Модели и алгоритмы оценки эффективности программных систем защиты информации тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Коробкин, Дмитрий Игоревич

Особенностью настоящего времени является широкое внедрение автоматизированных систем (АС) практически во все сферы жизнедеятельности государства. Вместе с тем в процессе их функционирования вследствие возникновения изменений штатных режимов работы, обусловленных нарушениями информационной безопасности, возможными сбоями и отказами программно-технических средств, несанкционированным доступом (НСД) к данным, манипулированием ими и перехватом управления, могут возникать неприемлемые последствия. В связи с этим исследования в области обеспечения информационной безопасности (ИБ) АС, направленные на снижение или устранение таких последствий, приобретают чрезвычайную важность.

Для обеспечения ИБ используются специальные системы защиты информации (СЗИ), входящие в АС в виде проблемно-ориентированных подсистем. Они представляют собой как аппаратные, так программные СЗИ (ПСЗИ), причем последние получили достаточно широкое распространение. От эффективности СЗИ и, в частности, ПСЗИ зависит уровень ИБ АС в целом. Это определяет необходимость наличия методологии разработки ПСЗИ, гарантирующей требуемый уровень их эффективности. В связи с этим определим ПСЗИ в качестве объекта исследований.

В настоящее время весьма действенным механизмом подтверждения такой гарантии являются различные системы сертификационных испытаний программного обеспечения. Они реализованы в рамках существующей нормативной базы и представляют совокупность организационно-технических мер анализа программного обеспечения на предмет выполнения определенных нормативными документами требований при помощи специальных средств. Основы методологии создания подобных средств заложены такими отечественными учёными как Бетелин В.Б., Васенин В.А., Галатенко В.А.

Зегжда Д.П., Климов С.М., Липаев В.В., Пальчун Б.П., Рогозин Е.А., Скрыль C.B., Шубинский И.Б., Ухлинов JI.M., Юсупов P.M. и др.

Вместе с тем, сертификационные испытания предполагают наличие в качестве объекта разработанного программного продукта и если в процессе их проведения не подтверждается требуемый уровень его эффективности, разработчик ПСЗИ несет существенные финансовые потери. С целью избежания подобных ситуаций чрезвычайно важно иметь возможность оценивать эффективность ПСЗИ на ранних стадиях их жизненного цикла, что определяет необходимость разработки нового инструментария анализа эффективности.

В настоящее время оценка эффективности ПСЗИ осуществляется на основе руководящих документов ФСТЭК России, которые определяют функции ПСЗИ в соответствии с классом защищенности АС. При этом оценка эффективности сводится к проверке функций разработанной системы защиты на соответствие данным руководящим документам. С другой стороны в РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» определено, что неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты. В связи с этим оценка на «функциональное соответствие» имеет существенный недостаток: она не позволяет при проектировании исследовать ПСЗИ в динамике функционирования и не дает полную картину реализации-заявленных свойств.

Устранение этого недостатка осуществляется посредством использования комплексного показателя эффективности ПСЗИ, учитывающего как статические свойства системы защиты, так и её динамические свойства, и его оценке с помощью соответствующих математических моделей. Это определяет актуальность разработки комплекса моделей и алгоритмов для анализа временных характеристик функционирования ПСЗИ (динамических свойств) и анализа выполнимости определенного набора функций (статических свойств) при оценке эффективности системы защиты.

Целью диссертации является разработка комплекса моделей и алгоритмов оценки эффективности программных систем защиты информации в автоматизированных системах и создание специализированного программно-моделирующего комплекса для их реализации.

Для достижения поставленной цели сформулирована следующая научная задача. На основе анализа существующих ПСЗИ, требований, предъявляемых к ним, типовых сценариев НСД нарушителя к информации обосновать и разработать механизмы, позволяющие оценивать эффективность ПСЗИ, как на основе проверки соответствия установленным требованиям, так и с учётом динамики функционирования ПСЗИ.

Решение указанной задачи обусловливает выделение в качестве предмета исследований моделей и алгоритмов для оценки эффективности ПСЗИ и предполагает:

1. Обоснование представления взаимодействия нарушителя и ПСЗИ в виде динамического конфликта и разработку модели такого конфликта.

2. Обоснование и разработку моделей для количественной оценки эффективности ПСЗИ, позволяющих описывать динамику их функционирования.

