Внедрение АСУ технологическими и производственными процессами на объектах промышленности обусловило то, что обеспечение безопасности их функционирования стало одной из наиболее острых проблем современности. В настоящее время необходимым условием эффективного и безопасного функционирования таких объектов является обеспечение защищенности АСУ этими объектами от различного рода информационно-технических воздействий, в том числе с помощью вредоносных программ и разрушающих програм- мных воздействий (РПВ).
Наиболее известным случаем информационно-технического воздействия на потенциально опасный объект может служить информационно-техническая атака, проведенная, предположительно, спецслужбами США и Израиля на объекты Иранской атомной инфраструктуры с помощью вредоносной программы Stuxnet. Используя уязвимости операционной системы, эта вредоносная программа, по некоторым данным, вывела из строя 1 368 из 5 000 центрифуг на заводе по обогащению урана в Натанзе, а также сорвала сроки запуска ядерной АЭС в Бушере [1, 2].
АСУ технологическими процессами (ТП) имеют более высокие степени риска по сравнению с системами, предназначенными только для хранения, обработки и предоставления информации, вплоть до рисков нарушения ТП и работоспособности системы, выброса вредных веществ, техногенных катастроф и человеческих жертв.
В связи с этим при обеспечении защиты АСУ технологическими и производственными процессами от информационно-технических воздействий, помимо конфиденциальности, целостности и доступности информации (как указано в ГОСТ Р 50922–2006), прежде всего необходимо обеспечить безопасность самого технологического или производственного процесса.
Целью защиты технологических или производственных процессов, а также систем управления ими является обеспечение требований управляемости, наблюдаемости и устойчивости этих процессов и систем. При невыполнении этих требований возможны деструктивные действия на АСУ ТП, связанные с потерями управляемости технологи- ческого или производственного процесса, включающими блокировку управления и (или) несанк- ционированное управление; наблюдаемости тех- нологического или производственного процесса (модификация параметров процессов и (или) фальсификация измерений датчиков); работоспособности системы (авария или остановка технологического или производственного процесса и (или) деградация вычислительных ресурсов) (рис. 1) [3–5].
Все деструктивные воздействия на АСУ ТП являются производными трех причин: нарушение доступности (отказ в обслуживании) критически важной информации, нарушение ее целостности (модификация) и нарушение конфиденциальности (утечка).
Для технологических или производственных процессов основным направлением защиты является обеспечение доступности и целостности информации, поскольку нарушения конфиденциальности (утечки) информации непосредственно угрозу безопасности этим процессам не создают. Однако при этом следует учитывать, что утечка так называемой технологической информации об АСУ (о составе, характеристиках управляемого процесса, программного и программно-аппаратного обеспечения, о размещении, коммуникациях и т.п.) может в случае ее хищения использоваться для деструктивных информационно-технических воздействий [5].
Одним из основных способов деструктивных информационно-технических воздействий на автоматизированные системы являются воздействия с помощью различных программ, в том числе и специально созданных для таких воздействий (вредоносных программ). Такой вид воздействий от- носится к РПВ на автоматизированную систему. К программам, с помощью которых осуществляются РПВ, следует отнести программы, способные выполнять любое непустое подмножество из множества следующих функций [6]:
- скрывать признаки своего присутствия в системе;
- обладать способностью к самодублированию, в том числе к созданию своих модифицированных копий;
- обладать способностью к ассоциированию себя с другими программами;
- обладать способностью к переносу своих фрагментов в иные области оперативной или внешней памяти, в том числе находящиеся на удаленном компьютере;
- получать несанкционированный доступ к компонентам или ресурсам системы;
- разрушать или искажать код программ в оперативной памяти;
- наблюдать за процессами обработки информации и принципами функционирования средств защиты;
- сохранять фрагменты информации из оперативной памяти в некоторой области внешней памяти;
- искажать, блокировать или подменять выводимый во внешнюю память или канал связи информационный массив, образовавшийся в результате работы прикладных программ;
- искажать находящиеся во внешней памяти массивы данных;
- подавлять информационный обмен в компьютерных сетях, фальсифицировать информацию в каналах связи;
- нейтрализовывать работу тестовых программ и средств защиты информационных ресурсов системы;
- постоянно или кратковременно изменять степень защищенности конфиденциальных данных;
- приводить в неработоспособное состояние или разрушать компоненты системы;
- создавать скрытые каналы передачи данных;
- инициировать ранее внедренные РПВ.
