Проблемы безопасности автоматизированных информационных систем на предприятиях

Росс Г., Табаков А. (ВНИИПВТИ)

Содержание "информационной безопасности", если объектом её является коммерческое предприятие, будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. Интересы проявляются через объекты, способные служить для их удовлетворения, и действия, предпринимаемые для обладания этими объектами. Соответственно интересы как объект безопасности могут быть представлены совокупностью информации, способной удовлетворять интерес собственника, и его действий, направленных на овладение информацией или сокрытие информации. Эти составляющие объекта информационной безопасности и защищаются от внешних и внутренних угроз. В случае, когда собственник предприятия не видит необходимости в защите своих действий, например, в связи с тем, что это не окупается, содержание информационной безопасности предприятия может быть сведено к защищенности конкретной информации, раскрытие которой может принести заметный ущерб коммерческой деятельности. Подобную информацию обычно относят к коммерческой тайне.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны.

Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

- предотвращение утечки, хищения, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

- сохранение государственной тайны, конфиденциальности документированной информации.

Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

Организация защиты информации. Конкретное содержание указанных мероприятий для каждого отдельно взятого предприятия может быть различным по масштабам и формам. Это зависит в первую очередь от производственных, финансовых и иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия.

Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:

- организацию охраны помещений, в которых содержатся носители конфиденциальной информации;

- установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации;

- установление пропускного режима в помещения, содержащие носители конфиденциальной информации;

- закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность;

- установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);

- организацию ремонта технических средств обработки конфиденциальной информации;

- организацию контроля за установленным порядком.

Требования устанавливаемого на предприятии особого режима конфиденциальности оформляются в виде организационно-распорядительных документов и доводятся для ознакомления до сотрудников предприятия.

Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

Средства защиты информации. Как уже отмечалось выше, эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации. В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

- средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;

- средства, обеспечивающие защиту информации при передаче ее по каналам связи;

- средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;

- средства, обеспечивающие защиту от воздействия программ-вирусов;

- материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

Основное назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

- идентификацию и аутентификацию пользователей автоматизированных систем;

- разграничение доступа зарегистрированных пользователей к информационным ресурсам;

- регистрацию действий пользователей;

- защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;

- контроль целостности СЗИ и информационных ресурсов.

Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемых файлов и другие. Системы защиты информации предусматривают ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.

Особо стоит отметить наличие в СЗИ защиты загрузки операционной системы с гибких магнитных дисков и CD-ROM, которая обеспечивает защиту самих средств защиты от "взлома" с использованием специальных технологий. В различных СЗИ существуют программные и аппаратно-программные реализации этой защиты, однако практика показывает, что программная реализация не обеспечивает необходимой стойкости.

Контроль целостности средств защиты и защищаемых файлов заключается в подсчете и сравнении контрольных сумм файлов. При этом используются различной сложности алгоритмы подсчета контрольных сумм. Несмотря на функциональную общность средств защиты информации данной группы, СЗИ различных производителей различаются:

- условиями функционирования (операционная среда, аппаратная платформа, автономные компьютеры и вычислительные сети);

- сложностью настройки и управления параметрами СЗИ;

- используемыми типами идентификаторов;

- перечнем событий, подлежащих регистрации;

- стоимостью средств защиты.

С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны(firewalls), которые обеспечивают решение таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям. Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).

Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних.

Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:

- стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии ФАПСИ на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);

- относительно высокая стоимость эксплуатация таких средств.

В целом, при определении необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.

В обосновании затрат на систему информационной безопасности (СИБ) предприятия существует два основных подхода [1]. Первый подход заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня ИБ. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области ИБ. От результатов этих оценок будет во многом зависеть дальнейшая деятельность руководителей в области ИБ. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален (руководство это подтверждает (!)), проблемой обеспечения ИБ можно не заниматься. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет расходов на подсистему ИБ. В этом случае становится необходимым заручиться поддержкой руководства компании в осознании проблем ИБ и построении корпоративной системы защиты информации.

