На правах рекламы:
ISSN 0236-235X (P)
ISSN 2311-2735 (E)

Авторитетность издания

ВАК - К1
RSCI, ядро РИНЦ

Добавить в закладки

Следующий номер на сайте

2
Ожидается:
16 Июня 2024

Метод оценки безопасности информации в автоматизированных системах

Статья опубликована в выпуске журнала № 3 за 2003 год.
Аннотация:
Abstract:
Авторы: Голод В.В. () - , Толстых Н.Н. () - , Марейченко И.В. () -
Ключевое слово:
Ключевое слово:
Количество просмотров: 16909
Версия для печати
Выпуск в формате PDF (13.63Мб)

Размер шрифта:       Шрифт:

Одной из важнейших особенностей современных автоматизированных телекоммуникационных систем и систем управления (далее автоматизированных систем (АС)) является широкое применение как специализированных процессорных устройств, функционирующих по жестко заданному («зашитому») алгоритму, так и универсальных ЭВМ, основанных на высокой информационной избыточности, в подавляющем большинстве случаев использующих одновременно несколько протоколов и форматов данных, в том числе адаптивных, и допускающих многовариантность принимаемого решения.

Внедрение интеллектуальных компьютерных устройств в указанные системы стало причиной неизбежного появления качественно нового фактора, влияющего на надежность связи и управления и не сводимого к традиционным естественным (непреднамеренным) и/или преднамеренным помехам − устойчивости к информационным воздействиям (информационной устойчивости), то есть воздействиям, выполняемым на семантическом уровне (в отличие от свойственных помехам воздействий на уровне сигналов). Вследствие этого к настоящему времени в исследовании конфликтного функционирования АС важнейшее значение приобретает рассмотрение вопросов, связанных с взаимодействием именно интеллектуальных компьютерных подсистем в режиме информационного конфликта. (Далее под информационным конфликтом понимается специфическое функционирование АС в общем информационном пространстве, при котором целевая функция хотя бы одной автоматизированной системы содержит конфликтный компонент, реализация кото- рого приводит к уменьшению вероятности реализации целевых функций взаимодействующих с ней АС.)

Понятие информационного конфликта является одним из основных в решении задачи разработки и построения систем защиты информации, реализующих адаптивные функции.

Подпись:  Одной из наиболее важных задач при упомянутых исследованиях информационной устойчивости представляется анализ уровня безопасности информации АС в естественных (обусловленных ошибками при формировании и обработке данных, то есть программными и/или аппаратными сбоями) и преднамеренных (вызванных специальным искажением данных и/или процедур их обработки) конфликтах. Под безопасностью информации понимается, прежде всего, состояние защищенности информационных ресурсов от хищения, модификации или уничтожения, а также способность системы своевременно обнаружить и нейтрализовать конфликтный компонент, предотвратить возникновение информационных конфликтов и, таким образом, сохранить способность эффективного функционирования АС в условиях информационного конфликта.

Основной проблемой моделирования процессов функционирования АС в режиме информационного конфликта является выбор аппарата, обеспечивающего достоверную количественную оценку как уровня защищенности АС и/или их элементов, так и типа и уровня информационного воздействия, способного нарушить их нормальное функционирование, то есть реализовать конфликтный компонент взаимодействия. Сложность решения этой проблемы заключается в том, что моделирование, во-первых, проводится на самих моделируемых объектах, а во-вторых, ни на одном из этапов моделирования невозможно определить оптимальные условия реализации конфликтного компонента и, следовательно, оценить уровень защищенности моделируемой системы. Вследствие этого в настоящий момент существует достаточно большое число оригинальных подходов к моделированию конфликтного функциони- рования АС, базирующихся на теории вероятностей, теории множеств и других аналогичных теориях.

Однако существующие в настоящее время методы моделирования конфликтного функционирования АС не позволяют ввести и, соответственно, использовать на практике какие-либо измеряемые количественные характеристики информационного конфликта для реальных АС. В силу этого практическая применимость существующих подходов ограничена.

