270 likes | 576 Views
Теоретичні основи захисту інформації. Лекції 14 -15. План лекції. Модель процесу захисту Модель системи захисту Модель функцій захисту Модель з повним перекриттям Інформаційно-аналітична модель з оцінки захисту інформації від загроз НСД Модель виявлення порушень Вартісна модель
E N D
Теоретичні основи захисту інформації Лекції 14-15
План лекції • Модель процесу захисту • Модель системи захисту • Модель функцій захисту • Модель з повним перекриттям • Інформаційно-аналітична модель з оцінки захисту інформації від загроз НСД • Модель виявлення порушень • Вартісна модель • Задача оцінки витрат • Аналіз ризиків і управління ними • Модель функціонального профілю
Модель процесу захисту • Вважаємо, що оброблення інформації на об’єктах системи здійснюється в умовах дії на інформацію загроз (або дестабілізуючих факторів – ДФ) • Для протидії загрозам можуть використовуватись спеціальні засоби захисту, які здійснюють нейтралізуючу дію ДФ • Нехай Oi– i-йоб’єкт захисту, стан якого може змінюватись з часом Tj–дестабілізуючий фактор Cl– засіб захисту Система може перебувати у різних станах (індекс k)
Pijk Oi Tj об’єкт загроза Cl Pijkl засіб захисту Модель процесу захисту
Модель процесу захисту • Piє ймовірністю захищеності i-го об’єкта протягом часу T • Якщо Pikє ймовірністю захищеності i-го об’єкта у k-му стані протягом часу T і ці ймовірності є незалежними, то де k – частка часу, протягом якої ІТС перебуває уk-му стані (режимі роботи): k = tk/T • Вважаємо, що Pik близькі до одиниці, тобто ймовірності реалізації НСД невеликі • Також вважаємо, що ймовірності реалізації НСД у часі не змінюються • У загальному випадку вважаємо, що система захисту може бути неповною (або мати вади) у тому сенсі, що в ній можуть бути відсутніми засоби захисту від деяких ДФ: Pik= P’ikP”ik де P’ik– ймовірність захищеності інформації на i-му об’єкті в k-му стані від сукупної дії тих ДФ, проти яких відсутні засоби захисту,P’ik– ймовірність захищеності інформації на i-му об’єкті в k-му стані від сукупної дії тих ДФ, проти яких засоби захисту впроваджені
Модель процесу захисту де j приймає значення номерів тих ДФ, проти яких відсутні засоби захисту, Pikj– ймовірність реалізації цих ДФ де j приймає значення номерів тих ДФ, для протидії яким впроваджені засоби захисту, l – значення номерів тих засобів захисту, які протидіють ДФ з номером j, Pikjl– ймовірність подолання цих засобів захисту • Ймовірність надійного захисту інформації для групи об’єктів визначається за формулою: • Можна урахувати фактор часу
Модель системи захисту • Ця модель є розвитком попередньої моделі • Її призначення – вибір основних орієнтирів при розробці перспективних планів побудови КСЗІ • Відповідно до цього, у моделі мають бути відображені ті події і заходи, які повинні здійснюватись в КСЗІ • Основою побудови моделі є загальні цілі ЗІ і умови, в яких ЗІ здійснюється • Захищеність інформації визначається показниками, які, у свою чергу, визначаються відповідними параметрами системи і зовнішнього середовища: • Параметри, якими можна керувати, і значення яких цілком формується системою захисту • Параметри, які недоступні для безпосереднього керування, але на які система може впливати шляхом певних дій • Параметри зовнішнього середовища, на які система ніяк не може впливати
Позначення в моделі СЗІ K – множина показників захищеності Pc – множинапоказників параметрів зовнішнього середовища, які впливають на процеси в ІТС Rc – множина ресурсів ІТС, що беруть участь в обробці інформації, яку захищають Pd – множинапараметрів,що не піддаються безпосередньому керуванню, але на які можна впливати Pk– множина параметрів, якими можна керувати безпосередньо Sp – множина засобів поточного керування Sd – множина засобів поточного впливу Rp – множина ресурсів поточного керування Rd – множина ресурсів поточного впливу Rrp – множина ресурсів поточного керування після розподілу загальних ресурсів Rrd – множина ресурсів поточного впливу після розподілу загальних ресурсів Rz – множина загальних ресурсів на захист
3. Модель впливу зовнішнього середовища Pc Rc 2. Модель використання ресурсів ІТС K 1. Модель процесу функціонування Pd Pп Sd→Pd 4а. Модель визначення параметрів 4б. Модель визначення поточних параметрів Sp→Pp Sd Sp Rd→Sd 5а. Модель розподілу засобів впливу 5б. Модель розподілу засобів поточного керування Rp→Sp Rd Rp Rrd→Rd 6а. Модель розподілу ресурсів впливу 6б. Модель розподілу поточних ресурсів Rrp→Rp Rrp Rrd 6. Модель ресурсів Rz
Модель СЗІ • Неважко впевнитись, щокожний показник захищеності Ki залежить від чотирьох параметрів:Ki = F(Pk,Pd,Rc,Pc) • Для визначення показників захищеності можна сформулювати кілька задач синтезу КСЗІ: • Визначити такі Rp і Rd, щоби за даних Rc і Pc виконувалась умова Kimax • Вибрати такі Rp і Rd, щоби за даних Rc і Pc нерівність виконувалась за умови Rc= Rp+Rdmin • Задачі керування зводяться до оптимізації розподілу Rp, Sp, Rdі Sd.