Второй подход, назовем его практическим, состоит в следующем: можно попытаться найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования оценка стоимости этой услуги составляет - 5-15% от рыночной стоимости автомобиля в зависимости от локальных условий его эксплуатации, стажа водителя, интенсивности движения, состояния дорог и т.д.

По аналогии, ИБ в компании можно вообще не заниматься, и не исключен такой вариант, что принятый риск себя вполне оправдает. А можно потратить на создание корпоративной системы защиты информации немало денег, и при этом останется некоторая уязвимость, которая рано или поздно приведет к утечке или хищению конфиденциальной информации.

Эксперты-практики в области защиты информации нашли некое оптимальное решение, при котором можно чувствовать себя относительно уверенно - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС, в зависимости от конкретных требований к режиму информационной безопасности. Это и есть та самая оценка на основе практического опыта (best practice), которой можно уверенно оперировать, если не производить детальные расчеты.

Этот подход, очевидно, не лишен недостатков. В данном случае, скорее всего, не удастся вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно обосновать объем бюджета на ИБ путем ссылки на понятные большинству владельцев информационных ресурсов общепринятые требования к обеспечению режима информационной безопасности "best practice", формализованные в ряде стандартов, например ISO 17799.

Реализация этих подходов (конкретные методы оценки эффективности системы ИБ) на практике зависит от ряда факторов, среди которых основными являются степень зрелости организации и специфика ее деятельности.

Модели выбора программно-технических комплексов систем информационной безопасности. Для эффективного функционирования СИБ предприятия её необходимо оснастить оптимальным комплексом аппаратных и программных средств защиты от различных информационных угроз таким образом, чтобы оптимизировать некоторый критерий оптимальности создание СИБ. При этом считается, что информационные угрозы между собой не связанны.

Ниже рассматриваются различные модели решения проблемы создания СИБ предприятия.

В общем случае полагаем, что задано множество информационных угроз (ИУ), которые могут возникнуть в АИС предприятия и множество аппаратных и программных средств защиты (СЗ), с помощью которых эти угрозы могут быть нейтрализованы. Причем для каждого сочетания ИУ - СЗ определено число r₁(ij) - эффективность нейтрализации i-м СЗ j-й ИУ. Для построения математической модели введем переменную y(i,j), равную 1, если j-я ИУ нейтрализуется с помощью i-го СЗ, и нулю - в противном случае.

Для лучшего понимания дадим содержательную и формальную постановку задач выбора оптимальной СИБ в терминах теории графов, а также методы их решения. Для этого построим двудольный граф G (X,U), (X= uX_i, i = 1,2) (рис.1) такой, что вершины множества в X₁ отвечают аппаратным и программным средствам защиты, а вершины множеств в X₂ - соответствующим информационным угрозам. Каждый элемент (вершина) множества X₁ характеризуется ценой и эффективностью по нейтрализации информационных угроз. Каждой вершине множества X\X₂ присваивается вес, равный стоимости, что соответствует СЗ, а каждой дуге - вес, z(i,j) = 1,0. Тогда задача выбора оптимальной СИБ будет заключаться в максимизации эффективности нейтрализации множества информационных угроз различными средствами защиты при ограничениях на объем затрат Q. Формальная постановка задачи имеет следующий вид:

где r₂(i) - затраты на приобретение i-го СЗ.

Рис 6.15. Двудольный граф.

Если необходимо минимизировать затраты на средства защиты от информационных угроз в АИС предприятия при ограничении на заданный уровень эффективности P, то формальная постановка задачи будет иметь вид:

В модели (2) предполагается, что наивысший уровень эффективности СИБ будет тогда, когда для нейтрализации каждой угрозы будет выбрано средство защиты с максимальной эффективностью. Наивысший уровень эффективности СИБ равен сумме максимальных элементов в каждом столбце матрицы r₁(ij).

