Методика и порядок выполнения работы. 1. Ознакомиться с теоретическими сведениями, изложенными в данных методических указаниях
1. Ознакомиться с теоретическими сведениями, изложенными в данных методических указаниях
2. Рассмотреть общую модель воздействия на информацию
3. Рассмотреть общую модель процесса нарушения физической целостности информации
4. Рассмотреть структурированную схему потенциально возможных злоумышленных действий в АСОД
5. Ознакомиться с общей моделью процесса несанкционированного копирования информации
6. Оформить отчет
Содержание отчета и его форма
Отчет должен иметь форму согласно оформлению простого реферата. Титульный лист должен включать название дисциплины, название лабораторной работы, фамилию и инициалы сдающего студента, номер группы, фамилию и инициалы принимающего преподавателя.
Основная часть лабораторной работы должна содержать:
1. Определение уязвимости информации
2. Описание общей модели воздействия на информацию
3. Описание модели процесса нарушения физической целостности информации
4. Описание структурированной схемы потенциально возможных злоумышленных действий в АСОД
5. Описание модели процесса несанкционированного копирования информации
6. Характеристика стоимостных зависимостей защиты информации
7. Выводы по проделанной работе.
Вопросы для защиты работы
1. В чем особенности эмпирического подхода к оценке угроз.
2. Приведите общую модель несанкционированных действий злоумышленника
Лабораторная работа № 4
ИССЛЕДОВАНИЕ АНАЛИТИЧЕСКИХ МОДЕЛЕЙ ДЛЯ ОПРЕДЕЛЕНИЯ БАЗОВЫХ ПОКАЗАТЕЛЕЙ УЯЗВИМОСТИ ИНФОРМАЦИИ
Цель и содержание: провести исследование аналитических моделей для определения базовых показателей уязвимости информации
Теоретическое обоснование
Для определения базовых показателей уязвимости различных видов применяются так называемые аналитические модели, которые позволяют определять искомые величины (в данном случае - показатели уязвимости информации) путем проведения вычислений по заранее установленным (выведенным) зависимостям.
Ниже приводятся некоторые такие аналитические модели:
а) Нарушение физической целостности информации.В соответствии с приведенной на рисунке 4.1 общей моделью процесса нарушения физической целостности информации введем следующие обозначения: -вероятность того, что на вход i-го структурного компонента поступает информация с нарушенной целостностью; - вероятность того, что целостность информации, находящейся (обрабатываемой, хранимой, передаваемой) в i-м структурном компоненте, будет нарушена под воздействием j-го дестабилизирующего фактора и (в случае злоумышленных действий людей) относительно одного нарушителя k-йкатегории. Для тех дестабилизирующих факторов, которые не связаны со злоумышленными действиями людей, индекс «k» игнорируется, т.е. значения для всех k одинаковы и зависят только от i и j; - вероятность того, что целостность выходящей из i-го компонента информации нарушена под воздействием j-го дестабилизирующего фактора и (в случае злоумышленных действий людей) относительно одного нарушителя k-й категории (относительно индекса «k» справедливо высказанное выше замечание).
Рисунок 4.1 – Общая модель процесса нарушения физической целостности информации
Нас, естественно, интересует наличие нарушения целостности выходной информации, т.е. величина . В соответствии с теоремой умножения вероятностей случайных событий эта величина может быть выражена следующей зависимостью:
(4.1)
Раскрыв скобки и произведя тождественные преобразования, окончательно получаем
(4.2)
Графически данная зависимость может быть представлена семейством кривых, представленных на рисунке 4.2.
Рисунок 4.2 – График значений базовой вероятности нарушения физической целостности информации
Нетрудно видеть, что здесь молчаливо предполагается:
1)различные дестабилизирующие факторы воздействуют на информацию независимо один от другого;
2) процесс нарушения целостности в компоненте АСОД не зависит от того, нарушена ли целостность информации, поступающей на его вход. Правомерность и допустимые рамки таких предположений должны быть обоснованы.