При этом стоит отметить, что РПВ возможны с помощью не только специально созданных для этого вредоносных программ [7], но и многих других программ, изначально не создававшихся с целью этих воздействий (например, с помощью утилит анализа сетевого трафика возможны перехват и искажение информации, циркулирующей в информационно-вычислительной сети, с помощью различных системных утилит возможно изменение конфигурации и настроек операционной системы с целью нарушения корректности ее функционирования и т.п.).
Согласно [8], технические меры защиты информации (с точки зрения противодействия РПВ), реа- лизуемые в АСУ в рамках ее системы защиты, должны обеспечивать (рис. 2):
- идентификацию и аутентификацию субъектов и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации;
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- целостность АСУ и информации;
- доступность технических средств и информации.
Помимо этого, реализация технических мер в рамках системы защиты от РПВ должна обеспечивать доступность обрабатываемой в АСУ информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также при необходимости конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации); должна соотноситься с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ и управляемого (контролируемого) объекта и (или) процесса и не должна отрицательно влиять на штатный режим функционирования АСУ [8].
На основании перечисленных требований задачу синтеза системы защиты от РПВ можно представить как задачу выбора таких рациональных структуры и параметров системы защиты A* от РПВ для АСУ технологическими и производственными процессами, чтобы система защиты, отвечающая выбранным структуре и параметрам, позволяла обеспечить минимальное снижение качества функционирования K этой автоматизированной системы при сохранении требуемого уровня защиты от РПВ Q, при ограничениях на ресурсы R и стоимость создания системы защиты C:
при , V**ÍV,
где K – множество показателей, характеризующих степень снижения качества функционирования АСУ при вводе в ее состав системы защиты от РПВ; Ai – потенциально возможный вариант системы защиты; V** – множество вариантов реализации системы защиты, удовлетворяющих ограничениям по стоимости и потребляемым ресурсам, а также требованиям по уровню защиты; V – множество всех возможных вариантов реализации системы защиты от РПВ; Q – эффективность системы защиты; C – стоимость построения системы защиты; R – потребность в ресурсах; QТРЕБ – требуемый уровень защиты от РПВ; CДОП – максимально допустимая стоимость построения системы защиты; RДОП – максимально допустимая потребность в ресурсах.
Исходя из того, что, по ГОСТ 34.003–90, АСУ представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующей технологию выполнения установленных функций, степень снижения качества функционирования АСУ при вводе в ее состав системы защиты от РПВ K можно представить двумя следующими совокупностями показателей: KС – множество показателей снижения производительности функционирования комплекса средств автоматизации, входящего в состав АСУ; KП – множество показателей снижения производительности обслуживающего персонала.
Используя широко применяемые показатели производительности информационных систем [9, 10], снижение производительности комплекса средств автоматизации можно оценить совокупностью показателей: KС = {KПС; KПАР; KРЕС; KТоткл; KОШ}, где KПС – коэффициент снижения пропуск- ной способности (количества операций, выполняе- мых системой за определенный период времени); KПАР – коэффициент снижения параллелизма (количества операций, выполняемых системой одновременно); KРЕС – коэффициент увеличения запаса ресурса (количества ресурсов, необходимых для обеспечения роста нагрузки); KТоткл – коэффициент увеличения времени отклика (времени выполнения одной операции); KОШ – коэффициент увеличения частоты ошибок (частоты генерации системой исключений типа «отказ в обслуживании»).
Снижение производительности обслуживающего персонала, в свою очередь, можно оценить двумя показателями: KП = {KТвып; KД}, где KТвып – коэффициент увеличения времени выполнения операций обслуживающим персоналом при выполнении им функциональных обязанностей; KД – коэффициент повышения дискомфорта при выполнении функциональных обязанностей.
Максимально допустимая потребность в ресурсах может быть представлена как RДОП = {RВдоп; RЛдоп}, где RВдоп – максимально допустимая потребность в программных и аппаратных (вычислительных) ресурсах; RЛдоп – максимально допустимая потребность в людских ресурсах.
Варьируемыми параметрами в потенциально возможных вариантах построения системы защиты Ai от РПВ являются следующие:
- структура системы защиты, которую можно описать как S = {L; B}, где L – множество составных элементов системы защиты; B – функциональные связи между ними;
- множество параметров системы защиты F.