К наиболее общим закономерностям безопасности относится свойство, которое говорит о том, что "степень безопасности системы определяется степенью безопасности ее самого "слабого" элемента". Если перефразировать это свойство, то для нашего случая уровень информационной безопасности будет определяться СЗ с наименьшей эффективностью, выбранного нами из всего множества средств защиты. В этом случае формальная постановка задачи будет иметь вид:

В том случае, когда информационные угрозы не являются независимыми, т.е. появление одной ИУ является источником для другой, то, обозначая X_i c X₁ - подмножество вершин "левой " доли, отвечающих СЗ, использование которых предшествует появлению i-й ИУ, то (1) преобразуется к виду:

В модели (3) полагаем, что для получения информации, необходимой для исполнения j -й угрозы достаточно появление одной из ИУ, отвечающих X_i . L(s, t_k) - путь из фиктивной вершины - источнике, дуги из которого заходят во все вершины - источники подмножестве X₂ , в вершину (рис. 2).

Рис. 2. Граф взаимосвязанных угроз.

Предложенные выше формальные модели относятся к классу задач дискретного программирования с булевыми переменными и для их решения могут быть использованы различные типы переборных алгоритмов. Однако экспериментальное исследование эффективности этих алгоритмов подтверждает экспоненциальную зависимость времени счета от размерности задачи и поэтому повышение их быстродействия является актуальной задачей.

Методы, гарантирующие оптимальное решение задачи.

В качестве примера возьмем алгоритмы Балаша и метода ветвей и границ. Для того, чтобы совместить положительные качества этих алгоритмов используем построение смешанных стратегий. Для анализа смешанных стратегий введем граф G(X,U), определяющий дерево решений задачи, где X - множество вершин и U - множество дуг. Дерево решений, построенное алгоритмом типа ветвей и границ, обозначим G¹(X¹,U¹), а дерево, построенное с помощью алгоритма Балаша, обозначим G²(X²,U²). Справедливо следующее утверждение.

Утверждение. Дерево G¹(X¹,U¹) является подграфом дерева G²(X²,U²).

На основе приведенной теоремы может быть построена следующая процедура.

Алгоритм 1.

Шаг 1. Определяем множество висячих вершин первого яруса дерева решений X¹, где |X¹|=2, и вычисляем их оценки.

Шаг 2. На множестве полученных оценок выделяем "лучшую" и ближайшую к ней.

Шаг 3. Если базис вектора переменных, соответствующий "лучшей" оценке, содержит все компоненты вектора переменных, то переходим к шагу 15, если нет - то к шагу 4.

Шаг 4. Рекорду R присваиваем значение, равное оценке, ближайшей к "лучшей".

Шаг 5. Расширяем базис, соответствующий вершине с "лучшей" оценкой, и вычисляем оценку нового базиса.

Шаг 6. Если новая оценка "лучше" рекорда, то переходим к шагу 7, в противном случае - к шагу 9.

Шаг 7. Если в базис введены все переменные, то переходим к шагу 8, в противном случае - к шагу 5.

Шаг 8. Рекорду присваивается значение, равное "лучшей" оценке.

Шаг 9. Заменяем значение последней переменной базиса на обратное и вычисляем новую оценку.

Шаг 10. Если оценка нового частичного плана "лучше" рекорда, то переходим к шагу 7, если нет, то переходим к шагу 11.

Шаг 11. Базис подвергается сжатию, соответствующую оценку запоминаем и переходим к шагу 12.

Шаг 12. Если дальнейшее сжатие базиса невозможно, так как он соответствует вершине, имевшей "лучшую" оценку на шаге 3 последней итерации, то переходим к шагу 13, в противном случае - к шагу 9.

Шаг 13. Вершину дерева решений, которой соответствует оценка, равная рекорду, считаем "лучшей".

Шаг 14. На множестве остальных вершин дерева решений выбираем оценку ближайшую к "лучшей" и переходим к шагу 3.

Шаг 15. Распечатываем вектор переменных. Окончание действий алгоритма.

Таким образом, преимуществом методов типа ветвей и границ по сравнению с алгоритмом Балаша является меньший объем перебора, за который приходится платить жесткими ограничениями к памяти ПК и большим числом сравнений. Сокращения числа операций сравнений можно достичь, совмещая спуск по дереву решений в лучшем направлении, присущий методам типа ветвей и границ, с перебором, реализуемым алгоритмом Балаша. Экспериментальная оценка подтверждает эффективность совмещенной стратегии движения по дереву решений.

