Автоматика и телемеханика, Л- 7, 2007
РАС Б 84.40.11а. 89.70.^с
© 2007 г. А.Н. НАЗАРОВ, д-р техн. наук (ООО «Газсвязь ОАО «Газпром»», Москва)
ОЦЕНКА УРОВНЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОВРЕМЕННЫХ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ НА ОСНОВЕ ЛОГИКО-ВЕРОЯТНОСТНОГО ПОДХОДА
Сформулировало условие достижимости допустимого уровня защищенности объекта атаки ипфокоммупикациоппой сети. Для обусловленного необратимыми. инвариантными, причишго-следствеппыми связями полного множества функций защиты информации получены логико-вероятностные модели оценки защищенности объекта ипфокоммупикациоппых сетей. На основе введенного понятия градаций функций защиты информации и их характеристик с применением Вайесова формализма для статистических даппых сформулированы положения по организации идентификации полученных вероятностных моделей с целыо уточнения текущего значения риска.
1. Введение
Современный этап развития мировой цивилизации характеризуется переходом от индустриального к информационному обществу, которое должно базироваться на массовом использовании информационных и телекоммуникационных технологий. Общие подходы к построению перспективных ипфокоммупикациоппых сетей (ИКС) нашли отражение в концепции сети связи следующего поколения Next Generation Network (NGN), основная идея которой заключается в объединении ресурсов информационных технологий и развитой инфраструктуры электросвязи с целыо предоставления любому пользователю доступа к ним в реальном времени [1]. При этом особую остроту приобретают вопросы обеспечения необходимого уровня информационной безопасности для разных классов пользователей ИКС. Особенности политик информационной безопасности ИКС изложены достаточно интересно и подробно в [2]. Вместе с тем. методические вопросы оценки информационной безопасности систем класса NGN нуждаются в дальнейшей проработке, что предопределяет актуальность настоящей статьи.
Для удобства рассмотрения дальнейшего материала приведем некоторые определения.
Стандарт ISO 7498-2 [2. 3] определяет пять базовых услуг для обеспечения безопасности компьютерных систем и сетей: конфиденциальность (confidentiality), аутентификация (authentication), целостность (integrity), контроль доступа (access control), причастность («неотпирательство», norirepudiatiori). а также дополнительную услугу доступность.
Угроза безопасности информации (далее угроза) совокупность условий и факторов. создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее (ГОСТ Р 51624-00).
Дестабилизирующий фактор (ДФ) непосредственная причина одного или нескольких явлений, событий, следствием наступления которых может быть нарушение конфиденциальности, целостности и/или доступности информационных ресурсов. работоспособности ИКС или ее элементов. К ДФ следует отнести и деструктивные воздействия.
Уязвимость некая слабость ИКС. которую можно использовать для нарушения системы или содержащейся в ней информации (ГОСТ Р ИСО 7498-2-99). т.е. реализации угрозы (угроз).
Атакой называется действие или последовательность связанных между собой действий нарушителя, которые приводят к реализации угрозы путем использования уязвимостей системы. Атака предназначена для реализации цели нарушителя в отношении объекта Y, принадлежащего ИКС. В качестве объекта Y могут рассматриваться информационные, программные, матсриально-тсхничсскис и другие ресурсы ИКС.
В общем случае с целыо защиты объекта разрабатывают политику инфобезопас-ности, руководствуясь которой строят преграды (рубежи защиты), препятствующие возможности осуществления атаки. В качестве рубежей защиты могут выступать: охраняемая территория, пропускная система на объекты и в здания, аутентификация пользователей, организация парольного доступа к информации определенной категории и др. Достаточно полный перечень значимых угроз нарушения услуг безопасности в современных ИКС и примеры объектов и преград, которые могут подвергаться воздействию ДФ и атак, приведены в [2. 4].
В общем случае ИКС является территориалыю-распределенной системой. Ее физическую структура в общем случае состоит из трех компонент: автоматизированных систем инфоуслуг, мультнсервнсных или мультииротокольных сетей электросвязи регионального и магистрального уровней, обеспечивающих услуги по интегральному переносу разнородного трафика в общей физической среде с заданным QoS (Quality of Service, качество обслуживания), а также сигнальной и управляющей информации, сетей широкополосного абонентского доступа [1, 2]. Злоумышленник. преследуя определенную цель, подготавливает процесс реализации атаки в пространстве ИКС и времени, а также планирует ее траекторию. Альтернативой понятия траектория атаки являются структура риска, сценарий риска.
