработки второго варианта модели воздействия.

Вариант 2. Простая эшелонированная модель защиты информации (рис. 2.2).

Рисунок 2.2 - Простая эшелонированная модель воздействия нарушителя

Используемые ограничения и допущения:

1) нарушитель пытается завладеть информацией, хранящейся за m эшелонами защиты, совершая ограниченное k число независимых попыток воздействия;

2. все эшелоны защиты однородны, круговые и действуют постоянно;

3. вскрытый эшелон защиты не восстанавливается.

В качестве параметров модели выступают:

вероятность преодоления i -го эшелона защиты с одной попытки - P⁽¹⁾_{п i} ;

Число эшелонов защиты - m ;

Число попыток воздействия - k .

В качестве переменной - вероятность не преодоления системы защиты P_{нп m} .

Тогда, если все эшелоны защиты однородны (имеют одинаковую вероятность преодоления - P_{п i} ), а число попыток воздействия равно k, то

P^(k)_{нп m} = ( 1 - (P⁽¹⁾_{п i})^m )^k (2.4)

Отсюда нетрудно решить и обратную задачу. Сколько необходимо иметь эшелонов защиты, чтобы добиться требуемого уровня защищенности информации при использовании такой модели? Для этого необходимо лишь проделать следующую последовательность действий:

1. P^(k)_{нп m} = ( 1 - (P⁽¹⁾_п)^m )^k ;

2. (2.5)

3. 

4. 

5. ;

Знак означает операцию округления в сторону увеличения.

Если эшелоны защиты не однородны ( P_п1 ¹ P_п2 ¹ ... ¹ P_{п i} ¹ P_{п m}), то выражение ( 2.4 ) примет вид

. (2. 6)

Известен и другой подход к созданию моделей воздействия нарушителя на систему преград. Он основывается на свойстве «старения» информации. Следствием этой причины является необходимость решения задачи определения времени t_н , после которого информация теряет ценность для тех, кто ее пытается получить.

Решение этой задачи не является сложным, если известны зависимости изменения во времени «стоимости» хранения и «стоимости» получения информации от времени. Так, если «стоимость» хранения информации во времени изменяется по линейному закону С_и(t)=k₁t+b,а стоимость преодоления системы защиты - по пропорциональной зависимости С_п(t)=k₂t, найти время t_н, после которого взлом защиты становится не целесообразным можно как аналитическим, так и графическим путем.

Пусть k₁ = - 0,5 ; b = 10 ; k₂ = 2. Тогда

С_и(t)= С_п(t);

k₁t+b = k₂t ;

k₂t - k₁t = b ; (2.7)

;

[ ед. времени]

Рисунок 2.3-Графическое решение задачи

Вместе с тем учет «старения» информации приводит к необходимости учета фактора времени и при выборе показателя оценки защищенности, который в данном случае становится главным показателем, т.к. в нем время выступает ограничивающим фактором. В качестве такого показателя будем использовать вероятность не преодоления системы защиты за время, не превышающее заданное P_нп(t £ t^з) .

Ограничения, используемые в моделях 1и 2 являются очень сильными, и в значительной мере не отражают реального построения систем защиты. В первую очередь это обусловлено особенностями распределенных ИС как объектов использования информации. Одной из таких особенностей ( в том числе и в АСУ) является значительные, разнесенные по территории того или иного региона размеры. Следствием этого является большая трудность, а в ряде случаев не возможность создания замкнутой круговой преграды вокруг всей ИС ВН, и необходимость перехода к очаговой системе преград, имеющей обходные пути (рис 2.4).

Рисунок 2.4 - Модель очаговой системы защиты

В [ Мельников ] предлагается для оценки защищенности информации в такой модели использовать следующие выражения

Р_нп = 1, если t_ж < t_н и Р_обх = 0 ;

Р_нп = ( 1 - Р_п( t £ t_ж) ) ; (2.8)

Р_нп = ( 1 - Р_п( t £ t_ж) )(1 - Р_обх),

где Р_п( t £ t_ж) = 0, если t_ж < t_н ;

Р_п( t £ t_ж) > 0, если t_ж > t_н ;

где t_ж - время «жизни» информации.