Изменение структуры и параметров системы защиты от РПВ ведет к изменению всех вышеописанных показателей.
Поскольку при построении системы защиты от РПВ возникает необходимость учета большого количества ограничений и частных показателей, задача построения системы защиты от РПВ с требуемыми характеристиками не может быть решена методом прямого синтеза (синтез оптимальной структуры с заданными характеристиками).
Исходя из этого, решение данной задачи заключается в выборе наилучших вариантов при проектировании и построении системы защиты в условиях ограничений. При этом с целью уменьшения количества вариантов, упрощения их формирования и проведения расчетов показателей, характеризующих эти варианты, необходима декомпозиция задачи выбора рационального варианта системы защиты.
В данном случае декомпозицию можно осуществить как по последовательности выполнения процедур формирования и выбора вариантов, так и по подсистемам системы защиты АСУ от РПВ (функциональная декомпозиция).
Декомпозиция по подсистемам основывается на том, что систему защиты от РПВ можно представить в виде множества подсистем, реализующих определенный перечень функций. На основании этого в качестве подсистем, обеспечивающих защищенность автоматизированной системы от РПВ, в составе системы защиты можно выделить три подсистемы: обнаружения РПВ, противодействия РПВ и устранения последствий применения РПВ (рис. 2).
Соотношение технических мер защиты (согласно [8]) и способов решения задач подсистемами системы защиты от РПВ показано на рисунке 3.
Последовательность выполнения процедур формирования и выбора вариантов будет следующей:
- формирование альтернативных вариантов для каждой подсистемы;
- оценка сформированных вариантов и выбор из них рациональных;
- формирование на основе выбранных вариантов подсистем общего рационального варианта системы защиты АСУ от РПВ.
Исходя из проведенной декомпозиции системы защиты от РПВ по подсистемам, вариант построения системы защиты A можно представить в виде множества A = {AОБН; AПР; AУСТР}, где AОБН – вари- ант реализации подсистемы обнаружения РПВ; AПР – вариант реализации подсистемы противо- действия РПВ; AУСТР – вариант реализации под- системы устранения последствий применения РПВ.
Соответственно, структура системы защиты может быть представлена как S = {{LОБН; BОБН}; {LПР; BПР}; {LУСТР; BУСТР}; BСЗ}, где LОБН – множество элементов подсистемы обнаружения РПВ; BОБН – функциональные связи между элементами обнаружения РПВ; LПР – множество элементов подсистемы; BПР – функциональные связи между элементами противодействия РПВ; LУСТР – множество элементов подсистемы устранения последствий применения РПВ; BУСТР – функциональные связи между элементами подсистемы устранения последствий применения РПВ; BСЗ – функциональные связи между подсистемами, входящими в состав системы защиты.
В свою очередь, параметры системы защиты могут быть представлены в виде совокупности трех множеств: F = {FОБН; FПР; FУСТР}, где FОБН – параметры подсистемы обнаружения РПВ; FПР – параметры подсистемы противодействия РПВ; FУСТР – параметры подсистемы устранения последствий применения РПВ.
Задачи выбора рациональных вариантов подсистем решаются последовательно, то есть сначала формируются все возможные варианты подсистем, далее из этих вариантов выбираются рациональные (с точки зрения соответствия требованиям по эффективности выполнения задач, возложенных на подсистему). Затем из этих рациональных вариантов построения подсистем формируется множество вариантов построения системы защиты, из которых сначала отбираются варианты, приемлемые по стоимости и по потребляемым ресурсам, далее из них отбираются варианты, удовлетворяющие требованиям по обеспечению защищенности автоматизированной системы. После чего из этих отобранных вариантов выбирается рациональный вариант построения системы защиты, оказывающий минимальное влияние на качество функционирования защищаемой автоматизированной системы.
Общая схема решения задачи синтеза системы защиты АСУ ТП от РПВ показана на рисунке 4.
