Главная » 2014 » Июль » 19 » Скачать Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения. бесплатно
4:25 AM
Скачать Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения. бесплатно
Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения
Диссертация
Автор: Чемин, Александр Александрович
Название: Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения
Справка: Чемин, Александр Александрович. Разработка методов оценки эффективности систем защиты информации в распределенных информационных системах специального назначения : диссертация кандидата технических наук : 05.13.19 / Чемин Александр Александрович; [Место защиты: Моск. гос. ин-т электроники и математики] - Москва, 2009 - Количество страниц: 213 с. ил. Москва, 2009 213 c. :
Объем: 213 стр.
Информация: Москва, 2009
Содержание:
Введение
Тенденции развития и задачи организации информационной безопасности в специализированных распределенных ИС
Глава I Методы построения СЗИ специализированных ИС
11 Особенности построения, функционирования и защиты информации в СпецИС
111 Информационные активы СпецИС
112 Среда функционирования СпецИС
1121 Изучение и документирование технологического процесса автоматизированной обработки и хранения информации
1122 Изучение разрешительной системы доступа
1123 Определяются физические условия и условия окружающей среды
1124 Изучение и оценка существующих (исходных) мер защиты
113 Специфика построения защищенной СпецИС
1131 Оценка уровня исходной защищенности
1132 Классификация АС по уровням защигценности34 '
12 Угрозы безопасности информации в СпецИС
121 Источники угроз Модель нарушителя
122 Анализ уязвимостей Идентификация угроз
123 Вероятность реализации угроз и оценка опасности
124 Оценка актуальности угроз
Выводы по первой главе
Глава II Концепция защиты ИС, модели безопасности, выбор механизмов защиты и методы анализа защищенности
21 Политика безопасности и модели их построения
211 Дискреционная политика безопасности
212 Мандатная политика безопасности
213 Политика безопасности информационных потоков
214 Ролевая политика безопасности (role based access control)
22 Модели безопасности
221 Информационные модели
222 Специализированные модели
223 Вероятностные модели
224 Модели контроля целостности
225 Модели защиты от угроз отказа в обслуживании
23 Механизмы защиты и архитектура их применения
231 Идентификация ограничений
24 Оценки эффективности СЗИ и анализ защищенности
241 Инструментально-моделирующие методы оценки эффективности
242 Логико-аналитические методы оценки
241 Контрольно-испытательные методы оценки эффективности
Выводы по второй главеГ
Глава III Выбор критериев, разработка методов оценки эффективности и анализа защищенности
31 Концепция защиты
311 Цель и замысел мероприятий по защите информации
312 Выбор критериев оценки
313 Уровень ущерба
32 Модель оценки эффективности и защищенности
321 Основной коэффициент эффективности
321 Комплексные оценки эффективности
3211 Модель Ланчестера
3212 Система показателей эффективности АС
3213 Методы ог/енки эффективности АС
33 Анализ защищенности ИС Связанный Байесовский вывод
331 Модель воздействия
332 Уровень опасности
Выводы по третьей главе
Глава IV Архитектурные решения по построению СЗИ, практическая реализация и результаты исследований
Введение:
С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности. Сетевая архитектура превратилась в распределенные вычислительные среды, где безопасность стала зависеть от всех ее элементов, так как для ее нарушения стало достаточным получить доступ к одному из них.
В особенности это стало чувствительным для ключевых систем информационной инфраструктуры (КСИИ) или, как их еще называют, критически важных информационных систем (КВИС), от безопасного функционирования которых зависит не только конфиденциальность, но и управление объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям. При этом, с повышением оперативности выполнения задач, решаемых в КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.
КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из категорий безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия - специальные информационные системы (СпецИС). К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также те, в которых предусмотрено принятие на основании исключительно автоматизированной обработки решений, порождающих юридические последствия1.
Одним из наиболее важных критериев отнесения ИС к СпецИС является
1 Приказ ФСТЭК, ФСБ п Мининформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных». то, что построение их средств защиты информации (СЗИ) базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации.
Для нейтрализации таких воздействий к СпецИС стали предъявляться новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ) и т.д.
Одним из ключевых показателей СпецИС стала адекватность функционирования подсистемы защиты. Нарушение параметров ее адаптивной настройки, несоответствующих предметной области применения, оргструктуре, политике безопасности организации и потребностям пользователя, может привести как к нарушениям безопасности информации, так и блокировке доступа пользователей. При этом потери, как от нарушения безопасности функционирования подобных систем, так и от снижения их характеристик за счет применения средств защиты информации, могут иметь вполне реальное финансовое выражение.
