Задание на практику
Проанализировать способы и методы моделирования системы защиты информации.
В ходе практики должны быть освоены компетенции:
· ПК-5 способность анализировать фундаментальные и прикладные проблемы информационной безопасности в условиях становления современного информационного общества;
· ПК-6 способность осуществлять сбор, обработку, анализ и систематизацию научно-технической информации по теме исследования, выбор методов и средств решения задачи, разрабатывать планы и программы проведения научных исследований и технических разработок;
· ПК-7 способность проводить экспериментальные исследования защищенности объектов с применением соответствующих физических и математических методов, технических и программных средств обработки результатов эксперимента;
· ПК-8 способность обрабатывать результаты экспериментальных исследований, оформлять научно-технические отчеты, обзоры, готовить по результатам выполненных исследований научные доклады и статьи.
Введение
Решение задачи защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы, не обеспечивающей требуемый уровень защищенности, в систему с заданным уровнем безопасности информации.
Основным методом исследования систем защиты информации является моделирование. Моделирование предусматривает создание модели и ее исследование (анализ). Описание или физический аналог любого объекта, в том числе системы защиты информации и ее элементов, создаваемые для определения и исследования свойств объекта, представляют собой его модель. В модели учитываются существенные для решаемой задачи элементы, связи и свойства изучаемого объекта.
Различают вербальные, физические и математические модели и соответствующее моделирование.
Вербальная модель описывает объект на национальном и профессиональных языках. Человек постоянно создает вербальные модели его окружающей среды и руководствуется ими при приятии решений. Чем точнее модель отображает мир, тем эффективнее при прочих равных условиях деятельность человека. На естественном или профессиональном языке можно описать любой объект или явление. Сложные модели прошлой, настоящей, будущей жизни людей создают писатели. Но вербальные модели позволяют анализировать связи между ее элементами лишь на качественном уровне.
Физическая модель представляет материальный аналог реального объекта, который можно подвергать в ходе анализа различным воздействиям и получать количественные соотношения между этими воздействиями и результатами. Часто в качестве физических моделей исследуют уменьшенные копии крупных объектов, для изучения которых отсутствует инструментарий. Модели самолетов и автомобилей продувают в аэродинамических трубах, макеты домов для сейсмических районов испытывают на вибростендах и т.д. Но возможности физического моделирования объектов защиты и угроз ограничены, так как трудно и дорого создать физические аналоги реальных объектов. Действительно, для того, чтобы получить физическую модель канала утечки, необходимо воспроизвести его элементы, в том числе среду, а также априори неизвестные средства и действия злоумышленника.
Актуальность моделирования системы защиты информации
За последнее время увеличилось количество исследований в области информационной безопасности. Данные таких исследований в области информационной безопасности, заставляют задуматься, так как в них говориться о растущем внимании руководителей компаний в России, а так же за рубежом к проблеме защиты информации. Этот факт обусловлен с постоянным ростом числа инцидентов, связанных с потерей и разглашением информации или утратой контроля над ней, в том числе и из-за несанкционированного доступа злоумышленника к такой информации. По статистике крупные корпорации несут существенные финансовые убытки из-за реализации угроз информационной безопасности. Такие убытки могут оцениваться миллионами долларов в год (рис. 1).
Рисунок 1 – Размеры убытков крупных организаций
Из рисунка 1 видно, что количество инцидентов информационной безопасности выросло с 4628 до 4978, т.е. количество инцидентов выросло на 350 штук. Что же касается ущерба, то в 2013 году он составлял 2,7 млн. долларов, а в 2014 году уже 3,4 млн долларов, что свидетельствует о росте в 700 тысяч долларов. Из выше сказанного получается, что убытки, нанесенные организации одним инцидентом ИБ выросли с 583 долларов, до 683 долларов, что свидетельствует о необходимости разработки более эффективной системы защиты информации, для нахождения такой системы можно использовать моделирование.
Постоянное развитие и совершенствование нормативно-правовой базы как в Российской Федерации так и во всем в области информационной безопасности (кибербезопасности), позволяет постоянно модернизировать существующую систему ИБ на предприятиях. Последние изменения в законодательстве РФ, в том числе в законе № 152-ФЗ «О персональных данных», призваны поддержать отечественных производителей средств защиты от киберугроз и обеспечить более высокую долю таких продуктов на российском рынке ИБ. В этом свете деятельность по проработке фундаментальных основ ИБ и проведение прикладных исследований представляются актуальной задачей.
Моделирование системы защиты информации
В упрощенном виде предметную область «защита информации» можно представить в виде следующей схемы (рис. 1).
Рис. 1. Защита информации как предметная область
Все информационные активы предприятия подвержены рискам реализации угроз информационной безопасности (кибербезопасности) посредством эксплуатации злоумышленниками некоторых известных уязвимостей. Для решения задачи снижения финансовых убытков от подобных инцидентов необходимы инвестиции в правильно отобранные процессы и технологии, обеспечивающие предупреждение и обнаружение рисков безопасности, защиту от их воздействия и реагирование на них. Следует понимать, что защита информации в общем случае сочетает применение технических средств и проведение организационных мероприятий.
В процессе проектирования сложных систем, таких как комплексные и интегрированные СЗИ информационных систем (ИС), в большинстве случаев прибегают к моделированию основных процессов, происходящих внутри системы и на стыке среда-система. Кроме того, модели могут использоваться для проведения мониторинга и аудита безопасности на этапах эксплуатации и сопровождения ИС.