Если обходных путей несколько, то

где Р_п( t £ t_ж), например, для взлома системы защиты, основанной только на методе паролирования, рекомендуется находить по выражению

,

где n - количество попыток подбора пароля;

А - число символов в выбранном алфавите;

S - длина пароля.

Эту же задачу на наш взгляд можно решить и следующим способом:

1. вероятность преодоления системы преград с одной попытки

; (2.9)

2. вероятность не преодоления с одной попытки

Р⁽¹⁾_{н пр} = 1 - Р⁽¹⁾_пр ; (2.10)

3. вероятность преодоления с k попыток

Р^(к)_пр = 1 - (1 - Р⁽¹⁾_пр)^к ; (2.11)

4. вероятность не преодоления с k попыток

Р^(к)_{н пр} = 1 - Р⁽¹⁾_пр ; (2.12)

где Р_пр (Р_{н пр} ) - соответственно вероятность попадания ( не попадания) на очаговую преграду.

Пусть в ИС установлено десять каналов утечки информации ( n = 10), четыре из них защищены однородными защитными механизмами ( m = 4) с вероятностью преодоления с одной попытки Р_п⁽¹⁾ = 0,7.

Необходимо найти вероятность не преодоления системы защиты с трех попыток - Р_нпр^(з).

1. ;

Р_{н пп} = 1 - Р_пп = 0,6

2.

3. Р_пр⁽³⁾ = 1 - (1 - Р_пр⁽¹⁾)³ = 1 - 0,288 ³ = 0,976

3. Р_{н пр}⁽³⁾ = 1 - Р_пр⁽³⁾ = 1 - 0,976 = 0,024 (2.13)

Серьезным недостатком всех рассмотренных моделей является то, что в них не учитывается тот факт, характерный практически для всех систем защиты, что злоумышленник может перейти к вскрытию очередного эшелона защиты только после того, как ему удалось преодолеть предыдущий.

Для устранения этого недостатка в данной работе разработан ряд моделей, базирующихся на математическом аппарате конечных марковских цепей, которые могут быть использованы на том или ином уровне исследования.

2.1.2 Аналитические ( марковские ) модели воздействия нарушителя

Вариант 1. Простая марковская модель защиты информации.

При разработке модели использованы следующие ограничения:

1. средства защиты различных эшелонов не однородны, попытки преодоления одного и того же средства независимы;

2. преодоление очередного средства возможно только после преодоления предыдущего. Преодоленные средства защиты не восстанавливаются.

Из анализа физической сущности процесса преодоления такой системы преград можно сделать вывод о том, что данный процесс является вероятностным, имеет конечное число дискретных состояний (равное числу преград плюс единица), время преодоления каждой из преград является случайной величиной, в общем случае распределенной по не известному ( не показательному ) закону, т.е. процесс с классической точки зрения не является марковским.

В таких условиях нахождение вероятностно-временных характеристик преодоления системы преград требует привлечения математического аппарата общей теории СМО. Однако, для достижения поставленных в работе целей исследования без особого ущерба для полученных результатов, можно ввести следующие допущения:

1) все события в процессе преодоления преград совершаются в некоторые дискретные моменты времени, именуемые шагами;

2) на длительность шага ограничений не накладывается;

3. переход из одного состояния в другое возможен с определенной вероятностью.

4. вероятность перехода в состояние j на шаге i зависит только от того, в каком состоянии находится система на шаге (i - 1) и не зависит от того, каким образом она пришла в это состояние.

В таких предположениях можно исследуемый немарковсий процесс достаточно адекватно заменить вложенной в него конечной марковской цепью, для которой свойство марковости соблюдается только в моменты осуществления переходов из одного состояния в другое.

Тогда данный процесс может быть отображен графом состояний и переходов, изображенным на рис. 2.5 .