По мнению авторов, для количественного описания взаимодействия АС в режиме информационного конфликта целесообразно рассмотреть модель взаимодействия информационных воздействий (ИВ) и адаптивной вариабельной системы защиты информации (АдСЗИ), изображенной на рисунке, а также ввести понятие вероятности реализации целевой функции, которое можно определить на основе модели АС как преобразователя входного потока упорядоченных данных X в выходной поток Y, связанных k-й реализацией целевой функции  посредством некоторого дискретного преобразования

.                                                           (1)

Главная задача АдСЗИ – выработка управляющего (корректирующего) воздействия, вырабатываемого на основе анализа информационных воздействий, выходного потока и заданных параметров безопасности, с целью поддержания Y в пределах допустимых заданных значений. При этом АдСЗИ должна рассматриваться как составная часть ИС.

Целевая функция при этом понимается как способ реализации главной (центральной) задачи АС, составляющей ее проблемную ориентацию. В этом смысле целевая функция является проблемно ориентированной операцией, позволяющей на рассматриваемом уровне обработки (преобразовании) информации получить результирующий компонент, который, в свою очередь, может быть использован как исходный для целевой функции следующего уровня. В общем случае под целевой функцией можно понимать совокупность алгоритмов или формализованных правил получения решения для обработки входного потока данных и управления базами данных и знаний, реализуемых конкретной АС.

Индекс k учитывает, что в современных информационных системах целевая функция реализуется множеством способов (алгоритмов), ветвящихся, изменяемых и/или выбираемых в зависимости от случайного набора данных входных потоков. Эти способы могут быть адаптивными, изменяемыми по заранее выбранному критерию в соответствии с решаемой задачей, или детерминированными, обеспечивающими, например, в консервативных системах «жесткое» преобразование входного потока в сигналы управления.

Процесс синтеза выходного потока в результате исполнения некоторой последовательности команд, реализующей k-ю ветвь алгоритма АС, можно представить движением точки, характеризующей состояние АС на многомерной дискриминационной поверхности в системе координат входных потоков (сигналов) и реакций системы. Вид дискриминационной поверхности определяется X, а закон движения рабочей точки по этой поверхности определяет целевая функция Р.

В реальных системах центральная задача обычно может быть выполнена посредством не только какой-то конкретной k-й реализацией целевой функции, а целым набором реализаций (ветвей) , каждая из которых при заданном входном потоке позволяет получить требуемый выходной поток, то есть переводит систему в заданную точку дискриминационной поверхности посредством некоторого набора алгоритмов и дополнительных данных, содержащихся в СУБД. В силу этого в качестве некоторой количественной меры защищенности АС предлагается ввести понятие вероятности реализации целевой функции, определяемой путем усреднения по реально существующему или домысливаемому (смоделированному) ансамблю и совокупности возможных реализаций целевой функции. В этом случае критерий защищенности при АС имеет простой вид порогового критерия: ИС является защищенной, если вероятность реализации ее целевой функции не выходит за априорно заданные границы.

Понятие вероятности реализации целевой функции АС является функцией начального и конечного состояний рассматриваемой системы. Так, при заданном начальном состоянии АС , представляемом точкой на дискриминационной поверхности, рассматривается процесс перехода системы в некоторое конечное состояние s. Тогда если N – общее число траекторий, исходящих из точки s0 (то есть число существующих в данной системе реализаций целевой функции для соответствующего входного потока); n – число траекторий, проходящих через s (то есть соответствующих корректному выходному потоку), то вероятность реализации целевой функции определяется как предел:

.                                              (2)

Подпись: int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
	if(0==1) OutputDebugString(Изменения целевой функции могут быть следствием различных условий реализации конкурентных компонентов в информационной среде АС. Однако всю совокупность конфликтных взаимодействий можно условно разделить на два класса [1]. К конфликтам первого рода отнесены конфликты, приводящие к деформации дискриминационной поверхности за счет искажений входного потока данных и наличия в них специфических структур при неизменности вида целевой функции (траектории движения точки по дискриминационной поверхности). К конфликтам второго рода отнесены конфликты, приводящие к изменению вида целевой функции при неизменности входного потока данных, то есть искажающие траекторию движения рабочей точки по неизменной дискриминационной поверхности.

