Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
191
Якщо виявлена ненормальна поведінка, то негайно робиться запис в збірці
аномальних фактів. Кожен запис в цій збірці – тривимірний вектор, щ о має
наступні компоненти:
(подія; час; профіль, відносно якого отримано відхилення).
Застосування розглянутої моделі дало добрі результати. Разом з тим
вимагають досліджень такі питання:
• наскільки надійно запропонований метод виявляє порушення безпеки;
• яка частка порушень безпеки, для яких працює метод;
• вибір інструментів статистичної обробки даних і моделей профілів
вимагає обгрунтування;
• яка кількість подій, що ан алізуються, є достатньою для при йняття
рішення щодо виявлення або не виявлення порушення безпеки.
6.7. Вартісна мо д ел ь
Одним з можливих методів вартісної оцiнки різних заходів по
забезпеченню безпеки може бути наступний [68].
Нехай I(x,y) – очікуваний об’єм інформації, який може отримати
зловмисник (напри кла д, грабіжник, що планує пограбувати банк), вит р ати в ш и x
коштів для подолання захисту, на який захисн иком (наприклад, банком)
витрачено y коштів. Нехай f(N) – вартість об’єму в N одиниць інформації з
точки зору зловмисника, а g(N) – її вартість з точки зору за хи с н ик а. Тоді чистий
прибуток зловмисника U(x,y) складе
U(x,y)=f(I(x,y))-x, (6.9)
а чисті збитки для захисника і власника інформації V(X,Y) складуть
V(x,y)=g(I(x,y))+y. (6.10)
Зрозуміло, що зловмисник може змінювати свої витрати для максимізації
значення виразу (6.9). Захиснику ж слід оцінювати вартість інформації, яка
захищається, технічні можливості реалізації загроз і імовірні ресурси
зловмисника з метою мінімізації виразу (6.10). Якщо функції f, g, I
диференційовані, то шукані значення x та y мають задовольняти умовам
192
!
!
"
!
!
#
$
=
∂
∂
=
∂
∂
.0
;0
y
V
x
U
або
1),()),(( =
∂
∂
⋅
∂
∂
yxI
x
yxIf
І
,
1),()),(( −=
∂
∂
⋅
∂
∂
yxI
y
yxIg
І
.
Для дослідження цєї моделі необхідно мати аналітичні або емпіричні
вирази для величин:
• вартість інформації з точки зору зловмисника (тобто функціі f(N));
• вартість інформації з точки зору захисника (тобто функції g(N));
• величину очікуваного об’єму інформації (тобто функції I(x,y));
• вартості реалізації різних рівней захисту;
• вартості можливих співвідношень між ступенями забезпеченності
зловмисника (витрати зловмисника) і витратами захисника.
Як бачимо, їх дуже важко визначити і часто вони сильно залежать від
конкретних деталей системи забезпечення безпеки і інформації, яка
захищається. Тому, незважаючи на привабливість та простоту такої схеми,
реалізувати її дуже важко. Проте вона може використовуватися у комплексі з
іншими мо дел я ми для от р им а н ня оціночних даних у задачах проектування
систем захисту.
6.8. Модель фун к ц іо на л ь но г о п р о ф іл ю
Розглянемо приклад застосування методів моделювання для опису
функціональних профілів, а також їх вибору.
Спочатку розглянемо питання класифікації ІТС, оскільки саме воно є
основним для даного підходу [1-4].
Згідно до [1-4] за сукупності характеристик серед ІТС виділяється три
ієрархічних класи, вимоги до складу за со бів захисту яких істотно
відрізняються. Клас «1» – одномаш инний однокористувацький комплекс, на
193
якому обробляється інформація однієї чи декількох категорій конф іденційності.
Приклад – автономна ПЭВ М. Клас «2» – локалізований багатомашинний
багатокористувацький комплекс, на якому обробляється інформація різних
категорій конфіденційн ості. Приклад – локальна обчислювальна мережа. Клас
«3» – розподілений багатомашинний багатокористувацький комплекс, на я кому
обробляється інформація різних категорій конф іденційності. Приклад –
глобальна мережа.