Рисунок 2.5-Граф состояний и переходов

Состояния, указанные на графе имеют следующее содержание:

S₀ - нарушитель осуществляет попытку преодоления внешней преграды;

S₁ - нарушитель преодолел внешнюю преграду и осуществляет попытку преодоления второй ( с внешней стороны) преграды;

S_i - нарушитель преодолел i - ую ( с внешней стороны ) преграду и осуществляет попытку преодоления (i + 1) - ой преграды;

S_n - нарушитель преодолел последнюю (внутреннюю) преграду. Это событие является поглощающим.

В качестве вероятностей перехода в графе, изображенном на рис. 2.5, выступают вероятности преодоления (не преодоления) той или иной преграды (средства защиты).

Матрица переходных вероятностей для такого процесса примет вид:

(2.14)

Ввероятность преодоления системы защиты за k попыток будет определяться по уравнению Колмогорова - Чепмена

, (2.15)

где в качестве вектора исходного состояния принят вектор

P_<n+1>[0] = < 1 0 0 0 ... 0 > (2.16)

Пусть модель системы защиты имеет вид, представленный на рис. 2.6.

Рисунок 2.6 - Модель системы защиты

Для такой модели системы защиты граф состояний и переходов примет вид, изображенный на рис. 2.7 :

Рисунок 2.7- Граф состояний и переходов

В общем виде матрица переходных вероятностей будет иметь вид:

(2.17)

Рассчитаем по ( 2.15 ) вероятность взлома системы защиты за k = 3 попытки.

Пусть Р₀₁ = 0,7; Р₁₂ = 0,6; Р₂₃ = 0,3. При таких исходных данных получим матрицу (2.17)

,

а вектор исходного состояния Р_<4>[0] = < 1 0 0 0 >.

Тогда

Таким образом, после трех попыток взлома вероятность преодоления системы защиты Р_п⁽³⁾ = 0,126.

Третьей важной особенностью систем защиты информации в современных ИС является возможность восстановления вскрытых средств защиты либо по времени, либо по действиям администратора. Например, по истечение некоторого наперед заданного интервала времени, меняется имя пользователя, изменяется пароль доступа и т.д. С учетом этого разработан четвертый вариант модели.

Вариант 4. Процесс вскрытия системы защиты информации в этой модели отличается от предыдущего тем, что нарушитель, при попытке вскрытия очередного средства защиты обнаруживает, что предыдущие эшелоны (эшелон) восстановлены и ему необходимо приступать к взлому защиты, начиная с первого эшелона. Учитывая тот факт, что вероятности вскрытия средства защиты незначительны (например, нарушитель знает один из миллиона возможных значений пароля), можно считать события воздействий независимыми. Тогда, граф состояний и переходов такого процесса примет вид, изображенный на рис. 2.8.

Рисунок 2.8 Граф состояний и переходов

Дальнейшие расчеты проводятся аналогично тем, что приведены для модели 3.

Рассчитаем вероятность взлома системы защиты для графа, представленного на рис. х.6, и вероятностях Р₀₁ = 0,7; Р₁₂ = 0,6; Р₂₃ = 0,3; Р₁₀ = 0,1; Р₁₁ = 0,3; Р₂₀ = Р₂₁ = 0,1; Р₂₂ = 0,5 при числе попыток взлома k = 3.

Для модели системы защиты, представленной на рис.2.6 граф состояний и переходов примет вид, изображенный на рис. 2.9.

Рисунок 2.8 Граф состояний и переходов

В дальнейшем методика оценивания вероятности взлома системы защиты останется аналогичной той, что, использована в варианте 3.

=

Р_<4>[0] = < 1 0 0 0 >.

Таким образом, после k=3 попыток воздействия, система защиты (рис.2.6) при исходных данных (2.18) будет преодолена с вероятностью Р_п⁽³⁾=0,126.

Для распределенных ИС ВН, где невозможно построить круговую систему защиты (полностью перекрыть все возможные каналы воздействия), разработана модель пятого варианта в нескольких модификациях.

Вариант 5. Для разработки марковской модели воздействия нарушителя на систему защиты, состоящую из системы очаговых преград, воспользуемся методом индукции.