- •Министерство образования и науки Российской Федерации
- •Введение 7
- •Математические модели эксплуатационной информационной безопасности
- •1.1. Общие положения, краткий анализ недостатков известных методов моделирования
- •1.2. Известные подходы к оцениванию актуальности уязвимости
- •1.3. Математические модели уязвимости и угрозы атаки.
- •1.4. Математическая модель угрозы безопасности информационной системы.
- •И схема резервирования
- •Первый случай
- •Второй случай
- •1.5. Количественная оценка актуальности уязвимости в информационной системе
- •1.6. Математическая модель нарушителя (злоумышленника)
- •1.7. Математические модели угрозы атаки и угрозы безопасности конкретной информационной системы
- •1.8. Математические модели эксплуатационной безопасности информационной системы
- •Методы формального проектирования системы защиты информационной системы
- •2.1. Исходные данные и задачи формального проектирования системы защиты информационной системы
- •2.2. Метод функционального проектирования системы защиты
- •А. Исходный граф. Первая итерация
- •Б. Вторая итерация
- •В. Третья итерация
- •2.3. Формирование требований к характеристикам системы защиты информации применительно к выполнению требований к защите от атак методом динамического программирования
- •А. Первый шаг оптимизации
- •Б. Второй шаг оптимизации
- •В. Третий шаг оптимизации
- •2.4. Формирование требований к характеристикам системы защиты информации методом линейного программирования
- •2.5. Оценка потенциальных возможностей и формирование требований к системе защиты
- •2.6. Метод эксплуатационного проектирования системы защиты
- •2.7. Оценка эксплуатационного риска потенциальных потерь при формировании требований к характеристикам проектируемой системы защиты информационной системы
- •2.8. Проблемы резервирования элементов информационных систем для повышения уровня их эксплуатационной информационной безопасности
- •Заключение
- •Литература
Математические модели эксплуатационной информационной безопасности
1.1. Общие положения, краткий анализ недостатков известных методов моделирования
Под угрозой информационной безопасности понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации; под уязвимостью, являющейся источником угрозы - свойство информационной системы, обусловливающее возникновение угроз безопасности обрабатываемой в ней информации, под атакой - попытка преодоления системы защиты информационной системы [1], т.е. попытка реализации угрозы. Естественно, что атака предполагает использование (эксплуатацию) уязвимостей.
Под несанкционированным доступом [1] понимается доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа. Т.е. несанкционированный доступ - это результат атаки, реализуемой с некоторой целью, соответственно, с целью раскрытия конфиденциальности информации, нарушения ее целостности или доступности.
Замечание. В учебном пособии рассматриваются вопросы защиты от угроз несанкционированного доступа к информации.
Под простейшим элементом безопасности имеет смысл понимать не угрозу, а уязвимость информационной системы. На этом вопросе акцентируем внимание, поскольку это серьезно сказывается на подходах к моделированию. Большинство известных подходов к моделированию предполагает использование в качестве простейшего элемента безопасности угрозу [5-10,13,16-19]. Важным для нас являются три момента, во-первых, атака реализует угрозу, но при осуществлении атаки ею используются (эксплуатируются) именно уязвимости информационной системы, во-вторых, далеко не каждая (прежде всего, применительно к защищенной информационной системе) отдельно взятая уязвимость вызывает угрозу несанкционированного доступа к информации. На практике, как правило, атакой используется некоторый набор уязвимостей, причем, как правило, используются эти уязвимости атакой в определенной последовательности. Например, для реализации широко известной атаки на повышение привилегий, необходимо выполнить следующую последовательность действий, используя при этом соответствующие уязвимости - внедрить на компьютер вредоносную программу (уязвимость, связанная с возможностью несанкционированной установки программного обеспечения), передать управление системному процессу или драйверу, в котором обнаружена соответствующая уязвимость - ошибка программирования, функционирующему с системными правами, запустить, эксплуатируя подобную уязвимость, установленную вредоносную программу с системными правами (уязвимость, связанная с возможностью запуска несанкционированно установленного программного обеспечения), запущенная вредоносная программа, опять ж,е используя, ту или иную уязвимость, должна реализовать несанкционированный доступ к обрабатываемой информации. И, наконец, в-третьих, защита от потенциально возможной атаки, использующей для реализации некую совокупность уязвимостей, создающих угрозу несанкционированного доступа, в конечном счете, предполагает реализацию защиты от атаки на какую-либо конкретную уязвимость (в общем случае, какую-либо совокупность уязвимостей). Т.е. в любом случае, при построении системы защиты речь должна идти о реализации защиты от атак именно на отдельные уязвимости. Например, при защите от атак на повышение привилегий, рассмотренных ранее, средством защиты можно предотвратить несанкционированную загрузку на защищаемый компьютер исполняемых файлов, исполнение несанкционированно установленных исполняемых файлов, обход разграничительной политики доступа к защищаемой информации с системными правами и т.д. Как видим, существуют альтернативные варианты решения защиты от атак, реализующих одну и ту же угрозу.