В любом случае оба типа информационного конфликта приводят к искажению потока выходных данных, снижая уровень адекватности синтезированного решения. В общем случае и качественная, и количественная оценка такого ухудшения свойств АС возможна несколькими методами. При натурном эксперименте могут быть получены наиболее надежные и адекватные оценки, однако использование его как основного связано со значительными затратами, и поэтому весьма проблематично. Метод имитационного моделирования в этом смысле более реален, но основной проблемой, которую приходится решать в этом случае, является достоверность моделирования системы на ней же самой, процессора на самом процессоре.

Поэтому при таком подходе приходится использовать смешанное моделирование, выполняемое на трех взаимосвязанных уровнях: сигнальном (энергетическом), семантическом (смысловом) и прагматическом (целевом). Такая декомпозиция основывается на предложенном в [1] определении информации, согласно которому информация понимается как изменение свойств объекта при взаимодействии с другими объектами, количественно или качественно выраженное в сигнальном (энергетическом), семантическом (понятийном, смысловом) и прагматическом (целевом) аспектах. При этом моделирование случайного воздействия следует ограничить сигнальным уровнем, целенаправленное воздействие может затрагивать любой из уровней или даже все одновременно.

Моделирование воздействия на сигнальном уровне выполняется посредством оценивания изменения вероятности реализации целевой функции при изменении произвольных байтов (или пакетов) входного потока. Воздействия на семантическом и прагматическом уровнях должны учитывать смысловую структуру потоков, а также способы их штатной (реализованной в системе) и требуемой (в результате воздействия) обработки, модифицируя, например, условия выбора той или иной ветви алгоритма обработки (траектории движения точки на дискриминационной поверхности).

Для иллюстрации приведенного подхода ниже приводится оценка информационной устойчивости простого программного продукта (программы) путем моделирования случайного воздействия. При этом оценивается вероятность реализации целевой функции простейшей программы для Win32 (см. листинг), целевая функция которой заключалась в выводе отладочного сообщения “Message1”. В программе также была реализована иная ветвь алгоритма (траектория дискриминационной поверхности), выводящая сообщение “Message2”, при этом выбор последней траектории осуществлялся посредством условного ветвления. Как видно из приведенного примера, при отсутствии целенаправленного информационного воздействия  движение отображающей точки имеет вид: , при этом 1-я реализация целевой функции осуществляется с вероятностью 1,0. При наличии информационного воздействия эта величина будет отлична от 1 и может быть оценена в результате моделирования.

Информационное воздействие на сигнальном уровне моделировалось посредством изменения произвольно выбранного байта программы псевдослучайным числом от 0 до 255, после чего вероятность реализации целевой функции тестируемой программы определялась по формуле:

,

где N – общее число испытаний; s – число успешных запусков модифицированной программы (определялось по появлению отладочного сообщения CREATE_PROCESS_DEBUG_EVENT); d – число запусков модифицированной программы с корректно выведенной отладочной строкой (определялось по появлению отладочного сообщения OUTPUT_DEBUG_STRING_EVENT со строкой “Message1”). Коэффициенты (веса) учитывают вклад приведенных подзадач в центральную задачу программы (успешный запуск программы и вывод отладочной строки «Message1»).

Эта же формула использовалась при расчете вероятности реализации целевой функции тестируемой программы при моделировании воздействия на семантическом уровне. Для моделирования такого воздействия выполнялась коррекция условных переходов («jump-коррекции»), при которой выполнялся поиск команд условных ветвлений в сегменте кода программы, а затем эти команды заменялись по одной на противоположные (JE® JNE и т.п.). Успех информационного воздействия (прагматический аспект) определялся по выводу отладочной строки «Message2».

Отдельное моделирование воздействия на прагматическом уровне в рамках рассматриваемой модели не выполнялось, так как для рассмотренной простейшей системы изменение нормальной реализации целевой функции уже можно рассматривать как модификацию ее центральной задачи. Для реальных сложных систем воздействие на прагматическом уровне может быть реализовано только на подсистему высшего уровня иерархии, так как в противном случае (модификация частной центральной задачи подсистемы нижележащих уровней) координирующая подсистема восстановит частную центральную задачу. В приведенном же примере рассматривалась простейшая система, не имеющая иерархической структуры.