Из рисунка видно, что исходными данными для построения системы защиты являются следующие:
- данные о структуре защищаемой автоматизированной системы Y = {YП; YА; YС}, где YП – составные компоненты ПО автоматизированной системы; YА – составные аппаратные компоненты АСУ; YС – функциональные связи между компонентами автоматизированной системы;
- максимально допустимая стоимость создания системы защиты CДОП;
- максимально допустимые ресурсы, необходимые для функционирования системы RДОП;
- данные об угрозах и уязвимостях: БД актуальных угроз, БД актуальных уязвимостей;
- данные о потенциальном нарушителе (профиль нарушителя) X = {XК; XО; XМ; XС }, где XК – уровень компетенции нарушителя; XО – уровень оснащенности нарушителя; XМ – уровень мотивации нарушителя; XС – класс нарушителя (внутренний или внешний).
Формирование множества всех возможных вариантов построения подсистем (блок 4) осуществ- ляется методом морфологического анализа [11, 12], при этом
- для подсистемы обнаружения РПВ исходными данными является совокупность множеств {LОБН; BОБН; FОБН}, а формируемыми данными – множество вариантов построения подсистемы обнаружения РПВ VОБН;
- для подсистемы противодействия РПВ исходными данными является совокупность множеств {LПР; BПР; FПР}, а формируемыми данными – множество вариантов построения подсистемы противодействия РПВ VПР;
- для подсистемы устранения последствий применения РПВ исходными данными является совокупность множеств {LУСТР; BУСТР; FУСТР}, а формируемыми данными – множество вариантов построения подсистемы противодействия РПВ VУСТР.
Формирование множеств рациональных вариантов построения подсистем (V*ОБН, V*ПР, V*УСТР) осуществляется отбором из полученных на первом этапе множеств (VОБН, VПР, VУСТР) (блок 5) по условиям
- соответствия эффективности функционирования подсистемы обнаружения РПВ требуемой эффективности: где эффективность QОБН выражается вероятностью обнаружения РПВ и вероятностью ложной тревоги – QОБН = {PОБН; PЛТ ОБН};
- соответствия эффективности функционирования подсистемы противодействия РПВ требуемой эффективности:
где эффективность QПР выражается вероятностью блокирования РПВ и вероятностью ложного блокирования – QПР = {PБЛ; PЛТ БЛ};
- соответствия эффективности функционирования подсистемы устранения последствий применения РПВ требуемой эффективности:
где эффективность QУСТР выражается вероятностью восстановления системы за требуемое время и вероятностью восстановления данных за требуемое время – QУСТР = {PСИСТ; PДАН}.
Для формирования требований по эффективности функционирования подсистем используются модель АСУ и модель угроз для нее. В модели АСУ на основе данных о структуре системы (блок 1) {YП; YА; YС} формируются перечни актуальных для защищаемой автоматизированной системы угроз и уязвимостей. Исходные данные берутся из соответствующих БД [13, 14].
Модель угроз для АСУ (блок 2) формирует множество профилей возможных атак на АСУ с помощью РПВ. Профиль атаки описывается следующим образом: {HАТ, ZАТ, PАТ, MАТ}, где HАТ – атакуемый элемент АСУ (цель атаки); ZАТ – средство проведения атаки; PАТ – вероятность успешного завершения атаки; MАТ – возможный ущерб от атаки на автоматизированную систему.
Исходными данными для модели угроз являются перечни актуальных для защищаемой автоматизированной системы угроз и уязвимостей, полученные в модели автоматизированной системы, а также данные о нарушителе (множество профилей нарушителя). Профили нарушителей, а также сценарии их действий формируются исходя из уровня опасности и критичности защищаемого объекта с помощью методов экспертных оценок [15].
На основе полученного множества профилей атак формируются требования к подсистемам (блок 3) в виде требуемых значений показателей эффективности функционирования подсистем:
- для подсистемы обнаружения РПВ – требуемые вероятность обнаружения и вероятность ложной тревоги: QОБН ТРЕБ = {PОБН ТРЕБ; PЛТ ОБН ТРЕБ};
- для подсистемы противодействия РПВ – требуемые вероятность блокирования и вероятность ложного блокирования: QПР ТРЕБ = {PБЛ ТРЕБ; PЛТ БЛ ТРЕБ};
- для подсистемы устранения последствий применения РПВ – требуемые вероятность восстановления системы и вероятность восстановления данных: QУСТР ТРЕБ = {PСИСТ ТРЕБ; PДАН ТРЕБ}.
Для выбора рационального варианта построения системы защиты A* с использованием морфологического анализа формируется множество возможных вариантов построения системы защиты V (блок 6). Исходными данными при этом являются множества рациональных вариантов построения подсистем – V*ОБН, V*ПР, V*УСТР.