Под моделированием здесь понимаются математическое моделирование, позволяющее получить формальное описание системы и производить в дальнейшем количественные и качественные оценки ее показателей. Можно выделить следующие теории, которые могут быть положены в основу моделей СЗИ:
‒ теории вероятностей и случайных процессов;
‒ теории графов, автоматов и сетей Петри;
‒ теория нечетких множеств;
‒ теории игр и конфликтов;
‒ теория катастроф;
‒ эволюционное моделирование;
‒ формально-эвристический подход;
‒ энтропийный подход.
Отличия большинства моделей заключаются в том, какие параметры они используют в качестве входных, а какие — представляют в виде выходных после проведения расчетов.
Кроме того, в последнее время широкое распространение получают методы моделирования, основанные на неформальной теории систем: методы структурирования, методы оценивания и методы поиска оптимальных решений. Методы структурирования являются развитием формального описания, распространяющимся на организационно-технические системы. Использование этих методов позволяет представить архитектуру и процессы функционирования сложной системы в виде, удовлетворяющем следующим условиям:
а) полнота отражения основных элементов и их взаимосвязей;
б) простота организации элементов и их взаимосвязей;
в) гибкость — простота внесения изменений в структуру и т. д.
Методы оценивания позволяют определить значения характеристик системы, которые не могут быть измерены или получены с использованием аналитических выражений, либо в процессе статистического анализа, — вероятности реализации угроз, эффективность элемента системы защиты и др. В основу таких методов положено экспертное оценивание — подход, заключающийся в привлечении специалистов в соответствующих областях знаний для получения значений некоторых характеристик.
Методы поиска оптимальных решений представляют собой обобщение большого количества самостоятельных, в большинстве своем математических теорий с целью решения задач оптимизации. В общем случае к этой группе можно также отнести методы неформального сведения сложной задачи к формальному описанию с последующим применением формальных подходов. Комбинирование методов этих трех групп позволяет расширить возможности применения формальных теорий для проведения полноценного моделирования систем защиты.
Теория графов в моделирование системы защиты информации
Рассмотрим способ применения математической теории графов к моделированию СЗИ. Такой способ называется граф атаки. Неформально, граф атаки — это граф, представляющий все возможные последовательности действий нарушителя для реализации угрозы. Такие последовательности действий называются путями атак (рис. 2).
Рис. 2. Граф атаки
Выделяют следующие виды графов атак:
‒ state enumeration graph — в таких графах вершинам соответствуют тройки (s, d, а), где s — источник атаки, d — цель атаки, а — элементарная атака (или использование уязвимости); дуги обозначают переходы из одного состояния в другое;
‒ condition-oriented dependency graph — вершинам соответствуют результаты атак, а дугам — элементарные атаки, приводящие к таким результатам;
‒ exploit dependency graph — вершины соответствуют результатом атак или элементарным атакам, дуги отображают зависимости между вершинами — условия, необходимые для выполнения атаки и следствие атаки.
Такие модели применяются в основном на этапе аудита безопасности сетей для выявления слабых мест системы защиты и прогнозирования действий нарушителя.
Одной из основных целей моделирования СЗИ является создание максимально эффективной системы. Под эффективностью здесь понимается следование принципу «разумной достаточности», который можно описать следующим набором утверждений:
‒ абсолютно непреодолимой защиты создать нельзя;
‒ необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в т. ч. экономическим — снижении потерь от нарушения безопасности;
‒ стоимость средств защиты не должна превышать стоимости активов;
‒ затраты нарушителя на несанкционированный доступ (НСД) к активам должны превосходить эффект в соответствующем выражении, получаемый злоумышленником при осуществлении такого доступа.
Именно принцип «разумной достаточности» является базой минимизирующего затраты от происшествий в сфере ИБ подхода управления рисками.
Заключение
В период прохождения практики были проанализированы фундаментальные и прикладные проблемы моделирования системы информационной безопасности. Так же была собрана научно-техническая информация по теме исследования из открытых источников. В дальнейшем данная информация была проанализирована и систематизирована, на основании чего был составлен отчет по практике, включающий в себя результат проведенных исследований по теме магистерской работы. На основании проведенных исследований был сделан вывод: Только использование математической модели, сочетающей в себе применение формальной математической теории и неформальных методов, таких как экспертное оценивание и поиск оптимальных решений, позволит решить прикладную задачу по минимизации рисков от происшествий в сфере ИБ.
Список использованных источников
1. ГОСТ Р 53114–2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения [Текст]. — М.: Стандартинформ, 2009. — 16 с.;
2. Потери данных и простои дорого обходятся российским компаниям [Текст] // Information Security / Информационная безопасность. — 2014. — № 6. — С. 10–11.;
3. Данилов, Н.Н. Математическое моделирование: учебное пособие / Н.Н. Данилов; Министерство образования и науки Российской Федерации, Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Кемеровский государственный университет». - Кемерово: Кемеровский государственный университет, 2014. - 98 с. - ISBN 978-5-8353-1633-5; То же [Электронный ресурс]. - URL: //biblioclub.ru/index.php?page=book&id=278827 (19.04.2017);
4. Курилов Ф. М. Моделирование систем защиты информации. // Технические науки: теория и практика: материалы III Междунар. науч. конф. (г. Чита, апрель 2016 г.). — Чита: Издательство Молодой ученый, 2016. — С. 6-9.