Методы, дающие шанс на получение оптимального решения. Широкое распространение рандомизированных алгоритмов объясняется их простотой, легкостью реализации на ПК, возможностью в короткие сроки получить достаточно хорошие решения, низкими требованиями к объему памяти ПК. Основным их отличием от приведенных выше детерминированных методов локальной оптимизации является "случайный" выбор направления движения по дереву решений на частичных планах, так и по векторной решетке на полных планах. Если все направления равновероятны, то говорят, что реализуется метод Монте-Карло, нас же будет интересовать подход, при котором с большой вероятностью выбираются "лучшие" направления. Одним из способов реализации такого подхода является следующая процедура: для множества {s} соседних с s₀ планов вычисляются оценки которые возводятся в степень q (q >= 0 для задач с максимизируемым функционалом цели и q <= 0 для задач с минимизируемым функционалом цели), называемые степенью доверия оценке. Затем часть числовой оси от 0 до 1 разбивается на отрезки по числу вычисленных оценок, причем длина i-го отрезка L_i равна:

Берется случайное число (равномерное распределение) и выбирается тот отрезок, на который это число падает. Очевидно, что чем лучше оценка, тем шире соответствующий ее отрезок и, следовательно, тем больше вероятность ее выбора. При q=0 такой подход вырождается в метод Монте-Карло, - в детерминированный поиск в лучшем направлении.

Эффективность этих алгоритмов в значительной степени определятся числом просмотренных решений за выделенное для счета время, т.е. их быстродействием. Актуальность повышения быстродействия возрастает для адаптивных рандомизированных процедур, которые нуждаются в добавочном числе просмотренных решений для накопления опыта и адаптации. Существующие способы повышения быстродействия рандомизированных алгоритмов (выбор способа вычисления оценки, ветвления, степени рандомизации и "доверчивость" адаптивных рандомизированных процедур) обычно связаны со спецификой конкретных и их основная идея, как правило, заключается в уточнении направления перехода к соседнему плану. Ниже анализируются подходы к повышению быстродействия рандомизированных процедур за счет более эффективного использования резервов памяти ПК.

Алгоритм 2.

Шаг 1. Детерминированное построение подграфа G(X,U) являющегося частью дерева решений, содержащей корневую вершину;

Шаг 2. Рандомизированный выбор одной "висячей" вершины подграфа G(X,U).

Шаг 3. Использование рандомизированной процедуры для спуска из выбранной вершины до нижнего яруса дерева решений и вычисления нового значения рекорда.

Шаг 4. Новое значение рекорда сравнивается со старым и лучшее из них запоминается.

Шаг 5. Если время счета истекло - печать рекорда, коней алгоритма, в противном случае переход к шагу 2.

Исследования [2] показали эффективность следующих стратегии построения G(X,U):

а) построение первых H ярусов дерева решений;

б) построение G(X,U) ветвлением в "лучшем" направлении, как это выполняется в методах типа ветвей и границ.

Оптимальное значение H определяется следующим образом:

т.е. оптимальное число ярусов H_опт не зависит от числа переменных задачи, а только от величины v и d.

При описании математических моделей в данной главе поставлена задача:

на основе анализа и использования известной литературы по теории математического программирования показать, как можно применить этот традиционный математический аппарат для решения новых прикладных задач, связанных с оценкой и выбором вариантов построения систем защиты информации.

Литература:

1. Петренко С., Симонов С., Кислов Р. Информационная безопасность: экономические аспекты// Jet Info Online, №10, 2003
2. Росс Г.В. Моделирование производственных и социально-экономических систем с использованием аппарата комбинаторной математики// М.: Мир, 2001 - 21.7 п. л.

Авторы: Табаков А.; Росс Г. В.

Дата публикации: 01.01.2005

Библиографическая ссылка: Росс Г. В., Табаков А. Проблемы безопасности автоматизированных информационных систем на предприятиях // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 150–158.

---