3. Разработку комплекса алгоритмов анализа эффективности ПСЗИ, основанных на экспериментальной оценке реакции ПСЗИ на типовые ситуации, возникающие в процессе её функционирования

4. Разработку программные средства для построения программно-моделирующего комплекса анализа эффективности, функционирующего в рамках системы автоматизированного проектирования СЗИ.

Такое обоснование и разработка осуществляется на основе использования методов системного анализа, теории вероятностей и математической статистики, теории графов, математического моделирования.

Диссертация состоит из введения, четырех разделов и заключения.

Выводы по разделу

1. Разработаны программные средства моделирования процесса функционирования типовой ПСЗИ для оценки динамического показателя эффективности.

2. Приведены результаты комплексной оценки показателей эффективности ПСЗИ «Спектр^» на основе предложенных моделей и алгоритмов.

3. Разработанное математическое и программное обеспечение комплексной оценки эффективности ПСЗИ применялись в учебном процессе ВИПС ФСО России и ВАИУ МО РФ при подготовке курсантов по специальности «Защищенные телекоммуникационные системы» и «Информационная безопасность».

ЗАКЛЮЧЕНИЕ

В диссертационной работе, в соответствии с целью исследований, решена научная задача обоснования и разработки механизмов, позволяющих оценивать эффективность ПСЗИ, как на основе проверки соответствия установленным требованиям, так и с учётом динамики функционирования ПСЗИ.

В ходе исследований получены следующие новые теоретические и практические результаты.

1. Разработан способ комплексной оценки эффективности ПСЗИ, основанный на полумарковской модели оценки динамического показателя и агрегировании статических и динамического показателя в один - комплексный, с учетом требований к адекватности и точности результатов.

2. Обосновано представление взаимодействия нарушителя и ПСЗИ в виде динамического конфликта и разработана модель такого конфликта.

3. Для количественной оценки эффективности ПСЗИ разработаны модели, позволяющие описывать динамику функционирования сложных иерархических ПСЗИ при автоматизированном проектировании СЗИ, с учетом требований к адекватности и точности результатов проектирования, а также проводить вычисления с заданной точностью при малом объеме вычислений без ограничений на исходные данные в- рамках принятой полумарковской модели динамики функционирования.

4. Для формализации процессов обеспечения ЗИ средствами ПСЗИ разработана модель функционирования в виде направленного графа, основанная на предлагаемом в работе способе иерархической структуризации процессов, описываемых совокупностью уровней обеспечения защиты, которые, в свою очередь, описываются совокупностью функций защиты.

5. Разработаны программные средства моделирования процесса функционирования типовых ПСЗИ, обеспечивающие проведение вычислительного эксперимента для оценки комплексного показателя эффективности ПСЗИ.

Дальнейшие исследования могут быть продолжены в направлении расширения стратегий поведения злоумышленника, а также рассмотрении других типов угроз нарушения информационной безопасности АС.

1. Абалмазов Э.И. Методы и инженерно-технические средства противодействия информационным угрозам М.: Компания "Гротек", 1997.

2. Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. М.: Мир, 1999.-351 с.

3. Анодина Т.Г., Мокшанов В.И. Моделирование процессов в системе управления воздушным движением. -М.: Радио и связь, 1993. 264 с.

4. Блауберг И. В., Юдин Э. Г., Становление и сущность системного подхода, М., 1973;

5. Большая энциклопедия промышленного шпионажа / Ю.Ф. Каторин, Е.В. Куренков, A.B. Лысов, А.Н. Остапенко. СПб.: Полигон, 2000. - 896 с.

6. Бочаров П.П., Печинкин A.B. Теория вероятностей. Математическая статистика. М.: Гардарика, 1998. - 328 с.

7. Бухарин C.B., Потанин В.Е., Рогозин Е.А., Скрыль C.B.

8. Методический подход к формализации процессов функционирования программных систем защиты информации. // Региональный научно-технический вестник «Информация и безопасность», Выпуск 3. Воронеж: ВГТУ, 1998. - с. 87-94.

9. Вентцель Е.С., Овчаров Л.А. Теория случайных процессов и ее инженерные приложения. М.: Наука, 1991.

10. Венцель Е.С.Теория вероятностей. Москва. Наука, 1969, 576 с.

11. Волхонский В.В., Засыпкин А.В., Коротких В.Е. Структура технических средств обеспечения безопасности // БДИ. 1999. - № 3. -С. 18-20.

12. Воробьев В.Ф., Герасименко В.Г., Скрыль C.B. Проектирование средств трассологической идентификации компьютерных преступлений. -Воронеж: ВИ МВД России, 1999. 136 с.