Модифікації моделі СЗІ (1) • Блоки 1, 2 і 3 — модель функціонування ІТС за відсутності керування захистом інформації • Така модель дозволяє лише визначати значення показників захищеності інформації, тобто вирішувати задачі аналізу; • Блоки 1, 2, 3, 4а і 5а — модель поточного керування захистом інформації, основу якого складає оптимізація використання засобів захисту, що включені до складу ІТС • Таке керування може бути оперативно-диспетчерським і календарно-плановим • Блоки 1, 2, 3, 4а, 5а і 6а — модель керування ресурсами, що виділені на ЗІ • На додаток до попередніх задач така модель дозволяє оптимізувати процес формування витрат для поточного керування системою ЗІ • Блоки 1, 2, 3, 4б і 5б — модель керування засобами впливу на параметри, що не дозволяють поточного керування, але піддаються дії системи захисту
Модифікації моделі СЗІ (2) • Блоки 1, 2, 3, 4б, 5б і 6б — модель керування ресурсами, що виділяються на розвиток ІТС • Усі блоки — повна модель захисту • На додаток до всіх можливостей, розглянутих вище, дозволяє оптимізувати використання усіх ресурсів, що виділяються на ЗІ • Таким чином, • наведена структура комплексу моделей дозволяє вирішити практично увесь клас задач моделювання систем і процесів ЗІ • Така структура може бути винятково корисною при проектуванні КСЗІ
Модель функцій захисту • Один із підходів до моделювання процесів і систем захисту інформації в ІТС ґрунтується на понятті функції захисту інформації • Процес функціонування КСЗІ ІТС моделюється шляхом визначення в ній властивостей, завдяки яким вона певним чином реагує на події, які пов'язані із забезпеченням безпеки інформації в ІТС • Це, наприклад, такі події, як: • оцінювання реальної можливості прояву порушень безпеки інформації, • виявлення фактів їх прояву, • вживання заходів до запобігання їх дії на інформацію, що захищається, • виявлення, локалізація і ліквідація наслідків дій на інформацію, що захищається, • тощо • Кожній з подій ставиться у відповідність певна властивість КСЗІ ІТС, яку називають функцією захисту інформації, яка полягає в конкретних діях КСЗІ щодо певної події • Методи реалізації цих функцій (організаційні, програмні, апаратні тощо) для даного розгляду не мають значення і в подальшому не розглядаються
Модель функцій захисту • У межах такого підходу основне завдання теорії і практики захисту інформації в будь-якій ІТС можна розуміти як формування і обґрунтування повної множини функцій захисту S • множина S повинна містити такі функції, щоб при їх реалізації КСЗІ ІТС могла протидіяти всім потенційно можливим порушенням безпеки інформації в процесі функціонування ІТС, а також при організації і забезпеченні захисту інформації • Встановлено, що множина S є об'єднанням двох множин: S = SaSc • множини функцій забезпечення захисту Sa, здійсненням яких створюються умови, необхідні для надійного захисту інформації • множини функцій Sc управління механізмами захисту, здійснюваних з метою ефективного використання механізмів захисту після реалізації функцій множини Sa. • Надалі розглядатиметься тільки множина Sa • Множину Sa зручно аналізувати (і синтезувати) виходячи з класифікації дестабілізуючих факторів
Структура множини Sa Sa1– створенняі контроль умов, що обмежують можливості прояву ДФ • Можливість створення таких умов може бути реалізована вже на етапах проектування ІТС, за допомогою вибору відповідної архітектури ІТС, відповідних технологічних схем обробки інформації, моделі безпеки, політики безпеки, впровадження механізмів безпеки, тобто умов, що виключають навіть потенційну можливість прояву ДФ Sa2 – попередженнявиникнення умов (негативних), що сприяють прояву ДФ • Ця функція реалізується подібно до попередньої і обидві вони відіграють випереджальну роль Sa3 – попередженнябезпосереднього прояву ДФ у конкретних умовах функціонування ІТС • Ця функція також відіграє випереджальну роль, але щодо конкретних умов і для ДФ, які вже потенційно можуть мати місце на різних етапах ЖЦ ІТС