Усередині кожного класу ІТС класифікуються на підставі вимог до
забезпечення певних властивостей захищеної інформації. Як відомо, такими
властивостями є конфіденційність (К), цілісність (Ц) та доступність (Д). Тоді
різних комбінацій, тобто головних вимог до інформації, може бути сім: К, Ц, Д,
КЦ, КД, ЦД, КЦД. Наприклад, КЦ означає, що в даній ІТС повинні бути
забезпечені конфіденційність та цілісність інформації.
Існує також класифікація ІТС залежно від їхнього призначення (для
діяльності державних органів, для банківської діяльності і т.д.). Таким чином, в
[2] наведено три типи ІТС, сім типів вимог до захищеної інформації та чотири
типи ІТС за призначенням. Отже, вже є три характеристики ІТС, за якими може
бути 3×7×4=84 комбінації або різні типи ІТС. Звичайно, якщо ввести ще якісь
ознаки ІТС (наприклад, за типом операційної системи, за типом топології
мережі і т.д.), то список ІТС з різними ознаками може стати дуже значним.
Інакше кажучи, завжди можна сформулю ва ти деяку множ ину ознак ІТС і,
надавши їм певні числові значення, ф актично ідентифікувати певний тип ІТС.
Тобто опис будь-якої ІТС можн а представити у вигляді вектора, компонентами
якого є певним чином позначені або закодо вані (наприклад, цифрами) її
характеристики (ознаки).
Тепер виникає питання про забезпечення безпеки інформації для такого
різноманіття ІТС. Це досягається за допомогою так званих послуг. Відповідно
до [1-4], послуга (називана фу нкц іонал ьно ю ) що до захисту інформації являє
собою набір ф ункц ій, кожна з яких дозволяє протистояти певній множині
загроз.
194
Нагадаємо, що загроза – це будь-яка обставина чи подія, щ о може бути
причиною порушення хоча б одної з зазначених властивостей захищеної
інформації: конфіденційності, цілісності, доступності та спостереженості.
Невиконання хоча б одної з наведених властивостей означає порушення
захисту, або, як прийнято го вори ти в практиці захисту, зло м захисту. Таким
чином, усі загрози поділяються на чотири основних типи, забезпечення захисту
від кожного з яких здійснюється за допомогою відповідних послуг.
Послуга може включати декілька рівнів. Чим вище рівень послуги, тим
більш повно забезпечується захист від певного виду загроз. Рівні послуг мають
ієрархію за повнотою захисту, однак не обов'язково яв ляю ть собою точні
підмножини один іншого. Вони починаються з першого і зростають до
значення n, де n – унікальне для кожного виду послуг. Якщо, як приклад, узяти
таку послугу як довірчу конфіденційність, то її ранжування за рівнями виглядає
в такий спосіб: мінімальна довірча конфіденційність, базова довірча
конфіденційність, повна довірча конфіденц ійність і абсолютна довірча
конфіденційність. У даному випадку n = 4 і всі наступні рівні включають
попередні, тобто забезпечення абсолютної довірчо ї конфіденційності означає
забезпечення і повної, і базової, і мінімальної.
Відповідно до [1-4] для конфіде нційн ост і визначено 5 послуг, для
цілісності – 4, для доступності – 4, для спостереженості – 9 (отже, разом – 22).
Далі в [3] дається цілком визначений перелік необхідних умов для
забезпечення кожн ого з рівн ів для кож но ї з послуг, тобто фактично надається
перелік конкретних заходів, реалізація яких дозволяє говорити, що така-то
послуга такого-то рівня реалізована в системі. Н априклад, для забезпечення
абсолютної довірчої конфіденційності необхідно виконання таких умо в:
наявність відповідної політики безпеки, визначених правил розмежування
доступу, певних послуг по спостереженості і т.д. Зазначено також, що спосіб
реалізації необхідних заходів ц ілком залежить від розробника – це можуть бути
організаційні, технічні, програмні та інші заходи.