13. Гайкович В.Ю. Першин А.Н. Безопасность электронных банковских систем. М.-1993.

14. Гаценко О.Ю. Защита информации. Основы организационного управления. СПб.: Сентябрь, 2001. - 228 с.

15. Галатенко В. А. Информационная безопасность // Открытие системы. — 1995. №5 (13).

16. Галатенко В.А. Стандарты информационной безопасности. М. : ИУИТ, 2006.-264 с.

17. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 1. М.: Энергоатомиздат, 1994. -400 с.

18. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2-х кн.: Кн. 2. М.: Энергоатомиздат, 1994. -176 с.

19. Герасименко В.А. Проблемы защиты данных в системах их обработки // Зарубежная радиоэлектроника. — 1989, № 12.

20. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн.: Кн. 1. М.: Энергоатомиздат, 1994. - 400 с.

21. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн.: Кн. 2. М.: Энергоатомиздат, 1994. - 176 с.

22. Гончаревский B.C., Присяжнюк СЛ. Автоматизированные системы управления войсками. СПб.: ВИКУ имени А.Ф. Можайского, 1999. - 370 с.

23. ГОСТ 28.806-90. Качество программных средств. Термины иопределения.

24. ГОСТ Р 50922-2006. Защита информации. Основные термины иопределения.

25. ГОСТ Р ИСО/МЭК 15408-2002. Общие критерии оценки безопасности информационных технологий.

26. ГОСТ Р ИСО/МЭК 13335-1-2006. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».

27. ГОСТ Р ИСО/МЭК 17799—2005. Информационная технология. Практические правила управления информационной безопасностью.

28. Государственная система защиты информации. Система "Кобра". Техническая документация // Государственный научно-исследовательский институт моделирования интеллектуальных сложных систем, 1995. 70 с.

29. Гриняев С.Н. Интеллектуальное противодействие информационномуоружию.-М.: СИНТЕГ, 1999.

30. ГриняевС.Н. Интеллектуальное противодействие информационному оружию. М.: СИКТЕТ, 1999. - 232 с.

31. Грушо A.A., Тимонина Е.Е. Теоретические основы защитыинформации. — М.: Издательство «Яхтсмен», 1996.- 192 с.

32. Грушо A.A., Тимонина Е.Е. Теоретические основы защиты информации. — М.: Издательство «Яхтсмен», 1996. — 192 с.

33. Денисов В.И., Лавлинский В.В., Обухов А.Н., Потанин В.Е., Скрыль C.B. Основы организации защиты информации в компьютерных сетях. // Учебное пособие. Воронеж: Воронежский институт МВД России, 1999. - 172 с.

34. Дружинин В.В. Введение в теорию конфликта / В.В.Дружинин, Д.С. Конторов, М.Д. Конторов. М.: Радио и связь, 1989. - 288 с.

35. Дубровин A.C., Макаров О.Ю., Рогозин Е.А., Сумин В.И. и др. Методы и средства автоматизированного управления подсистемой контроля целостности в системах защиты информации: Воронеж: ВГТУ, 2003. - 165 с.

36. Завгородний В.И. Комплексная защита информации в компьютерныхсистемах: Учебное пособие. М.: Логос; ПБОЮЛ H.A. Егоров, 2001. - 264 с.

37. Заде Л.А. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976. - 165 с.

38. Зайцев A.B., Шелупанов А.Н. Технические средства и методы защиты информации. М.: Горячая линия — Телеком, 2009. 622 с.

39. ЗаряевА.В., Мещеряков В.А., Рогозин Е.А. и др. Информационные технологии в органах внутренних дел. Учебник. Воронеж: ВИ МВД РФ, 2001.-210 с.

40. Защита программного обеспечения / Под ред. Д. Гроувера. М.: Мир, 1992.-285 с.

41. Защита программного обеспечения: Перевод с английского / Д.Гроувер, Р.Сатер, Дж.Фипс и др./ Под редакцией Д.Гроувера М.: Мир, 1992. - 288с.

42. Зегжда Д.П., Ивашко A.M. Как построить защищенную информационную систему? / Под ред. Д.П. Зегжды и В.В. Платонова. СПб.: Мир и семья, 1997.

43. Зегжда Д.П., Ивашко A.M. Основы безопасности информационныхсистем. М.: Горячая линия Телеком, 2000. - 452 с.

44. Зегжда П.Д. Теория и практика обеспечения информационной безопасности-. М.: Издательство «Яхтсмен», 1996.- 192 с.

45. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Горячая линия - Телеком, 2000. - 452 с.

46. Зегжда П.Д. Теория и практика обеспечения информационной безопасности. М.: Яхтсмен, 1996. - 192 с.

47. Иванов С.М., Язов Ю.К. Расчет распределения времени выявлениясигналов средствами объективного контроля в изменяющихся внешних условиях//Радиотехника, 1996. № 6. С. 69-73.

48. Исследование эффективности программных систем защиты информации при их контроле / A.A. Окрачков, О.Ю. Макаров, Е.А. Рогозин,

49. Костин H.A. Теория информационной борьбы. — М. 1996 — 393с.

50. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. М.: Новый Юрист, 1998. — 256 с.

51. Ленков C.B., Перегудов Д.А. Методы и средства защиты информации. М.: Форум, 2009 293 с.

52. Макаров О.Ю., Рогозин Е.А., Сумин В.И. и др. Методы и средства анализа эффективности при проектировании программных средств защиты информации. Воронеж: ВГТУ, 2002. 125 с.

53. Макаров О.Ю., Застрожнов И.И., Рогозин Е.А. Автоматизированное управление качеством функционирования программных систем защиты информации // Информация и безопасность. Воронеж: ВГТУ, 2004 - Вып. 1. -С. 126-129.

54. Макаров О.Ю., Муратов A.B., Рогозин Е.А. и др. Методы и средства анализа эффективности при проектировании программных средств защиты информации. Воронеж: ВГТУ, 2002. - 125 с.

55. Малюк A.A. Информационная безопасность. Концептуальные и методологические основы защиты информации: учебное пособие. — М: Горячая Линия Телеком, 2004. - 280 с.

56. Математические модели конфликтных ситуаций / Томас Л. Саати., Пер. с англ. В.Н. Веселова и Г.Б. Рубальского; Под ред. И.А. Ушакова. М.: Сов. Радио, 1977. - 302 с.

57. Махинов Д.В., Рогозин Е.А., Савченко A.B. Комплексная оценкаугроз качеству функционирования энергетических информационно-управляющих систем // Телекоммуникации. 2002. № 1. С. 33-40

58. Махинов Д.В., Савченко A.B. Способы повышения устойчивости функционирования информационно-управляющих систем // Труды института. 4-я межвузовская НТК (сборник статей). 4.1. — Воронеж: ВИРЭ, 1997.- С. 53-57

59. Мельников В.В. Защита информации в компьютерных системах. — М.: Финансы и статистика; Электронинформ, 1997. -368 с.

60. Мельников В.П., Клейменов С.А. Информационная безопасность и защита информации. М.: Академия, 2009. 336 с.

61. Мельников В.В. Защита информации в компьютерных системах. -М.: Финансы и статистика; Электроинформ, 1997. 368 с.

62. Метод учета влияния характеристик качества программных средств защиты информации на эффективность функционирования АСУ / O.A. Коршунова, И.В. Нифонтов, Е.А. Рогозин, В.А. Хвостов //

63. Совершенствование наземного обеспечения авиации: Межвуз. сб. науч. тр. -Воронеж: ВВАИИ, 2002. Часть 1. - С. 67-70.

64. Методические основы развития программных средств защиты информации при создании автоматизированных систем / О.Ю. Макаров, Е.А. Рогозин, Ю.Е. Дидюк, A.C. Дубровин // Телекоммуникации. 2002. № 9. -С. 46-48.

65. Методическое обеспечение управления доступом к рабочей среде автоматизированных систем / A.B. Заряев, В.И. Сумин, Е.А. Рогозин и др./ Телекоммуникации. 2004. № 2. - С. 39-44.

66. Мещеряков В.А., Войналович В.Ю., Шляхин A.B. Выборрациональных решений по защите информации в информационных системах пунктов централизованной охраны. Материалы II Всероссийской научно-практической конференции "Охрана-97". Воронеж 1997.

67. Мещеряков В.А., Вялых С.А., Попов O.A., Скрыль C.B. Методика оценки стойкости1 программной системы защиты информации от несанкционированного доступа. Материалы конференции ВВШМ МВД РФ май 1996г. М.: Радио и связь 1996.

68. Мещеряков В.А., Вялых С.А., Шеныпин B.C. Формализованное описание средств программно-математического воздействия на автоматизированные информационные системы. Депонировано Центром военно-научной информации № 8286 выпуск № 35, 1996 г. Серия Б.