Структура множини Sa(2) Sa4– виявлення ДФ, що проявилися, і контроль над ними • Тут передбачається здійснення таких заходів, у результаті яких ДФ (або реальна загроза їх прояву), будуть виявлені ще до того, як вони реалізують якусь дію на інформацію, яку захищають • Ця функція фактично — стеження за потенційними ДФ Sa5 – попередження дій ДФ на інформацію • Її зміст – не допустити небажаної дії ДФ на інформацію навіть у тому випадку, якщо вони реально виявилися (тут це продовження попередньої функції) • Проте здійснення попередньої функції може бути як успішним (прояв ДФ виявлено), так і неуспішним (прояв ДФ не буде виявлений), а дія все-таки можлива • Тому завдання цієї функції - попередження дії на інформацію ДФ, шо виявилися Sa6 – попередження дії ДФ на інформацію з метою не допустити небажаної дії ДФ на інформацію навіть у тому випадку, якщо вони реально не виявилися (продовження попереднього пункту) • Тут функція має завдання попередження дії на інформацію тих ДФ, що проявилися, але не виявлені явно
Структура множини Sa(3) Sa7– виявлення і контроль дії ДФ на інформацію, яку захищають • На відміну від функції Sa3 тут здійснюється стеження не тільки за потенційно можливими ДФ, але і за інформацією, яку захищають Sa8 – локалізація дії ДФ на інформацію, тобто недопущення розповсюдження дії на інформацію за межі максимально допустимих встановлених в ІТС розмірів • Тут основне завдання: локалізація дії ДФ, що проявилася і виявлена, на інформацію Sa9 – локалізація дії ДФ на інформацію, тобто недопущення розповсюдження дії на інформацію за межі максимально допустимих встановлених в ІТС розмірів • Тут основне завдання (на відміну від Sa8): локалізація дії ДФ на інформацію, що проявилася, але не виявлена
Структура множини Sa(4) Sa10 – ліквідація наслідків дії ДФ на інформацію, яку захищають • Під ліквідацією наслідків розуміють проведення таких заходів щодо локалізованої дії ДФ на інформацію, у результаті яких подальша обробка інформації може здійснюватися без урахування того, що мали місце дії • Тобто потрібно відновити той стан інформації, який мав місце ще до дії ДФ • Зрозуміло, що для ліквідації наслідків дії у разі локалізації виявлених і невиявлених дій необхідні абсолютно різні механізми захисту • Це означає, що тут доцільно виділити завдання: локалізація наслідків виявленої і локалізованої дії ДФ Sa11 – ліквідація наслідків дії ДФ на інформацію, яку захищають • Тут виділяють завдання: локалізація наслідків локалізованої, але не виявленої дії ДФ
Висновки по множині Sa • Як показує аналіз, для елементів множини Sa можна назвати характерні особливості: • Множина функцій Sa є вичерпною і повною у тому сенсі, що включає усі можливі дії щодо забезпечення захисту інформації в ІТС • Жодну з функцій множини Sa не можна виключити з даної множини • Множина функцій Sa повинна підтримуватися в будь-яких ІТС на усіх етапах їх ЖЦ і в будь-яких умовах їх функціонування • Інакше кажучи, реалізація множини Sa функцій забезпечення захисту інформації в ІТС є необхідною умовою надійного захисту інформації
Граф функцій захисту 1 F1 2 F2 3 F3 4 6 5 F7 7 F4 9 8 F11 11 10 F5 F9 F10 F6 F8
Вирази для булевих функцій F1 = x1 F2 = x̅1 x2 F3 = x̅1 x̅2 x3 F4 = x̅1 x̅2 x̅3 x4 x5 F5 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x7 x8 x10 F6 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x̅7 x9 x11 F7 = x̅1 x̅2 x̅3 x̅4 x6 F8 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x7 x8 x̅10 F9 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x̅7 x9 x̅11 F10 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x7 x̅8 F11 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x̅7 x̅9
Можливі підсумкові стани КСЗІ А1 – КСЗІ повністю виконує свої завдання, тобто навіть за умови прояву будь-яких ДФ запобігає їх негативній дії на інформацію, яку захищають, або повністю ліквідує наслідки таких дій • З розглянутих вище функцій лише результати 1-7 ведуть до підсумкової події А1 А2 – КСЗІ не повністю виконує свої завдання, тобто не вдається повністю запобігти негативній дії ДФ на інформацію, яку захищають, проте ця дія локалізована • З розглянутих вище функцій результати 8 і 9 ведуть до підсумкової події А2 А3 – КСЗІ не виконує жодного із своїх завдань, внаслідок чого негативна дія ДФ на інформацію, яку захищають, не тільки не скасована, а й не локалізована • З розглянутих вище функцій результати 10 і 11 ведуть до підсумкової події А3
Ймовірності сприятливих результатів • Повне забезпечення захищеності де Р1 = РХ1Р2 = (1 – РХ1) РХ2Р3 = (1 – РХ1) (1 – РХ2) РХ3Р4 = (1 – РХ1) (1 – РХ2) (1 – РХ3) РХ4 РХ5Р5 = (1 – РХ1) (1 – РХ2) (1 – РХ3) (РХ4(1 – РХ5) +(1 – РХ4) (1 – РХ6)) РХ7 РХ8 РХ10Р6 = (1 – РХ1) (1 – РХ2) (1 – РХ3) (РХ4(1 – РХ5) +(1 – РХ4) (1 – РХ6)) (1 – РХ7) РХ9 РХ11Р7 = (1 – РХ1) (1 – РХ2) (1 – РХ3) (1 – РХ4) РХ6 • Часткове забезпечення захищеності інформації де Р1 – Р7 задані вище,Р8 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x7 x8 x̅10Р9 = x̅1 x̅2 x̅3 (x4 x̅5 x̅4 x̅6) x̅7 x9 x̅11
Модель з повним перекриттям • Основним положенням моделі є вимога, що система повинна мати принаймні один засіб (суб’єкт) для забезпечення безпеки на кожному можливому шляху проникнення зловмисника до системи • У моделі з повним перекриттям розглядається взаємодія «області загроз», «області, що захищається» і «системи захисту». Таким чином, маємо три множини: Т={ti} – множина загроз безпеці О={oj} – множина об'єктів (ресурсів) захищеної системи М={mk} – множина механізмів безпеки ІТС • Елементи цих множин знаходяться між собою у певних відносинах, що описують систему • Для опису системи захисту звичайно використовується графова модель
t1 … … … tn o1 … … … on T O Модель з повним перекриттям • Множина відносин об'єкт-загроза-об'єкт утворює дводольний граф {<T,O>}
t1 … … … tn m1 … … … mn o1 … … … on T MO Модель з повним перекриттям • Мета захисту полягає в тому, щоб перекрити всі можливі ребра в графі • Це досягається введенням третього набору М; у результаті виходить тридольний граф {<T,М,O>}
Модель з повним перекриттям • Вводять ще дві множини: V – набір уразливих місць, обумовлений підмножиною декартового добутку ТО: vi=<ti,oj> • Під уразливістю системи захисту розуміють можливість здійснення загрози t відносно до об'єкта о • На практиці під уразливістю системи захисту звичайно розуміють не саму можливість здійснення загрози безпеці, а ті властивості системи, що або сприяють успішному здійсненню загрози, або можуть бути використані ЗЛ для здійснення загрози B – набір бар'єрів, обумовлений декартовим добутком VM: bi=<ti,oj,mk>, що описують шляхи здійснення загроз безпеці, перекриті засобами захисту • У результаті виходить система, що складається з п'яти елементів: <T,O,M,V,B>, що описує систему захисту з урахуванням наявності в ній уразливостей • Для характеристики ефективності бар’єра вводять трійку (Pi,Li,Ri) Pi– ймовірність виникнення загрози Li– величина можливих збитків при реалізації загрози Ri – ймовірність подолання бар’єра, яка характеризує ступінь його опірності загрозам