Диссертация опирается на результаты работ Костогрызова А.И., Зегжды Д.П., Щербакова А.Ю., Домарева В.В., Галатенко А., а также на труды зарубежных авторов и другие источники.
Анализ показал, что имеющиеся в настоящий момент научные проработки и модели в области построения СЗИ не лишены ряда недостатков, среди которых необходимо выделить: не адекватное и не полное описание информационных процессов; слабую формализацию методов, на основе которых создаются комплексы средств защиты информации, что ведет к их избыточности и удорожанию; отсутствие алгоритмов динамического изменения уровня доступа в зависимости от уровня угрозы, создаваемой легальными пользователями; отсутствие методов регулирования параметров защиты, адаптированных к модели угроз безопасности конкретной СпецИС.
Все это приводит к отсутствию единых и достаточно универсальных подходов к решению задачи оценки эффективности СЗИ в распределенных СпецИС, что значительно усложняет сравнение различных вариантов СЗИ и обоснованный выбор приемлемого.
Таким образом, одним из важных вопросов функционирования СпецИС стали обеспечение и оценка эффективности используемых средств защиты, в итоге определяющих качество СЗИ. Эффективность СЗИ должна определяться характеристиками функций защиты, связанных не только с созданием NP-сложных барьеров их преодоления, но и не вызывающих нарушений работоспособности (т.е. отсутствием сбоев и отказов) других подсистем и характеристик. Данные факторы определяют степень пригодности средств защиты для пользователей, позволяя обеспечить необходимый уровень контроля и своевременно предотвратить возможные риски.
Этим обуславливается актуальность решения задачи разработки новых методов оценки эффективности СЗИ создаваемых в СпецИС, с целью нейтрализации актуальных угроз безопасности информации.
Цель исследований
Анализ, обобщение и систематизация фактов о сложившейся практике управления эффективным применением СпецИС и выявляемых нарушениях, синтез новых методов оценки эффективности СЗИ, позволяющих моделировать события, связанные с прогнозированием возможных последствий от инцидентов информационной безопасности, а также устанавливать причинно-следственные связи между ними и вырабатывать численные критерии значимости риска при оценке эффективности СЗИ в СпецИС с учетом целевой функции деятельности организации и результатов процесса, представляющего действительную ценность.
Для достижения поставленной цели в работе сформулированы и решены следующие задачи исследований:
1. Исследованы аспекты практического применения формальных моделей безопасности вычислительной сети СпецИС при создании СЗИ.
2. Проведен анализ и сравнение распространенных формальных моделей безопасности и стандартов информационной безопасности, выявлены ограничения в их применении.
3. Формализованы правила построения политик безопасности при создании систем информационной защиты. Определена новая форма организации знаний о предметной области возникновения преднамеренных угроз адекватная методам их прогнозирования и устанавливающая взаимнооднозначное определение механизмов их нейтрализации.
4. Исследованы способы формирования оценок эффективности информационных систем и найдены методы определения оптимальных показателей затрат, необходимых для нейтрализации риска возникновения угроз адекватно степени их актуальности.
5. Разработаны методы анализа моделей безопасности в СпецИС и установлены критерии, позволяющие получать численные оценки защищенности.
6. Разработан метод оценки эффективности СЗИ, позволяющий на базе определения достаточного уровня информационной безопасности формировать рациональный комплекс средств защиты, используя декомпозицию применяемых механизмов защиты, информационных технологий и ресурсов СпецИС.
Методы исследований
Для решения поставленных задач использовались: методы теории информации, теории вероятностей и случайных процессов, методы дискретной математики, формальной логики, математическое моделирование, методы теории принятия решений, методы многокритериальной оптимизации, технологии и стандарты вычислительных сетей.
Для оценки уровня безопасности, реализуемой механизмами защиты, применялись формальные и неформальные экспертные оценки.
Основные положения, выносимые на защиту:
1. Обзор моделей безопасности и их классификация. Влияние показателей эффективности СЗИ на адекватное распределение функций защиты между различными уровнями сетевого взаимодействия.
2. Метод построения модели угроз, адаптированной к оценке ущерба от деструктивного действия и риска, создаваемого потенциалом предполагаемого нарушителя.