69. Моисеенков И. Основы безопасности компьютерных систем // КомпьютерПресс — 1991 № 10, 11, 12.

70. Новосельцев В.И. Системная конфликтология. Воронеж: Кварта, 2001. - 176 с.

71. ОрелЕ. Н., Орел Т.Я. Моделирование процессами управления проектами при ресурсных ограничениях И / ИЛИ // Эволюционная информатика и моделирование. М.: ИФТП, 1994. - С. 165-185.

72. Платонов В.В. Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей. М.: Академия, 2006. -240 с.

73. Разработка САПР. В 10 кн. Кн. 3. Проектирование программного обеспечения САПР: Практ. пособие / Б.С.Федоров, Н.Б.Гуляев; Под ред.

74. A.В.Петрова. М.: Высш. шк., 1990. - 159 с.

75. Системный анализ и системы управления/ Под ред. В.Г. Шорина.-М.: Знание, 1975.

76. Скрыль C.B. Показатель эффективности защиты информации в автоматизированных системах. // Материалы Международной конференции "Информатизация правоохранительных систем". 4.2. М.: Академия управления МВД России. 1997. с. 36-38.

77. Советов Б.Я., Яковлев С.А. Моделирование систем: Учебник для вузов по спец. «Автоматизированные системы управления». — М.: Высшая школа, 1985.-271 с.

78. Справочник по теории вероятностей и математической статистике /

79. B.C. Королюк, Н.И. Портенко, А.В. Скороход, А.Ф. Турбин. М.: Наука. Главная редакция физико-математической литературы, 1985. 640 с.

80. Сумин В.И., Кустов А.И., Рогозин Е.А., Коротков М.В. по курсу Информационная безопасность. Учебное пособие. (Под грифом УМО №50/371835-28 от 13.10.07) Воронеж: ВЭПИ, 2003. - 154 с.

81. Сысоев B.B. Конфликт. Сотрудничество. Независимость. Системное взаимодействие в структурно-параметрическом представлении. М.: Московская академия экономики и права, 1999. - 151 с.

82. Тараканов К.В., Овчаров JI.A., Тырышкин А.Н. Аналитические методы исследования систем. М.: Сов. радио, 1974. 240 с.

83. Терминология в области защиты информации. Справочник / ВНИИстандарт. 1993 г.

84. Тихонов В.И., Миронов М.А. Марковские процессы. М.: Сов. радио,1977.

85. Файтс Ф., Джонстон П., Кратц М. Компьютерный вирус: проблемы и прогноз. -М.: Мир, 1993 175 с.

86. ФЗ РФ. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

87. ФСТЭК РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Воениздат, 1992.

88. ФСТЭК РФ. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. М.: Воениздат, 1992.

89. ФСТЭК РФ. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. -М.: Воениздат, 1992.

90. ФСТЭК РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: Воениздат, 1992.

91. Хорев П.Б. Программно-аппаратная защита информации: учебное пособие. — М. : Форум, 2009. 352 с.

92. Цыгичко В.Н., Смолян Г.Л., Черешкин Д.С. Оценка эффективности систем информационной безопасности.- М.: ИСА РАН 1995 .

93. Шураков В.В. Обеспечение сохранности информации в системах обработки данных. — М. Финансы и статистика, 1985.

94. Шураков В.В. Обеспечение сохранности информации в системах обработки данных (по данным зарубежной печати): Учебное пособие М.: Финансы и статистика 1985. - 224с.

95. Щербаков A.A. Разрушающие программные воздействия. М.: Издательство Эдель, 1993. 64 с.

96. Kohen F. On the implications of computer virusis // Computers & Security, 1988, v.7, №2, pp. 167-184.

97. Canadian Trusted Computer Product Evaluation Criteria. Canadian System Security Center Communication Security Establishment, Government of Canada. Version 3.0e. January 1993.

98. Federal Criteria for Information Technology Security. National Institute of Standards and Technology & National Security Agency. Version 1.0, December 1992.

99. Information Technology Security Evaluation Criteria. Harmonized Criteria of France-Germany-Netherlands-United Kingdom. Department of Trade and Industry, London, 1991.

100. Password management guideline. US Department of Defense. CSC-STD-002-85, April 1985.

101. The Interpreted Trusted Computer System Evaluation Criteria Requirements. National Computer Security Center. NCSC-TG-001-95, January 1995.

102. Trusted Computer System Evaluation Criteria. US Department of Defense 5200.28-STD, 1993.109