Вероятность реализации информационного воздействия рассчитывалась по формуле:

,

где N – общее число испытаний; n – число запусков модифицированной программы, в результате которых выведена отладочная строка «Message2» (то есть выполнялась недоступная в штатном режиме функционирования программы ветвь алгоритма).

Результаты моделирования приведены в таблицах.

Таблица 1

Результаты моделирования воздействия на сигнальном уровне

N

s

d

P

368

367

336

0.921

368

367

324

0.892

368

368

338

0.927

368

368

337

0.924

368

368

323

0.890

Среднее значение:

= 0.911

Таблица 2

Результаты моделирования воздействия на семантическом уровне

N

s

d

P

837

837

742

0.898

Таблица 3

Изменение вероятности реализации целевой функции программы в зависимости от уровня воздействия

Уровень воздействия

Вероятность реализации целевой функции тестируемой программы

Изменение вероятности реализации целевой функции

отсутствует

1

0

сигнальный

0,911

0,099

семантический

0,898

0,102

Таблица 4

Вероятность реализации целевой функции воздействия

Уровень воздействия

Вероятность реализации

воздействия

сигнальный

0,000

семантический

0,001

Из результатов моделирования следует:

·     вероятность реализации целевой функции тестируемой программы уменьшается как при воздействии на сигнальном, так и на семантическом уровнях;

·     эффективность воздействия (оцениваемая как уменьшение вероятности реализации целевой функции тестируемой программы) на семантическом уровне выше (следует отметить, что время воздействия и требуемый машинный ресурс в этом случае сокращаются существенно);

·     независимо от уровня воздействия вероятность реализации целевой функции тестируемой программы остается отличной от нуля (что обусловлено существованием информационной избыточности; для тестируемой программы эта избыточность выражается в наличии дополнительного инициализационного кода Visual C++ 6.0, выравнивания секций исполняемого файла и т.п.);

·     результатом воздействия на сигнальном уровне обычно является полное нарушение работоспособности тестовой программы, в то время как воздействие на семантическом уровне позволяет перехватить управление, то есть вызвать выполнение неверной ветви алгоритма.

Сравнительно небольшая разница в вероятностях реализации обеих целевых функций для рассмотренных типов воздействий объясняется простотой использованной модели тестовой программы и воздействия. В реальных конфликтах это различие более значительно.

Следует отметить, что в общем случае связь между изменениями вероятностей реализации целевых функций информационных систем при конфликтном функционировании в рамках описанного подхода дается системой уравнений, приведенной в [2,3].

Эта система учитывает ряд факторов, отброшенных или грубо аппроксимированных в рассмотренной простейшей модели (вероятность доставки воздействия, коэффициент восстановления информационных систем и ряд других), и может применяться для анализа конфликтного функционирования реальных информационных систем.

Список литературы

1.   Павлов В.А., Павлов Р.В., Толстых Н.Н. Обобщенная модель процесса функционирования автоматизированных систем в режиме информационного конфликта. // Информация и безопасность. - 1999. - № 4.

2.   Павлов В.А., Пятунин А.Н., Сидоров Ю.В., Толс- тых Н.Н. Оценка возможности применения метода координации при моделировании конфликтного функционирования автоматизированных телекоммуникационных систем. // Тр. науч.-техн. конф.: Радиолокация, навигация и связь (24-26 апреля 2001, Воронеж).

3.   Павлов В.А., Толстых Н.Н. Формализованное представление реализации конфликтного компонента в телекоммуникационных системах. // Там же.


Постоянный адрес статьи:
http://swsys.ru/index.php?page=article&id=631&lang=&lang=&like=1
Версия для печати
Выпуск в формате PDF (13.63Мб)
Статья опубликована в выпуске журнала № 3 за 2003 год.

Возможно, Вас заинтересуют следующие статьи схожих тематик: