· Математическая модель оценки защищенности вычислительной системы, предоставляющая численный критерий оценки ее защищенности при наличии программно—аппаратных уязвимостей и методику расчета нормируемого значения для предприятий.
Основное содержание работы.
Во введении обосновывается актуальность темы, характеризуются научная новизна и методы исследования, формулируются выносящиеся на защиту положения, цели и задачи диссертационного исследования.
В первой главе производится исследование существующих классификаций, таксономий уязвимостей, описываемых в хронологическом порядке совместно с их анализом, в частности классификация уязвимостей базовой модели угроз ИСПДн ФСТЭК России. Также рассматриваются существующие математические модели защиты информации, основной недостаток которых заключается в тесной связи с конкретными прикладными задачами.
Во второй главе предложена математическая модель для описания классификаций уязвимостей на основе концепции измерений, разработка которой обуславливается тем, что классификации уязвимостей ФСТЭК России, комбинированные древовидные классификации Бишопа, Хэнсмэна, и т. д. легко преобразуются в классификации на основе концепции измерений путем переноса листьев дерева на оси измерений, причем последние образуются вершинами дерева с высотой, равной одному.
С целью построения математического аппарата исследования уязвимостей вычислительных систем с классификацией на основе концепции измерений, решается задача о представлении уязвимостей в виде точек некоторого многомерного пространства, где в качестве основного инструмента применена теория булевых алгебр.
На основе данной математической модели предлагается математическая модель оценки защищенности от утечек информации при наличии программно-аппаратных уязвимостей для автоматизированного рабочего места совместно с количественным критерием численной оценки защищенности АРМ
В третьей главе рассматривается дополнительная модель вычислительной сети информационной системы типового предприятия, выделяющая пять типов рабочих мест, на которых обрабатывается конфиденциальная информация:
· Имеющие подключение к информационной системе (ИС) организации, но не имеющие подключения к глобальным открытым сетям информационного обмена (ГОСИБ).
· Имеющие подключение к ГОСИБ, но не имеющие подключения к ИС организации.
· Имеющие подключение как к ГОСИБ, так и к ИС организации.
· Не имеющие подключения к ИС организации и к ГОСИБ.
· Удаленные рабочие места в ГОСИБ.
На ее базе разрабатывается математическая модель в виде ориентированного, взвешенного, раскрашенного мультиграфа.
На основе существующей вычислительной системе предприятия, с учетом требований к решаемым предприятием задач, возможно построить необходимую модель вычислительной системы в защищенном исполнении, на базе которой вычисляются нормированные значения критериев защищенности предприятия. На практике, задача определения нормируемых значений предлагаемых критериев оценки защищенности, решается специалистом по защите информации, и для ее решения на определенном предприятии, предлагается вспомогательная математическая модель, с помощью которой производится преобразование существующей вычислительной системы к модели системы в защищенном исполнении.
Критерии оценки защищенности АРМ недостаточны для обеспечения контроля защищенности вычислительной системы. Обнаружение и устранение уязвимостей, в общем случае, является процессом случайным, который имеет большие отклонения с течением времени от своего математического ожидания. Тем самым, для рассмотрения оценки защищенности ВС, производится переход в область случайных процессов, и предлагается математическая модель уязвимостей вычислительной системы на основе теории случайных процессов совместно с интегральным критерием численной оценки защищенности от программно—аппаратных уязвимостей по корреляционному признаку.
В четвертой главе представлен состав экспериментального стенда и произведен анализ вычислительной подсистемы лабораторий факультета компьютерных технологий Федерального Государственного Бюджетного Образовательного Учреждения «Комсомольский—на—Амуре Государственный Технический Университет» на наличие программно—аппаратных уязвимостей, получены численные значения количественных критериев оценки защищенности (в том числе нормированные), и даны рекомендации по их устранению.
В заключении приведены основные результаты, полученные в диссертационной работе.
В приложении приводятся доказательства некоторых вторичных утверждений.
1 Анализ классификаций и математических методов описания уязвимостей
1.1 Постановка задачи
В области информационной безопасности под уязвимостью понимается недостаток в вычислительной системе, используя который возможно нарушить ее целостность и вызвать некорректную работу.
Попытка реализации уязвимости называется атакой.
Цель данной главы – проведение обзора способов классификаций и математических моделей систем защиты информации от утечки информации.