195
Проте для розробника є великою проблемою вибір конкретного переліку
необхідних послуг певних рівнів оскільки, з одного боку, велика кількість
послуг високих рівнів вимагають для своєї реалізації великих витрат, а, з
іншого боку, обраними послугами необхідно забезпечувати до ст атн ій рівень
захищеності. Для вирішення цієї проблеми на підставі відповідних вимог по
захисту певної інформац ії від певних загроз і відомих на сьогоднішній день
послуг уводиться фундаментальне поняття стандартного функціонального
профілю захисту [1-4].
Стандартний функціональний профіль захисту (далі просто профіль) – це
мінімально необхідний перелік послуг, що може забезпечити СЗІ, щоб
задовольнити певним вимогам до певного рівня захищеності інформації.
Визначено кілька десятків (точніше 90) профілів з перерахуванням усіх вимог
до механізмів і засобів захисту, що необхідні для реалізації кожного з проф ілів.
Фактично розроблено і в [1-4] наведено довідник пр оф ілів і умов и їх реал ізації.
Наведені в [1-4] означення та опис профілю дозволяют ь формалізува ти це
поняття. Формальний опис профілю мож на здійснити в такий спосіб. Профіль
повинен включати ідентифікатор і перелік рівнів послуг. Цей перелік являє
собою набір множин, до складу кожно ї з яких вхо дить ряд по слуг пев них
рівнів. Приміром, для конфіденційності, як вище відзначалося, визначено п'ять
видів послуг і кожна з них має кілька рівнів, тому множина послуг по
конфіденційності м оже містити до п'яти видів послуг різних рівнів. Таким
чином, вираз для позначення профілю буде виглядати в такий спосіб
CIA C I A S
ij ij ij ij
= {{ },{ },{ },{ }}
,
де CIA – ідентифіка то р проф іл ю , С – позначає конфіденційність, I –
цілісність, A – доступ ність, S – спостереженість, i,j – індекси послуг і рівнів
відповідно конфіденційності, цілісності, доступності і спостереженості,
причому для кожної з властивостей інформації визначаються свої множини
індексів.
196
Помітимо, що в лівій і правій частинах наведеного виразу можуть бути
присутніми не усі види послуг. Наприклад, можливий наступний
функціональний профіль захисту
I C I A S
ij ij ij ij
= {{ },{ },{ },{ }}
,
що змістовно означає, що даний функціональний профіль повинен
реалізуватися в системі, призначеної для обробки інформації, основною
вимогою по захисту якої є забезпечення тільки цілісності. Звернемо також
увагу на те, що в правій частині скрізь обов'язково повинні бути присутніми
послуги S спостереженості. Ц е означає, що для забезпечення кожної послу ги на
кожному рівні повинна бути присутньою спостереженість у всіх профілях без
винятку, що змістовно означає необхідність контролю в більшому чи меншому
ступені подій, що відбуваються в ІТС.
Можливі також і інші ідентифікатори функціональних профілів захисту,
наприклад, CI, IA і ін. Таким чином , стає ясно, що не скрізь і не завжди є
необхідність підтримувати відразу усі властивості захищеної інформації – іноді
досить підтрим увати лише деякі з них залежно від конкретної мети і задач ЗІ, а
також очікуваних загроз інформації. Наприклад, у деяких випадках досить
підтримувати властивість конфіденційності, що може реалізуватися таким
механізмом, як криптографія. Іноді, особливо в мережних конфігураціях,
важливою може бути підтримка властивості доступності.
Вивчення приведених у [4] профілів показує, що самим складним
профілем є профіль CIA, у яки й включається 22 послуги, п ри ч ом у це взагалі
максимально можлива для профілів кількість послуг. Це дозволяє для всіх
профілів увести єдине позначення, інтерпретуючи попередню формулу як
вектор р, що ма є 22 компоненти, тобто
p p p= ( ,..., )
1 22
. Число в е ж значення
компонентів можна певним чином позначити (закодув ати ), на пр и к ла д,
дорівняти номеру рівня послуги. Якщо ж деяка послуга взагалі відсутня, то
відповідна компонента вектора р просто приймається рівною нулю. Тоді всі
профілі можна звести до таблиці, у якій стовпці являють собою профілі, а рядки
– відповідні послуги. Нижче для прикладу представлена таблиця для 20
197
профілів, що визначені в [4] для ІТС класу 1 і які розбиті на групи за основними
вимогами для ІТС. В таблиці стовпчики – основні вимоги, рядки – основні
властивості захищеної інформації.