События - являются сложными в том смысле, что для их осуществления необходимо одновременное проявление соответствующего дестабилизирующего фактора и собственно нарушение целостности информации при проявлении этого фактора. Если вероятность первого события обозначить через второго – через ,то
(4.3)
Подставляя это выражение в (4.2), получаем
(4.4)
Значение и есть базовый показатель уязвимости с точки зрения нарушений целостности выходной информации. Однако для его использования необходимы значения для всех структурных компонентов АСОД и всех дестабилизирующих факторов. Значений этих величин в настоящее время пока нет и формирование всего их множества сопряжено с большими трудностями.
б) Несанкционированное получение информации.С точки зрения несанкционированного получения информации главную опасность представляют злоумышленные действия людей. Общая модель таких действий приведена на рис. 4.3. В соответствии с этой моделью введем следующие обозначения: - вероятность доступа нарушителя k-йкатегории в l-ю зону i-го компонента АСОД; - вероятность наличия (проявления) j-го КНПИ в l-и зоне i-го компонента АСОД; - вероятность доступа нарушителя k-й категории к j-му КНПИ в l-й зоне i-го компонента при условии доступа нарушителя в зону; - вероятность наличия защищаемой информации в j-м КНПИ в l-йзоне i-го компонента в момент доступа туда нарушителя.
Тогда в соответствии с теоремой умножения вероятностей, вероятность несанкционированного получения информации нарушителем k-й категории по j-му КНПИ в l-йзоне i-го структурного компонента АСОД определится следующей зависимостью:
(4.5)
Но поскольку под базовым показателем уязвимости информации (с точки зрения несанкционированного получения) мы условились понимать вероятность несанкционированного получения информации в одном компоненте АСОД одним злоумышленником одной категории по одному КНПИ, то выражение для базового показателя запишется так:
(4.6)
Рассмотрим далее статистические модели определения значений базовых показателей уязвимости. В силу целого ряда объективных причин далеко не всегда можно рассчитывать на наличие надежных исходных данных, необходимых для определения рассмотренных показателей уязвимости. В качестве выхода из положения в таких ситуациях предлагается использовать статистические модели, причем для этих целей разработана унифицированная статистическая модель, рассмотренная в лекционном материале.
Рассмотрим пути и способы использования унифицированной модели для определения значений базовых показателей уязвимости информации. Центральным блоком обобщенной схемы унифицированной модели является (см. рис. 4.4) блок 5, основное содержание которого составляет собственно имитация моделируемой системы или моделируемого процесса. Применительно к модели определения показателей уязвимости информации структура и содержание этого блока в виде вероятностно-автоматной модели ТСК показаны на рисунке 4.5. Последовательность реализации приведенной модели представлена на рисунке 4.6.
Рисунок 4.4 – Обобщенная структура имитационной модели
В свою очередь центральным блоком рассмотренной здесь модели является блок 5.4. На вход этого блока поступают потоки заявок на автоматизированную обработку информации, потоки дестабилизирующих факторов, под воздействием которых может быть нарушен установленный статус защищенности обрабатываемой информации, а также потоки воздействий на процесс обработки информации и дестабилизирующие факторы используемых средств защиты.
В зависимости от сочетания значений параметров перечисленных потоков изменяется внутреннее состояние моделируемого объекта или процесса и формируются данные о наличии или отсутствии и масштабах нарушения защищенности информации.
Схемы процессов, подобные приведенной, удобно представлять в виде вероятностно-автоматных моделей. Применительно к реализации блока 5.4 вероятностно-автоматная модель может быть построена следующим образом.
Рисунок 4.5 – Вероятностно-автоматная модель ТСК АСОД
(ВА - вероятностный автомат; ДФ - дестабилизирующий фактор)
Модель будет представлять собою совокупность взаимосвязанных вероятностных автоматов (см. рисунок 4.5), каждый из которых имитирует процесс функционирования соответствующего элемента АСОД. Поскольку все потенциально возможные структурные элементы АСОД разделены на типовые структурные компоненты (ТСК), структуру модели в общем случае можно представить множеством , где – вероятностный автомат, имитирующий работу i-го ТСК АСОД, и матрицей /ri,i`/,где
1, если выходные символы i-го автомата подаются
ri,i`= на вход автомата i`
0, в противном случае
i,i`= 1,2,…,n (n – число ТСК в моделируемой АСОД, i¹i`)
Рисунок 4.6 – Укрупненная схема модели определения показателей уязвимости информации (блок 5 обобщенной модели)
Заметим, что все однотипные ТСК могут имитироваться одним и тем же автоматом.