Для достижения поставленной цели, необходимо провести обзор:
· и анализ классификаций уязвимостей автоматизированных систем;
· базы данных уязвимостей NVD (National Vulnerability Database) и ее компонент;
· множества протоколов SCAP (Security Content Automation Protocol) как средства управления уязвимостями базы данных NVD, и языка Open Vulnerability Assessment Language как справочной реализации подмножества SCAP;
· математических моделей систем защиты информации.
1.2 Классификации уязвимостей автоматизированных систем
С целью изучения и анализа уязвимостей, а также способов их реализации в автоматизированных системах, исследователи предлагают различные виды классификации уязвимостей и их реализаций. Формально, задача классификации состоит в создании системы категорирования, а именно, – в выделении категорий и создании классификационной схемы, как способа отнесения элемента классификации к категории.
При использовании заданной терминологии, неизбежно возникают разночтения между понятиями классификация и классификационная схема. Для устранения данного недостатка, в дальнейшем, используется термин «таксономия». Данный термин имеет греческое происхождение: от слов taxis – порядок и nomos – закон.
Таксономия – это «классификационная схема, которая разделяет совокупность знаний и определяет взаимосвязь частей». Ярким примером таксономий является таксономия растений и животных Карла Линнея.
В области защиты информации выделяют три группы таксономий:
– Таксономии атак,,,,,.
– Таксономии уязвимостей,,.
– Таксономии инцидентов.
К проблеме классификации атак имеется несколько подходов. Классически атаки разделяют на категории в зависимости от производимого эффекта, :
– нарушение конфиденциальности информации;
– нарушение целостности информации;
– отказ в обслуживании (нарушение доступности информации).
Главным недостатком подобной классификации является слабая информативность (а, следовательно, и применимость), так как по информации о классе атаки практически невозможно получить информацию об ее особенностях. Однако, эффект атаки является важным ее свойством и данный параметр в том или ином виде применяется в ряде таксономий (,,).
Другим подходом к классификации является классификация уязвимостей аппаратного и программного обеспечения информационно—вычислительных и телекоммуникационных систем. Одним из первых исследований в этом направлении является работа Атанасио, Маркштейна и Филлипса. Частично деление по типу уязвимости было использовано Ховардом и Лонгстаффом. Далее этот подход получил продолжение, которое в результате предлагает исследователям достаточно подробную классификация уязвимостей. Однако данный подход является слишком узким и зачастую не отражает в должной мере специфику атаки, поэтому применяется, в основном, лишь для специальных классов задач (при тестировании программного обеспечения и др.).
Другим возможным вариантом классификации является деление на основе начального доступа, которым обладает атакующий. Примером подобного подхода является матрица Андерсона. В своей работе Джеймс Андерсон (James P. Anderson) предложил основу классификации как наличие или отсутствие возможности доступа, атакующего к вычислительной системе (ВС) или к ее компонентам. Таким образом, категория, к которой принадлежит атака, зависит от начальных привилегий атакующего. Таксономия Андерсона предлагает матрицу 2 на 2.
Из приведенной таблицы (таблица 1) можно сделать заключение, что все атаки разделяются на три категории. Ситуация, когда атакующий имеет право запуска или использования программы в отсутствии доступа к вычислительной системе, – невозможен.
Таблица 1 – Матрица таксономии Андерсона
Категория B подразделяется Андерсоном дополнительно на три подкатегории. Следовательно, полный список категорий атак имеет следующий вид:
– Внешнее вторжение
– Внутреннее вторжение
– Masquerader – ложный пользователь.
– Legitimate user – легальный пользователь.
– Clandestine user – скрытый пользователь.
– Злоупотребление полномочиями.
Главным отличием между ложным, легальным и скрытым пользователями заключается в том, что ложный пользователь маскируется под легального пользователя, и, с точки зрения вычислительной системы, неотличим от него. Скрытый пользователь ориентируется на работу с вычислительной системой, при которой он остается незамеченным для систем обнаружения вторжений.