К
Ц
Д
C
КЦ
ЦД
КЦД
С
00
01
01
00
00
00
00
00
00
00
00
00
00
00
00
00
01
01
00
00
0000
1000
1000
0000
0000
0000
0000
0000
0000
0000
0000
1111
1111
0000
0000
I
00
00
00
00
00
02
01
00
00
00
00
00
00
02
01
00
0000
0000
0000
0000
0000
1111
1111
0000
0000
1111
1111
0000
А
00
00
00
00
00
00
00
00
12
01
01
12
00
00
00
00
1222
0123
0123
1223
1222
0123
0123
1223
1222
0123
0123
1223
S
12
11
11
11
00
12
11
00
00
12
11
11
11
00
12
11
00
00
22
11
11
12
00
22
11
00
00
12
11
11
11
00
12
11
00
00
2234
1111
1122
1222
0000
2222
1111
0000
0000
2234
1111
1122
1222
0000
2222
1111
0000
0000
2234
1111
1122
1222
0000
2222
1111
0000
0000
Відзначимо, що в Європейських і Канадських «Критеріях» поняття
профілю захисту також визначено, але має трохи інший зміст.
Отже, підсумовуючи, бачимо, що практично споживачам необхідно
вирішити досить просту задачу – на підставі аналізу характеристик ІТС просто
обрати за довідником найбільш придатний для себе профіль. В подальшому
залишається тільки реалізувати посл уги, щ о входять до складу обраного
профілю.
Але навіть тут виникають проблеми – наприклад, для однієї ІТС
запропоновано декілька профілів, тобто виникає певна неоднозначність. Як
обрати найліпши й? На практиці ця задача вирішується в основному за
допомогою експертних оцінок.
198
Однак існує ще одна, більш складна проблема. Сп р ав а в тому, що різних
ІТС існує на баг ато більше ніж стандартних п роф ілів і цілком зро зум іло, що
завжди знайдеться така ІТС, для якої жоден з наведених у довіднику [1-4]
профілів виявиться непридатним. На цей випадок в [1-4] зазначено, що в
такому випадку розробник сам формує свій, найбільш придатний йому,
профіль, обґрунтовує його і в подальшому затверджує його у відповідних
державних установах. Отже знову виникає питання – як сформувати новий,
найбільш придатний для своїх потреб, профіль?
Вирішенню цього питання може допомогти наступна проста думка. В [1-4]
наведено класифікацію ІТС і надано відповідний до цієї класифікації список
функціональних профілів. Цей список сформовано експертами-розробниками
нормативного документу [1-4] на основі сучасної теорії та практики захисту
інформації і певного практичного досвіду. Наявність такого списку о значає, що
кожній ІТС відповідає свій профіль і навпаки, для кожного профілю завжди
знайдеться пев на ІТС. Отже, слід вважати, що цей список представляє в
певному сенсі «найліпшу» відповідність ІТС – профіль.
Наведена обставина дозволяє сформулювати на змістовному рівні
наступну задачу. Нехай певним чином формалізовано поняття функціонального
профілю, тобто ко ж н о м у профілю поставлен о у відповідність певний
математичний образ (наприклад, вектор). Н ехай також формалізовано поняття
набору характеристик ІТС, тобто кожному набору характеристик ІТС також
поставлено у відповідність певний математичний образ (наприклад, вектор).
Таким чином, отримуємо дві множини: множину векторів – функціональних
профілів і множину векторів – ІТС.
Чи існує між множиною функціональних профілів та множиною ІТС як ась
функціональна (можлив о і н евза єм ноо дн озна чн а) залежність? Наявність такої
функціональної залежності (формули) між цими двома множинами суттєво
спростила б задачу визначення найбільш придатного для даної ІТС
функціонального профілю – визначаються характеристики ІТС і за формулою
(як би вона існувала) просто обчислюється необхідний профіль. Більше того,
199
цю процедуру легко можна було б реалізувати у вигляді відповідної
комп’ютерної системи.