С учетом сказанного, уточним понятие источника угрозы в случае, когда под простейшим элементом безопасности понимается уязвимость информационной системы - под источником угрозы информационной безопасности следует понимать совокупность уязвимостей, наличие которых позволяет осуществить атаку несанкционированного доступа на информационную систему. Соответственно, потенциальная угроза какой-либо атаки на информационную систему существует в том случае, когда в системе потенциально возможно наличие всех уязвимостей, используемых этой атакой, реальная же угроза атаки возникает в случае, когда все, используемые атакой уязвимости, присутствуют в информационной системе.
С точки зрения атаки также следует ввести два крайне важных понятия. Под возможностью реализации атаки, как отмечали, понимаем реальную угрозу атаки - наличие в информационной системе всех уязвимостей, используемых при осуществлении данной атаки (это свойство безопасности собственно информационной системы), под возможностью же осуществления атаки будем понимать потенциальную возможность реализации реальной угрозы атаки злоумышленником (это уже свойство злоумышленника или нарушителя, характеризующее его заинтересованность и возможность реализации атаки определенной сложности). Отметим, что именно характеристика возможности осуществления атаки определенной сложности потенциальным нарушителем (что должно следовать из соответствующей модели нарушителя), и должно являться основанием для отнесения соответствующей потенциально возможной атаки к актуальным (естественно, в данном случае речь может идти о конкретной информационной системе, для которой проектируется система защиты).
С учетом того, что под безопасностью информации понимается [1] состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность; имеет смысл соответствующим образом классифицировать и угрозы: угроза конфиденциальности информации, угроза целостности и доступности информации, соответствующим образом классифицировать уязвимости (по возможности их использования) и атаки (по реализуемым целям осуществления несанкционированного доступа).
Замечание. В общем случае для угроз может быть введена более детальная классификация, получаемая на основе классификации условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации, например, угроза конфиденциальности информации, возникающая при подключении компьютера к внешней сети.
Под эксплуатационной информационной безопасностью информационной системы будем понимать [22] свойство информационной системы функционировать в безопасном состоянии, в том числе, на заданном интервале времени, - без обнаруженных в ней, либо внесенных в нее в процессе эксплуатации, и не устраненных уязвимостей, позволяющих осуществить несанкционированный доступ к информации.
Соответственно под нарушением эксплуатационной информационной безопасности будем понимать обнаружение в информационной системе, либо внесение в нее в процессе эксплуатации, уязвимостей, позволяющих осуществить несанкционированный доступ к информации; под восстановлением эксплуатационной информационной безопасности будем понимать устранение (нивелирование) обнаруженных в информационной системе, либо внесенных в нее в процессе эксплуатации, уязвимостей, позволяющих осуществить несанкционированный доступ к информации.
Таким образом, информационная система может рассматриваться, как система с отказами и восстановлениями свойства эксплуатационной информационной безопасности в процессе функционирования. Как следствие, в любой момент времени эксплуатации информационная система характеризуется неким уровнем эксплуатационной информационной безопасности, который может (и должен, иначе невозможно проектирования системы защиты) быть оценен количественно [21].
Применяемые сегодня на практике подходы к моделированию, к оценке эффективности и к проектированию защищенных информационных систем и систем защиты информации, рассмотренные, например, в [5-10,13,16-19], отличающиеся тем, какие параметры при моделировании ими используются в качестве входной информации и какие характеристики моделируемой системы рассчитываются и поступают на выход модели (строятся модели с использованием теории вероятностей, случайных процессов, сетей Петри, теории автоматов, теории графов, нечетких множеств, теории катастроф, энтропийного подхода и др.), имеют общий принципиальный недостаток, заключающийся в том, что процесс моделирования, как правило, требует использования количественных, либо качественных (с последующим переведением в количественные) экспертных оценок, причем, как с целью задания параметров информационной системы, так и с целью формального описания потенциального нарушителя (злоумышленника). Естественно, что моделирование с использованием экспертных оценок, обосновать корректность которых в общем случае крайне затруднительно, ставит под сомнение адекватность полученных результатов, как следствие, ограничивает практическое использование подобных математических моделей. В первую очередь, это как раз и обусловливается использованием в качестве простейшего элемента безопасности угрозы, вероятность возникновение которой в информационной системе в этом случае крайне затруднительно смоделировать (как правило, задается эвристически).
Другой недостаток большинства известных подходов к моделированию обусловливается тем, что ими не предполагается возможности оценки того, что вероятность реализации успешной атаки каким-то образом изменяется во времени в процессе эксплуатации информационной системы и того, каким образом она изменяется. Но именно подобные оценки - характеристики именно эксплуатационной информационной безопасности информационной системы, позволяющие делать необходимые предположения в отношении изменения свойств безопасности информационной системы в процессе функционирования, необходимы при проектировании системы защиты.
Кроме того, использование в качестве простейшего элемента безопасности информационной системы угрозы не позволяет построить корректные математические модели безопасности информационной системы. Дело в том, что угрозы в общем случае не могут рассматриваться, как независимые события. Как правило, они зависимы по эксплуатируемым уязвимостям. Например, подавляющая часть угроз предполагает внедрение и запуск вредоносных программ, наделение санкционированных программ вредоносными свойствами, использование недостатков возможностей механизмов контроля и разграничения прав доступа к защищаемым ресурсам и т.д.