Y
стороны нарушителя, состоит из двух компонент [4]: вероятности неуспеха противо-
YY проведеиия успешной атаки и оценки (например, финансовой, материальной, временной на устранение ущерба и др.) масштаба последствий (ущерб) успешной атаки. Объект риска считается достаточно защищенным, если с учетом возможности потенциального преодоления преград вероятность успешной атаки (вероятность риска, вероятность неуспеха объекта риска) = (1 — P^) меньше допустимого значения
р1дош т-е-
(1) > 1 — Р/ццоп - условие достижимости,
где Pjf - вероятность успешного противостояния атаке (защищенность, вероятность успеха объекта риска) объектом риска.
Увеличение значения PY требует вложения дополнительных затрат, но если этого не делать, то возможно причинение ущерба в большом размере. В свою очередь, злоумышленник на поиск новых уязвимостей и преодоление преград ИКС вкладывает соответствующие средства, что приводит к увеличению значения P^.
Если существует угроза, способная нанести объекту ИКС ущерб, то философски должна существовать и потенциальная возможность воспрепятствовать этим
действиям и защититься от них. предусматривая соответствующие способы организации защиты. С точкн зрення повышения информационной защищенности можно оценить влияние каждого из способов на защищенность или на качество функционирования защитного механизма. Следует считать, что для каждого набора входных данных существует своя оптимальная стратегия защиты. Основная проблема состоит в том. чтобы узнать, каким именно будет этот входной набор данных. Используем логико-вероятностную теорию (ЛВ-теорию) риска [5] для проведения дальнейших исследований.
2. Логическая и вероятностная модели неуспеха объекта риска на основе функций защиты
В общем случае ИКС состоит из множества объектов риска. Мощность этого множества в процессе эволюции ИКС, как правило, изменяется. На ее значение оказывают влияние различные факторы: архитектура и уязвимости применяемых аппаратно-программных решений: численность специалистов, отвечающих за инфо-безопасиость системы и уровень их квалификации: появление новых ДФ, появление новых свойств известных ДФ: объем финансовых средств, выделяемых на обеспечение н совершенствование научно-технической политики иифобезопасиости и др. С течением времени значения и характеристики этих факторов могут и будут меняться, поэтому необходимо определить некие инварианты, позволяющие определить защищенность объектов риска в процессе эволюции ИКС на текущий момент времени.
Следуя рекомендациям [6], под функцией защиты будем понимать совокупность однородных в функциональном отношении мероприятий, регулярно осуществляемых в ИКС различными средствами и методами с целыо создания, поддержания и обеспечения условий, объективно необходимых для надежной защиты информации.
Для того, чтобы множество функций защиты некоторого объекта риска У соответствовало своему назначению, оно должно удовлетворять требованию полноты. В этом случае при надлежащем обеспечении соответствующего уровня (вероятности) осуществления каждой из функций защиты гарантированно может быть до-
У
У
или признаков, каждую из которых обозначим бинарной логической переменной Х с соответствующим нижним индексом:
Х\ - предупреждение возникновения условий, благоприятствующих порождению (возникновению) ДФ:
Х2 - предупреждение непосредственного проявления ДФ;
Х3 — обнаружение проявившихся ДФ;
Х4 - предупреждение воздействия на объект риска проявившихся и обнаруженных ДФ;
Х5 - предупреждение воздействия на объект риска проявившихся, но необнаруженных ДФ;
Х6 - обнаружение воздействия ДФ на объект риска;
Х7 - локализация (ограничение) обнаруженного воздействия ДФ на объект рис-
Х8 - локализация необнаруженного воздействия ДФ на объект риска;
Х9 - ликвидация последствий локализованного обнаруженного воздействия ДФ на объект риска;
Х10 - ликвидация последствий локализованного необнаруженного воздействия ДФ на объект риска.
Рис. 1. Схема выполпепия фппкцпй защиты и результатов защиты информации (неходов). ДФ дестабилизирующий(-ие) фактор(-ы).
Результат выполнения каждой из функций защиты или ее исход является случайным событием н может принимать два значения успех или неуспех. Положим, что бинарная логическая переменная X., ] = 1 ^и,и =10 равна 1 (см. "-" на рис. 1) с вероятностью Р., если выполнение функции защиты привело к неуспеху объекта риска, и равна 0 с вероятностью = 1 — Р.,- в противном случае (см. "+" на рис. 1). Преграды, создаваемые для противодействия негативным воздействиям ДФ па объект риска, выполняют определенные функции защиты, препятствующие осуществлению атаки на объект риска со стороны злоумышленника. При этом одна преграда может выполнять последовательно несколько функций защиты. Преграда может выполнять функцию защиты по отношению к разным объектам риска.
На рис. 1 приведены все 10 итоговых событий (исходов, признаков), которые будем обозначать соответствующими бинарными логическими переменными Их, И2,... ..., Ит, т = 10 и которые могут наступить при выполнении функций защиты Х\ ^ ^Хщ объекта риска. Наступление каждого из этих исходов обусловлено однозначно определенными необратимыми причинно-следственными связями выполнения функций защиты. Схематично изображенные на рис. 1 эт
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.