3. Метод формирования рационального комплекса средств защиты, основанный на достижении достаточного уровня эффективности, определяемого критериями предельных издержек и риска функционирования СпецИС.
4. Математическая модель оценки уровня эффективности СЗИ, основанная на численных методах прогнозирования событий и анализа инцидентов.
Научная новизна результатов диссертации определяется следующими результатами:
• сформулированы новые базовые положения, описывающие оценку эффективности выполнения политик безопасности в зависимости от возникающих инцидентов;
• предложен метод расчета количественной оценки уровня защищенности СпецИС, отличающийся от существующих моделей;
• разработан метод создания системы защиты информации на основе формализации задачи оптимизации состава комплексов средств защиты при-различной глубине декомпозиции системы защиты;
Основным научным результатом проведенных исследований является комплексный подход к решению проблемы создания методов построения систем защиты для распределенных вычислительных сетей, основанных на показателях эффективности.
Достоверность и обоснованность результатов диссертации обусловлены использованием результатов анализа современных СЗИ и методов оценки их эффективности, корректностью формальных выводов при построении моделей, соответствием полученных общих результатов с частными случаями, приведенными другими авторами, а также подтверждаются данными о практическом применении результатов при создании и анализе СЗИ для конкретных СпецИС.
Практическая значимость результатов диссертации заключается в том, что разработанные математические модели и метод оптимального проектирования защищенных сетей может применяться для эффективного построения СЗИ с минимизацией затрат на проектирование и реализацию. Использование предложенных методов позволяет проводить исследования и получать количественные оценки эффективности СЗИ. Методы могут применяться для технико-экономического обоснования при создании и развитии СЗИ в СпецИС.
Реализация результатов исследований
Основные результаты реализованы в Военно-Морском Флоте, в Государственном научно-исследовательском навигационно-гидрографическом институте (ГНИНГИ), а также использованы в ОАО «Информационные технологии и компьютерные системы» («ИнфоТеКС») при проектировании подсистем защиты персональных данных в Государственной информационной системе обязательного медицинского страхования (ГИС ОМС) территориальных Фондов обязательного медицинского страхования (ТФОМС).
Апробация работы.
Результаты, полученные в результате диссертационных исследований:
1) докладывались на ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ (2009 г.), на X Всероссийской научно-практической конференции Российской академии ракетных и артиллерийских наук «Актуальные проблемы защиты и безопасности» (секция «Военно-Морской Флот»), г. Санкт-Петербург (2007 г.)
2) использовались в НИР «Разработка программы первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период до 2020 года. Разработка Плана первоочередных действий по навигационно-гидрографическому обеспечению морской деятельности России на период 2009 - 2010 г.г.»; в НИР «Разработка типовых требований по комплексной безопасности информации систем, создаваемых при строительстве подводных лодок» (2008 г.).
Публикации.
По теме диссертации опубликовано 8 печатных работ, из них 2 в изданиях, рекомендованных ВАК.
Чемии А.А. Применение новых информационных технологий в подсистеме управления. // Морской сборник. 1. М.: 2006 г. - с. 32-37.
Чемин А.А. Новый взгляд на информационно-расчетные системы оценок ущерба от разглашения охраняемой информации в подсистеме управления. // Морской сборник. 9. М.: 2007. - с. 53-56.
Чемин А.А. Особенности применения систем расчета ущерба от разглашения охраняемой информации в подсистеме управления. // Известия Российской академии ракетных и артиллерийских наук. Актуальные проблемы защиты и безопасности: Труды Десятой Всероссийской научно-практической конференции. Том. 4 «Военно-Морской Флот», М.: 2007. - с. 383-387.
Чемин А.А. Особенности построения системы защиты информации в автоматизированной системе обеспечения Военно-Морским Флотом субъектов оборонной и экономической деятельности Российской Федерации в Мировом океане. // Навигация и гидрография. 27. СПб.: ГНИНГИ МО РФ, 2008. - с. 94 -100.
Чемин А.А. Методы построения систем защиты информации в распределенных информационных системах специального назначения. // Препринт. М.: МИЭМ, 2008. - 46 с.
Чемин А.А., Смолин В.М. Комплексный подход к построению подсистемы защиты информации в автоматизированной системе обеспечения ВМФ цифровой картографической информацией.// Научно-технический сборник №33. СПб.: ГНИНГИ МО РФ, 2009. - с. 43-53. (Автору принадлежит 7 е.).
Чемин А.А. Методика оценки эффективности систем защиты информации. Связанный Байесовский вывод. // Тезисы докладов ежегодной Научно-технической конференции студентов, аспирантов и молодых специалистов МИЭМ. М.: МИЭМ, 2009.
Чемин А.А. «Методы анализа защищенности распределенных информационных систем специального назначения».// Препринт. М.: МИЭМ, 2009. -45с.
Структура и объем диссертации.
Диссертация состоит из четырех глав, введения, заключения, списка литературы и приложений.
Тенденции развития и задачи организации информационной безопасности в специализированных распределенных ИС.
Расширяющаяся пропасть» между угрозами информационной безопасности и тем, что делается для защиты от них, так эмоционально обозначается тенденция, которая отчетливо проявилась к настоящему времени [108].
С увеличением количества пользователей компьютерных систем стала расти и доступность таких систем для широких масс населения, что привело к понижению квалификации среднего пользователя. Данное обстоятельство существенно облегчило задачу злоумышленника, так как большинство из таких пользователей не в состоянии постоянно поддерживать безопасность своих систем на должном уровне, так как это требует соответствующих знаний, навыков, а также времени и средств.
В результате, организации, их информационные системы и сети все чаще стали сталкиваться с различными угрозами безопасности. При этом, наряду с такими источниками ущерба, как компьютерные вирусы, взлом и атаки типа отказа в обслуживании, которые требовали высокой квалификации злоумышленника, начали развиваться способы компьютерного мошенничества и социальной инженерии. Их проявление стало более распространенным, более агрессивными все более изощренным.
Организации становятся все более зависимыми от информационных систем и услуг, а следовательно — все более уязвимыми по отношению к угрозам безопасности. Этому также стало способствовать и применение технологии клиент-сервер, которая превратила сетевую архитектуру в распределенные вычислительные среды. В связи с чем, безопасность такой сети стала зависеть от всех ее элементов вычислительной техники, так как злоумышленнику теперь достаточно получить доступ к одному из них, чтобы нанести ущерб всей системе.
Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов повысило сложность управления доступом к информации. При этом, тенденция к использованию распределенной обработки данных ослабила эффективность способов централизованного контроля доступа[65].
В особенности это сало чувствительным для КВИС (или, как их еще называют - ключевые системы информационной инфраструктуры, далее - КСИИ [98]), от безопасного функционирования которых зависит не только благополучие, но и жизни людей.
Согласно ГОСТ Р 51583-2000 [71] к таким системам отнесены не только системы, содержащие гостайну, но и системы, используемые в управлении экологически опасными объектами.
При этом, исходя из определения понятий ценной информации и критически важных объектов, указанных в РД по Разработке СЗИ [88] и Требованиях по ОБИ КСИИ [98], критически важными также можно называть и другие информационные системы управляющие объектами, нарушение функционирования которых может привести к чрезвычайной ситуации или значительным негативным последствиям, а также системы обрабатывающие информацию, ущерб от нарушения защиты которой (связанный, например, с утечкой промышленных и коммерческих секретов) может превысить 1 млн. рублей.
Примером таких систем могут быть АС управления атомными и гидроэлектростанциями, станциями муниципального электро и водоснабжения, навигацией и безопасностью дорожного, морского и железнодорожного движения, ИС финансово-кредитной и банковской деятельностью, предупреждения о радиационном заражении и т.п.
Кроме того, необходимо учесть, что это распределенные комплексы средств автоматизации, объединенные единой сетью имеющей удаленный доступ к её ресурсам и использующие общедоступные каналы связи. При этом использование общедоступных каналов связи для управления данными системами постоянно растет. Например, в США для АС управления войсками уже используется до 95% гражданских линий связи, включая использование глобальной сети Интернет и спутников связи Интелсат. Известны случаи, когда корректировка огня артиллерийских батарей, велась, используя электронные карты, за тысячи миль от своих боевых позиций. Большинство пилотов военной авиации после вылета на задание перенацеливается уже в ходе полета, поражая цели с ходу, что значительно снижает боевые потери.
Также отмечается и то, что с повышением оперативности выполнения задач, решаемых при помощи КВИС, существенно снизились требования к конфиденциальности обрабатываемой информации, так как время её актуальности стало несопоставимо со временем возможной реакции и ответных действий.
Более существенное значение приобрели понятия целостности, доступности, оперативности и непрерывности технологических процессов, командной и управляющей информацией, которые не относятся к информации ограниченного доступа. Таким образом, на первое место встала эффективность функционирования АСУ, как главного системообразующего и управляющего компонента систем и комплексов, который определяет устойчивость их функционирования при сборе, обработке и передаче данных.