Из полученного множества отбираются варианты V*, удовлетворяющие по стоимости: и по потребляемым ресурсам: (блок 7).
Далее из множества V* отбираются варианты построения системы защиты V**, удовлетворяющие требуемому уровню защищенности автоматизированной системы: V** = (блок 8). Уровень защищенности автоматизированной системы можно определить обобщенным коэффициентом защищенности по методике, изложенной в [16].
Рациональный вариант построения системы защиты от РПВ A* отбирается из множества вариантов V** по условию минимального снижения качества функционирования защищаемой АСУ: (блок 9), где K – обобщенный коэффициент снижения качества функционирования защищаемой автоматизированной системы, который определяется следующим образом: K=rсKС+rпKП, где KС=rпсKПС+rпарKПАР+rресKРЕС+ +rТотклKТоткл+rошKОШ – коэффициент снижения производительности автоматизированной системы; KП=rТвыпKТвып+rдKД – коэффициент снижения производительности обслуживающего персонала; rс, rп, rпс, rпар, rрес, rТоткл, rош , rТвып, rд – весовые коэффициенты значимости при соответствующих коэффициентах снижения производительности, которые определяются экспертным путем исходя из структуры защищаемой автоматизированной системы и решаемых ею задач.
Предлагаемый подход к построению систем защиты АСУ технологическими и производственными процессами может служить основой для разработки комплекса моделей и методов решения задачи структурно-параметрического синтеза систем защиты, позволяющих обеспечить, с одной стороны, требуемый уровень защищенности АСУ от РПВ, а с другой – минимальное влияние системы защиты на процессы функционирования защищаемой АСУ.
Литература
1. Маринин С. Анализ причинно-следственных факторов применения компьютерного вируса «Стакснет» против ядерных объектов Ирана // Зарубежное военное обозрение. 2011. № 8. С. 34–39; № 9. С. 30–33.
2. Дроботун Е.Б. Малварь для промышленной автоматики // Хакер. 2012. № 12 (167). С. 86–90.
3. Воронов А.А. Введение в динамику сложных управляемых систем. М.: Наука. Глав. ред. Физматлит, 1985. 351 с.
4. Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры // Тр. СПИИ РАН. 2015. Вып. 1 (38). С. 112–135.
5. Мальнев А. Противодействие реальным угрозам АСУ ТП // Информационная безопасность. 2015. № 4. С. 26–29.
6. Разрушающие программные воздействия: учеб.-методич. пособие; [под ред. М.А. Иванова]. М.: Изд-во НИЯУ МИФИ, 2011. 328 с.
7. Дроботун Е.Б. Об определении компьютерного вируса и вредоносной программы // Новые информационные технологии и системы 2010: сб. матер. IX Междунар. науч.-технич. конф. Пенза, 2010. С. 104–107.
8. Требования к обеспечению защиты информации ... 2014. URL: http://www.fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31 (дата обращения: 01.12.2015).
9. Narumoto M. Assessing system performance against key performance metrics. October 2015. URL: htpps://www/github.com/ mspnp/performance-optimization/blob/master/Assessing-System-Performance-Against-KPI.md#insertlink# (дата обращения: 01.12.2015).
10. Анализ ключевых показателей производительности. 2015. Ч. 1. URL: http://www.habrahabr.ru/company/microsoft/blog/ 271547 (дата обращения: 01.12.2015).
11. Альтшуллер Г. Найти идею: Введение в ТРИЗ – теорию решения изобретательских задач. М.: Алпина Паблишерз, 2011. 400 с.
12. Одрин В.М. Метод морфологического анализа технических систем. М.: Изд-во ВНИИПИ, 1989. 205 с.
13. Банк данных угроз информационной безопасности. Список угроз. URL: http://www.bdu.fstec.ru/threat (дата обращения: 01.12.2015).
14. Банк данных угроз информационной безопасности. Список уязвимостей. URL: http://www.bdu.fstec.ru/vul (дата обращения: 01.12.2015).
15. Орлов А.И. Экспертные оценки: учеб. пособие. М.: Изд-во ИВСТЭ, 2002. 131 с.
16. Мукминов В.А., Хуцишвили В.М., Лобузько А.В. Методика оценки реального уровня защищенности автоматизированных систем // Программные продукты и системы. 2012. № 1 (97). С. 39–42.