Далее выделяется некоторое подмножество автоматов , называемых входными, куда относятся автоматы, которые соответствуют тем ТСК, на входы которых поступают входные сигналы (терминалы, с которых вводятся запросы и/или исходные данные; каналы или аппаратура связи, участвующие в приеме запросов и/или исходных данных; терминалы администрации, с которых вводятся управляющие команды; ВЗУ, с которых считываются данные для обработки и т.п.). Выделяется также некоторое подмножество автоматов , называемых выходными, т.е. автоматов, соответствующих тем ТСК, выходные сигналы или внутренние состояния которых представляют интерес как результаты моделирования. При этом один и тот же автомат в общем случае может входить в оба выделенных выше подмножества. Тогда структуру вероятностно-автоматной модели АСОД в самом общем случае можно представить так, как показано на рисунке 4.7. Структура модели отдельно взятого ТСК в вероятностно-автоматном представлении приведена выше на рисунке 4.5.
Нетрудно видеть, что на базе методов вероятностно-автоматного моделирования можно построить унифицированную модель, позволяющую для АСОД любой архитектуры определять значение любого показателя уязвимости или любой их совокупности.
Базовые показатели уязвимости информации, которые могут быть определены с помощью рассмотренных выше моделей, сами по себе имеют ограниченное практическое значение. При изучении, разработке и эксплуатации систем защиты информации необходимы значения показателей уязвимости, обобщенных по какому-либо одному индексу (i,j или k) или по их комбинации, или же характеризующих какое-либо экстремальное состояние защищенности. Полный перечень и содержание обобщенных показателей изучены ранее. Нетрудно при этом видеть, что обобщенные модели могут быть унифицированными для всех рассматриваемых здесь видов уязвимости.
Значения частично обобщенных показателей могут быть определены следующим образом. Пусть {К*}есть интересующее нас подмножество из полного множества потенциально возможных нарушителей.
Тогда вероятность нарушения защищенности информации указанным подмножеством нарушителей по j-му фактору в i-м компоненте АСОД -
- определится выражением:
, (4.7)
где означает перемножение выражений в скобках для всех k, входящих в подмножество {К*}. При этом верхний индекс r будет принимать значение (ц), (п) или (р) в зависимости от того, какие базовые показатели используются при расчетах.
Аналогично, если {J*} есть подмножество представляющих интерес дестабилизирующих факторов, то уязвимость информации в i-м компоненте по данному подмножеству факторов относительно k-гонарушителя определится выражением:
. (4.8)
Наконец, если {I*} есть подмножество интересующих нас структурных компонентов АСОД, то уязвимость информации в них по j-му фактору относительно k-гонарушителя
. (4.9)
Рисунок 4.7. – Общая структура вероятностно-автоматной модели АСОД
Каждое из приведенных выше выражений позволяет производить обобщение по одному какому-либо параметру. Нетрудно получить общее выражение. Так, если нас интересуют подмножества {I*}, {J*} и {К*}одновременно, то
. (4.10)
Очевидно, общий показатель уязвимости P(r)определяется из выражения
(4.11)
Выведем выражения для определения экстремальных показателей уязвимости. Экстремальными названы показатели, характеризующие наиболее неблагополучные условия защищенности информации: самый уязвимый структурный компонент АСОД - , самый опасный дестабилизирующий фактор - , самая опасная категория нарушителей - . Тогда
. (4.12)
Данное выражение читается так: есть такое i, для которого заданный показатель уязвимости Р(з) принимает максимальное значение для всех i.
Аналогично:
(4.13)
(4.14)
Рассмотрим далее методы расчета показателей уязвимости информации с учетом интервала времени, на котором оценивается уязвимость.