КВИС, а также другие системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности информации, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), получили названия — специальные информационные системы (СпецИС).
К СпецИС, также отнесены информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья граждан, а также, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия или иным образом затрагивающих права и законные интересы граждан2.
При этом одним из наиболее важных критериев отнесения ИС к СпецИС является то, что построение их СЗИ базируется не на типовых требованиях, установленных в зависимости от класса защищенности (безопасности) АС (ИС), а в зависимости от угроз, которые могут быть реализованы в результате нарушения характеристик безопасности информации.
2 Приказ ФСТЭК, ФСБ и Минннформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка классификации информационных систем персональных данных».
Это также исходит из того, что одной из особенностей эксплуатации СпецИС является создаваемая ими высокая опасность для общества в целом в связи с активной разработкой развитыми государствами «информационного оружия», которое как раз и ориентировано на то, что при относительно низком уровне затрат на его создание имеет высокий уровень эффективности применения [2].
Считается, что в обозримом будущем достижение конечных целей в конфликтных ситуациях будет осуществляться не столько ведением боевых действий, сколько подавлением систем государственного и военного управления, навигации и связи, а также воздействием на другие КВИС, от которых зависит устойчивость управления экономикой и вооруженными силами государства.
Обладая ударной силой для уничтожения соперника, информационное оружие не требует создания специализированных производств и сложной инфраструктуры по его эксплуатации. Разработка и реализация деструктивных воздействий по силам небольшой группе или даже одному специалисту, при этом нет необходимости физически пересекать границы и подвергать риску жизнь личного состава. Его уникальность заключается в том, что чем более развита информационная инфраструктура, тем шире набор целей.
Чтобы понять масштабы угрозы, достаточно представить, что будет, если в результате воздействия произойдет вброс в систему водоснабжения неочищенной (или наоборот пресыщенной хлористыми соединениями) воды, заведомо ложное информирование больших групп населения о высокой степени радиационного заражения или будут изменены итоги голосования в государственной автоматизированной системе «Выборы».
При этом общество уже сталкивается с одной из форм использования информационного оружия путем хищений и мошенничества, совершенных с помощью компьютерных преступлений, ежегодные потери от которых только через сеть Интернет, достигают более 5 млрд. дол.
Проводимые различными ведомствами учения по имитации несанкционированного проникновения в информационные системы показали, что 88% информационных атак увенчались успехом, из которых обнаруживаются только 4%.
При этом в зарубежных источниках утверждается, что сегодня в 30 странах мира ведутся программы по созданию средств информационного противоборства (информационного оружия). Так, в директивах Пентагона появилось совершенно новое и непривычное понятие - "информационная операция", которое совершило подлинную революцию в военном деле. В основу "информационной операции" против Ирака, как это уже официально записано в руководящих документах вооруженных сил США, был положен классический прием ведения войны - дезорганизация управления. Исход поединка "Давида и Голиафа" решил внезапный удар в "голову" противника, потерявшего "зрение", "слух" и "речь" почти одновременно [25].
За несколько недель до начала ведения боевых действий через агентуру с помощью портативных компьютеров в Багдаде были внедрены программные "вирусы-закладки", которые в назначенный день и час отключили телефонные станции и радиолокационные посты, парализовав уже в первые минуты воздушного налета систему ПВО Ирака. Это позволило авиации в первые несколько часов уничтожить основные объекты иракской системы ПВО и через 10 дней завоевать превосходство в воздухе [25].
Планирование деятельности, навигация, связь, материально-техническое снабжение, инженерное оборудование, транспортировка грузов, медицинское обеспечение, финансирование, госзаказ и электронная торговля прочно обосновались в паутине компьютерных сетей.
Таким образом, новым объектом информационных атак со стороны специально создаваемых и профессионально ориентированных на это организаций стали СпецИС.
Для их нейтрализации при создании СпецИС в защищенном исполнении появились новые требования по созданию систем обнаружения компьютерных атак (СОКА) или обнаружения вторжений (СОВ), анализа защищенности (САЗ), а также ряд дополнительных требований.
В результате СпецИС приобрели более жесткие требования к обеспечению их безопасности, времени и порядку выполнения автоматизированных функций, а также к оценке их защищенности от негативных информационных воздействий.