Рассматривая развитие классификационных подходов во времени, можно заметить, что ряд исследователей старались абстрагироваться от свойств состава атак, с целью создания общего списка типов атак. Наиболее известны в данном направлении работы Ноймана и Паркера,,,. Аналогичную цель преследовал в своей работе Саймоном Хансмэном. Важным достоинством данного подхода является прикладная составляющая, так как в большинстве случаев информация о специфики атаки дает существенно больше, нежели знание каких—либо ее свойств. Однако недостатком данного подхода является наличие сильно пересекающихся категорий атак, а полнота классов зачастую недостижима.
В своей работе, П. Нойман и Д. Паркер представили 9 категорий способов вторжений (табл. 2).
Таблица 2 – Категории способов вторжения
На основе данных категорий П. Нойман разработал 26 видов атак (табл. 3)
Таблица 3 – Виды атак
В силу необходимости практической применимости таксономий, наиболее выгодными считаются комбинированные подходы, которые в некоторой степени реализуют все вышеописанные методы,,. Однако, способы комбинирования методов могут быть различны.
Один из способов комбинирования приводится в своей работе Саймон Хэнсмэн, – все анализируемые параметры разносятся отдельно и считаются попарно некоррелированными. Для достижения данной цели, автор использует концепцию «измерений», которая впервые была применена в работе Бишопа о классификации уязвимостей UNIX—систем.
Главную цель, которую преследовал Саймон Хэнсмэн, была разработка «прагматичной таксономии, которая полезна при ведении непрерывной работе над атаками». Первоначально производилась разработка таксономии древовидной структуры, подобно классификациям природного царства, – более общие категории находятся выше по высоте дерева, а нижние по высоте представляют более подробное описание категорий. Но на практике, в применении подобных классификационных схем имеется ряд неудобств. Во—первых, атаки зачастую несут смешанный характер. То есть складывается ситуация, при которой одна атака тесно зависит от другой или вложена в нее. Данная проблема, с одной стороны, решается путем введения межузловых ссылочных дуг между вершинами дерева, то есть при заполнении классификационной схемы образуется нагруженный граф. Однако это неизбежно сводится к беспорядку в структуре и сложностям при классификации. С другой стороны, возможно введение рекурсивных деревьев, где каждый лист дерева также является деревом. Но данное решение также сводится к беспорядочному росту структуры, и ограничению их применения. Во—вторых, атаки, в отличие от животных, не имеют обширного числа общих черт, вследствие чего имеют место сложности в формулировке классификационных групп верхних уровней. Действительно, у вредоносных программ типа «черви» или «вирусы» имеется достаточного много общих черт, однако непосредственных аналогий с атаками типа DoS (Denial of Service – отказ в обслуживании) и троянскими программами у них немного. Данная проблема ведет к разрастанию дерева на некоторое количество несвязанных между собой категорий, то есть до леса. Таким образом, древовидные классификации для практических задач.
Иной подход к созданию таксономий заключается в виде использования списочных структур. Таксономии, основанные на списочных структурах, представляются как совокупность списков категорий атак. С одной стороны, возможна организация общих классов категорий атак, с другой – возможно создание объемного количества списков, каждый из которых детально описывает уникальный класс категорий. Данные подходы также слабо применяются на практике, так как для первого случая организуются наборы крайне обобщенных категорий атак, а во—втором случае, детализация списков категорий бесконечна.
В предлагаемой Саймоном Хэнсмэном таксономии используется иной подход, основанный на концепции «измерений» Бишопа. Введение «измерений» позволяет комплексно рассматривать каждую атаку отдельно. В таксономии рассматривается четыре измерения для классификации атак:
1. Первое (базовое) измерение используется для категорирования атаки относительно классов атак на основе вектора атаки. Под вектором атаки понимается метод, с помощью которого атака достигает своей цели. При отсутствии подходящего вектора, атака классифицируется в ближайшую по смыслу категорию (табл. 4).
Таблица 4 —Значения вектора атак таксономии
Хэнсмэна по уровням детализации
2. Вторым измерением, атака классифицируется по цели атаки. Степень детализированности измерения достигается указанием конкретной версии продукта, например Linux Kernel 3.5.1rc—1, или же покрывается определенным классом возможных целей, например Linux Kernel (табл. 5).
Таблица 5 – Список целей атак таксономии
Хэнсмэна по уровням детализации
3. Третье измерение используется для описания уязвимостей и эксплоитов, которыми реализуется данная атака. Измерение представляется списоком номеров CVE (Common Vulnerabilities and Exposures) известных уязвимостей по классификации проекта CVE [12].