Саме ця задача розглянута нижче, тобто пропонується наступна
формалізація.
Кожному профілю з відомого списка – довідника [1-4] поставимо у
відповідність вектор
p p p
n
= ( ,..., )
1
евклідова п росто ру
E
n
, тобто
p E
n
∈
,
причому р∈Р, де Р – множина профілів зі списку. У такий же спосіб уведемо
вектор характеристик ІТС
d d d
m
= ( ,..., )
1
,
d E
m
∈
, причому, звичайно, цім
вектором описується кожна ІТС з множ ини D. Зал ежність між векторами р і d
можна виразити за допомогою наступного відображення
nm
EPpFEDdpdF ⊂∈⊂∈= ,,,)(
, (6.11)
де F – деяка функція (оператор), що відображає множину D (векторів-
характеристик ІТС ) на множ ину Р (векторів-профілів). О че ви д но , що в такому
майже символічному вигляді без знання конкретного виду оператора (6.1) ця
залежність нічого не дає. Проте, як би вид оператора (6.11) був відомий, то для
розробника захищеної ІТС задача вибору придатного профілю звелася б до
наступного:
1) визначення необхідних характеристик конкретної ІТС;
2) визначення і фор м ал іза ц ія відповідного вектора d;
3) обчислення вектора р (проф іля) за формулою (6.1);
4) іден ти ф іка ц ія в ідп о в ідн о го п р о філ я.
Оскільки залежність F(d) невідома, то виникає задача його визначення або
задача іденти ф іка ції моделі. Я к відомо , для розв'язку задачі ідентифікації
моделі необхідні додаткові («експериментальні») дані про об'єкт, що
моделюється, на підставі яких можна було б установити або пр инай мні
запропонувати конкретний вид (6.11). Одна к у такому загальном у виді цю
задачу вирішити дуже складно, оскільки:
1) неясно, які дані про об'єкт, що моделюється, необхідні і як їх одержати;
200
2) неясно, як сформулювати яку-небудь гіпотезу про конкретний вид
(6.11);
3) дуже складно сформувати набір конкретних характерни х ознак ІТС.
Остання обставина є особливо важливою, оскільки при аналізі довідника
профілів [4] виявилася певна неоднозначність у виборі профілю. Дійсно,
відповідно до [4] тільки для одного класу ІТС пропонується цілий список
профілів. Однак ця неоднозначність лише удавана і виникає внаслідок того, що
поки не існує докладної і однозначної класифікації ІТС. Очевидно, що якщо
набір характеристик ІТС буде досить повним і докладним, неоднозначність
автоматично зникне – кожній ІТС буде відповідати єдиний профіль.
Одним з шляхів подальшого дослідження і розвитку математичної моделі,
що описує взаємозв’язок між характеристиками захищени х ІТС і придатними
стандартними функціонал ьним и профілями, тобто визначення виду залежності
(6.11), є або дослідженн я окреми х конкрет них найбільш простих залежн ост ей
або отримання набл ижен их співвідношень на осн ові розкладу оператора (6.11)
в ряд.
Спочатку відзначимо деякі загальні властивості оператора (6.11). Цей
оператор є неперервним і диференційованим. Крім того, його можна
довизначити в точці d = 0 наступним чином:
0)0( =F
. Ц е цілк о м спів п ад ає з
його практичною інтерпретацією – за відсутності якіхось характеристик ІТС
тобто при d = 0 (фактично це означає взагалі відсутність ІТС) немає і профілю,
тобто р = 0.
Для отримання наближеного співідношення для оператора (6.1)
скористаємось наступним прийомом. Розкладемо оператор F(d) в ряд в околі
точки d = 0 до лінійного члена
dFFdF )0()0()(
!
+≈
. (6.12)
Для зручності позначимо
AF =
!
)0(
і, ураховуюч и , щ о F(0) = 0, отр им аєм о
nm
EPpEDdpAddF ⊂∈⊂∈== ,,)(
(6.13)
де А – перша похидна оператора (6.1) (матриця розмірності m×n).