Нетрудно видеть, что приведенные выше выражения являются адекватными для таких интервалов времени, которые названы нами очень малыми. Для других интервалов полученные формулы не будут адекватными: чем больше интервал времени, тем больше возможностей у нарушителей для злоумышленных действий и тем больше вероятность изменения состояния АСОД и условий автоматизированной обработки информации.
Возможные подходы к учету указанных факторов могут быть следующими. Напомним, что малыми мы называем такие временные интервалы, которые нельзя сводить к точке, но происходящие на которых процессы относительно уязвимости информации можно считать однородными. Тогда естественным будет разделить малый интервал на очень малые и на каждом из таких очень малых интервалов определять уязвимость информации независимо от других. А поскольку происходящие на малом интервале времени процессы являются однородными, то на каждом из выделенных очень малых интервалов уязвимость будет определяться по одной и той же зависимости. Тогда, если через Р(m) обозначить интересующий нас показатель уязвимости в точке (на очень малом интервале), а через P(m) - тот же показатель на малом интервале, то
. (4.15)
где t- переменный индекс очень малых интервалов, на которые поделен малый интервал; nt- общее число таких интервалов.
Нетрудно видеть, что рассмотренный подход можно распространить и на другие интервалы, а именно: большой интервал представить некоторой последовательностью малых, очень большой - последовательстъю больших, бесконечно большой - последовательностью очень больших.
Однако приведенные выражения будут справедливыми лишь в том случае, если на всем рассматриваемом интервале времени условия для нарушения защищенности информации остаются неизменными. В действительности эти условия могут изменяться, причем наиболее важным фактором, влияющим на эти условия, является активное действие системы защиты информации. Технология функционирования системы защиты специально будет рассматриваться в дальнейшем, однако чисто интуитивно можно предположить, что чем выше уязвимость информации, тем сильнее и активнее должна воздействовать система защиты. Учитывая сказанное, можно записать
, (4.16)
т.е. значение точечного показателя в каждой точке рассматриваемого интервала есть некоторая функция значения этого показателя в предыдущей точке. Тогда выражение (4.15) должно быть представлено так:
. (4.17)
Рассмотренные выше модели являются аналитическими, поскольку они позволяют определять требуемые значения показателей уязвимости путем аналитических вычислений.
Очень часто возникает необходимость в определении значений показателей уязвимости на конкретных технологических маршрутах автоматизированной обработки защищаемых данных. Рассмотрим возможные подходы к решению данной задачи. Технологические маршруты, по которым может осуществляться обработка информации, могут иметь различную структуру. Однако в качестве типовых можно выделить такие маршруты: простой технологический; развитый (сложный), но хорошо структурированный; сложный неструктурированный;
Рассмотрим структуру и содержание аналитической модели определения показателей уязвимости информации для перечисленных вариантов схем.
Простой технологический маршрут обработки данных можно задать упорядоченной последовательностью номеров ТСК, участвующих в обработке, и их состояний {is,qs(i)}, где переменный индекс s означает порядковый номер компонента в последовательности, a qS(i) - состояние его в соответствующий момент времени.
Данная последовательность формируется по следующим правилам:
1) ТСК упорядочиваются в строгом соответствии с последовательностью их участия в обработке информации;
2) если продолжительность обработки информации на одном и том же ТСК в одном и том же состоянии превышает стандартный интервал времени DТст, то он повторяется несколько раз с последовательно возрастающими значениями s;
3) если в течение DTcm состояние ТСК изменяется, то s последовательно повторяется по числу состояний ТСК, причем s растет в соответствии с последовательностью смены состояний;
4) если на технологическом маршруте обработки данных встречаются циклы, то циклически повторяющиеся ТСК заключаются в прямоугольные скобки, причем снаружи вверху у закрывающей скобки указывается число повторений цикла или условие, определяющее это число;
5) если на технологическом маршруте встречаются разветвления, то они описываются следующим образом: производится идентификация всех ветвлений (например, арабскими цифрами), причем начальный и конечный узлы каждого разветвления обозначаются одним и тем же идентификатором; все ТСК, входящие в одну и ту же ветвь, заключаются в фигурные скобки, причем снаружи вверху у открывающей и закрывающей скобок проставляется идентификатор ветви.
Аппаратура и материалы:
1. ПЭВМ